Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS-Service Integrationen mit Security Hub
AWS Security Hub unterstützt Integrationen mit mehreren anderen AWS-Services.
Anmerkung
Integrationen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Wenn eine Integration in der aktuellen Region nicht unterstützt wird, wird sie nicht auf der Seite Integrationen angezeigt.
Eine Liste der Integrationen, die in den Regionen China und China verfügbar sind AWS GovCloud (US), finden Sie unter Integrationen, die in China (Peking) und China (Ningxia) unterstützt werden und. Integrationen, die in AWS GovCloud (US-Ost) und (US-West) unterstützt werden AWS GovCloud
Sofern unten nicht anders angegeben, werden AWS-Service Integrationen, die Ergebnisse an Security Hub senden, automatisch aktiviert, nachdem Sie Security Hub und den anderen Dienst aktiviert haben. Integrationen, die Security Hub Hub-Ergebnisse erhalten, erfordern möglicherweise zusätzliche Schritte zur Aktivierung. Lesen Sie die Informationen zu den einzelnen Integrationen, um mehr zu erfahren.
Überblick über die AWS Serviceintegrationen mit Security Hub
Hier finden Sie eine Übersicht über AWS Dienste, die Ergebnisse an Security Hub senden oder Ergebnisse von Security Hub empfangen.
Integrierter AWS Service | Richtung |
---|---|
Sendet Ergebnisse |
|
Sendet Ergebnisse |
|
Sendet Ergebnisse |
|
Sendet Ergebnisse |
|
Sendet Ergebnisse |
|
Sendet Ergebnisse |
|
Sendet Ergebnisse |
|
Sendet Ergebnisse |
|
Sendet Ergebnisse |
|
Empfängt Ergebnisse |
|
Erhält Ergebnisse |
|
Erhält Ergebnisse |
|
Erhält Ergebnisse |
|
Empfängt und aktualisiert die Ergebnisse |
|
Erhält Ergebnisse |
AWS Dienste, die Ergebnisse an Security Hub senden
Die folgenden AWS Dienste lassen sich in Security Hub integrieren, indem sie Ergebnisse an Security Hub senden. Security Hub konvertiert die Ergebnisse in das AWS Security Finding Format.
AWS Config (Sendet Ergebnisse)
AWS Config ist ein Service, mit dem Sie die Konfigurationen Ihrer AWS Ressourcen bewerten, prüfen und auswerten können. AWS Config überwacht und zeichnet Ihre AWS Ressourcenkonfigurationen kontinuierlich auf und ermöglicht es Ihnen, die Auswertung der aufgezeichneten Konfigurationen anhand der gewünschten Konfigurationen zu automatisieren.
Wenn Sie die Integration mit verwenden AWS Config, können Sie die Ergebnisse AWS Config verwalteter und benutzerdefinierter Regelauswertungen als Ergebnisse in Security Hub anzeigen. Diese Erkenntnisse lassen sich zusammen mit anderen Ergebnissen von Security Hub aufrufen und bieten so einen umfassenden Überblick über Ihren Sicherheitsstatus.
AWS Config verwendet Amazon EventBridge , um AWS Config Regelauswertungen an Security Hub zu senden. Security Hub wandelt die Regelauswertungen in Ergebnisse um, die dem AWS Security Finding Format entsprechen. Security Hub bereichert die Ergebnisse dann nach bestem Wissen und Gewissen, indem es weitere Informationen über die betroffenen Ressourcen erhält, z. B. den Amazon-Ressourcennamen (ARN), die Ressourcen-Tags und das Erstellungsdatum.
Weitere Informationen zu dieser Integration finden Sie in den folgenden Abschnitten.
Alle Ergebnisse in Security Hub verwenden das JSON Standardformat vonASFF. ASFFenthält Angaben zur Herkunft des Befundes, zur betroffenen Ressource und zum aktuellen Status des Ergebnisses. AWS Config sendet verwaltete und benutzerdefinierte Regelauswertungen an Security Hub über EventBridge. Security Hub wandelt die Regelauswertungen in Ergebnisse um, die den Ergebnissen folgen ASFF und diese nach bestem Wissen bereichern.
Arten von Ergebnissen, die AWS Config an Security Hub gesendet werden
AWS Config Sendet nach der Aktivierung der Integration Auswertungen aller AWS Config verwalteten Regeln und benutzerdefinierten Regeln an Security Hub. Es werden nur Bewertungen gesendet, die nach der Aktivierung von Security Hub durchgeführt wurden. Nehmen wir zum Beispiel an, dass bei einer AWS Config Regelauswertung fünf ausgefallene Ressourcen aufgedeckt werden. Wenn ich Security Hub danach aktiviere und die Regel dann eine sechste ausgefallene Ressource anzeigt, wird nur die sechste Ressourcenbewertung an Security Hub AWS Config gesendet.
Bewertungen anhand von AWS Config Regeln, die mit Diensten verknüpft sind, wie sie beispielsweise zur Überprüfung von Security Hub-Steuerelementen verwendet werden, sind ausgeschlossen.
AWS Config Ergebnisse an Security Hub senden
Wenn die Integration aktiviert ist, weist Security Hub automatisch die Berechtigungen zu, die für den Empfang von Ergebnissen erforderlich sind AWS Config. Security Hub verwendet service-to-service Level-Berechtigungen, die Ihnen eine sichere Möglichkeit bieten, diese Integration zu aktivieren und Ergebnisse von AWS Config Amazon zu importieren EventBridge.
Latenz für das Senden von Erkenntnissen
Wenn ein neues Ergebnis AWS Config erstellt wird, können Sie das Ergebnis normalerweise innerhalb von fünf Minuten im Security Hub anzeigen.
Wiederholen, wenn der Security Hub nicht verfügbar ist
AWS Config sendet die Ergebnisse nach bestem Wissen und Gewissen an Security Hub. EventBridge Wenn ein Ereignis nicht erfolgreich an Security Hub übermittelt wurde, wird die EventBridge Zustellung bis zu 24 Stunden oder 185 Mal wiederholt, je nachdem, was zuerst eintritt.
Aktualisierung vorhandener AWS Config Ergebnisse in Security Hub
Nachdem ein Ergebnis an Security Hub AWS Config gesendet wurde, kann es Updates zu demselben Ergebnis an Security Hub senden, um zusätzliche Beobachtungen der Findungsaktivität widerzuspiegeln. Updates werden nur für ComplianceChangeNotification
Ereignisse gesendet. Wenn keine Änderung der Konformität erfolgt, werden keine Updates an Security Hub gesendet. Security Hub löscht Ergebnisse 90 Tage nach dem letzten Update oder 90 Tage nach der Erstellung, wenn kein Update erfolgt.
Security Hub archiviert keine Ergebnisse, die gesendet wurden, AWS Config selbst wenn Sie die zugehörige Ressource löschen.
Regionen, in denen AWS Config Ergebnisse vorliegen
AWS Config Die Ergebnisse erfolgen auf regionaler Basis. AWS Config sendet Ergebnisse an Security Hub in derselben Region oder Regionen, in denen die Ergebnisse auftreten.
Um Ihre AWS Config Ergebnisse anzuzeigen, wählen Sie Findings im Security Hub-Navigationsbereich aus. Um die Ergebnisse so zu filtern, dass nur AWS Config Ergebnisse angezeigt werden, wählen Sie in der Dropdownliste der Suchleiste die Option Produktname aus. Geben Sie Config ein und wählen Sie Apply aus.
Interpretieren AWS Config von gefundenen Namen in Security Hub
Security Hub wandelt AWS Config Regelauswertungen in Ergebnisse um, die dem AWS Format für Sicherheitslücken (ASFF) folgen. AWS Config Regelauswertungen verwenden ein anderes Ereignismuster als. ASFF In der folgenden Tabelle werden die Felder für die AWS Config Regelauswertung den entsprechenden Feldern ASFF zugeordnet, so wie sie in Security Hub angezeigt werden.
Findetyp für die Auswertung der Konfigurationsregel | ASFFTyp finden | Hartcodierter Wert |
---|---|---|
Detail. awsAccountId | AwsAccountId | |
Detail. newEvaluationResult. resultRecordedTime | CreatedAt | |
Detail. newEvaluationResult. resultRecordedTime | UpdatedAt | |
ProductArn | <region>„arn ::securityhub:<partition>::“ product/aws/config | |
ProductName | „Config“ | |
CompanyName | "AWS" | |
Region | „eu-central-1" | |
configRuleArn | GeneratorId, ProductFields | |
Detail. ConfigRuleARN/finding/hash | Id | |
Detail. configRuleName | Titel, ProductFields | |
Detail. configRuleName | Beschreibung | „Dieses Ergebnis wurde für eine Änderung der Ressourcenkonformität für die Konfigurationsregel erstellt:${detail.ConfigRuleName} “ |
Konfigurationselement "ARN" oder Security Hub wurde berechnet ARN | Ressourcen [i] .id | |
Detail. resourceType | Ressourcen [i] .Type | "AwsS3Bucket" |
Ressourcen [i] .Partition | "aws" | |
Ressourcen [i] .Region | „eu-central-1" | |
Konfigurationselement „Konfiguration“ | Ressourcen [i] .Details | |
SchemaVersion | „2018-10-08" | |
Schweregrad. Bezeichnung | Weitere Informationen finden Sie weiter unten unter „Interpretation des Schweregrads“ | |
Typen | ["Software- und Konfigurationsprüfungen"] | |
Detail. newEvaluationResult. complianceType | Konformität. Status | "FAILED„," NOT _ AVAILABLE „," PASSED „oder"“ WARNING |
Arbeitsablauf.Status | "RESOLVED", wenn ein AWS Config Ergebnis mit einem Compliance-Status von "" generiert wird oder wenn sich der Wert von Compliance.Status von "" PASSED auf "“ ändert. FAILED PASSED Andernfalls lautet Workflow.Status "“ NEW Sie können diesen Wert mit der Operation ändern. BatchUpdateFindingsAPI |
Interpretation der Bezeichnung des Schweregrads
Alle Ergebnisse aus AWS Config Regelauswertungen haben standardmäßig den Schweregrad MEDIUMinASFF. Sie können den Schweregrad eines Ergebnisses während des BatchUpdateFindings
APIVorgangs aktualisieren.
Typischer Befund von AWS Config
Security Hub wandelt AWS Config Regelauswertungen in Ergebnisse um, die dem ASFF folgen. Das Folgende ist ein Beispiel für ein typisches Ergebnis aus AWS Config demASFF.
Anmerkung
Wenn die Beschreibung mehr als 1024 Zeichen umfasst, wird sie auf 1024 Zeichen gekürzt und am Ende steht „(gekürzt)“.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }
Nachdem Sie Security Hub aktiviert haben, wird diese Integration automatisch aktiviert. AWS Config beginnt sofort, Ergebnisse an Security Hub zu senden.
Um das Senden von Ergebnissen an Security Hub zu beenden, können Sie die Security Hub-Konsole oder den Security Hub verwendenAPI.
Anweisungen zum Stoppen des Flusses von Erkenntnissen finden Sie unterErmöglicht den Fluss von Erkenntnissen aus einer Integration.
AWS Firewall Manager (Sendet Ergebnisse)
Firewall Manager sendet Ergebnisse an Security Hub, wenn eine Web Application Firewall (WAF) -Richtlinie für Ressourcen oder eine Regel für Web Access Control List (WebACL) nicht den Vorschriften entspricht. Firewall Manager sendet auch Erkenntnisse, wenn AWS Shield Advanced Ressourcen nicht geschützt sind oder wenn ein Angriff erkannt wird.
Nachdem Sie Security Hub aktiviert haben, wird diese Integration automatisch aktiviert. Firewall Manager beginnt sofort, Ergebnisse an Security Hub zu senden.
Weitere Informationen zur Integration finden Sie auf der Seite Integrationen in der Security Hub Hub-Konsole.
Weitere Informationen zu Firewall Manager finden Sie im AWS WAF Entwicklerhandbuch.
Amazon GuardDuty (Sendet Ergebnisse)
GuardDuty sendet alle Ergebnisse, die es generiert, an Security Hub.
Neue Ergebnisse von GuardDuty werden innerhalb von fünf Minuten an Security Hub gesendet. Aktualisierungen der Ergebnisse werden auf der Grundlage der Einstellung Aktualisierte Ergebnisse für Amazon EventBridge in den GuardDuty Einstellungen gesendet.
Wenn Sie GuardDuty Stichprobenergebnisse mithilfe der GuardDuty Einstellungsseite generieren, empfängt Security Hub die Probenergebnisse und lässt das Präfix [Sample]
im Befundtyp weg. Beispielsweise GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions
wird der Suchtyp der Stichprobe in wie Recon:IAMUser/ResourcePermissions
in Security Hub angezeigt.
Nachdem Sie Security Hub aktiviert haben, wird diese Integration automatisch aktiviert. GuardDuty beginnt sofort, Ergebnisse an Security Hub zu senden.
Weitere Informationen zur GuardDuty Integration finden Sie unter Integration mit AWS Security Hub im GuardDuty Amazon-Benutzerhandbuch.
AWS Health (Sendet Ergebnisse)
AWS Health bietet fortlaufenden Einblick in die Leistung Ihrer Ressourcen und die Verfügbarkeit Ihrer AWS-Services Ressourcen AWS-Konten. Sie können AWS Health Ereignisse verwenden, um zu erfahren, wie sich Änderungen an Diensten und Ressourcen auf Ihre Anwendungen auswirken können, die auf ausgeführt AWS werden.
Die Integration mit verwendet AWS Health nichtBatchImportFindings
. AWS Health Verwendet stattdessen service-to-service Ereignisnachrichten, um Ergebnisse an Security Hub zu senden.
Weitere Informationen zur Integration finden Sie in den folgenden Abschnitten.
Im Security Hub werden Sicherheitsprobleme als Erkenntnisse verfolgt. Einige Ergebnisse stammen aus Problemen, die von anderen AWS Diensten oder von Drittanbietern entdeckt wurden. Security Hub verwendet ebenfalls verschiedene Regeln, um Sicherheitsprobleme zu erkennen und Ergebnisse zu generieren.
Security Hub bietet Tools zur Verwaltung von Erkenntnissen aus all diesen Quellen. Sie können Listen mit Erkenntnissen anzeigen und filtern und Details zu einer Erkenntnis anzeigen. Siehe Überprüfung der Funddetails und des Suchverlaufs in Security Hub. Sie können auch den Status einer Untersuchung zu einer Erkenntnis nachverfolgen. Siehe Den Workflow-Status von Security Hub Hub-Ergebnissen festlegen.
Alle Ergebnisse in Security Hub verwenden ein JSON Standardformat namensAWS Format für Sicherheitslücken (ASFF). ASFFenthält Einzelheiten zur Ursache des Problems, zu den betroffenen Ressourcen und zum aktuellen Stand der Ergebnisse.
AWS Health ist einer der AWS Dienste, der Ergebnisse an Security Hub sendet.
Arten von Ergebnissen, die AWS Health an Security Hub gesendet werden
AWS Health Sendet nach der Aktivierung der Integration Ergebnisse, die eine oder mehrere der aufgelisteten Spezifikationen erfüllen, an Security Hub. Security Hub nimmt die Ergebnisse in die AWS Format für Sicherheitslücken (ASFF) auf.
-
Ergebnisse, die einen der folgenden Werte enthalten für AWS-Service:
RISK
ABUSE
ACM
CLOUDHSM
CLOUDTRAIL
CONFIG
CONTROLTOWER
DETECTIVE
EVENTS
GUARDDUTY
IAM
INSPECTOR
KMS
MACIE
SES
SECURITYHUB
SHIELD
SSO
COGNITO
IOTDEVICEDEFENDER
NETWORKFIREWALL
ROUTE53
WAF
FIREWALLMANAGER
SECRETSMANAGER
BACKUP
AUDITMANAGER
ARTIFACT
CLOUDENDURE
CODEGURU
ORGANIZATIONS
DIRECTORYSERVICE
RESOURCEMANAGER
CLOUDWATCH
DRS
INSPECTOR2
RESILIENCEHUB
-
Ergebnisse mit den Wörtern
security
abuse
, odercertificate
im AWS HealthtypeCode
Feld -
Feststellungen, wo sich der AWS Health Dienst befindet
risk
oderabuse
AWS Health Ergebnisse an Security Hub senden
Wenn Sie sich dafür entscheiden, Ergebnisse von zu akzeptieren AWS Health, weist Security Hub automatisch die Berechtigungen zu, die für den Empfang der Ergebnisse von erforderlich sind AWS Health. Security Hub verwendet service-to-service Level-Berechtigungen, die Ihnen eine sichere und einfache Möglichkeit bieten, diese Integration zu aktivieren und Ergebnisse in Ihrem Namen AWS Health EventBridge über Amazon zu importieren. Wenn Sie „Ergebnisse akzeptieren“ wählen, erteilt Security Hub die Erlaubnis, Ergebnisse von zu verwenden AWS Health.
Latenz für das Senden von Erkenntnissen
Wenn ein neues Ergebnis AWS Health erstellt wird, wird es normalerweise innerhalb von fünf Minuten an Security Hub gesendet.
Wiederholen, wenn der Security Hub nicht verfügbar ist
AWS Health sendet die Ergebnisse nach bestem Wissen und Gewissen an Security Hub. EventBridge Wenn ein Ereignis nicht erfolgreich an Security Hub übermittelt wurde, wird EventBridge erneut versucht, das Ereignis für 24 Stunden zu senden.
Aktualisieren von vorhandenen Erkenntnissen in Security Hub
Nachdem ein Ergebnis an Security Hub AWS Health gesendet wurde, kann es Updates zu demselben Ergebnis senden, um zusätzliche Beobachtungen der Findungsaktivität an Security Hub widerzuspiegeln.
Regionen, in denen Ergebnisse vorliegen
AWS Health Sendet bei globalen Ereignissen Ergebnisse an Security Hub in us-east-1 (AWS Partition), cn-northwest-1 (Partition China) und -1 (Partition). gov-us-west GovCloud AWS Health sendet regionsspezifische Ereignisse an Security Hub in derselben Region oder Regionen, in denen die Ereignisse auftreten.
Um Ihre AWS Health Ergebnisse in Security Hub anzuzeigen, wählen Sie im Navigationsbereich Findings aus. Um die Ergebnisse so zu filtern, dass nur AWS Health Ergebnisse angezeigt werden, wählen Sie Health aus dem Feld Produktname aus.
Interpretieren AWS Health von gefundenen Namen in Security Hub
AWS Health sendet die Ergebnisse mit dem an Security HubAWS Format für Sicherheitslücken (ASFF). AWS Health Die Suche verwendet ein anderes Ereignismuster als das Security Hub ASFF Hub-Format. In der folgenden Tabelle sind alle Suchfelder AWS Health mit ihren ASFF Gegenstücken aufgeführt, so wie sie in Security Hub erscheinen.
Art Health Gesundheitsbefundung | ASFFArt der Suche | Hartcodierter Wert |
---|---|---|
Konto | AwsAccountId | |
Detail. startTime | CreatedAt | |
Detail. eventDescription. latestDescription | Beschreibung | |
Detail. eventTypeCode | GeneratorId | |
Detail. eventArn (einschließlich Konto) + Detail-Hash. startTime | Id | |
<region>„arn:aws:securityhub:::“ product/aws/health | ProductArn | |
Konto oder resourceId | Ressourcen [i] .id | |
Ressourcen [i] .Type | „Andere“ | |
SchemaVersion | „2018-10-08" | |
Schweregrad. Bezeichnung | Weitere Informationen finden Sie weiter unten unter „Interpretation des Schweregrads“ | |
Detail „AWS Health -“. eventTypeCode | Title | |
- | Typen | ["Software- und Konfigurationsprüfungen"] |
event.time | UpdatedAt | |
URLder Veranstaltung auf der Health Console | SourceUrl |
Interpretation des Schweregrads
Der Schweregrad im ASFF Ergebnis wird anhand der folgenden Logik bestimmt:
-
Schweregrad CRITICAL, wenn:
-
Das
service
Feld im AWS Health Ergebnis hat den WertRisk
-
Das
typeCode
Feld im AWS Health Befund hat den WertAWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION
-
Das
typeCode
Feld im AWS Health Befund hat den WertAWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK
-
Das
typeCode
Feld im AWS Health Befund hat den WertAWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES
Schweregrad HIGH, wenn:
-
Das
service
Feld im AWS Health Ergebnis hat den WertAbuse
-
Das
typeCode
Feld im AWS Health Befund enthält den WertSECURITY_NOTIFICATION
-
Das
typeCode
Feld im AWS Health Befund enthält den WertABUSE_DETECTION
Schweregrad MEDIUM, wenn:
-
Das
service
Feld im Ergebnis ist eines der folgenden:ACM
,,,,,ARTIFACT
,AUDITMANAGER
,BACKUP
,CLOUDENDURE
,,CLOUDHSM
,CLOUDTRAIL
,CLOUDWATCH
,CODEGURGU
,COGNITO
,CONFIG
,CONTROLTOWER
,,DETECTIVE
,DIRECTORYSERVICE
,DRS
,EVENTS
,FIREWALLMANAGER
,GUARDDUTY
,IAM
,,INSPECTOR
,INSPECTOR2
,IOTDEVICEDEFENDER
,KMS
,MACIE
,NETWORKFIREWALL
,,ORGANIZATIONS
,RESILIENCEHUB
,RESOURCEMANAGER
,ROUTE53
,SECURITYHUB
,SECRETSMANAGER
,SES
,,SHIELD
,SSO
, oderWAF
-
Das typeCodeFeld im AWS Health Ergebnis enthält den Wert
CERTIFICATE
-
Das typeCodeFeld im AWS Health Befund enthält den Wert
END_OF_SUPPORT
-
Typischer Befund von AWS Health
AWS Health sendet Ergebnisse mit dem an Security HubAWS Format für Sicherheitslücken (ASFF). Im Folgenden finden Sie ein Beispiel für ein typisches Ergebnis von AWS Health.
Anmerkung
Wenn die Beschreibung mehr als 1024 Zeichen umfasst, wird sie auf 1024 Zeichen gekürzt und am Ende steht (gekürzt).
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }
Nachdem Sie Security Hub aktiviert haben, wird diese Integration automatisch aktiviert. AWS Health beginnt sofort, Ergebnisse an Security Hub zu senden.
Um das Senden von Ergebnissen an Security Hub zu beenden, können Sie die Security Hub-Konsole oder den Security Hub verwendenAPI.
Anweisungen zum Stoppen des Flusses von Erkenntnissen finden Sie unterErmöglicht den Fluss von Erkenntnissen aus einer Integration.
AWS Identity and Access Management Access Analyzer (Sendet Ergebnisse)
Mit IAM Access Analyzer werden alle Ergebnisse an Security Hub gesendet.
IAMAccess Analyzer analysiert anhand von logischer Argumentation ressourcenbasierte Richtlinien, die auf unterstützte Ressourcen in Ihrem Konto angewendet werden. IAMAccess Analyzer generiert ein Ergebnis, wenn es eine Richtlinienaussage entdeckt, die einem externen Prinzipal den Zugriff auf eine Ressource in Ihrem Konto ermöglicht.
In IAM Access Analyzer kann nur das Administratorkonto Ergebnisse für Analyzer sehen, die für eine Organisation gelten. Bei Organisationsanalysegeräten gibt das AwsAccountId
ASFF Feld die Administratorkonto-ID an. Das ResourceOwnerAccount
Feld ProductFields
darunter gibt das Konto an, in dem das Ergebnis entdeckt wurde. Wenn Sie Analyzer für jedes Konto einzeln aktivieren, generiert Security Hub mehrere Ergebnisse, eines, das die Administratorkonto-ID identifiziert, und eines, das die Ressourcenkonto-ID identifiziert.
Weitere Informationen finden Sie unter Integration mit AWS Security Hub im IAMBenutzerhandbuch.
Amazon Inspector (Sendet Ergebnisse)
Amazon Inspector ist ein Schwachstellen-Management-Service, der Ihre AWS Workloads kontinuierlich auf Sicherheitslücken scannt. Amazon Inspector erkennt und scannt automatisch EC2 Amazon-Instances und Container-Images, die sich in der Amazon Elastic Container Registry befinden. Der Scan sucht nach Softwareschwachstellen und unbeabsichtigten Netzwerkbedrohungen.
Nachdem Sie Security Hub aktiviert haben, wird diese Integration automatisch aktiviert. Amazon Inspector beginnt sofort, alle Ergebnisse, die es generiert, an Security Hub zu senden.
Weitere Informationen zur Integration finden Sie unter Integration mit AWS Security Hub im Amazon Inspector Inspector-Benutzerhandbuch.
Security Hub kann auch Ergebnisse von Amazon Inspector Classic erhalten. Amazon Inspector Classic sendet Ergebnisse an Security Hub, die im Rahmen von Bewertungsläufen für alle unterstützten Regelpakete generiert wurden.
Weitere Informationen zur Integration finden Sie unter Integration mit AWS Security Hub im Amazon Inspector Classic-Benutzerhandbuch.
Die Ergebnisse für Amazon Inspector und Amazon Inspector Classic verwenden dasselbe ProduktARN. Die Ergebnisse von Amazon Inspector haben den folgenden Eintrag inProductFields
:
"aws/inspector/ProductVersion": "2",
AWS IoT Device Defender (Sendet Ergebnisse)
AWS IoT Device Defender ist ein Sicherheitsdienst, der die Konfiguration Ihrer IoT-Geräte überprüft, angeschlossene Geräte überwacht, um ungewöhnliches Verhalten zu erkennen, und zur Minderung von Sicherheitsrisiken beiträgt.
Nachdem Sie beide AWS IoT Device Defender und Security Hub aktiviert haben, rufen Sie die Integrationsseite der Security Hub Hub-Konsole
AWS IoT Device Defender Audit sendet Prüfzusammenfassungen an Security Hub, die allgemeine Informationen für einen bestimmten Prüfungstyp und eine bestimmte Prüfungsaufgabe enthalten. AWS IoT Device Defender Detect sendet festgestellte Verstöße für maschinelles Lernen (ML), statistisches und statisches Verhalten an Security Hub. Audit sendet auch gefundene Updates an Security Hub.
Weitere Informationen zu dieser Integration finden Sie unter Integration mit AWS Security Hub im AWS IoT Entwicklerhandbuch.
Amazon Macie (Sendet Ergebnisse)
Ein Ergebnis von Macie kann darauf hinweisen, dass ein potenzieller Verstoß gegen die Richtlinien vorliegt oder dass sensible Daten, wie z. B. personenbezogene Daten (PII), in Daten enthalten sind, die Ihre Organisation in Amazon S3 speichert.
Nachdem Sie Security Hub aktiviert haben, beginnt Macie automatisch, Richtlinienergebnisse an Security Hub zu senden. Sie können die Integration so konfigurieren, dass auch Ergebnisse vertraulicher Daten an Security Hub gesendet werden.
In Security Hub wird der Suchtyp für eine Richtlinie oder einen Fund vertraulicher Daten in einen Wert geändert, der kompatibel ist mitASFF. Beispielsweise wird der Policy:IAMUser/S3BucketPublic
Findungstyp in Macie wie Effects/Data Exposure/Policy:IAMUser-S3BucketPublic
in Security Hub angezeigt.
Macie sendet auch generierte Probenergebnisse an Security Hub. Bei Stichprobenergebnissen lautet der Name der betroffenen Ressource macie-sample-finding-bucket
und der Wert für das Sample
Feld lautettrue
.
Weitere Informationen finden Sie unter Amazon Macie Macie-Integration mit AWS Security Hub im Amazon Macie Macie-Benutzerhandbuch.
AWS Systems Manager Patch Manager (Sendet Ergebnisse)
AWS Systems Manager Patch Manager sendet Ergebnisse an Security Hub, wenn Instances in der Flotte eines Kunden nicht mehr dem Patch-Compliance-Standard entsprechen.
Patch Manager automatisiert das Patchen verwalteter Instances mit sicherheitsrelevanten und anderen Arten von Updates.
Nachdem Sie Security Hub aktiviert haben, wird diese Integration automatisch aktiviert. Systems Manager Patch Manager beginnt sofort, Ergebnisse an Security Hub zu senden.
Weitere Informationen zur Verwendung von Patch Manager finden Sie unter AWS Systems Manager Patch Manager im AWS Systems Manager Benutzerhandbuch.
AWS Dienste, die Erkenntnisse von Security Hub erhalten
Die folgenden AWS Dienste sind in Security Hub integriert und beziehen Ergebnisse von Security Hub. Sofern angegeben, kann der integrierte Dienst die Ergebnisse auch aktualisieren. In diesem Fall wird das Auffinden von Updates, die Sie im integrierten Dienst vornehmen, auch in Security Hub widergespiegelt.
AWS Audit Manager (Erhält Ergebnisse)
AWS Audit Manager erhält Ergebnisse von Security Hub. Diese Ergebnisse helfen den Benutzern von Audit Manager, sich auf Audits vorzubereiten.
Weitere Informationen zu Audit Manager finden Sie im AWS Audit Manager Manager-Benutzerhandbuch. AWS Security Hub-Prüfungen, die von unterstützt werden, AWS Audit Manager listet die Kontrollen auf, für die Security Hub Ergebnisse an Audit Manager sendet.
AWS Chatbot (Empfängt Ergebnisse)
AWS Chatbot ist ein interaktiver Agent, der Ihnen hilft, Ihre AWS Ressourcen in Ihren Slack-Kanälen und Amazon Chime Chime-Chatrooms zu überwachen und mit ihnen zu interagieren.
AWS Chatbot erhält Ergebnisse von Security Hub.
Weitere Informationen zur AWS Chatbot Integration mit Security Hub finden Sie in der Security Hub Hub-Integrationsübersicht im AWS Chatbot Administratorhandbuch.
Amazon Detective (erhält Ergebnisse)
Detective sammelt automatisch Protokolldaten aus Ihren AWS Ressourcen und nutzt maschinelles Lernen, statistische Analysen und Graphentheorie, um Sie bei der Visualisierung und Durchführung schnellerer und effizienterer Sicherheitsuntersuchungen zu unterstützen.
Die Security Hub-Integration mit Detective ermöglicht es Ihnen, von GuardDuty Amazon-Ergebnissen in Security Hub zu Detective zu wechseln. Anschließend können Sie die Detective-Tools und Visualisierungen verwenden, um sie zu untersuchen. Die Integration erfordert keine zusätzliche Konfiguration in Security Hub oder Detective.
Für Ergebnisse, die von anderen stammen AWS-Services, enthält der Bereich mit den Befunddetails auf der Security Hub Hub-Konsole den Unterabschnitt In Detective untersuchen. Dieser Unterabschnitt enthält einen Link zu Detective, über den Sie das Sicherheitsproblem, das durch den Befund gemeldet wurde, weiter untersuchen können. Sie können in Detective auch ein Verhaltensdiagramm erstellen, das auf den Ergebnissen von Security Hub basiert, um effektivere Untersuchungen durchzuführen. Weitere Informationen finden Sie in den AWS Sicherheitsergebnissen im Amazon Detective Administration Guide.
Wenn die regionsübergreifende Aggregation aktiviert ist und Sie von der Aggregationsregion aus wechseln, wird Detective in der Region geöffnet, aus der das Ergebnis stammt.
Wenn ein Link nicht funktioniert, finden Sie Hinweise zur Fehlerbehebung unter Troubleshooting the Pivot.
Amazon Security Lake (erhält Ergebnisse)
Security Lake ist ein vollständig verwalteter Sicherheits-Data-Lake-Service. Sie können Security Lake verwenden, um Sicherheitsdaten aus Cloud-, lokalen und benutzerdefinierten Quellen automatisch in einem Data Lake zu zentralisieren, der in Ihrem Konto gespeichert ist. Abonnenten können Daten aus Security Lake für Ermittlungs- und Analysezwecke nutzen.
Um diese Integration zu aktivieren, müssen Sie beide Dienste aktivieren und Security Hub als Quelle in der Security Lake-Konsole, Security Lake API oder hinzufügen AWS CLI. Sobald Sie diese Schritte abgeschlossen haben, beginnt Security Hub, alle Ergebnisse an Security Lake zu senden.
Security Lake normalisiert die Ergebnisse von Security Hub automatisch und konvertiert sie in ein standardisiertes Open-Source-Schema namens Open Cybersecurity Schema Framework ()OCSF. In Security Lake können Sie einen oder mehrere Abonnenten hinzufügen, um die Ergebnisse von Security Hub zu nutzen.
Weitere Informationen zu dieser Integration, einschließlich Anweisungen zum Hinzufügen von Security Hub als Quelle und zum Erstellen von Abonnenten, finden Sie unter Integration mit AWS Security Hub im Amazon Security Lake-Benutzerhandbuch.
AWS Systems Manager Explorer und OpsCenter (Empfängt und aktualisiert Ergebnisse)
AWS Systems Manager Erkunden und OpsCenter empfangen Sie Ergebnisse von Security Hub und aktualisieren Sie diese Ergebnisse in Security Hub.
Explorer bietet Ihnen ein anpassbares Dashboard, das wichtige Einblicke und Analysen zum Betriebszustand und zur Leistung Ihrer AWS Umgebung bietet.
OpsCenter bietet Ihnen einen zentralen Ort, an dem Sie betriebliche Arbeitsaufgaben anzeigen, untersuchen und lösen können.
Weitere Informationen zu Explorer und OpsCenter finden Sie unter Operations Management im AWS Systems Manager Benutzerhandbuch.
AWS Trusted Advisor (Erhält Ergebnisse)
Trusted Advisor stützt sich auf bewährte Verfahren, die bei der Betreuung von Hunderttausenden von AWS Kunden gelernt wurden. Trusted Advisor untersucht Ihre AWS Umgebung und gibt dann Empfehlungen, wenn Möglichkeiten bestehen, Geld zu sparen, die Systemverfügbarkeit und -leistung zu verbessern oder Sicherheitslücken zu schließen.
Wenn Sie Trusted Advisor sowohl als auch Security Hub aktivieren, wird die Integration automatisch aktualisiert.
Security Hub sendet die Ergebnisse seiner AWS Foundational Security Best Practices-Prüfungen an Trusted Advisor.
Weitere Informationen zur Security Hub-Integration mit Trusted Advisor finden Sie unter AWS Security Hub-Steuerelemente anzeigen AWS Trusted Advisor im AWS Support-Benutzerhandbuch.