此页面由 Cloud Translation API 翻译。

AWS IAM Access Analyzer

集成版本：6.0

使用场景

将发现结果注入到 Google Security Operations 以供调查
有效操作 - 更新数据洞见、扫描资源

在 Google SecOps 中配置 AWS IAM Access Analyzer 集成

有关如何在 Google SecOps 中配置集成的详细说明，请参阅配置集成。

集成参数

使用以下参数配置集成：

参数显示名称	类型	默认值	是否为必需属性	说明
AWS 访问密钥 ID	字符串	不适用	是	要在集成中使用的 AWS 访问密钥 ID。
AWS 密钥	密码	不适用	是	要在集成中使用的 AWS 密钥。
AWS 默认区域	字符串	不适用	是	集成中要使用的 AWS 默认区域，例如 us-west-2。
分析器名称	字符串	不适用	是	集成中应使用的分析器的名称。

操作

Ping

说明

使用 Google Security Operations Marketplace 标签页中的集成配置页面上提供的参数，测试与 AWS IAM Access Analyzer 的连接。

运行于

此操作不会在实体上运行。

操作执行结果

脚本结果

脚本结果名称	值选项
is_success	is_success=False
is_success	is_success=True

案例墙

结果类型	值 / 说明	类型
输出消息*	该操作不应失败，也不应停止 playbook 执行：如果成功：打印“Successfully connected to the AWS IAM Access Analyzer server with the provided connection parameters!” 操作应失败并停止 playbook 执行：如果不成功：打印“Failed to connect to the AWS IAM Access Analyzer server!错误为 {0}".format(exception.stacktrace)	常规

结果类型

值 / 说明

类型

输出消息*

该操作不应失败，也不应停止 playbook 执行：
如果成功：打印“Successfully connected to the AWS IAM Access Analyzer server with the provided connection parameters!”

操作应失败并停止 playbook 执行：
如果不成功：打印“Failed to connect to the AWS IAM Access Analyzer server!错误为 {0}".format(exception.stacktrace)

常规

扫描资源

说明

使用 AWS IAM Access Analyzer 扫描资源。

参数

参数显示名称	类型	默认值	是否为必需属性	说明
资源 ARN	CSV	不适用	是	指定需要扫描的资源 ARN 的英文逗号分隔列表。

运行于

此操作不会在实体上运行。

操作执行结果

脚本结果

脚本结果名称	值选项
is_success	is_success=False
is_success	is_success=True

JSON 结果

{"ResponseMetadata": {"HTTPHeaders": {"connection": "keep-alive",
    "content-length": "178",
    "content-type": "application/json",
    "date": "Sun, 22 Nov 2020 09:22:03 GMT",
    "x-amz-apigw-id": "WZwVQFICIAMFjnQ=",
    "x-amzn-requestid": "c15d8ab2-afc7-4cb0-bea2-a47ebc649cb8",
    "x-amzn-trace-id": "Root=1-5fba2dbb-042d89bb2964e4f635bd7843"},
"HTTPStatusCode": 200,
"RequestId": "c15d8ab2-afc7-4cb0-bea2-a47ebc649cb8",
"RetryAttempts": 0},
"resource": {"analyzedAt": datetime.datetime(2020, 11, 22, 9, 21, 50, 919000, tzinfo=tzutc()),
"isPublic": False,
"resourceArn": "arn:aws:s3:::asddsa",
"resourceOwnerAccount": "582302349248",
"resourceType": "AWS::S3::Bucket"}}

案例墙

结果类型	值 / 说明	类型
输出消息*	操作不应失败，也不应停止 playbook 执行：如果成功返回至少一次扫描（is_success = true）：打印“Successfully scanned the following resources using AWS IAM Access Analyzer: \n”（已使用 AWS IAM Access Analyzer 成功扫描以下资源：\n）。format(资源 ID) 如果至少有一个操作失败 (is_success = true)：打印“Action wasn't able to scan the following resources using AWS IAM Access Analyzer: \n".format(Resource IDs) 如果所有资源都扫描失败（is_success = false）：打印“No resources were scanned.” 异步消息： “正在等待使用 AWS IAM Access Analyzer 扫描以下资源：{0}”。format(未处理的资源) 操作应失败并停止 playbook 执行：如果出现严重错误、SDK 错误（例如凭据错误、无法连接到服务器）或其他错误：请输出“Error executing action "Scan Resources".”。原因：{0}''.format(error.Stacktrace) 如果未找到分析器：打印“Error executing action "Scan Resources"”。原因：找不到“{0}”分析器。	常规

结果类型

值 / 说明

类型

输出消息*

操作不应失败，也不应停止 playbook 执行：

如果成功返回至少一次扫描（is_success = true）：打印“Successfully scanned the following resources using AWS IAM Access Analyzer: \n”（已使用 AWS IAM Access Analyzer 成功扫描以下资源：\n）。format(资源 ID)

如果至少有一个操作失败 (is_success = true)：打印“Action wasn't able to scan the following resources using AWS IAM Access Analyzer: \n".format(Resource IDs)

如果所有资源都扫描失败（is_success = false）：打印“No resources were scanned.”

异步消息：

“正在等待使用 AWS IAM Access Analyzer 扫描以下资源：{0}”。format(未处理的资源)

操作应失败并停止 playbook 执行：

如果出现严重错误、SDK 错误（例如凭据错误、无法连接到服务器）或其他错误：请输出“Error executing action "Scan Resources".”。原因：{0}''.format(error.Stacktrace)

如果未找到分析器：打印“Error executing action "Scan Resources"”。原因：找不到“{0}”分析器。

常规

归档发现结果

在 AWS Security Hub 中归档发现结果。

参数

参数显示名称	类型	默认值	是否为必需属性	说明
发现结果 ID	字符串	不适用	是	指定要归档的发现结果的 ID。

运行于

此操作不会在实体上运行。

操作执行结果

脚本结果

脚本结果名称	值选项
is_success	is_success=False
is_success	is_success=True

案例墙

结果类型	值 / 说明	类型
输出消息*	操作不应失败，也不应停止 playbook 执行：如果 SDK 未引发任何错误 (is_success = true)：打印“Successfully archived finding with ID '{0}' in AWS IAM Access Analyzer”。format(发现 ID) 操作应失败并停止 playbook 执行：如果出现严重错误、SDK 错误（例如凭据错误、无法连接到服务器）或其他错误：打印“Error executing action "Archive Finding".”（执行“归档发现”操作时出错。）原因：{0}''.format(error.Stacktrace) 如果找不到分析器：打印“Error executing action "Archive Finding"”。原因：找不到“{0}”分析器。	常规

结果类型

值 / 说明

类型

输出消息*

操作不应失败，也不应停止 playbook 执行：

如果 SDK 未引发任何错误 (is_success = true)：打印“Successfully archived finding with ID '{0}' in AWS IAM Access Analyzer”。format(发现 ID)

操作应失败并停止 playbook 执行：

如果出现严重错误、SDK 错误（例如凭据错误、无法连接到服务器）或其他错误：打印“Error executing action "Archive Finding".”（执行“归档发现”操作时出错。）原因：{0}''.format(error.Stacktrace)

如果找不到分析器：打印“Error executing action "Archive Finding"”。原因：找不到“{0}”分析器。

常规

连接器

AWS IAM Access Analyzer - Findings 连接器

说明

从 AWS IAM Access Analyzer 中提取结果。

在 Google SecOps 中配置 AWS IAM Access Analyzer - Findings 连接器

有关如何在 Google SecOps 中配置连接器的详细说明，请参阅配置连接器。

连接器参数

使用以下参数配置连接器：

参数显示名称	类型	默认值	是否为必需属性	说明
商品字段名称	字符串	产品名称	是	输入源字段名称，以便检索产品字段名称。
事件字段名称	字符串	resourceType	是	输入源字段名称，以便检索事件字段名称。
环境字段名称	字符串	""	否	描述存储环境名称的字段的名称。如果找不到环境字段，则环境为默认环境。
环境正则表达式模式	字符串	.*	否	要对“环境字段名称”字段中找到的值运行的正则表达式模式。默认值为 .*，用于捕获所有内容并返回未更改的值。用于允许用户通过正则表达式逻辑来操纵环境字段。如果正则表达式模式为 null 或空，或者环境值为 null，则最终环境结果为默认环境。
脚本超时（秒）	整数	180	是	运行当前脚本的 Python 进程的超时时间限制。
AWS 访问密钥 ID	字符串	不适用	正确	要在集成中使用的 AWS 访问密钥 ID。
AWS 密钥	密码	不适用	正确	要在集成中使用的 AWS 密钥。
AWS 默认区域	字符串	不适用	正确	集成中要使用的 AWS 默认区域，例如 us-west-2。
分析器名称	字符串	不适用	正确	集成中应使用的分析器的名称。
提醒严重程度	字符串	中	错误	从此连接器创建的 Google SecOps 提醒的严重程度。可能的值：严重、高、中、低、信息
要提取的最多发现数	整数	50	否	每次连接器迭代要处理的发现结果数量。
回溯的小时数上限	整数	1	否	提取发现结果的小时数。
将白名单用作黑名单	复选框	尚未核查	是	如果启用，白名单将用作黑名单。
验证 SSL	复选框	尚未核查	是	如果已启用，请验证与 AWS IAM Access Analyzer 服务器的连接所用的 SSL 证书是否有效。
代理服务器地址	字符串	不适用	否	要使用的代理服务器的地址。
代理用户名	字符串	不适用	否	用于进行身份验证的代理用户名。
代理密码	密码	不适用	否	用于进行身份验证的代理密码。

连接器规则

代理支持

连接器支持代理。