Analisador de acesso do AWS IAM
Versão da integração: 6.0
Exemplos de utilização
- Carregue as conclusões para o Google Security Operations para investigação
- Ações ativas: atualize as estatísticas e procure recursos
Configure a integração do analisador de acesso do IAM da AWS no Google SecOps
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da chave de acesso da AWS | String | N/A | Sim | ID da chave de acesso da AWS a usar na integração. |
| Chave secreta da AWS | Palavra-passe | N/A | Sim | Chave secreta da AWS a usar na integração. |
| Região predefinida da AWS | String | N/A | Sim | Região predefinida da AWS a usar na integração, por exemplo, us-west-2. |
| Nome do analisador | String | N/A | Sim | Nome do analisador que deve ser usado na integração. |
Ações
Tchim-tchim
Descrição
Teste a conetividade ao AWS IAM Access Analyzer com os parâmetros fornecidos na página de configuração da integração no separador do Google Security Operations Marketplace.
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um playbook:
A ação deve falhar e parar a execução de um playbook:
|
Geral |
Analise recursos
Descrição
Analise recursos com o AWS IAM Access Analyzer.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ARNs de recursos | CSV | N/A | Sim | Especifique uma lista separada por vírgulas de ARNs de recursos que precisam de ser analisados. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado JSON
{"ResponseMetadata": {"HTTPHeaders": {"connection": "keep-alive",
"content-length": "178",
"content-type": "application/json",
"date": "Sun, 22 Nov 2020 09:22:03 GMT",
"x-amz-apigw-id": "WZwVQFICIAMFjnQ=",
"x-amzn-requestid": "c15d8ab2-afc7-4cb0-bea2-a47ebc649cb8",
"x-amzn-trace-id": "Root=1-5fba2dbb-042d89bb2964e4f635bd7843"},
"HTTPStatusCode": 200,
"RequestId": "c15d8ab2-afc7-4cb0-bea2-a47ebc649cb8",
"RetryAttempts": 0},
"resource": {"analyzedAt": datetime.datetime(2020, 11, 22, 9, 21, 50, 919000, tzinfo=tzutc()),
"isPublic": False,
"resourceArn": "arn:aws:s3:::asddsa",
"resourceOwnerAccount": "582302349248",
"resourceType": "AWS::S3::Bucket"}}
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se as análises forem devolvidas com êxito para, pelo menos, um recurso (is_success = true) : print"Successfully scanned the following resources using AWS IAM Access Analyzer: \n".format(Resource IDs) If fail for at least one (is_success = true): print"Action wasn't able to scan the following resources using AWS IAM Access Analyzer: \n".format(Resource IDs) If fail for all (is_success = false): print"No resources were scanned." Mensagem assíncrona: "A aguardar a análise dos seguintes recursos através do analisador de acesso do IAM da AWS: {0}".format(unprocessed resources) A ação deve falhar e parar a execução de um guia interativo: Se for um erro fatal, um erro do SDK, como credenciais incorretas, sem ligação ao servidor ou outro: imprima "Erro ao executar a ação "Analisar recursos". Motivo: {0}''.format(error.Stacktrace) Se o analisador não for encontrado: imprima "Erro ao executar a ação "Analisar recursos". Reason: '{0}' analyzer was not found''.format(Analyzer Name). |
Geral |
Arquivo de registo
Arquivar a descoberta no AWS Security Hub.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Encontrar o ID | String | N/A | Sim | Especifique o ID da descoberta que quer arquivar. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Case Wall
| Tipo de resultado | Valor / descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não deve falhar nem parar a execução de um guia interativo: Se não forem apresentados erros do SDK (is_success = true) : print"Successfully archived finding with ID '{0}' in AWS IAM Access Analyzer".format(Finding ID) A ação deve falhar e parar a execução de um guia interativo: Se for um erro fatal, um erro do SDK, como credenciais incorretas, sem ligação ao servidor ou outro: imprima "Erro ao executar a ação "Arquivar descoberta". Motivo: {0}''.format(error.Stacktrace) Se o analisador não for encontrado: imprima "Erro ao executar a ação "Arquivar descoberta". Reason: '{0}' analyzer was not found''.format(Analyzer Name). |
Geral |
Conetor
AWS IAM Access Analyzer – Findings Connector
Descrição
Extraia conclusões do analisador de acesso do IAM da AWS.
Configure o analisador de acesso do AWS IAM – conetor de resultados no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | resourceType | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
| Nome do campo do ambiente | String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| ID da chave de acesso da AWS | String | N/A | True | ID da chave de acesso da AWS a usar na integração. |
| Chave secreta da AWS | Palavra-passe | N/A | True | Chave secreta da AWS a usar na integração. |
| Região predefinida da AWS | String | N/A | True | Região predefinida da AWS a usar na integração, por exemplo, us-west-2. |
| Nome do analisador | String | N/A | True | Nome do analisador que deve ser usado na integração. |
| Gravidade do alerta | String | Médio | Falso | Gravidade dos alertas do Google SecOps criados a partir deste conetor. Valores possíveis: Crítico, elevado, médio,baixo,informativo |
| Max Findings To Fetch | Número inteiro | 50 | Não | O número de resultados a processar por iteração de conetor. |
| Máximo de horas para trás | Número inteiro | 1 | Não | Número de horas anteriores para obter resultados. |
| Use a lista de autorizações como uma lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista de autorizações é usada como uma lista negra. |
| Validar SSL | Caixa de verificação | Desmarcado | Sim | Se estiver ativado, verifique se o certificado SSL para a ligação ao servidor do AWS IAM Access Analyzer é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras do conetor
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.