Halaman ini diterjemahkan oleh Cloud Translation API.

Mengintegrasikan AWS Security Hub dengan Google SecOps

Dokumen ini menjelaskan cara mengintegrasikan AWS Security Hub dengan Google Security Operations (Google SecOps).

Versi integrasi: 8.0

Kasus penggunaan

Di Google SecOps, integrasi AWS Security Hub dapat membantu Anda menyelesaikan kasus penggunaan berikut:

Pengayaan insiden otomatis: gunakan kemampuan Google SecOps untuk otomatis mengambil konteks yang relevan dari layanan AWS lainnya seperti VPC Flow Logs, temuan GuardDuty, dan log CloudTrail saat potensi peristiwa keamanan terdeteksi di Security Hub. Pengayaan insiden otomatis dapat membantu analis memahami dengan cepat cakupan dan potensi dampak insiden.
Perbaikan yang diprioritaskan: gunakan kemampuan Google SecOps untuk memicu respons otomatis terhadap temuan Security Hub berdasarkan playbook yang telah ditentukan sebelumnya. Misalnya, temuan tingkat keparahan tinggi yang terkait dengan bucket S3 yang terekspos dapat otomatis memicu playbook untuk memperbaiki kesalahan konfigurasi dan memberi tahu tim yang sesuai.
Integrasi intelijen ancaman: gunakan kemampuan Google SecOps untuk berintegrasi dengan feed intelijen ancaman dan melakukan referensi silang temuan Security Hub dengan indikator berbahaya yang diketahui. Integrasi kecerdasan ancaman memungkinkan analis mengidentifikasi dan memprioritaskan ancaman berisiko tinggi yang memerlukan perhatian segera.
Pelaporan dan audit kepatuhan: gunakan kemampuan SecOps Google untuk menggabungkan dan menormalisasi data keamanan dari Security Hub dan sumber lainnya untuk menyederhanakan pelaporan kepatuhan.
Pengelolaan kerentanan: gunakan kemampuan Google SecOps untuk mengotomatiskan proses triase, prioritas, dan perbaikan kerentanan dengan mengintegrasikan fitur pemindaian kerentanan AWS Security Hub. Pengelolaan kerentanan dapat membantu Anda mengurangi permukaan serangan dan meningkatkan postur keamanan organisasi Anda secara keseluruhan.

Sebelum memulai

Agar integrasi berfungsi dengan benar, Anda perlu mengonfigurasi kebijakan identitas dan akses kustom di AWS.

Untuk mengetahui informasi selengkapnya tentang cara membuat kebijakan kustom di AWS, lihat artikel Membuat kebijakan menggunakan editor JSON dalam dokumentasi AWS.

Untuk mengonfigurasi izin yang diperlukan untuk integrasi AWS Security Hub, dan menetapkan kebijakan kustom, gunakan kode berikut:

{
            "Sid": "SecurityHubServiceRolePermissions",
            "Effect": "Allow",
            "Action": [
                "securityhub:GetMasterAccount",
                "securityhub:GetInsightResults",
                "securityhub:CreateInsight",
                "securityhub:UpdateInsight",
                "securityhub:BatchUpdateFindings",
                "securityhub:GetFindings",
                "securityhub:GetInsight",
                "securityhub:DescribeHub",
            ],
            "Resource": "*"
}

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi izin, lihat Kebijakan yang dikelola AWS: AWSSecurityHubServiceRolePolicy dalam dokumentasi AWS.

Parameter integrasi

Integrasi AWS Security Hub memerlukan parameter berikut:

Parameter	Deskripsi
`AWS Access Key ID`	Wajib ID kunci akses AWS yang akan digunakan dalam integrasi.
`AWS Secret Key`	Wajib Kunci rahasia AWS yang akan digunakan dalam integrasi.
`AWS Default Region`	Wajib Region default AWS yang akan digunakan dalam integrasi, seperti `us-west-2`.

Anda dapat melakukan perubahan di tahap berikutnya, jika perlu. Setelah mengonfigurasi instance, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Bekerja dengan parameter Filter JSON Object

Untuk tindakan Buat Insight dan Perbarui Insight, Anda dapat mengonfigurasi filter untuk temuan.

Untuk membuat insight di AWS Security Hub, terapkan filter untuk temuan yang tersedia di sistem.

Struktur filter dengan semua kemungkinan konfigurasi adalah sebagai berikut:

{
    "ProductArn": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "AwsAccountId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "Id": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "GeneratorId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "Type": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "FirstObservedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "LastObservedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "CreatedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "UpdatedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "SeverityProduct": [
        {
            "Gte": 123.0,
            "Lte": 123.0,
            "Eq": 123.0
        }
    ],
    "SeverityNormalized": [
        {
            "Gte": 123.0,
            "Lte": 123.0,
            "Eq": 123.0
        }
    ],
    "SeverityLabel": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "Confidence": [
        {
            "Gte": 123.0,
            "Lte": 123.0,
            "Eq": 123.0
        }
    ],
    "Criticality": [
        {
            "Gte": 123.0,
            "Lte": 123.0,
            "Eq": 123.0
        }
    ],
    "Title": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "Description": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "RecommendationText": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "SourceUrl": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ProductFields": [
        {
            "Key": "string",
            "Value": "string",
            "Comparison": "EQUALS"|"NOT_EQUALS"
        }
    ],
    "ProductName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "CompanyName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "UserDefinedFields": [
        {
            "Key": "string",
            "Value": "string",
            "Comparison": "EQUALS"|"NOT_EQUALS"
        }
    ],
    "MalwareName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "MalwareType": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "MalwarePath": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "MalwareState": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "NetworkDirection": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "NetworkProtocol": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "NetworkSourceIpV4": [
        {
            "Cidr": "string"
        }
    ],
    "NetworkSourceIpV6": [
        {
            "Cidr": "string"
        }
    ],
    "NetworkSourcePort": [
        {
            "Gte": 123.0,
            "Lte": 123.0,
            "Eq": 123.0
        }
    ],
    "NetworkSourceDomain": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "NetworkSourceMac": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "NetworkDestinationIpV4": [
        {
            "Cidr": "string"
        }
    ],
    "NetworkDestinationIpV6": [
        {
            "Cidr": "string"
        }
    ],
    "NetworkDestinationPort": [
        {
            "Gte": 123.0,
            "Lte": 123.0,
            "Eq": 123.0
        }
    ],
    "NetworkDestinationDomain": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ProcessName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ProcessPath": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ProcessPid": [
        {
            "Gte": 123.0,
            "Lte": 123.0,
            "Eq": 123.0
        }
    ],
    "ProcessParentPid": [
        {
            "Gte": 123.0,
            "Lte": 123.0,
            "Eq": 123.0
        }
    ],
    "ProcessLaunchedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "ProcessTerminatedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "ThreatIntelIndicatorType": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ThreatIntelIndicatorValue": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ThreatIntelIndicatorCategory": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ThreatIntelIndicatorLastObservedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "ThreatIntelIndicatorSource": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ThreatIntelIndicatorSourceUrl": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceType": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourcePartition": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceRegion": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceTags": [
        {
            "Key": "string",
            "Value": "string",
            "Comparison": "EQUALS"|"NOT_EQUALS"
        }
    ],
    "ResourceAwsEc2InstanceType": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsEc2InstanceImageId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsEc2InstanceIpV4Addresses": [
        {
            "Cidr": "string"
        }
    ],
    "ResourceAwsEc2InstanceIpV6Addresses": [
        {
            "Cidr": "string"
        }
    ],
    "ResourceAwsEc2InstanceKeyName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsEc2InstanceIamInstanceProfileArn": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsEc2InstanceVpcId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsEc2InstanceSubnetId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsEc2InstanceLaunchedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "ResourceAwsS3BucketOwnerId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsS3BucketOwnerName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsIamAccessKeyUserName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsIamAccessKeyStatus": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsIamAccessKeyCreatedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "ResourceContainerName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceContainerImageId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceContainerImageName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceContainerLaunchedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "ResourceDetailsOther": [
        {
            "Key": "string",
            "Value": "string",
            "Comparison": "EQUALS"|"NOT_EQUALS"
        }
    ],
    "ComplianceStatus": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "VerificationState": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "WorkflowState": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "WorkflowStatus": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "RecordState": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "RelatedFindingsProductArn": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "RelatedFindingsId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "NoteText": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "NoteUpdatedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "NoteUpdatedBy": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "Keyword": [
        {
            "Value": "string"
        }
    ]
}

Contoh filter yang hanya menampilkan temuan dengan tingkat keparahan kritis adalah sebagai berikut:

{
    "SeverityLabel": [
        {
            "Value": "CRITICAL",
            "Comparison": "EQUALS"
        }
    ]
}

Tindakan

Agar berfungsi dengan benar, tindakan AWS Security Hub mengharuskan Anda mengonfigurasi izin tertentu. Untuk mengetahui informasi selengkapnya tentang izin untuk integrasi, lihat bagian Sebelum memulai dalam dokumen ini.

Buat Insight

Gunakan tindakan Create Insight untuk membuat insight di AWS Security Hub.

Input tindakan

Tindakan Buat Insight memerlukan parameter berikut:

Parameter Deskripsi

Parameter	Deskripsi
`Insight Name`	Wajib Nama insight.
`Group By Attribute`	Wajib Nama atribut untuk mengelompokkan temuan. Tindakan ini mengelompokkan temuan dalam satu insight. Nilai defaultnya adalah `AWS Account ID`. Kemungkinan nilainya adalah sebagai berikut: `AWS Account ID` `Company Name` `Status` `Generator ID` `Malware Name` `Process Name` `Threat Intel Type` `Product ARN` `Product Name` `Record State` `EC2 Instance Image ID` `EC2 Instance IPv4` `EC2 Instance IPv6` `EC2 Instance Key Name` `EC2 Instance Subnet ID` `EC2 Instance Type` `EC2 Instance VPC ID` `IAM Access Key User Name` `S3 Bucket Owner Name` `Container Image ID` `Container Image Name` `Container Name` `Resource ID` `Resource Type` `Severity Label` `Source URL` `Type` `Verification State` `Workflow Status`
`Filter JSON Object`	Wajib Filter yang akan diterapkan pada temuan. Filter adalah objek JSON yang memungkinkan Anda menentukan berbagai atribut dan nilai. Untuk mengetahui detail selengkapnya tentang konfigurasi filter, lihat bagian Bekerja dengan parameter Objek JSON Filter dalam dokumen ini.

Insight Name

Wajib

Nama insight.

Group By Attribute

Wajib

Nama atribut untuk mengelompokkan temuan. Tindakan ini mengelompokkan temuan dalam satu insight.

Nilai defaultnya adalah AWS Account ID.

Kemungkinan nilainya adalah sebagai berikut:

AWS Account ID
Company Name
Status
Generator ID
Malware Name
Process Name
Threat Intel Type
Product ARN
Product Name
Record State
EC2 Instance Image ID
EC2 Instance IPv4
EC2 Instance IPv6
EC2 Instance Key Name
EC2 Instance Subnet ID
EC2 Instance Type
EC2 Instance VPC ID
IAM Access Key User Name
S3 Bucket Owner Name
Container Image ID
Container Image Name
Container Name
Resource ID
Resource Type
Severity Label
Source URL
Type
Verification State
Workflow Status

Filter JSON Object

Wajib

Filter yang akan diterapkan pada temuan. Filter adalah objek JSON yang memungkinkan Anda menentukan berbagai atribut dan nilai. Untuk mengetahui detail selengkapnya tentang konfigurasi filter, lihat bagian Bekerja dengan parameter Objek JSON Filter dalam dokumen ini.

Output tindakan

Tindakan Buat Insight memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Buat Insight:

{
    "InsightArn": "arn:aws:securityhub:ID",
}

Pesan output

Tindakan Create Insight dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully created 'INSIGHT_NAME" insight in AWS Security Hub.` `Action wasn't able to create 'INSIGHT_NAME' insight.`	Tindakan berhasil.
`Error executing action "Create Insight". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully created 'INSIGHT_NAME" insight in AWS Security Hub.

Action wasn't able to create 'INSIGHT_NAME' insight.

Tindakan berhasil.

Error executing action "Create Insight". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Buat Insight:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Mendapatkan Detail Insight

Gunakan tindakan Get Insight Details untuk menampilkan informasi mendetail tentang insight di AWS Security Hub.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Get Insight Details memerlukan parameter berikut:

Parameter Deskripsi

Parameter	Deskripsi
`Insight ARN`	Wajib Amazon Resource Name (ARN) insight.
`Max Results To Return`	Wajib Jumlah hasil yang akan ditampilkan. Nilai defaultnya adalah 50.

Insight ARN

Wajib

Amazon Resource Name (ARN) insight.

Max Results To Return

Wajib

Jumlah hasil yang akan ditampilkan.

Nilai defaultnya adalah 50.

Output tindakan

Tindakan Get Insight Details memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Tabel repositori kasus

Tindakan Get Insight Details dapat menampilkan tabel berikut di Google SecOps:

Nama tabel: 'NUMBER_OF_OBJECTS' Bucket Objects

Kolom:

Nama (dipetakan sebagai GroupByAttributeValue)
Jumlah (dipetakan sebagai Count)

Hasil JSON

Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Insight Details:

"InsightResults": {
        "InsightArn": "arn:aws:securityhub:ID",
        "GroupByAttribute": "ResourceId",
        "ResultValues": [
            {
                "GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-getreportstatus",
                "Count": 5
            },
            {
                "GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-searchactionbug",
                "Count": 5
            },
            {
                "GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-unicodeandlogs",
                "Count": 5
            },
            {
                "GroupByAttributeValue": "arn:aws:s3:::int-automation-v-1-0",
                "Count": 5
            },
            {
                "GroupByAttributeValue": "arn:aws:s3:::int-awss3-v-1-0",
                "Count": 5
            },
            {
                "GroupByAttributeValue": "arn:aws:s3:::int-azureactivedirectory-v-4-0",
                "Count": 5
            },
            {
                "GroupByAttributeValue": "arn:aws:s3:::int-bootcamp-v-1-0",
                "Count": 5
            },
            {
                "GroupByAttributeValue": "arn:aws:s3:::int-categories",
                "Count": 5
            }
        ]
    }

Pesan output

Tindakan Get Insight Details dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully returned details about Insight with ARN 'ARN' in AWS Security Hub.`	Tindakan berhasil.
`Error executing action "Get Insight Details". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully returned details about Insight with ARN 'ARN' in AWS Security Hub.

Tindakan berhasil.

Error executing action "Get Insight Details". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Insight Details:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Ping

Gunakan tindakan Ping untuk menguji konektivitas ke AWS Security Hub.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tidak ada.

Output tindakan

Tindakan Ping memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Pesan output

Tindakan Ping dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully connected to the AWS Security Hub server with the provided connection parameters!`	Tindakan berhasil.
`Failed to connect to the AWS Security Hub! Error is ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully connected to the AWS Security Hub server with the provided connection parameters!

Tindakan berhasil.

Failed to connect to the AWS Security Hub! Error is
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Memperbarui Temuan

Gunakan tindakan Update Finding untuk memperbarui temuan di AWS Security Hub.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Update Finding memerlukan parameter berikut:

Parameter	Deskripsi
`ID`	Wajib ID temuan yang akan diperbarui.
`Product ARN`	Wajib ARN produk dari temuan yang akan diperbarui.
`Note`	Opsional Teks baru untuk catatan temuan. Jika Anda mengonfigurasi parameter ini, konfigurasi juga parameter `Note Author`.
`Note Author`	Opsional penulis catatan. Jika Anda mengonfigurasi parameter ini, konfigurasi juga parameter `Note`.
`Severity`	Opsional Tingkat keparahan baru untuk temuan. Kemungkinan nilainya adalah sebagai berikut: `Critical` `High` `Medium` `Low` `Informational`
`Verification State`	Opsional Status verifikasi baru untuk temuan. Kemungkinan nilainya adalah sebagai berikut: `Unknown` `True Positive` `False Positive` `Benign Positive`
`Confidence`	Opsional Keyakinan baru untuk temuan. Nilai maksimumnya adalah 100.
`Criticality`	Opsional Tingkat keparahan baru untuk temuan. Nilai maksimumnya adalah 100.
`Types`	Opsional Daftar jenis untuk temuan yang dipisahkan koma, seperti `type1,type2`.
`Workflow Status`	Opsional Status alur kerja baru untuk temuan. Kemungkinan nilainya adalah sebagai berikut: `New` `Notified` `Resolved` `Suppressed`
`Custom Fields`	Opsional Kolom kustom temuan yang akan diperbarui, seperti `Custom_field_1:VALUE, Custom_field_2:VALUE`.

Output tindakan

Tindakan Update Finding memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Pesan output

Tindakan Update Finding dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully updated finding with ID 'FINDING_ID' and Product ARN 'ARN' in AWS Security Hub.` `Action wasn't able to update finding with ID 'FINDING_ID' and Product ARN 'ARN' in AWS Security Hub.`	Tindakan berhasil.
`Error executing action "Update Findings". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully updated finding with ID 'FINDING_ID' and Product ARN 'ARN' in AWS Security Hub.

Action wasn't able to update finding with ID 'FINDING_ID' and Product ARN 'ARN' in AWS Security Hub.

Tindakan berhasil.

Error executing action "Update Findings". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perbarui Temuan:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Memperbarui Insight

Gunakan tindakan Update Insight untuk memperbarui insight di AWS Security Hub.

Tindakan ini tidak berjalan di entity Google SecOps.

Input tindakan

Tindakan Update Insight memerlukan parameter berikut:

Parameter	Deskripsi
`Insight ARN`	Wajib ARN insight.
`Insight Name`	Opsional Nama insight.
`Group By Attribute`	Opsional Nama atribut untuk mengelompokkan temuan. Tindakan ini mengelompokkan temuan dalam satu insight. Nilai defaultnya adalah `AWS Account ID`. Kemungkinan nilainya adalah sebagai berikut: `AWS Account ID` `Company Name` `Status` `Generator ID` `Malware Name` `Process Name` `Threat Intel Type` `Product ARN` `Product Name` `Record State` `EC2 Instance Image ID` `EC2 Instance IPv4` `EC2 Instance IPv6` `EC2 Instance Key Name` `EC2 Instance Subnet ID` `EC2 Instance Type` `EC2 Instance VPC ID` `IAM Access Key User Name` `S3 Bucket Owner Name` `Container Image ID` `Container Image Name` `Container Name` `Resource ID` `Resource Type` `Severity Label` `Source URL` `Type` `Verification State` `Workflow Status`
`Filter JSON Object`	Opsional Filter yang akan diterapkan pada temuan. Filter adalah objek JSON yang memungkinkan Anda menentukan berbagai atribut dan nilai. Untuk mengetahui detail selengkapnya tentang konfigurasi filter, lihat bagian Bekerja dengan parameter Objek JSON Filter dalam dokumen ini.

Output tindakan

Tindakan Update Insight memberikan output berikut:

Jenis output tindakan	Ketersediaan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia
Hasil skrip	Tersedia

Pesan output

Tindakan Update Insight dapat menampilkan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully updated 'INSIGHT_ARN' insight in AWS Security Hub` `Action wasn't able to update the 'INSIGHT_ARN' insight.`	Tindakan berhasil.
`Error executing action "Update Insight". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully updated 'INSIGHT_ARN' insight in AWS Security Hub

Action wasn't able to update the 'INSIGHT_ARN' insight.

Tindakan berhasil.

Error executing action "Update Insight". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Hasil skrip

Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perbarui Insight:

Nama hasil skrip	Nilai
`is_success`	`True` atau `False`

Konektor

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).

AWS Security Hub – Findings Connector

Gunakan AWS Security Hub – Findings Connector untuk mengambil temuan dari AWS Security Hub.

Konektor memerlukan parameter berikut:

Parameter	Deskripsi
`Product Field Name`	Wajib Nama kolom tempat nama produk disimpan. Nilai defaultnya adalah `Product Name`.
`Event Field Name`	Wajib Nama kolom yang digunakan untuk menentukan nama peristiwa (subtipe). Nilai defaultnya adalah `alertType`.
`Environment Field Name`	Opsional Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. Nilai defaultnya adalah `""`.
`Environment Regex Pattern`	Opsional Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom `Environment Field Name`. Dengan parameter ini, Anda dapat memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Gunakan nilai default `.*` untuk mengambil nilai `Environment Field Name` mentah yang diperlukan. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default.
`Script Timeout (Seconds)`	Wajib Batas waktu tunggu untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah 180.
`AWS Access Key ID`	Wajib ID kunci akses AWS yang akan digunakan dalam integrasi.
`AWS Secret Key`	Wajib Kunci rahasia AWS yang akan digunakan dalam integrasi.
`AWS Default Region`	Wajib Region default AWS yang akan digunakan dalam integrasi, seperti `us-west-2`.
`Lowest Severity To Fetch`	Wajib Tingkat keparahan terendah dari temuan yang akan diambil. Kemungkinan nilainya adalah sebagai berikut: `Informational` `Low` `Medium` `High` `Critical` Nilai defaultnya adalah `Medium`.
`Fetch Max Hours Backwards`	Opsional Jumlah jam sebelum iterasi konektor pertama untuk mengambil insiden. Parameter ini hanya berlaku satu kali untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya. Nilai defaultnya adalah 1 jam.
`Max Findings To Fetch`	Opsional Jumlah temuan yang akan diproses dalam satu iterasi konektor. Nilai defaultnya adalah 50.
`Use whitelist as a blacklist`	Wajib Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir. Tidak dipilih secara default.
`Verify SSL`	Wajib Jika dipilih, Google SecOps akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server AWS Security Hub valid. Dipilih secara default.
`Proxy Server Address`	Opsional Alamat server proxy yang akan digunakan.
`Proxy Username`	Opsional Nama pengguna proxy untuk melakukan autentikasi.
`Proxy Password`	Opsional Sandi proxy untuk mengautentikasi.

Aturan konektor

AWS Security Hub – Findings Connector mendukung proxy.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.