Esta página foi traduzida pela API Cloud Translation.

Integre o AWS Security Hub com o Google SecOps

Este documento explica como integrar o AWS Security Hub com o Google Security Operations (Google SecOps).

Versão da integração: 8.0

Exemplos de utilização

No Google SecOps, a integração do AWS Security Hub pode ajudar a resolver os seguintes exemplos de utilização:

Enriquecimento automático de incidentes: use as capacidades do Google SecOps para obter automaticamente o contexto relevante de outros serviços da AWS, como registos de fluxo de VPC, resultados do GuardDuty e registos do CloudTrail, quando é detetado um potencial evento de segurança no Security Hub. O enriquecimento automático de incidentes pode ajudar os analistas a compreender rapidamente o âmbito e o potencial impacto do incidente.
Remediação prioritária: use as capacidades do Google SecOps para acionar respostas automáticas a conclusões do Security Hub com base em manuais de procedimentos predefinidos. Por exemplo, uma descoberta de gravidade elevada relacionada com um contentor S3 exposto pode acionar automaticamente um plano de ação para corrigir a configuração incorreta e notificar as equipas adequadas.
Integração de informações sobre ameaças: use as capacidades do Google SecOps para integrar com feeds de informações sobre ameaças e fazer referências cruzadas das conclusões do Security Hub com indicadores maliciosos conhecidos. A integração de informações sobre ameaças permite que os analistas identifiquem e deem prioridade a ameaças de alto risco que requerem atenção imediata.
Relatórios e auditorias de conformidade: use as capacidades do Google SecOps para agregar e normalizar dados de segurança do Security Hub e de outras origens para simplificar os relatórios de conformidade.
Gestão de vulnerabilidades: use as capacidades do Google SecOps para automatizar o processo de triagem, priorização e correção de vulnerabilidades através da integração com as funcionalidades de análise de vulnerabilidades do AWS Security Hub. A gestão de vulnerabilidades pode ajudar a reduzir a superfície de ataque e melhorar a postura de segurança geral da sua organização.

Antes de começar

Para que a integração funcione corretamente, tem de configurar uma política de identidade e acesso personalizada na AWS.

Para mais informações sobre como criar políticas personalizadas na AWS, consulte o artigo Criar políticas com o editor JSON na documentação da AWS.

Para configurar as autorizações necessárias para a integração do AWS Security Hub e definir a política personalizada, use o seguinte código:

{
            "Sid": "SecurityHubServiceRolePermissions",
            "Effect": "Allow",
            "Action": [
                "securityhub:GetMasterAccount",
                "securityhub:GetInsightResults",
                "securityhub:CreateInsight",
                "securityhub:UpdateInsight",
                "securityhub:BatchUpdateFindings",
                "securityhub:GetFindings",
                "securityhub:GetInsight",
                "securityhub:DescribeHub",
            ],
            "Resource": "*"
}

Para mais informações sobre a configuração de autorizações, consulte o artigo Política gerida pela AWS: AWSSecurityHubServiceRolePolicy na documentação da AWS.

Parâmetros de integração

A integração do AWS Security Hub requer os seguintes parâmetros:

Parâmetro	Descrição
`AWS Access Key ID`	Obrigatório O ID da chave de acesso da AWS a usar na integração.
`AWS Secret Key`	Obrigatório A chave secreta da AWS a usar na integração.
`AWS Default Region`	Obrigatório A região predefinida da AWS a usar na integração, como `us-west-2`.

Se necessário, pode fazer alterações numa fase posterior. Depois de configurar as instâncias, pode usá-las em manuais de procedimentos. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.

Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.

Trabalhe com o parâmetro de objeto JSON de filtro

Para a ação Create Insight e Update Insight, pode configurar filtros para as conclusões.

Para criar uma estatística no AWS Security Hub, aplique filtros às descobertas que estão disponíveis no sistema.

A estrutura do filtro com todas as configurações possíveis é a seguinte:

{
    "ProductArn": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "AwsAccountId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "Id": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "GeneratorId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "Type": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "FirstObservedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "LastObservedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "CreatedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "UpdatedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "SeverityProduct": [
        {
            "Gte": 123.0,
            "Lte": 123.0,
            "Eq": 123.0
        }
    ],
    "SeverityNormalized": [
        {
            "Gte": 123.0,
            "Lte": 123.0,
            "Eq": 123.0
        }
    ],
    "SeverityLabel": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "Confidence": [
        {
            "Gte": 123.0,
            "Lte": 123.0,
            "Eq": 123.0
        }
    ],
    "Criticality": [
        {
            "Gte": 123.0,
            "Lte": 123.0,
            "Eq": 123.0
        }
    ],
    "Title": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "Description": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "RecommendationText": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "SourceUrl": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ProductFields": [
        {
            "Key": "string",
            "Value": "string",
            "Comparison": "EQUALS"|"NOT_EQUALS"
        }
    ],
    "ProductName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "CompanyName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "UserDefinedFields": [
        {
            "Key": "string",
            "Value": "string",
            "Comparison": "EQUALS"|"NOT_EQUALS"
        }
    ],
    "MalwareName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "MalwareType": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "MalwarePath": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "MalwareState": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "NetworkDirection": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "NetworkProtocol": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "NetworkSourceIpV4": [
        {
            "Cidr": "string"
        }
    ],
    "NetworkSourceIpV6": [
        {
            "Cidr": "string"
        }
    ],
    "NetworkSourcePort": [
        {
            "Gte": 123.0,
            "Lte": 123.0,
            "Eq": 123.0
        }
    ],
    "NetworkSourceDomain": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "NetworkSourceMac": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "NetworkDestinationIpV4": [
        {
            "Cidr": "string"
        }
    ],
    "NetworkDestinationIpV6": [
        {
            "Cidr": "string"
        }
    ],
    "NetworkDestinationPort": [
        {
            "Gte": 123.0,
            "Lte": 123.0,
            "Eq": 123.0
        }
    ],
    "NetworkDestinationDomain": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ProcessName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ProcessPath": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ProcessPid": [
        {
            "Gte": 123.0,
            "Lte": 123.0,
            "Eq": 123.0
        }
    ],
    "ProcessParentPid": [
        {
            "Gte": 123.0,
            "Lte": 123.0,
            "Eq": 123.0
        }
    ],
    "ProcessLaunchedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "ProcessTerminatedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "ThreatIntelIndicatorType": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ThreatIntelIndicatorValue": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ThreatIntelIndicatorCategory": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ThreatIntelIndicatorLastObservedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "ThreatIntelIndicatorSource": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ThreatIntelIndicatorSourceUrl": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceType": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourcePartition": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceRegion": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceTags": [
        {
            "Key": "string",
            "Value": "string",
            "Comparison": "EQUALS"|"NOT_EQUALS"
        }
    ],
    "ResourceAwsEc2InstanceType": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsEc2InstanceImageId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsEc2InstanceIpV4Addresses": [
        {
            "Cidr": "string"
        }
    ],
    "ResourceAwsEc2InstanceIpV6Addresses": [
        {
            "Cidr": "string"
        }
    ],
    "ResourceAwsEc2InstanceKeyName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsEc2InstanceIamInstanceProfileArn": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsEc2InstanceVpcId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsEc2InstanceSubnetId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsEc2InstanceLaunchedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "ResourceAwsS3BucketOwnerId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsS3BucketOwnerName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsIamAccessKeyUserName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsIamAccessKeyStatus": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceAwsIamAccessKeyCreatedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "ResourceContainerName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceContainerImageId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceContainerImageName": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "ResourceContainerLaunchedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "ResourceDetailsOther": [
        {
            "Key": "string",
            "Value": "string",
            "Comparison": "EQUALS"|"NOT_EQUALS"
        }
    ],
    "ComplianceStatus": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "VerificationState": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "WorkflowState": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "WorkflowStatus": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "RecordState": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "RelatedFindingsProductArn": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "RelatedFindingsId": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "NoteText": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "NoteUpdatedAt": [
        {
            "Start": "string",
            "End": "string",
            "DateRange": {
                "Value": 123,
                "Unit": "DAYS"
            }
        }
    ],
    "NoteUpdatedBy": [
        {
            "Value": "string",
            "Comparison": "EQUALS"|"PREFIX"|"NOT_EQUALS"|"PREFIX_NOT_EQUALS"
        }
    ],
    "Keyword": [
        {
            "Value": "string"
        }
    ]
}

Segue-se um exemplo de um filtro que devolve apenas resultados com a gravidade crítica:

{
    "SeverityLabel": [
        {
            "Value": "CRITICAL",
            "Comparison": "EQUALS"
        }
    ]
}

Ações

Para funcionar corretamente, as ações do AWS Security Hub requerem que configure autorizações específicas. Para mais informações sobre as autorizações para a integração, consulte a secção Antes de começar deste documento.

Crie estatísticas

Use a ação Create Insight para criar uma estatística no AWS Security Hub.

Dados de ações

A ação Create Insight requer os seguintes parâmetros:

Parâmetro Descrição

Parâmetro	Descrição
`Insight Name`	Obrigatório O nome da estatística.
`Group By Attribute`	Obrigatório O nome do atributo pelo qual agrupar as conclusões. A ação agrupa as conclusões numa estatística. O valor predefinido é `AWS Account ID`. Os valores possíveis são os seguintes: `AWS Account ID` `Company Name` `Status` `Generator ID` `Malware Name` `Process Name` `Threat Intel Type` `Product ARN` `Product Name` `Record State` `EC2 Instance Image ID` `EC2 Instance IPv4` `EC2 Instance IPv6` `EC2 Instance Key Name` `EC2 Instance Subnet ID` `EC2 Instance Type` `EC2 Instance VPC ID` `IAM Access Key User Name` `S3 Bucket Owner Name` `Container Image ID` `Container Image Name` `Container Name` `Resource ID` `Resource Type` `Severity Label` `Source URL` `Type` `Verification State` `Workflow Status`
`Filter JSON Object`	Obrigatório Um filtro a aplicar às conclusões. O filtro é um objeto JSON que lhe permite especificar diferentes atributos e valores. Para mais detalhes acerca da configuração do filtro, consulte a secção Trabalhar com o parâmetro de objeto JSON do filtro deste documento.

Insight Name

Obrigatório

O nome da estatística.

Group By Attribute

Obrigatório

O nome do atributo pelo qual agrupar as conclusões. A ação agrupa as conclusões numa estatística.

O valor predefinido é AWS Account ID.

Os valores possíveis são os seguintes:

AWS Account ID
Company Name
Status
Generator ID
Malware Name
Process Name
Threat Intel Type
Product ARN
Product Name
Record State
EC2 Instance Image ID
EC2 Instance IPv4
EC2 Instance IPv6
EC2 Instance Key Name
EC2 Instance Subnet ID
EC2 Instance Type
EC2 Instance VPC ID
IAM Access Key User Name
S3 Bucket Owner Name
Container Image ID
Container Image Name
Container Name
Resource ID
Resource Type
Severity Label
Source URL
Type
Verification State
Workflow Status

Filter JSON Object

Obrigatório

Um filtro a aplicar às conclusões. O filtro é um objeto JSON que lhe permite especificar diferentes atributos e valores. Para mais detalhes acerca da configuração do filtro, consulte a secção Trabalhar com o parâmetro de objeto JSON do filtro deste documento.

Resultados da ação

A ação Criar estatística fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Create Insight:

{
    "InsightArn": "arn:aws:securityhub:ID",
}

Mensagens de saída

A ação Create Insight pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully created 'INSIGHT_NAME" insight in AWS Security Hub.` `Action wasn't able to create 'INSIGHT_NAME' insight.`	A ação foi bem-sucedida.
`Error executing action "Create Insight". Reason: ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully created 'INSIGHT_NAME" insight in AWS Security Hub.

Action wasn't able to create 'INSIGHT_NAME' insight.

A ação foi bem-sucedida.

Error executing action "Create Insight". Reason:
      ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Create Insight:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Obtenha detalhes das estatísticas

Use a ação Get Insight Details para devolver informações detalhadas sobre as estatísticas no AWS Security Hub.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Get Insight Details requer os seguintes parâmetros:

Parâmetro Descrição

Parâmetro	Descrição
`Insight ARN`	Obrigatório O Nome do recurso da Amazon (ARN) da estatística.
`Max Results To Return`	Obrigatório O número de resultados a devolver. O valor predefinido é 50.

Insight ARN

Obrigatório

O Nome do recurso da Amazon (ARN) da estatística.

Max Results To Return

Obrigatório

O número de resultados a devolver.

O valor predefinido é 50.

Resultados da ação

A ação Get Insight Details fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mesa de parede para caixas

A ação Get Insight Details pode devolver a seguinte tabela no Google SecOps:

Nome da tabela: 'NUMBER_OF_OBJECTS' Bucket Objects

Colunas:

Nome (mapeado como GroupByAttributeValue)
Contagem (mapeado como Count)

Resultado JSON

O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Insight Details:

"InsightResults": {
        "InsightArn": "arn:aws:securityhub:ID",
        "GroupByAttribute": "ResourceId",
        "ResultValues": [
            {
                "GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-getreportstatus",
                "Count": 5
            },
            {
                "GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-searchactionbug",
                "Count": 5
            },
            {
                "GroupByAttributeValue": "arn:aws:s3:::int-arcsight-v-27-0-unicodeandlogs",
                "Count": 5
            },
            {
                "GroupByAttributeValue": "arn:aws:s3:::int-automation-v-1-0",
                "Count": 5
            },
            {
                "GroupByAttributeValue": "arn:aws:s3:::int-awss3-v-1-0",
                "Count": 5
            },
            {
                "GroupByAttributeValue": "arn:aws:s3:::int-azureactivedirectory-v-4-0",
                "Count": 5
            },
            {
                "GroupByAttributeValue": "arn:aws:s3:::int-bootcamp-v-1-0",
                "Count": 5
            },
            {
                "GroupByAttributeValue": "arn:aws:s3:::int-categories",
                "Count": 5
            }
        ]
    }

Mensagens de saída

A ação Get Insight Details pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully returned details about Insight with ARN 'ARN' in AWS Security Hub.`	A ação foi bem-sucedida.
`Error executing action "Get Insight Details". Reason: ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully returned details about Insight with ARN 'ARN' in AWS Security Hub.

A ação foi bem-sucedida.

Error executing action "Get Insight Details". Reason:
      ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte apresenta o valor do resultado do script quando usa a ação Get Insight Details:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Tchim-tchim

Use a ação Ping para testar a conetividade com o AWS Security Hub.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

Nenhum.

Resultados da ação

A ação Ping fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Não disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Ping pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully connected to the AWS Security Hub server with the provided connection parameters!`	A ação foi bem-sucedida.
`Failed to connect to the AWS Security Hub! Error is ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully connected to the AWS Security Hub server with the provided connection parameters!

A ação foi bem-sucedida.

Failed to connect to the AWS Security Hub! Error is
      ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Atualizar descoberta

Use a ação Update Finding para atualizar as descobertas no AWS Security Hub.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Update Finding requer os seguintes parâmetros:

Parâmetro	Descrição
`ID`	Obrigatório O ID da descoberta a atualizar.
`Product ARN`	Obrigatório O ARN do produto da descoberta a atualizar.
`Note`	Opcional Um novo texto para a nota de descoberta. Se configurar este parâmetro, também deve configurar o parâmetro `Note Author`.
`Note Author`	Opcional O autor da nota. Se configurar este parâmetro, também deve configurar o parâmetro `Note`.
`Severity`	Opcional Uma nova gravidade para a descoberta. Os valores possíveis são os seguintes: `Critical` `High` `Medium` `Low` `Informational`
`Verification State`	Opcional Um novo estado de validação para a descoberta. Os valores possíveis são os seguintes: `Unknown` `True Positive` `False Positive` `Benign Positive`
`Confidence`	Opcional Uma nova confiança para a descoberta. O valor máximo é 100.
`Criticality`	Opcional Uma nova criticidade para a descoberta. O valor máximo é 100.
`Types`	Opcional Uma lista separada por vírgulas de tipos para a descoberta, como `type1,type2`.
`Workflow Status`	Opcional Um novo estado do fluxo de trabalho para a descoberta. Os valores possíveis são os seguintes: `New` `Notified` `Resolved` `Suppressed`
`Custom Fields`	Opcional A localização de campos personalizados a atualizar, como `Custom_field_1:VALUE, Custom_field_2:VALUE`.

Resultados da ação

A ação Update Finding fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Não disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Update Finding pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully updated finding with ID 'FINDING_ID' and Product ARN 'ARN' in AWS Security Hub.` `Action wasn't able to update finding with ID 'FINDING_ID' and Product ARN 'ARN' in AWS Security Hub.`	A ação foi bem-sucedida.
`Error executing action "Update Findings". Reason: ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully updated finding with ID 'FINDING_ID' and Product ARN 'ARN' in AWS Security Hub.

Action wasn't able to update finding with ID 'FINDING_ID' and Product ARN 'ARN' in AWS Security Hub.

A ação foi bem-sucedida.

Error executing action "Update Findings". Reason:
      ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte lista o valor do resultado do script quando usa a ação Update Finding:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Atualizar estatística

Use a ação Update Insight para atualizar uma estatística no AWS Security Hub.

Esta ação não é executada em entidades do Google SecOps.

Dados de ações

A ação Update Insight requer os seguintes parâmetros:

Parâmetro	Descrição
`Insight ARN`	Obrigatório O ARN da estatística.
`Insight Name`	Opcional O nome da estatística.
`Group By Attribute`	Opcional O nome do atributo pelo qual agrupar as conclusões. A ação agrupa as conclusões numa estatística. O valor predefinido é `AWS Account ID`. Os valores possíveis são os seguintes: `AWS Account ID` `Company Name` `Status` `Generator ID` `Malware Name` `Process Name` `Threat Intel Type` `Product ARN` `Product Name` `Record State` `EC2 Instance Image ID` `EC2 Instance IPv4` `EC2 Instance IPv6` `EC2 Instance Key Name` `EC2 Instance Subnet ID` `EC2 Instance Type` `EC2 Instance VPC ID` `IAM Access Key User Name` `S3 Bucket Owner Name` `Container Image ID` `Container Image Name` `Container Name` `Resource ID` `Resource Type` `Severity Label` `Source URL` `Type` `Verification State` `Workflow Status`
`Filter JSON Object`	Opcional Um filtro a aplicar às conclusões. O filtro é um objeto JSON que lhe permite especificar diferentes atributos e valores. Para mais detalhes acerca da configuração do filtro, consulte a secção Trabalhar com o parâmetro de objeto JSON do filtro deste documento.

Resultados da ação

A ação Update Insight fornece os seguintes resultados:

Tipo de saída da ação	Disponibilidade
Fixação à parede da caixa	Não disponível
Link da parede da caixa	Não disponível
Mesa de parede para caixas	Não disponível
Tabela de enriquecimento	Não disponível
Resultado JSON	Não disponível
Mensagens de saída	Disponível
Resultado do script	Disponível

Mensagens de saída

A ação Update Insight pode devolver as seguintes mensagens de saída:

Mensagem de saída Descrição da mensagem

Mensagem de saída	Descrição da mensagem
`Successfully updated 'INSIGHT_ARN' insight in AWS Security Hub` `Action wasn't able to update the 'INSIGHT_ARN' insight.`	A ação foi bem-sucedida.
`Error executing action "Update Insight". Reason: ERROR_REASON`	A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Successfully updated 'INSIGHT_ARN' insight in AWS Security Hub

Action wasn't able to update the 'INSIGHT_ARN' insight.

A ação foi bem-sucedida.

Error executing action "Update Insight". Reason:
      ERROR_REASON

A ação falhou.

Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais.

Resultado do script

A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Update Insight:

Nome do resultado do script	Valor
`is_success`	`True` ou `False`

Conetores

Para mais informações sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).

AWS Security Hub – Conetor de resultados

Use o AWS Security Hub – Findings Connector para obter resultados do AWS Security Hub.

O conector requer os seguintes parâmetros:

Parâmetros	Descrição
`Product Field Name`	Obrigatório O nome do campo onde o nome do produto está armazenado. O valor predefinido é `Product Name`.
`Event Field Name`	Obrigatório O nome do campo usado para determinar o nome do evento (subtipo). O valor predefinido é `alertType`.
`Environment Field Name`	Opcional O nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. O valor predefinido é `""`.
`Environment Regex Pattern`	Opcional Um padrão de expressão regular a executar no valor encontrado no campo `Environment Field Name`. Este parâmetro permite-lhe manipular o campo de ambiente através da lógica de expressão regular. Use o valor predefinido `.*` para obter o valor bruto `Environment Field Name` necessário. Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido.
`Script Timeout (Seconds)`	Obrigatório O limite de tempo limite para o processo Python que executa o script atual. O valor predefinido é 180.
`AWS Access Key ID`	Obrigatório O ID da chave de acesso da AWS a usar na integração.
`AWS Secret Key`	Obrigatório A chave secreta da AWS a usar na integração.
`AWS Default Region`	Obrigatório A região predefinida da AWS a usar na integração, como `us-west-2`.
`Lowest Severity To Fetch`	Obrigatório A gravidade mais baixa das conclusões a obter. Os valores possíveis são os seguintes: `Informational` `Low` `Medium` `High` `Critical` O valor predefinido é `Medium`.
`Fetch Max Hours Backwards`	Opcional O número de horas antes da primeira iteração do conector para obter os incidentes. Este parâmetro aplica-se apenas uma vez à iteração inicial do conector depois de o ativar pela primeira vez. O valor predefinido é 1 hora.
`Max Findings To Fetch`	Opcional O número de resultados a processar numa iteração de um conetor. O valor predefinido é 50.
`Use whitelist as a blacklist`	Obrigatório Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios. Não selecionado por predefinição.
`Verify SSL`	Obrigatório Se estiver selecionada, o Google SecOps verifica se o certificado SSL para a ligação ao servidor do AWS Security Hub é válido. Selecionado por predefinição.
`Proxy Server Address`	Opcional O endereço do servidor proxy a usar.
`Proxy Username`	Opcional O nome de utilizador do proxy para autenticação.
`Proxy Password`	Opcional A palavra-passe do proxy para autenticação.

Regras de conector

O AWS Security Hub – Findings Connector suporta proxies.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.