AWS IAM Access Analyzer
통합 버전: 6.0
사용 사례
- 조사를 위해 Google Security Operations에 발견 항목 수집
- 활성 작업 - 통계 업데이트, 리소스 스캔
Google SecOps에서 AWS IAM Access Analyzer 통합 구성
Google SecOps에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| AWS 액세스 키 ID | 문자열 | 해당 사항 없음 | 예 | 통합에 사용할 AWS 액세스 키 ID입니다. |
| AWS 보안 비밀 키 | 비밀번호 | 해당 사항 없음 | 예 | 통합에 사용할 AWS 보안 비밀 키입니다. |
| AWS 기본 리전 | 문자열 | 해당 사항 없음 | 예 | 통합에 사용할 AWS 기본 리전입니다(예: us-west-2). |
| 분석기 이름 | 문자열 | 해당 사항 없음 | 예 | 통합에 사용해야 하는 분석기의 이름입니다. |
작업
핑
설명
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 AWS IAM Access Analyzer에 대한 연결을 테스트합니다.
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하지 않거나 플레이북 실행을 중지하지 않아야 합니다.
작업이 실패하고 플레이북 실행이 중지되어야 합니다.
|
일반 |
리소스 스캔
설명
AWS IAM Access Analyzer를 사용하여 리소스를 스캔합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 리소스 ARN | CSV | 해당 사항 없음 | 예 | 스캔해야 하는 리소스 ARN을 쉼표로 구분된 목록으로 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
JSON 결과
{"ResponseMetadata": {"HTTPHeaders": {"connection": "keep-alive",
"content-length": "178",
"content-type": "application/json",
"date": "Sun, 22 Nov 2020 09:22:03 GMT",
"x-amz-apigw-id": "WZwVQFICIAMFjnQ=",
"x-amzn-requestid": "c15d8ab2-afc7-4cb0-bea2-a47ebc649cb8",
"x-amzn-trace-id": "Root=1-5fba2dbb-042d89bb2964e4f635bd7843"},
"HTTPStatusCode": 200,
"RequestId": "c15d8ab2-afc7-4cb0-bea2-a47ebc649cb8",
"RetryAttempts": 0},
"resource": {"analyzedAt": datetime.datetime(2020, 11, 22, 9, 21, 50, 919000, tzinfo=tzutc()),
"isPublic": False,
"resourceArn": "arn:aws:s3:::asddsa",
"resourceOwnerAccount": "582302349248",
"resourceType": "AWS::S3::Bucket"}}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. 하나 이상의 스캔이 성공적으로 반환된 경우 (is_success = true) : print"Successfully scanned the following resources using AWS IAM Access Analyzer: \n".format(Resource IDs) 하나 이상 실패한 경우 (is_success = true): print"Action wasn't able to scan the following resources using AWS IAM Access Analyzer: \n".format(Resource IDs) 모두 실패한 경우 (is_success = false): '스캔된 리소스가 없습니다.'를 출력합니다. 비동기 메시지: '다음 리소스가 AWS IAM Access Analyzer를 사용하여 스캔되기를 기다리는 중: {0}'.format(처리되지 않은 리소스) 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''리소스 스캔' 작업을 실행하는 중에 오류가 발생했습니다. 이유: {0}'.format(error.Stacktrace) 분석기를 찾을 수 없는 경우: '리소스 스캔 작업을 실행하는 동안 오류가 발생했습니다.'를 출력합니다. 이유: '{0}' 분석기를 찾을 수 없습니다''.format(분석기 이름). |
일반 |
보관처리된 발견
AWS Security Hub에서 발견 항목을 보관합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 발견 항목 ID | 문자열 | 해당 사항 없음 | 예 | 보관처리할 발견 사항의 ID를 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다. SDK에서 발생한 오류가 없는 경우 (is_success = true) : 'AWS IAM Access Analyzer에서 ID '{0}'로 검색 결과를 보관했습니다.'.format(검색 결과 ID)를 출력합니다. 작업이 실패하고 플레이북 실행을 중지합니다. 잘못된 사용자 인증 정보, 서버 연결 없음, 기타 오류와 같은 치명적인 오류, SDK 오류인 경우: ''아카이브 결과' 작업을 실행하는 중에 오류가 발생했다고 출력합니다. 이유: {0}'.format(error.Stacktrace) 분석기를 찾을 수 없는 경우: 'Error executing action "Archive Finding".'을 출력합니다. 이유: '{0}' 분석기를 찾을 수 없습니다''.format(분석기 이름). |
일반 |
커넥터
AWS IAM Access Analyzer - Findings Connector
설명
AWS IAM Access Analyzer에서 결과 가져오기
Google SecOps에서 AWS IAM Access Analyzer - 발견 항목 커넥터 구성
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
커넥터 매개변수
다음 매개변수를 사용하여 커넥터를 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 제품 필드 이름 | 문자열 | 제품 이름 | 예 | 제품 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 이벤트 필드 이름 | 문자열 | resourceType | 예 | 이벤트 필드 이름을 가져오려면 소스 필드 이름을 입력합니다. |
| 환경 필드 이름 | 문자열 | "" | 아니요 | 환경 이름이 저장된 필드의 이름을 설명합니다. 환경 필드를 찾을 수 없으면 환경이 기본 환경입니다. |
| 환경 정규식 패턴 | 문자열 | .* | 아니요 | '환경 필드 이름' 필드에 있는 값에서 실행할 정규식 패턴입니다. 기본값은 .*로서 모두 포착하고 변경되지 않은 값을 반환합니다. 사용자가 정규식 로직을 통해 환경 필드를 조작할 수 있도록 허용하는 데 사용됩니다. 정규식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
| 스크립트 제한 시간(초) | 정수 | 180 | 예 | 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. |
| AWS 액세스 키 ID | 문자열 | 해당 사항 없음 | 참 | 통합에 사용할 AWS 액세스 키 ID입니다. |
| AWS 보안 비밀 키 | 비밀번호 | 해당 사항 없음 | 참 | 통합에 사용할 AWS 보안 비밀 키입니다. |
| AWS 기본 리전 | 문자열 | 해당 사항 없음 | 참 | 통합에 사용할 AWS 기본 리전입니다(예: us-west-2). |
| 분석기 이름 | 문자열 | 해당 사항 없음 | 참 | 통합에 사용해야 하는 분석기의 이름입니다. |
| 알림 심각도 | 문자열 | 보통 | 거짓 | 이 커넥터에서 생성된 Google SecOps 알림의 심각도입니다. 가능한 값은 다음과 같습니다. 심각, 높음, 중간,낮음,정보 |
| 가져올 최대 발견 항목 수 | 정수 | 50 | 아니요 | 커넥터 반복당 처리할 발견 항목 수입니다. |
| 최대 이전 시간 | 정수 | 1 | 아니요 | 발견 항목을 가져올 이전 시간입니다. |
| 허용 목록을 차단 목록으로 사용 | 체크박스 | 선택 해제 | 예 | 사용 설정하면 허용 목록이 차단 목록으로 사용됩니다. |
| SSL 확인 | 체크박스 | 선택 해제 | 예 | 사용 설정한 경우 AWS IAM Access Analyzer 서버 연결에 대한 SSL 인증서가 유효한지 확인합니다. |
| 프록시 서버 주소 | 문자열 | 해당 사항 없음 | 아니요 | 사용할 프록시 서버의 주소입니다. |
| 프록시 사용자 이름 | 문자열 | 해당 사항 없음 | 아니요 | 인증할 프록시 사용자 이름입니다. |
| 프록시 비밀번호 | 비밀번호 | 해당 사항 없음 | 아니요 | 인증할 프록시 비밀번호입니다. |
커넥터 규칙
프록시 지원
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.