Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Servicio de AWS integraciones con Security Hub
AWS Security Hub admite integraciones con varios otros Servicios de AWS.
nota
Es posible que las integraciones no estén disponibles en todas. Regiones de AWS Si en la región actual no se admite una integración, esta no aparece en la página Integraciones.
Para obtener una lista de las integraciones que están disponibles en las regiones de China y AWS GovCloud (US), consulte Integraciones que son compatibles en China (Pekín) y China (Ningxia) yIntegraciones compatibles en AWS GovCloud (Este de EE. UU.) y AWS GovCloud (Oeste de EE. UU.).
A menos que se indique a continuación, Servicio de AWS las integraciones que envían los resultados a Security Hub se activan automáticamente después de activar Security Hub y el otro servicio. Las integraciones que reciben resultados de Security Hub pueden requerir pasos adicionales para su activación. Revise la información sobre cada integración para obtener más información.
Descripción general de las integraciones de AWS servicios con Security Hub
Esta es una descripción general de AWS los servicios que envían las conclusiones a Security Hub o reciben las conclusiones de Security Hub.
| AWS Servicio integrado | Dirección |
|---|---|
|
Envía resultados |
|
|
Envía resultados |
|
|
Envía resultados |
|
|
Envía resultados |
|
|
Envía resultados |
|
|
Envía resultados |
|
|
Envía resultados |
|
|
Envía resultados |
|
|
Envía resultados |
|
|
Recibe resultados |
|
|
Recibe resultados |
|
|
Recibe resultados |
|
|
Recibe resultados |
|
|
Recibe y actualiza resultados |
|
|
Recibe resultados |
AWS servicios que envían los resultados a Security Hub
Los siguientes AWS servicios se integran con Security Hub mediante el envío de los resultados a Security Hub. Security Hub convierte los resultados al Formato de resultados de seguridad de AWS.
AWS Config (Envía los resultados)
AWS Config es un servicio que le permite evaluar, auditar y evaluar las configuraciones de sus AWS recursos. AWS Config supervisa y registra continuamente las configuraciones de sus AWS recursos y le permite automatizar la evaluación de las configuraciones registradas comparándolas con las configuraciones deseadas.
Al usar la integración con AWS Config, puede ver los resultados de las evaluaciones de reglas AWS Config administradas y personalizadas como hallazgos en Security Hub. Estos resultados se pueden ver junto con otros resultados de Security Hub, lo que proporciona una visión general completa de su estrategia de seguridad.
AWS Config usa Amazon EventBridge para enviar evaluaciones de AWS Config reglas a Security Hub. Security Hub transforma las evaluaciones de reglas en resultados con Formato de resultados de seguridad de AWS. Luego, Security Hub enriquece los hallazgos haciendo todo lo posible al obtener más información sobre los recursos afectados, como el nombre del recurso de Amazon (ARN), las etiquetas de los recursos y la fecha de creación.
Para obtener más información sobre esta integración, consulte las secciones siguientes.
Todos los resultados de Security Hub utilizan el JSON formato estándar deASFF. ASFFincluye detalles sobre el origen del hallazgo, el recurso afectado y el estado actual del hallazgo. AWS Config envía evaluaciones de reglas gestionadas y personalizadas a Security Hub a través de EventBridge. Security Hub transforma las evaluaciones de las reglas en conclusiones que siguen ASFF y enriquece las conclusiones haciendo todo lo posible.
Tipos de hallazgos que se AWS Config envían a Security Hub
Una vez activada la integración, AWS Config envía las evaluaciones de todas las reglas AWS Config administradas y las reglas personalizadas a Security Hub. Solo se envían las evaluaciones que se realizaron después de activar Security Hub. Por ejemplo, supongamos que la evaluación de una AWS Config regla revela cinco recursos fallidos. Si activo Security Hub después de eso y la regla revela un sexto recurso fallido, AWS Config envía solo la evaluación del sexto recurso a Security Hub.
Se excluyen las evaluaciones de AWS Config las reglas vinculadas a servicios, como las que se utilizan para ejecutar comprobaciones en los controles de Security Hub.
Envío de AWS Config los resultados a Security Hub
Cuando se active la integración, Security Hub asignará automáticamente los permisos necesarios para recibir las conclusiones AWS Config. Security Hub utiliza permisos de service-to-service nivel que te proporcionan una forma segura de activar esta integración e importar los resultados AWS Config desde Amazon EventBridge.
Latencia para el envío de resultados
Cuando AWS Config crea un nuevo hallazgo, normalmente puedes verlo en Security Hub en cinco minutos.
Reintento cuando Security Hub no está disponible
AWS Config envía las conclusiones a Security Hub haciendo todo lo posible. EventBridge Cuando un evento no se envía correctamente a Security Hub, EventBridge vuelve a intentar la entrega hasta 24 horas o 185 veces, lo que ocurra primero.
Actualización de los AWS Config hallazgos existentes en Security Hub
Después AWS Config de enviar un hallazgo a Security Hub, este puede enviar actualizaciones del mismo hallazgo al Security Hub para reflejar observaciones adicionales de la actividad de búsqueda. Las actualizaciones solo se envían para eventos de ComplianceChangeNotification. Si no se produce ningún cambio de conformidad, se envían actualizaciones a Security Hub. Security Hub borra los resultados al cabo de 90 días desde la última actualización o 90 días después de que se crearan si no hay actualizaciones.
Security Hub no archiva las conclusiones que se envían AWS Config incluso si se elimina el recurso asociado.
Regiones en las que existen AWS Config hallazgos
AWS Config los hallazgos se producen a nivel regional. AWS Config envía las conclusiones al Security Hub de la misma región o regiones en las que se producen.
Para ver sus AWS Config hallazgos, elija Hallazgos en el panel de navegación de Security Hub. Para filtrar los resultados y mostrar solo AWS Config los hallazgos, elija el nombre del producto en el menú desplegable de la barra de búsqueda. Introduzca Config y seleccione Aplicar.
Interpretación de la AWS Config búsqueda de nombres en Security Hub
Security Hub transforma las evaluaciones de AWS Config reglas en hallazgos que siguen lasAWS Formato de búsqueda de seguridad (ASFF). AWS Config las evaluaciones de reglas utilizan un patrón de eventos diferente al deASFF. La siguiente tabla mapea los campos de evaluación de AWS Config reglas con sus ASFF homólogos tal como aparecen en Security Hub.
| Configuración de tipo de resultado de la evaluación de reglas | ASFFtipo de búsqueda | Valor codificado |
|---|---|---|
| detalle. awsAccountId | AwsAccountId | |
| detalle. newEvaluationResult. resultRecordedTime | CreatedAt | |
| detalle. newEvaluationResult. resultRecordedTime | UpdatedAt | |
| ProductArn | <partition><region>«arn ::securityhub:::» product/aws/config | |
| ProductName | “Config” | |
| CompanyName | "AWS" | |
| Región | “eu-central-1” | |
| configRuleArn | GeneratorId, ProductFields | |
| detalle. ConfigRuleARN/finding/hash | Id | |
| detalle. configRuleName | Título, ProductFields | |
| detalle. configRuleName | Descripción | “Este resultado se crea para un cambio de conformidad del recurso para la regla de configuración: ${detail.ConfigRuleName}“ |
| Se calculó el elemento de configuración ARN "" o Security Hub ARN | Resources[i].id | |
| detalle. resourceType | Resources[i].Type | "AwsS3Bucket" |
| Resources[i].Partition | "aws" | |
| Resources[i].Region | “eu-central-1” | |
| Elemento de configuración “configuración” | Resources[i].Details | |
| SchemaVersion | “10/08/2018” | |
| Severity.Label | Consultar “Interpretación de la etiqueta de gravedad” a continuación | |
| Tipos | [“Comprobaciones de configuración y software”] | |
| detalle. newEvaluationResult. complianceType | Compliance.Status | "FAILED«," NOT _ AVAILABLE «," PASSED o "WARNING» |
| Workflow.Status | «RESOLVED" si se genera una AWS Config constatación con un Compliance.Status de "»PASSED, o si el Compliance.Status cambia de "" a "».» FAILED PASSED De lo contrario, Workflow.Status será «.» NEW Puede cambiar este valor con la operación. BatchUpdateFindingsAPI |
Interpretación de la etiqueta de gravedad
Todos los resultados de las evaluaciones de las AWS Config reglas tienen una etiqueta de MEDIUMgravedad predeterminada deASFF. Puede actualizar la etiqueta de gravedad de un hallazgo con la BatchUpdateFindingsAPIoperación.
Hallazgo típico de AWS Config
Security Hub transforma las evaluaciones de AWS Config reglas en hallazgos que siguen lasASFF. El siguiente es un ejemplo de un hallazgo típico AWS Config deASFF.
nota
Si la descripción contiene más de 1024 caracteres, se truncará en 1024 caracteres y al final dirá “(truncada)”.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }
Tras activar Security Hub, esta integración se activa automáticamente. AWS Config comienza inmediatamente a enviar los resultados a Security Hub.
Para dejar de enviar los resultados a Security Hub, puedes usar la consola de Security Hub o el Security HubAPI.
Para obtener instrucciones sobre cómo detener el flujo de resultados, consulte Habilitación del flujo de resultados desde una integración.
AWS Firewall Manager (Envía los resultados)
Firewall Manager envía los resultados a Security Hub cuando una política de firewall de aplicaciones web (WAF) para recursos o una regla de lista de control de acceso web (webACL) no cumple con las normas. Firewall Manager también envía los resultados cuando AWS Shield Advanced no protege los recursos o cuando se identifica un ataque.
Tras activar Security Hub, esta integración se activa automáticamente. Firewall Manager comienza a enviar inmediatamente resultados a Security Hub.
Para obtener más información sobre la integración, consulte la página Integraciones de la consola de Security Hub.
Para obtener más información sobre Firewall Manager, consulte la Guía para desarrolladores de AWS WAF .
Amazon GuardDuty (envía los resultados)
GuardDuty envía todos los tipos de hallazgos que genera a Security Hub. Algunos tipos de búsqueda tienen requisitos previos, requisitos de habilitación o limitaciones regionales. Para obtener más información, consulta la GuardDuty búsqueda de tipos en la Guía del GuardDuty usuario de Amazon.
Los nuevos hallazgos GuardDuty se envían a Security Hub en cinco minutos. Las actualizaciones de los resultados se envían en función de la configuración de resultados actualizados de Amazon EventBridge en GuardDuty la configuración.
Al generar resultados de GuardDuty muestra mediante la página de GuardDuty configuración, Security Hub recibe los resultados de muestra y omite el prefijo [Sample] en el tipo de hallazgo. Por ejemplo, el ejemplo del tipo de búsqueda GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions se muestra como Recon:IAMUser/ResourcePermissions en Security Hub.
Tras activar Security Hub, esta integración se activa automáticamente. GuardDuty comienza inmediatamente a enviar los resultados a Security Hub.
Para obtener más información sobre la GuardDuty integración, consulte Integración con AWS Security Hub en la Guía del GuardDuty usuario de Amazon.
AWS Health (Envía los resultados)
AWS Health proporciona una visibilidad continua del rendimiento de sus recursos y de la disponibilidad de sus Servicios de AWS y Cuentas de AWS. Puede usar los eventos AWS Health para saber cómo pueden afectar los cambios de servicios y recursos a las aplicaciones que ejecuta en AWS.
La integración con AWS Health no utilizaBatchImportFindings. En su lugar, AWS Health utiliza la mensajería de service-to-service eventos para enviar los resultados a Security Hub.
Para obtener más información sobre la integración, consulte las siguientes secciones.
En Security Hub, los problemas de seguridad se rastrean como resultados. Algunos hallazgos provienen de problemas detectados por otros AWS servicios o por socios externos. Security Hub también cuenta con un conjunto de reglas que utiliza para detectar problemas de seguridad y generar resultados.
Security Hub proporciona herramientas para administrar los resultados de todas estas fuentes. Puede ver y filtrar listas de resultados y ver los detalles de una búsqueda. Consulte Revisión de los detalles de resultados y el historial de resultados en Security Hub. También puede realizar un seguimiento del estado de una investigación sobre un resultado. Consulte Configuración del estado de flujo de trabajo de los resultados de Security Hub.
Todos los hallazgos de Security Hub utilizan un JSON formato estándar denominadoAWS Formato de búsqueda de seguridad (ASFF). ASFFincluye detalles sobre el origen del problema, los recursos afectados y el estado actual del hallazgo.
AWS Health es uno de los AWS servicios que envía los resultados a Security Hub.
Tipos de hallazgos que se AWS Health envían a Security Hub
Una vez habilitada la integración, AWS Health envía los resultados que cumplen con una o más de las especificaciones enumeradas a Security Hub. Security Hub ingiere los resultados en AWS Formato de búsqueda de seguridad (ASFF).
-
Hallazgos que contienen alguno de los siguientes valores para Servicio de AWS:
RISKABUSEACMCLOUDHSMCLOUDTRAILCONFIGCONTROLTOWERDETECTIVEEVENTSGUARDDUTYIAMINSPECTORKMSMACIESESSECURITYHUBSHIELDSSOCOGNITOIOTDEVICEDEFENDERNETWORKFIREWALLROUTE53WAFFIREWALLMANAGERSECRETSMANAGERBACKUPAUDITMANAGERARTIFACTCLOUDENDURECODEGURUORGANIZATIONSDIRECTORYSERVICERESOURCEMANAGERCLOUDWATCHDRSINSPECTOR2RESILIENCEHUB
-
Hallazgos con las palabras
securityabuse, ocertificateen el AWS HealthtypeCodecampo -
Averigua dónde está el AWS Health servicio
riskoabuse
Envío de AWS Health los resultados a Security Hub
Cuando decidas aceptar las conclusiones de AWS Health, Security Hub asignará automáticamente los permisos necesarios para recibir las conclusiones AWS Health. Security Hub utiliza permisos de service-to-service nivel que te proporcionan una forma fácil y segura de habilitar esta integración e importar los resultados AWS Health desde Amazon EventBridge en tu nombre. Si se selecciona Aceptar hallazgos, se otorga permiso a Security Hub para consumir los hallazgos de AWS Health.
Latencia para el envío de resultados
Cuando AWS Health crea un nuevo hallazgo, normalmente se envía a Security Hub en un plazo de cinco minutos.
Reintento cuando Security Hub no está disponible
AWS Health envía las conclusiones a Security Hub haciendo todo lo posible. EventBridge Cuando un evento no se envía correctamente a Security Hub, EventBridge vuelve a intentar enviar el evento durante 24 horas.
Actualización de los resultados existentes en Security Hub
Después AWS Health de enviar un hallazgo a Security Hub, este puede enviar actualizaciones al mismo hallazgo para reflejar observaciones adicionales de la actividad de búsqueda a Security Hub.
Regiones en las que existen resultados
Para eventos globales, AWS Health envía los resultados al Security Hub en us-east-1 (partición), cn-northwest-1 AWS (partición de China) y -1 (partición). gov-us-west GovCloud AWS Health envía los eventos específicos de la región al Security Hub de la misma región o regiones en las que se producen los eventos.
Para ver sus AWS Health hallazgos en Security Hub, elija Hallazgos en el panel de navegación. Para filtrar los hallazgos y mostrar solo AWS Health los hallazgos, selecciona Salud en el campo Nombre del producto.
Interpretación de la AWS Health búsqueda de nombres en Security Hub
AWS Health envía los resultados a Security Hub medianteAWS Formato de búsqueda de seguridad (ASFF). AWS Health la búsqueda utiliza un patrón de eventos diferente al del ASFF formato Security Hub. En la siguiente tabla se detallan todos los campos de AWS Health búsqueda con sus ASFF homólogos tal y como aparecen en Security Hub.
| Tipo de resultado de Estado | ASFFtipo de búsqueda | Valor codificado |
|---|---|---|
| cuenta | AwsAccountId | |
| detalle. startTime | CreatedAt | |
| detalle. eventDescription. latestDescription | Descripción | |
| detalle. eventTypeCode | GeneratorId | |
| detalle. eventArn (incluida la cuenta) más detalles. startTime | Id | |
| <region>«arn:aws:securityhub:::» product/aws/health | ProductArn | |
| cuenta o resourceId | Resources[i].id | |
| Resources[i].Type | “Otros” | |
| SchemaVersion | “10/08/2018” | |
| Severity.Label | Consultar “Interpretación de la etiqueta de gravedad” a continuación | |
| detalle «AWS Health -». eventTypeCode | Título | |
| - | Tipos | [“Comprobaciones de configuración y software”] |
| event.time | UpdatedAt | |
| URLdel evento en la consola Health | SourceUrl |
Interpretación de la etiqueta de gravedad
La etiqueta de gravedad del ASFF hallazgo se determina mediante la siguiente lógica:
-
Gravedad CRITICALsi:
-
El
servicecampo del AWS Health hallazgo tiene el valorRisk -
El
typeCodecampo del AWS Health hallazgo tiene el valorAWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION -
El
typeCodecampo del AWS Health hallazgo tiene el valorAWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK -
El
typeCodecampo del AWS Health hallazgo tiene el valorAWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES
Gravedad HIGHsi:
-
El
servicecampo del AWS Health hallazgo tiene el valorAbuse -
El
typeCodecampo del AWS Health hallazgo contiene el valorSECURITY_NOTIFICATION -
El
typeCodecampo del AWS Health hallazgo contiene el valorABUSE_DETECTION
Gravedad MEDIUMsi:
-
El campo
servicedel resultado es cualquiera de los siguientes:ACM,ARTIFACT,AUDITMANAGER,BACKUP,CLOUDENDURE,CLOUDHSM,CLOUDTRAIL,CLOUDWATCH,CODEGURGU,COGNITO,CONFIG,CONTROLTOWER,DETECTIVE,DIRECTORYSERVICE,DRS,EVENTS,FIREWALLMANAGER,GUARDDUTY,IAM,INSPECTOR,INSPECTOR2,IOTDEVICEDEFENDER,KMS,MACIE,NETWORKFIREWALL,ORGANIZATIONS,RESILIENCEHUB,RESOURCEMANAGER,ROUTE53,SECURITYHUB,SECRETSMANAGER,SES,SHIELD,SSOoWAF -
El campo typeCode del resultado AWS Health contiene el valor
CERTIFICATE -
El campo typeCode del resultado AWS Health contiene el valor
END_OF_SUPPORT
-
Hallazgo típico de AWS Health
AWS Health envía los resultados a Security Hub medianteAWS Formato de búsqueda de seguridad (ASFF). A continuación se muestra un ejemplo de un hallazgo típico de AWS Health.
nota
Si la descripción contiene más de 1024 caracteres, se truncará en 1024 caracteres y al final dirá (truncada).
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }
Tras activar Security Hub, esta integración se activa automáticamente. AWS Health comienza inmediatamente a enviar los resultados a Security Hub.
Para dejar de enviar los resultados a Security Hub, puedes usar la consola de Security Hub o el Security HubAPI.
Para obtener instrucciones sobre cómo detener el flujo de resultados, consulte Habilitación del flujo de resultados desde una integración.
AWS Identity and Access Management Access Analyzer (Envía los resultados)
Con IAM Access Analyzer, todos los resultados se envían a Security Hub.
IAMAccess Analyzer utiliza un razonamiento basado en la lógica para analizar las políticas basadas en los recursos que se aplican a los recursos compatibles de su cuenta. IAM Access Analyzer genera un hallazgo cuando detecta una declaración de política que permite a un principal externo acceder a un recurso de su cuenta.
En IAM Access Analyzer, solo la cuenta de administrador puede ver los resultados de los analizadores que se aplican a una organización. En el caso de los analizadores de organizaciones, el AwsAccountId ASFF campo refleja el ID de la cuenta del administrador. Bajo ProductFields, el campo ResourceOwnerAccount indica la cuenta en la que se descubrió el resultado. Si habilita los analizadores de cada cuenta individualmente, Security Hub genera varios resultados, uno que identifica el ID de la cuenta de administrador y otro que identifica el ID de la cuenta de recursos.
Para obtener más información, consulte Integración con AWS Security Hub en la Guía del IAM usuario.
Amazon Inspector (Envía resultados)
Amazon Inspector es un servicio de gestión de vulnerabilidades que analiza continuamente sus cargas de trabajo en AWS en busca de vulnerabilidades. Amazon Inspector descubre y escanea automáticamente EC2 las instancias de Amazon y las imágenes de contenedores que se encuentran en Amazon Elastic Container Registry. El escaneo busca vulnerabilidades de software y exposición no deseada en la red.
Tras activar Security Hub, esta integración se activa automáticamente. Amazon Inspector comienza a enviar a Security Hub inmediatamente todos los resultados que genera.
Para obtener más información sobre la integración, consulte Integración con AWS Security Hub en la Guía del usuario de Amazon Inspector.
Security Hub también puede recibir resultados desde Amazon Inspector Classic. Amazon Inspector Classic envía resultados de Security Hub que se generan a través de ejecuciones de evaluación para todos los paquetes de reglas compatibles.
Para obtener más información sobre la integración, consulte Integración con AWS Security Hub en la Guía del usuario de Amazon Inspector Classic.
Los resultados de Amazon Inspector y Amazon Inspector Classic utilizan el mismo productoARN. Los resultados de Amazon Inspector presentan la siguiente entrada en ProductFields:
"aws/inspector/ProductVersion": "2",
AWS IoT Device Defender (Envía los resultados)
AWS IoT Device Defender es un servicio de seguridad que audita la configuración de sus dispositivos de IoT, monitorea los dispositivos conectados para detectar comportamientos anormales y ayuda a mitigar los riesgos de seguridad.
Tras activar AWS IoT Device Defender tanto Security Hub como Security Hub, visita la página de integraciones de la consola de Security Hub
AWS IoT Device Defender La auditoría envía los resúmenes de las comprobaciones a Security Hub, que contienen información general sobre un tipo de comprobación de auditoría y una tarea de auditoría específicos. AWS IoT Device Defender Detect envía las conclusiones de infracciones relacionadas con el aprendizaje automático (ML), las estadísticas y los comportamientos estáticos a Security Hub. Audit también envía actualizaciones de resultados a Security Hub.
Para obtener más información sobre esta integración, consulte Integración con AWS Security Hub en la Guía para AWS IoT desarrolladores.
Amazon Macie (Envía resultados)
Una conclusión de Macie puede indicar que existe una posible infracción de la política o que hay datos confidenciales, como información de identificación personal (PII), en los datos que su organización almacena en Amazon S3.
Después de activar Security Hub, Macie comienza a enviar automáticamente los resultados de las políticas a Security Hub. Puede configurar la integración para que también envíe resultados de datos confidenciales a Security Hub.
En Security Hub, el tipo de búsqueda de una política o de datos confidenciales se cambia a un valor compatible conASFF. Por ejemplo, el tipo de resultado Policy:IAMUser/S3BucketPublic en Macie se muestra como Effects/Data Exposure/Policy:IAMUser-S3BucketPublic en Security Hub.
Macie también envía resultados de muestra generados a Security Hub. En el caso de los resultados de muestra, el nombre del recurso afectado es macie-sample-finding-bucket y el valor del campo Sample es true.
Para obtener más información, consulte Integración de Amazon Macie con AWS Security Hub en la Guía del usuario de Amazon Macie.
AWS Systems Manager Administrador de parches (envía los resultados)
AWS Systems Manager Patch Manager envía los resultados a Security Hub cuando las instancias de la flota de un cliente no cumplen con su estándar de cumplimiento de parches.
Patch Manager automatiza el proceso de aplicación de parches a instancias administradas con actualizaciones relacionadas con la seguridad y otros tipos de actualizaciones.
Tras activar Security Hub, esta integración se activa automáticamente. Systems Manager Patch Manager comienza a enviar inmediatamente resultados a Security Hub.
Para obtener más información acerca de cómo utilizar Patch Manager, consulte AWS Systems Manager Patch Manager en la Guía del usuario de AWS Systems Manager .
AWS servicios que reciben las conclusiones de Security Hub
Los siguientes AWS servicios están integrados con Security Hub y reciben los resultados de Security Hub. Cuando se indique lo contrario, el servicio integrado también puede actualizar resultados. En este caso, las actualizaciones de resultados que realice en el servicio integrado también se reflejarán en Security Hub.
AWS Audit Manager (Recibe los resultados)
AWS Audit Manager recibe las conclusiones de Security Hub. Estos resultados ayudan a los usuarios de Audit Manager a prepararse para las auditorías.
Para obtener más información sobre Audit Manager, consulte la Guía del usuario de AWS Audit Manager. AWS Las comprobaciones de Security Hub admitidas por AWS Audit Manager enumeran los controles para los que Security Hub envía resultados a Audit Manager.
AWS Chatbot (Recibe los resultados)
AWS Chatbot es un agente interactivo que te ayuda a supervisar tus AWS recursos e interactuar con ellos en tus canales de Slack y salas de chat de Amazon Chime.
AWS Chatbot recibe las conclusiones de Security Hub.
Para obtener más información sobre la AWS Chatbot integración con Security Hub, consulte la descripción general de la integración con Security Hub en la Guía AWS Chatbot del administrador.
Amazon Detective (Recibe resultados)
Detective recopila automáticamente los datos de registro de sus AWS recursos y utiliza el aprendizaje automático, el análisis estadístico y la teoría de grafos para ayudarlo a visualizar y llevar a cabo investigaciones de seguridad más rápidas y eficientes.
La integración de Security Hub con Detective te permite pasar de los GuardDuty hallazgos de Amazon en Security Hub a Detective. A continuación, puede utilizar las herramientas y visualizaciones de Detective para investigarlos. La integración no requiere ninguna configuración adicional en Security Hub o Detective.
Para los hallazgos recibidos de otros Servicios de AWS, el panel de detalles de los hallazgos de la consola de Security Hub incluye la subsección Investiga en Detective. Esa subsección contiene un enlace a Detective, donde puede investigar más a fondo el problema de seguridad que indicó el resultado. También puede crear un gráfico de comportamiento en Detective basado en los resultados de Security Hub para llevar a cabo investigaciones más eficaces. Para obtener más información, consulte Resultados de seguridad de AWS en la Guía de administración de Amazon Detective.
Si la agregación entre regiones está habilitada, al pasar de la región de agregación, Detective se abre en la región en la que se originó el resultado.
Si un enlace no funciona, para obtener información sobre la solución de problemas, consulte Solución de problemas del pivot.
Amazon Security Lake (Recibe resultados)
Security Lake es un servicio de lago de datos de seguridad totalmente gestionado. Puede usar Amazon Security Lake para centralizar automáticamente los datos de seguridad de fuentes en la nube, en las instalaciones y personalizadas en un lago de datos almacenado en su cuenta. Los suscriptores pueden consumir datos de Security Lake para casos de uso de investigación y análisis.
Para activar esta integración, debe habilitar ambos servicios y agregar Security Hub como fuente en la consola de Security Lake, Security Lake API o AWS CLI. Cuando complete estos pasos, Security Hub empezará a enviar todos los resultados a Security Lake.
Security Lake normaliza automáticamente los hallazgos de Security Hub y los convierte en un esquema estandarizado de código abierto denominado Open Cybersecurity Schema Framework ()OCSF. En Security Lake, puede añadir uno o más suscriptores para consumir resultados de Security Hub.
Para obtener más información sobre esta integración, incluidas las instrucciones sobre cómo añadir Security Hub como fuente y crear suscriptores, consulte Integración con AWS Security Hub en la Guía del usuario de Amazon Security Lake.
AWS Systems Manager Explorer y OpsCenter (recibe y actualiza los resultados)
AWS Systems Manager Explore y OpsCenter reciba las conclusiones de Security Hub y actualícelas en Security Hub.
Explorer le proporciona un panel personalizable con información y análisis clave sobre el estado y el rendimiento operativos de su entorno de AWS .
OpsCenter le proporciona una ubicación central para ver, investigar y resolver los elementos de trabajo operativos.
Para obtener más información sobre Explorer OpsCenter, consulte Gestión de operaciones en la Guía del AWS Systems Manager usuario.
AWS Trusted Advisor (Recibe los resultados)
Trusted Advisor se basa en las mejores prácticas aprendidas al atender a cientos de miles de AWS clientes. Trusted Advisor inspecciona su AWS entorno y, a continuación, hace recomendaciones cuando existen oportunidades para ahorrar dinero, mejorar la disponibilidad y el rendimiento del sistema o ayudar a cerrar las brechas de seguridad.
Al habilitar ambos Trusted Advisor y Security Hub, la integración se actualiza automáticamente.
Security Hub envía los resultados de sus comprobaciones de mejores prácticas de seguridad AWS fundamentales a Trusted Advisor.
Para obtener más información sobre la integración de Security Hub con Trusted Advisor, consulte Visualización de los controles de AWS Security Hub AWS Trusted Advisor en la Guía del usuario de AWS Support.
