Intégration à AWS Security Hub - Amazon Inspector Classic

Il s'agit du guide de l'utilisateur d'Amazon Inspector Classic. Pour plus d'informations sur le nouvel Amazon Inspector, consultez le guide de l'utilisateur d'Amazon Inspector. Pour accéder à la console Amazon Inspector Classic, ouvrez la console Amazon Inspector à l'https://console.aws.amazon.com/inspector/adresse, puis sélectionnez Amazon Inspector Classic dans le volet de navigation.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégration à AWS Security Hub

AWS Security Hub fournit une vue complète de votre état de sécurité dans AWS et vous permet de vérifier votre environnement par rapport aux normes et aux bonnes pratiques du secteur de la sécurité. Security Hub collecte les données de sécurité des comptes et services AWS, et de produits de tierces parties pris en charge. Il vous aide aussi à analyser les tendances en matière de sécurité et à identifier les problèmes de sécurité prioritaires.

L'intégration d'Amazon Inspector avec Security Hub vous permet d'envoyer les résultats d'Amazon Inspector à Security Hub. Security Hub peut ensuite inclure ces résultats dans son analyse de votre posture de sécurité.

Comment Amazon Inspector envoie des résultats à Security Hub

Dans Security Hub, les problèmes de sécurité sont suivis en tant que résultats. Certains résultats proviennent de problèmes qui sont détectés par d'autres services AWS ou par des partenaires tiers. Security Hub utilise également un ensemble de règles pour détecter les problèmes de sécurité et générer des résultats.

Security Hub fournit des outils permettant de gérer les résultats provenant de toutes ces sources. Vous pouvez afficher et filtrer les listes de résultats et afficher les informations sur un résultat. Veuillez consulter Viewing findings (Affichage des résultats)dans le Guide de l'utilisateur AWS Security Hub. Vous pouvez également suivre le statut d'une analyse dans un résultat. Consultez Prendre des mesures à la suite des résultats dans le Guide de l'utilisateur AWS Security Hub.

Tous les résultats dans Security Hub utilisent un format JSON standard appelé AWS Security Finding Format (ASFF). Le format ASFF comprend des informations sur la source du problème, les ressources affectées et le statut actuel du résultat. VoirFormat ASFF (AWS Security Finding Format)dans leAWS Security HubGuide de l'utilisateur.

Amazon Inspector est l'un desAWSservices qui envoie des résultats à Security Hub.

Types de résultats envoyés par Amazon Inspector

Amazon Inspector envoie tous les résultats qu'il génère à Security Hub.

Amazon Inspector envoie les résultats à Security Hub dans leAWSFormat ASFF ( Security Finding Format). Dans le format ASFF, le champ Types fournit le type de résultat. Les résultats d'Amazon Inspector peuvent avoir les valeurs suivantes pourTypes.

  • Vérification du logiciel et de configuration/Vulnérabilité/CVE

  • Vérification du logiciel et de configuration/Bonne de sécurité AWS et accessibilité du réseau

  • Contrôles logiciels et de configuration/Normes de l'industrie et de la règlementation/Benchmarks de renforcement de l'hôte CIS

Latence pour l'envoi des résultats

Lorsqu'Amazon Inspector crée un résultat, ce dernier est généralement envoyé à Security Hub dans les cinq minutes.

Réessayer lorsque Security Hub n'est pas disponible

Si Security Hub n'est pas disponible, Amazon Inspector essaie à nouveau d'envoyer les résultats jusqu'à ce qu'ils soient reçus.

Mise à jour des résultats existants dans Security Hub

Après avoir envoyé un résultat à Security Hub, Amazon Inspector met à jour ce résultat pour refléter d'autres observations de l'activité de recherche. Cela entraînera moins de résultats Amazon Inspector dans Security Hub que dans Amazon Inspector.

Résultat type d'Amazon Inspector

Amazon Inspector envoie des résultats à Security Hub dans leAWSFormat ASFF ( Security Finding Format).

Voici un exemple de résultat type d'Amazon Inspector.

{ "SchemaVersion": "2018-10-08", "Id": "inspector/us-east-1/111122223333/629ff13fbbb44c872f7bba3e7f79f60cb6d443d8", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "GeneratorId": "arn:aws:inspector:us-east-1:316112463485:rulespackage/0-PmNV0Tcd", "AwsAccountId": "111122223333", "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Network Reachability - Recognized port reachable from internet" ], "CreatedAt": "2020-08-19T17:36:22.169Z", "UpdatedAt": "2020-11-04T16:36:06.064Z", "Severity": { "Label": "MEDIUM", "Normalized": 40, "Original": "6.0" }, "Confidence": 10, "Title": "On instance i-0c10c2c7863d1a356, TCP port 22 which is associated with 'SSH' is reachable from the internet", "Description": "On this instance, TCP port 22, which is associated with SSH, is reachable from the internet. You can install the Inspector agent on this instance and re-run the assessment to check for any process listening on this port. The instance i-0c10c2c7863d1a356 is located in VPC vpc-a0c2d7c7 and has an attached ENI eni-078eac9d6ad9b20d1 which uses network ACL acl-154b8273. The port is reachable from the internet through Security Group sg-0af64c8a5eb30ca75 and IGW igw-e209d785", "Remediation": { "Recommendation": { "Text": "You can edit the Security Group sg-0af64c8a5eb30ca75 to remove access from the internet on port 22" } }, "ProductFields": { "attributes/VPC": "vpc-a0c2d7c7", "aws/inspector/id": "Recognized port reachable from internet", "serviceAttributes/schemaVersion": "1", "aws/inspector/arn": "arn:aws:inspector:us-east-1:111122223333:target/0-8zh1cWkg/template/0-rqtRV0u0/run/0-Ck2F6tY9/finding/0-B458MQWe", "attributes/ACL": "acl-154b8273", "serviceAttributes/assessmentRunArn": "arn:aws:inspector:us-east-1:111122223333:target/0-8zh1cWkg/template/0-rqtRV0u0/run/0-Ck2F6tY9", "attributes/PROTOCOL": "TCP", "attributes/RULE_TYPE": "RecognizedPortNoAgent", "aws/inspector/RulesPackageName": "Network Reachability", "attributes/INSTANCE_ID": "i-0c10c2c7863d1a356", "attributes/PORT_GROUP_NAME": "SSH", "attributes/IGW": "igw-e209d785", "serviceAttributes/rulesPackageArn": "arn:aws:inspector:us-east-1:111122223333:rulespackage/0-PmNV0Tcd", "attributes/SECURITY_GROUP": "sg-0af64c8a5eb30ca75", "attributes/ENI": "eni-078eac9d6ad9b20d1", "attributes/REACHABILITY_TYPE": "Internet", "attributes/PORT": "22", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/inspector/inspector/us-east-1/111122223333/629ff13fbbb44c872f7bba3e7f79f60cb6d443d8", "aws/securityhub/ProductName": "Inspector", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-east-1:193043430472:instance/i-0c10c2c7863d1a356", "Partition": "aws", "Region": "us-east-1", "Tags": { "Name": "kubectl" }, "Details": { "AwsEc2Instance": { "ImageId": "ami-02354e95b39ca8dec", "IpV4Addresses": [ "172.31.43.6" ], "VpcId": "vpc-a0c2d7c7", "SubnetId": "subnet-4975b475" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE" }

Activation et configuration de l'intégration

Pour utiliser l'intégration avec Security Hub, vous devez activer Security Hub. Pour plus d'informations sur la façon d'activer Security Hub, veuillez consulter Configuration de Security Hub dans le Guide de l'utilisateur AWS Security Hub.

Lorsque vous activez à la fois Amazon Inspector et Security Hub, l'intégration est activée automatiquement. Amazon Inspector commence à envoyer les résultats à Security Hub.

Comment arrêter l'envoi des résultats

Pour arrêter l'envoi des résultats à Security Hub, vous pouvez utiliser la console Security Hub ou l'API.

VoirDésactivation et activation du flux de résultats d'une intégration (console)ouDésactivation du flux de résultats d'une intégration (API Security Hub, AWS CLI)dans leAWS Security HubGuide de l'utilisateur.