AWS IAM Access Analyzer
統合バージョン: 6.0
ユースケース
- 調査のために結果を Google Security Operations に取り込む
- アクティブなアクション - 分析情報の更新、リソースのスキャン
Google SecOps で AWS IAM Access Analyzer の統合を構成する
Google SecOps で統合を構成する方法について詳しくは、統合を構成するをご覧ください。
統合のパラメータ
次のパラメータを使用して統合を構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| AWS アクセスキー ID | 文字列 | なし | ○ | 統合で使用する AWS アクセスキー ID。 |
| AWS シークレット キー | パスワード | なし | ○ | 統合で使用する AWS 秘密鍵。 |
| AWS のデフォルト リージョン | 文字列 | なし | ○ | 統合で使用する AWS のデフォルト リージョン(例: us-west-2)。 |
| アナライザー名 | 文字列 | なし | はい | 統合で使用するアナライザーの名前。 |
アクション
Ping
説明
Google Security Operations の [Marketplace] タブの統合構成ページで提供されるパラメータを使用して、AWS IAM Access Analyzer への接続をテストします。
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します。
|
全般 |
リソースをスキャンする
説明
AWS IAM Access Analyzer を使用してリソースをスキャンします。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| リソース ARN | CSV | なし | はい | スキャンする必要があるリソース ARN のカンマ区切りのリストを指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON の結果
{"ResponseMetadata": {"HTTPHeaders": {"connection": "keep-alive",
"content-length": "178",
"content-type": "application/json",
"date": "Sun, 22 Nov 2020 09:22:03 GMT",
"x-amz-apigw-id": "WZwVQFICIAMFjnQ=",
"x-amzn-requestid": "c15d8ab2-afc7-4cb0-bea2-a47ebc649cb8",
"x-amzn-trace-id": "Root=1-5fba2dbb-042d89bb2964e4f635bd7843"},
"HTTPStatusCode": 200,
"RequestId": "c15d8ab2-afc7-4cb0-bea2-a47ebc649cb8",
"RetryAttempts": 0},
"resource": {"analyzedAt": datetime.datetime(2020, 11, 22, 9, 21, 50, 919000, tzinfo=tzutc()),
"isPublic": False,
"resourceArn": "arn:aws:s3:::asddsa",
"resourceOwnerAccount": "582302349248",
"resourceType": "AWS::S3::Bucket"}}
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 少なくとも 1 つのスキャンが正常に返された場合(is_success = true): 「AWS IAM Access Analyzer を使用して次のリソースを正常にスキャンしました: \n」.format(リソース ID) と出力します。 少なくとも 1 つが失敗した場合(is_success = true): 「AWS IAM Access Analyzer を使用して次のリソースをスキャンできませんでした: \n」と出力されます。format(Resource IDs) すべて失敗した場合(is_success = false): 「リソースがスキャンされませんでした」と出力します。 非同期メッセージ: 「次のリソースが AWS IAM Access Analyzer を使用してスキャンされるのを待っています: {0}」。format(未処理のリソース) アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラー、SDK エラーの場合:: 「アクション「リソースのスキャン」の実行エラー」と出力されます。理由: {0}」.format(error.Stacktrace) アナライザーが見つからない場合: 「アクション「リソースをスキャンする」の実行エラー」が出力されます。理由: 「{0}」アナライザーが見つかりませんでした。''.format(アナライザー名)。 |
全般 |
検出結果をアーカイブする
AWS Security Hub で検出結果をアーカイブします。
パラメータ
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| 知見 ID | 文字列 | なし | はい | アーカイブする検出結果の ID を指定します。 |
実行
このアクションはエンティティに対しては実行されません。
アクションの結果
スクリプトの結果
| スクリプトの結果名 | 値のオプション |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
ケースウォール
| 結果のタイプ | 値 / 説明 | 種類 |
|---|---|---|
| 出力メッセージ * | アクションが失敗したり、ハンドブックの実行を停止したりすることはありません。 SDK からエラーが発生しなかった場合(is_success = true): print"AWS IAM Access Analyzer で ID 「{0}」を持つ検出結果が正常にアーカイブされました".format(Finding ID) アクションが失敗し、ハンドブックの実行が停止します。 間違った認証情報、サーバーへの接続なし、その他など、致命的なエラー、SDK エラーの場合:: 「アクション「検出結果のアーカイブ」の実行エラー。理由: {0}」.format(error.Stacktrace) アナライザーが見つからない場合: 「Error executing action "Archive Finding". 理由: 「{0}」アナライザーが見つかりませんでした。''.format(アナライザー名)。 |
全般 |
コネクタ
AWS IAM Access Analyzer - 検出結果コネクタ
説明
AWS IAM Access Analyzer から結果を取得します。
Google SecOps で AWS IAM Access Analyzer - 検出結果コネクタを構成する
Google SecOps でコネクタを構成する方法の詳細については、コネクタの構成をご覧ください。
コネクタ パラメータ
次のパラメータを使用してコネクタを構成します。
| パラメータの表示名 | 種類 | デフォルト値 | 必須 | 説明 |
|---|---|---|---|---|
| プロダクト フィールド名 | 文字列 | プロダクト名 | ○ | ソース フィールド名を入力してプロダクト フィールド名を取得します。 |
| イベント フィールド名 | 文字列 | resourceType | ○ | ソース フィールド名を入力してイベント フィールド名を取得します。 |
| 環境フィールド名 | 文字列 | "" | いいえ | 環境名が保存されるフィールドの名前を記述します。 環境フィールドがない場合、その環境がデフォルトの環境です。 |
| 環境の正規表現パターン | 文字列 | .* | いいえ | [環境フィールド名] フィールドで見つかった値に対して実行する正規表現パターン。 デフォルトは、すべてキャッチして値を変更せずに返す .* です。 ユーザーが正規表現ロジックで環境フィールドを操作できるようにするために使用されます。 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
| スクリプトのタイムアウト(秒) | 整数 | 180 | はい | 現在のスクリプトを実行している Python プロセスのタイムアウト上限。 |
| AWS アクセスキー ID | 文字列 | なし | True | 統合で使用する AWS アクセスキー ID。 |
| AWS シークレット キー | パスワード | なし | True | 統合で使用する AWS 秘密鍵。 |
| AWS のデフォルト リージョン | 文字列 | なし | True | 統合で使用する AWS のデフォルト リージョン(例: us-west-2)。 |
| アナライザー名 | 文字列 | なし | 正しい | 統合で使用するアナライザーの名前。 |
| アラートの重大度 | 文字列 | 中 | 誤り | このコネクタから作成された Google SecOps アラートの重大度。値は次のいずれかです。 重大、高、中、低、情報 |
| 取得する最大検出結果数 | 整数 | 50 | いいえ | 1 回のコネクタのイテレーションで処理する検出結果の数。 |
| 最大遡及時間 | 整数 | 1 | いいえ | 検出結果を取得するために遡る時間。 |
| 許可リストを拒否リストとして使用 | チェックボックス | オフ | ○ | 有効にすると、許可リストが拒否リストとして使用されます。 |
| SSL を確認 | チェックボックス | オフ | はい | 有効になっている場合は、AWS IAM Access Analyzer サーバーへの接続用の SSL 証明書が有効であることを確認します。 |
| プロキシ サーバーのアドレス | 文字列 | なし | いいえ | 使用するプロキシ サーバーのアドレス。 |
| プロキシのユーザー名 | 文字列 | なし | いいえ | 認証に使用するプロキシのユーザー名。 |
| プロキシ パスワード | パスワード | なし | いいえ | 認証に使用するプロキシ パスワード。 |
コネクタ ルール
プロキシのサポート
コネクタはプロキシをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。