Analisador de acesso do IAM da AWS
Versão da integração: 6.0
Casos de uso
- Ingerir descobertas no Google Security Operations para investigação
- Ações ativas: atualizar insights, verificar recursos
Configurar a integração do AWS IAM Access Analyzer no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da chave de acesso da AWS | String | N/A | Sim | ID da chave de acesso da AWS a ser usado na integração. |
| Chave secreta da AWS | Senha | N/A | Sim | Chave secreta da AWS a ser usada na integração. |
| Região padrão da AWS | String | N/A | Sim | Região padrão da AWS a ser usada na integração, por exemplo, us-west-2. |
| Nome do analisador | String | N/A | Sim | Nome do analisador que deve ser usado na integração. |
Ações
Ping
Descrição
Teste a conectividade com o AWS IAM Access Analyzer usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: A ação precisa falhar e interromper a execução de um playbook: |
Geral |
Verificar recursos
Descrição
Verificar recursos usando o AWS IAM Access Analyzer.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ARNs de recursos | CSV | N/A | Sim | Especifique uma lista separada por vírgulas de ARNs de recursos que precisam ser verificados. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Resultado do JSON
{"ResponseMetadata": {"HTTPHeaders": {"connection": "keep-alive",
"content-length": "178",
"content-type": "application/json",
"date": "Sun, 22 Nov 2020 09:22:03 GMT",
"x-amz-apigw-id": "WZwVQFICIAMFjnQ=",
"x-amzn-requestid": "c15d8ab2-afc7-4cb0-bea2-a47ebc649cb8",
"x-amzn-trace-id": "Root=1-5fba2dbb-042d89bb2964e4f635bd7843"},
"HTTPStatusCode": 200,
"RequestId": "c15d8ab2-afc7-4cb0-bea2-a47ebc649cb8",
"RetryAttempts": 0},
"resource": {"analyzedAt": datetime.datetime(2020, 11, 22, 9, 21, 50, 919000, tzinfo=tzutc()),
"isPublic": False,
"resourceArn": "arn:aws:s3:::asddsa",
"resourceOwnerAccount": "582302349248",
"resourceType": "AWS::S3::Bucket"}}
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se as verificações forem retornadas com sucesso para pelo menos um (is_success = true): print"Successfully scanned the following resources using AWS IAM Access Analyzer: \n".format(Resource IDs) Se falhar em pelo menos um (is_success = true): print"Não foi possível analisar os seguintes recursos usando o AWS IAM Access Analyzer: \n".format(Resource IDs) Se falhar para todos (is_success = false): print"Nenhum recurso foi verificado." Mensagem assíncrona: "Aguardando a verificação dos seguintes recursos usando o AWS IAM Access Analyzer: {0}".format(recursos não processados) A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal ou do SDK, como credenciais incorretas, sem conexão com o servidor, outro: imprima "Erro ao executar a ação "Verificar recursos". Motivo: {0}''.format(error.Stacktrace) Se o analisador não for encontrado:imprima "Erro ao executar a ação "Verificar recursos". Motivo: o analisador "{0}" não foi encontrado".format(Analyzer Name). |
Geral |
Arquivar descoberta
Arquivar a descoberta na Central de Segurança da AWS.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da descoberta | String | N/A | Sim | Especifique o ID da descoberta que você quer arquivar. |
Executar em
Essa ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Painel de casos
| Tipo de resultado | Valor / Descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook: Se não houver erros gerados pelo SDK (is_success = true): print"Successfully archived finding with ID '{0}' in AWS IAM Access Analyzer".format(Finding ID) A ação precisa falhar e interromper a execução de um playbook: Se houver um erro fatal ou de SDK, como credenciais incorretas, sem conexão com o servidor, entre outros: imprima "Erro ao executar a ação "Arquivar descoberta". Motivo: {0}''.format(error.Stacktrace) Se o Analyzer não for encontrado:imprima "Erro ao executar a ação "Arquivar descoberta". Motivo: o analisador "{0}" não foi encontrado".format(Analyzer Name). |
Geral |
Conector
AWS IAM Access Analyzer - Findings Connector
Descrição
Extrair descobertas do AWS IAM Access Analyzer.
Configurar o Analisador de acesso do IAM da AWS: conector de descobertas no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | resourceType | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| ID da chave de acesso da AWS | String | N/A | Verdadeiro | ID da chave de acesso da AWS a ser usado na integração. |
| Chave secreta da AWS | Senha | N/A | Verdadeiro | Chave secreta da AWS a ser usada na integração. |
| Região padrão da AWS | String | N/A | Verdadeiro | Região padrão da AWS a ser usada na integração, por exemplo, us-west-2. |
| Nome do analisador | String | N/A | Verdadeiro | Nome do analisador que deve ser usado na integração. |
| Gravidade do alerta | String | Médio | Falso | Gravidade dos alertas do Google SecOps criados com esse conector. Valores possíveis: Crítica, alta, média,baixa,informativa |
| Número máximo de descobertas a serem buscadas | Número inteiro | 50 | Não | Quantas descobertas processar por iteração de conector. |
| Máximo de horas para trás | Número inteiro | 1 | Não | Quantas horas para trás buscar descobertas. |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista de permissões será usada como uma lista de bloqueios. |
| Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se estiver ativada, verifique se o certificado SSL da conexão com o servidor do AWS IAM Access Analyzer é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Regras de conector
Suporte a proxy
O conector é compatível com proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.