Analizador de acceso de AWS IAM
Versión de integración: 6.0
Casos prácticos
- Ingerir resultados en Google Security Operations para investigar
- Acciones activas: actualizar estadísticas, analizar recursos
Configurar la integración de Access Analyzer de AWS IAM en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de clave de acceso de AWS | Cadena | N/A | Sí | ID de clave de acceso de AWS que se va a usar en la integración. |
| Clave secreta de AWS | Contraseña | N/A | Sí | Clave secreta de AWS que se va a usar en la integración. |
| Región predeterminada de AWS | Cadena | N/A | Sí | Región predeterminada de AWS que se va a usar en la integración (por ejemplo, us-west-2). |
| Nombre del analizador | Cadena | N/A | Sí | Nombre del analizador que se debe usar en la integración. |
Acciones
Ping
Descripción
Prueba la conectividad con AWS IAM Access Analyzer con los parámetros proporcionados en la página de configuración de la integración de la pestaña Google Security Operations Marketplace.
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un libro de jugadas:
La acción debería fallar y detener la ejecución de un cuaderno de estrategias:
|
General |
Analizar recursos
Descripción
Analiza los recursos con Access Analyzer de gestión de identidades y accesos de AWS.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ARNs de recursos | CSV | N/A | Sí | Especifica una lista separada por comas de los ARNs de los recursos que se deben analizar. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{"ResponseMetadata": {"HTTPHeaders": {"connection": "keep-alive",
"content-length": "178",
"content-type": "application/json",
"date": "Sun, 22 Nov 2020 09:22:03 GMT",
"x-amz-apigw-id": "WZwVQFICIAMFjnQ=",
"x-amzn-requestid": "c15d8ab2-afc7-4cb0-bea2-a47ebc649cb8",
"x-amzn-trace-id": "Root=1-5fba2dbb-042d89bb2964e4f635bd7843"},
"HTTPStatusCode": 200,
"RequestId": "c15d8ab2-afc7-4cb0-bea2-a47ebc649cb8",
"RetryAttempts": 0},
"resource": {"analyzedAt": datetime.datetime(2020, 11, 22, 9, 21, 50, 919000, tzinfo=tzutc()),
"isPublic": False,
"resourceArn": "arn:aws:s3:::asddsa",
"resourceOwnerAccount": "582302349248",
"resourceType": "AWS::S3::Bucket"}}
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devuelven correctamente las comprobaciones de al menos un recurso (is_success = true) : print"Successfully scanned the following resources using AWS IAM Access Analyzer: \n".format(Resource IDs) Si falla al menos una (is_success = true): print"Action wasn't able to scan the following resources using AWS IAM Access Analyzer: \n".format(Resource IDs) Si falla todo (is_success = false): imprime"No se ha analizado ningún recurso". Mensaje asíncrono: "Waiting for the following resources to be scanned using AWS IAM Access Analyzer: {0}".format(unprocessed resources) ("Esperando a que se analicen los siguientes recursos con AWS IAM Access Analyzer: {0}".format(recursos sin procesar)) La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico o un error del SDK (por ejemplo, si las credenciales son incorrectas, no hay conexión con el servidor u otro error), imprime "Error al ejecutar la acción "Analizar recursos". Motivo: {0}''.format(error.Stacktrace) Si no se encuentra Analyzer: imprime "Error al ejecutar la acción "Analizar recursos". Motivo: no se ha encontrado el analizador "{0}".format(Analyzer Name). |
General |
Archivar hallazgo
Archivar un resultado en AWS Security Hub.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de resultado | Cadena | N/A | Sí | Especifique el ID del resultado que quiere archivar. |
Fecha de ejecución
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Panel de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si el SDK no ha detectado ningún error (is_success = true) : print"Successfully archived finding with ID '{0}' in AWS IAM Access Analyzer".format(Finding ID) La acción debería fallar y detener la ejecución de la guía: Si se produce un error crítico o del SDK (por ejemplo, credenciales incorrectas, no hay conexión con el servidor u otro error), imprime "Error al ejecutar la acción "Archivar descubrimiento". Motivo: {0}''.format(error.Stacktrace) Si no se encuentra Analyzer: imprime "Error al ejecutar la acción "Archive Finding". Motivo: no se ha encontrado el analizador "{0}".format(Analyzer Name). |
General |
Conector
Conector de resultados de Access Analyzer de gestión de identidades y accesos de AWS
Descripción
Extrae resultados de AWS IAM Access Analyzer.
Configurar el conector de resultados de Access Analyzer de AWS IAM en Google SecOps
Para obtener instrucciones detalladas sobre cómo configurar un conector en Google SecOps, consulta el artículo Configurar el conector.
Parámetros del conector
Utiliza los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo de producto | Cadena | Nombre del producto | Sí | Introduce el nombre del campo de origen para obtener el nombre del campo de producto. |
| Nombre del campo de evento | Cadena | resourceType | Sí | Introduzca el nombre del campo de origen para obtener el nombre del campo de evento. |
| Nombre del campo de entorno | Cadena | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, se utiliza el entorno predeterminado. |
| Patrón de regex de entorno | Cadena | .* | No | Una expresión regular que se aplicará al valor encontrado en el campo "Nombre del campo de entorno". El valor predeterminado es .* para captar todos los valores y devolverlos sin cambios. Se usa para permitir que el usuario manipule el campo del entorno mediante la lógica de expresiones regulares. Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
| Tiempo de espera de secuencia de comandos (segundos) | Entero | 180 | Sí | Límite de tiempo de espera del proceso de Python que ejecuta la secuencia de comandos actual. |
| ID de clave de acceso de AWS | Cadena | N/A | Verdadero | ID de clave de acceso de AWS que se va a usar en la integración. |
| Clave secreta de AWS | Contraseña | N/A | Verdadero | Clave secreta de AWS que se va a usar en la integración. |
| Región predeterminada de AWS | Cadena | N/A | Verdadero | Región predeterminada de AWS que se va a usar en la integración (por ejemplo, us-west-2). |
| Nombre del analizador | Cadena | N/A | Verdadero | Nombre del analizador que se debe usar en la integración. |
| Gravedad de la alerta | Cadena | Medio | Falso | Gravedad de las alertas de Google SecOps creadas a partir de este conector. Posibles valores: Crítica, Alta, Media, Baja e Informativa |
| Número máximo de resultados que se van a obtener | Entero | 50 | No | Número de resultados que se procesarán por cada iteración del conector. |
| Número máximo de horas hacia atrás | Entero | 1 | No | Número de horas hacia atrás para obtener los resultados. |
| Usar la lista blanca como lista negra | Casilla | Desmarcada | Sí | Si está habilitada, la lista de permitidos se usará como lista de denegados. |
| Verificar SSL | Casilla | Desmarcada | Sí | Si está habilitada, comprueba que el certificado SSL de la conexión al servidor de AWS IAM Access Analyzer sea válido. |
| Dirección del servidor proxy | Cadena | N/A | No | Dirección del servidor proxy que se va a usar. |
| Nombre de usuario del proxy | Cadena | N/A | No | Nombre de usuario del proxy para autenticarse. |
| Contraseña del proxy | Contraseña | N/A | No | La contraseña del proxy para autenticarte. |
Reglas de conectores
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.