AWS IAM Access Analyzer
Versión de integración: 6.0
Casos de uso
- Transfiere los resultados a Google Security Operations para su investigación
- Acciones activas: Actualiza las estadísticas y analiza los recursos.
Configura la integración del Analizador de acceso de IAM de AWS en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Parámetros de integración
Usa los siguientes parámetros para configurar la integración:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de clave de acceso de AWS | String | N/A | Sí | ID de la clave de acceso de AWS que se usará en la integración. |
| Clave secreta de AWS | Contraseña | N/A | Sí | Clave secreta de AWS que se usará en la integración. |
| Región predeterminada de AWS | String | N/A | Sí | Región predeterminada de AWS para usar en la integración, por ejemplo, us-west-2. |
| Nombre del analizador | String | N/A | Sí | Nombre del analizador que se debe usar en la integración. |
Acciones
Ping
Descripción
Prueba la conectividad con AWS IAM Access Analyzer con los parámetros proporcionados en la página de configuración de la integración en la pestaña Google Security Operations Marketplace.
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de un playbook:
La acción debería fallar y detener la ejecución del playbook:
|
General |
Analiza recursos
Descripción
Analiza los recursos con AWS IAM Access Analyzer.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ARN de recursos | CSV | N/A | Sí | Especifica una lista separada por comas de los ARN de los recursos que se deben analizar. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado de JSON
{"ResponseMetadata": {"HTTPHeaders": {"connection": "keep-alive",
"content-length": "178",
"content-type": "application/json",
"date": "Sun, 22 Nov 2020 09:22:03 GMT",
"x-amz-apigw-id": "WZwVQFICIAMFjnQ=",
"x-amzn-requestid": "c15d8ab2-afc7-4cb0-bea2-a47ebc649cb8",
"x-amzn-trace-id": "Root=1-5fba2dbb-042d89bb2964e4f635bd7843"},
"HTTPStatusCode": 200,
"RequestId": "c15d8ab2-afc7-4cb0-bea2-a47ebc649cb8",
"RetryAttempts": 0},
"resource": {"analyzedAt": datetime.datetime(2020, 11, 22, 9, 21, 50, 919000, tzinfo=tzutc()),
"isPublic": False,
"resourceArn": "arn:aws:s3:::asddsa",
"resourceOwnerAccount": "582302349248",
"resourceType": "AWS::S3::Bucket"}}
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si se devolvieron correctamente los análisis de al menos un recurso (is_success = true) : print"Se analizaron correctamente los siguientes recursos con AWS IAM Access Analyzer: \n".format(IDs de recursos) Si falla al menos uno (is_success = true): print"Action wasn't able to scan the following resources using AWS IAM Access Analyzer: \n".format(Resource IDs) Si falla para todos (is_success = false): Imprime"No se analizó ningún recurso". Mensaje asíncrono: "Se espera que se analicen los siguientes recursos con AWS IAM Access Analyzer: {0}".format(recursos sin procesar) La acción debería fallar y detener la ejecución de la guía: if fatal error, SDK error, like wrong credentials, no connection to server, other: Imprime "Error executing action "Scan Resources". Reason: {0}''.format(error.Stacktrace) Si no se encuentra el analizador: Imprime el mensaje "Error al ejecutar la acción "Analizar recursos"". Motivo: No se encontró el analizador "{0}".format(Analyzer Name). |
General |
Archivar hallazgo
Archiva el hallazgo en AWS Security Hub.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| ID de hallazgo | String | N/A | Sí | Especifica el ID del hallazgo que deseas archivar. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Muro de casos
| Tipo de resultado | Valor o descripción | Tipo |
|---|---|---|
| Mensaje de salida* | La acción no debe fallar ni detener la ejecución de una guía: Si el SDK no genera errores (is_success = true) : Imprime"Se archivó correctamente el hallazgo con el ID "{0}" en AWS IAM Access Analyzer".format(ID del hallazgo) La acción debería fallar y detener la ejecución de la guía: Si hay un error fatal o un error del SDK, como credenciales incorrectas, falta de conexión al servidor o algún otro: print "Error executing action "Archive Finding". Reason: {0}''.format(error.Stacktrace) Si no se encuentra el analizador, imprime "Error al ejecutar la acción "Archive Finding". Motivo: No se encontró el analizador "{0}".format(Analyzer Name). |
General |
Conector
Conector de AWS IAM Access Analyzer: Findings
Descripción
Extrae los hallazgos de AWS IAM Access Analyzer.
Configura el conector de conclusiones de IAM Access Analyzer de AWS en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | resourceType | Sí | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo del entorno | String | "" | No | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
| Patrón de expresión regular del entorno | String | .* | No | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Sí | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| ID de clave de acceso de AWS | String | N/A | Verdadero | ID de la clave de acceso de AWS que se usará en la integración. |
| Clave secreta de AWS | Contraseña | N/A | Verdadero | Clave secreta de AWS que se usará en la integración. |
| Región predeterminada de AWS | String | N/A | Verdadero | Región predeterminada de AWS para usar en la integración, por ejemplo, us-west-2. |
| Nombre del analizador | String | N/A | Verdadero | Nombre del analizador que se debe usar en la integración. |
| Gravedad de la alerta | String | Medio | Falso | Es la gravedad de las alertas de Google SecOps creadas a partir de este conector. Valores posibles: Crítica, alta, media,baja,informativa |
| Cantidad máxima de hallazgos que se pueden recuperar | Número entero | 50 | No | Cantidad de hallazgos que se procesarán por iteración del conector. |
| Horas máximas hacia atrás | Número entero | 1 | No | Cantidad de horas hacia atrás para recuperar los hallazgos. |
| Usar la lista blanca como lista negra | Casilla de verificación | Desmarcado | Sí | Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas. |
| Verificar SSL | Casilla de verificación | Desmarcado | Sí | Si está habilitada, verifica que el certificado SSL para la conexión al servidor de AWS IAM Access Analyzer sea válido. |
| Dirección del servidor proxy | String | N/A | No | Es la dirección del servidor proxy que se usará. |
| Nombre de usuario del proxy | String | N/A | No | Nombre de usuario del proxy con el que se realizará la autenticación. |
| Contraseña de proxy | Contraseña | N/A | No | Contraseña del proxy para la autenticación. |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.