Service AWS intégrations avec Security Hub - AWS Security Hub
Vue d'ensemble des intégrations de AWS services avec Security HubAWS services qui envoient les résultats à Security HubAWS services recevant les résultats de Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Service AWS intégrations avec Security Hub

AWS Security Hub prend en charge les intégrations avec plusieurs autres Services AWS.

Note

Il est possible que les intégrations ne soient pas toutes Régions AWS disponibles. Si une intégration n'est pas prise en charge dans la région actuelle, elle n'apparaît pas sur la page Intégrations.

Pour obtenir la liste des intégrations disponibles dans les régions chinoises AWS GovCloud (US), voir Intégrations prises en charge en Chine (Pékin) et en Chine (Ningxia) etIntégrations prises en charge dans AWS GovCloud (USA Est) et AWS GovCloud (USA Ouest).

Sauf indication contraire ci-dessous, Service AWS les intégrations qui envoient des résultats à Security Hub sont automatiquement activées une fois que vous avez activé Security Hub et l'autre service. Les intégrations qui reçoivent les résultats du Security Hub peuvent nécessiter des étapes supplémentaires pour être activées. Consultez les informations relatives à chaque intégration pour en savoir plus.

Vue d'ensemble des intégrations de AWS services avec Security Hub

Voici un aperçu des AWS services qui envoient des résultats à Security Hub ou reçoivent des résultats de Security Hub.

AWS Service intégré Direction

AWS Config

Envoie les résultats

AWS Firewall Manager

Envoie les résultats

Amazon GuardDuty

Envoie les résultats

AWS Health

Envoie les résultats

AWS Identity and Access Management Access Analyzer

Envoie les résultats

Amazon Inspector

Envoie les résultats

AWS IoT Device Defender

Envoie les résultats

Amazon Macie

Envoie les résultats

AWS Systems Manager Gestionnaire de correctifs

Envoie les résultats

AWS Audit Manager

Reçoit les résultats

AWS Chatbot

Reçoit les résultats

Amazon Detective

Reçoit les résultats

Amazon Security Lake

Reçoit les résultats

AWS Systems Manager Explorateur et OpsCenter

Reçoit et met à jour les résultats

AWS Trusted Advisor

Reçoit les résultats

AWS services qui envoient les résultats à Security Hub

Les AWS services suivants s'intègrent à Security Hub en envoyant les résultats à Security Hub. Security Hub convertit les résultats au format AWS Security Finding.

AWS Config (Envoie les résultats)

AWS Config est un service qui vous permet d'évaluer, d'auditer et d'évaluer les configurations de vos AWS ressources. AWS Config surveille et enregistre en permanence les configurations de vos AWS ressources et vous permet d'automatiser l'évaluation des configurations enregistrées par rapport aux configurations souhaitées.

En utilisant l'intégration avec AWS Config, vous pouvez consulter les résultats des évaluations de règles AWS Config gérées et personnalisées sous forme de conclusions dans Security Hub. Ces résultats peuvent être consultés en même temps que d'autres résultats de Security Hub, en fournissant une vue d'ensemble complète de votre niveau de sécurité.

AWS Config utilise Amazon EventBridge pour envoyer des évaluations de AWS Config règles à Security Hub. Security Hub transforme les évaluations des règles en résultats conformes au format AWS Security Finding. Security Hub enrichit ensuite les résultats de son mieux en obtenant plus d'informations sur les ressources concernées, telles que le nom de la ressource Amazon (ARN), les balises de ressource et la date de création.

Pour plus d'informations sur cette intégration, consultez les sections suivantes.

Tous les résultats de Security Hub utilisent le JSON format standard deASFF. ASFFinclut des détails sur l'origine de la découverte, la ressource affectée et l'état actuel de la découverte. AWS Config envoie des évaluations de règles gérées et personnalisées à Security Hub via EventBridge. Security Hub transforme les évaluations des règles en résultats qui suivent ASFF et enrichissent les résultats dans la mesure du possible.

Types de résultats AWS Config envoyés à Security Hub

Une fois l'intégration activée, AWS Config envoie les évaluations de toutes les règles AWS Config gérées et des règles personnalisées à Security Hub. Seules les évaluations effectuées après l'activation de Security Hub sont envoyées. Supposons, par exemple, qu'une évaluation des AWS Config règles révèle cinq ressources défaillantes. Si j'active Security Hub par la suite, et que la règle révèle ensuite une sixième ressource défaillante, AWS Config seule la sixième évaluation de ressource est envoyée à Security Hub.

Les évaluations issues de AWS Config règles liées aux services, telles que celles utilisées pour vérifier les contrôles du Security Hub, sont exclues.

Envoi AWS Config des résultats à Security Hub

Lorsque l'intégration est activée, Security Hub attribue automatiquement les autorisations nécessaires pour recevoir les résultats AWS Config. Security Hub utilise des autorisations de service-to-service niveau qui vous permettent d'activer cette intégration en toute sécurité et d'importer des résultats AWS Config depuis Amazon EventBridge.

Latence pour l'envoi des résultats

Lorsque vous AWS Config créez un nouveau résultat, vous pouvez généralement le consulter dans Security Hub dans un délai de cinq minutes.

Réessayer lorsque Security Hub n'est pas disponible

AWS Config envoie les résultats à Security Hub dans la mesure du possible via EventBridge. Lorsqu'un événement n'est pas transmis avec succès à Security Hub, EventBridge réessayez de le diffuser pendant 24 heures ou 185 fois, selon la première éventualité.

Mise à jour des AWS Config résultats existants dans Security Hub

Après avoir AWS Config envoyé un résultat à Security Hub, celui-ci peut envoyer des mises à jour du même résultat à Security Hub afin de refléter des observations supplémentaires concernant l'activité de recherche. Les mises à jour ne sont envoyées que pour les ComplianceChangeNotification événements. Si aucun changement de conformité ne se produit, les mises à jour ne sont pas envoyées à Security Hub. Security Hub supprime les résultats 90 jours après la dernière mise à jour ou 90 jours après leur création si aucune mise à jour n'a lieu.

Security Hub n'archive pas les résultats envoyés depuis, AWS Config même si vous supprimez la ressource associée.

Régions dans lesquelles AWS Config des résultats existent

AWS Config les résultats sont établis sur une base régionale. AWS Config envoie les résultats à Security Hub dans la ou les mêmes régions où ils ont été découverts.

Pour consulter vos AWS Config résultats, choisissez Findings dans le volet de navigation du Security Hub. Pour filtrer les résultats afin de n'afficher que AWS Config les résultats, sélectionnez Nom du produit dans le menu déroulant de la barre de recherche. Entrez Config, puis choisissez Appliquer.

Interprétation AWS Config de la recherche de noms dans Security Hub

Security Hub transforme les évaluations des AWS Config règles en résultats conformes auxAWS Format de recherche de sécurité (ASFF). AWS Config les évaluations de règles utilisent un modèle d'événement différent de celui deASFF. Le tableau suivant met en correspondance les champs d'évaluation des AWS Config règles avec leurs ASFF homologues tels qu'ils apparaissent dans Security Hub.

Type de recherche d'évaluation des règles de configuration ASFFtype de recherche Valeur codée en dur
détail. awsAccountId AwsAccountId
détail. newEvaluationResult. resultRecordedTime CreatedAt
détail. newEvaluationResult. resultRecordedTime UpdatedAt
ProductArn <region>« arn ::securityhub : <partition>: : » product/aws/config
ProductName « Config »
CompanyName "AWS"
Région « eu-central-1 »
configRuleArn GeneratorId, ProductFields
détail. ConfigRuleARN/finding/hash Id
détail. configRuleName Titre, ProductFields
détail. configRuleName Description « Cette constatation est créée pour une modification de conformité des ressources pour la règle de configuration : ${detail.ConfigRuleName} »
Elément de configuration ARN « » ou Security Hub calculé ARN Ressources [i] .id
détail. resourceType Ressources [i] .Type "AwsS3Bucket"
Ressources [i] .Partition "aws"
Ressources [i] .Region « eu-central-1 »
Élément de configuration « configuration » Ressources [i] .Détails
SchemaVersion « 2018-10-08 »
Sévérité. Label Voir « Interprétation de l'étiquette de gravité » ci-dessous
Types ["Vérifications du logiciel et de la configuration"]
détail. newEvaluationResult. complianceType État de conformité « FAILED «," NOT _ AVAILABLE «," PASSED « ou" WARNING »
État du flux de travail « RESOLVED » si un AWS Config résultat est généré avec un statut de conformité de « »PASSED, ou si le statut de conformité passe de « » à « ». » FAILED PASSED Dans le cas contraire, Workflow.Status sera « ». NEW Vous pouvez modifier cette valeur au cours de l'BatchUpdateFindingsAPIopération.

Interprétation du label de gravité

Tous les résultats issus des évaluations des AWS Config règles ont une étiquette de gravité par défaut MEDIUM, dans leASFF. Vous pouvez mettre à jour l'étiquette de gravité d'une constatation lors de l'BatchUpdateFindingsAPIopération.

Constatation typique tirée de AWS Config

Security Hub transforme les évaluations des AWS Config règles en résultats conformes auxASFF. Voici un exemple de résultat typique tiré AWS Config duASFF.

Note

Si la description comporte plus de 1024 caractères, elle sera tronquée à 1024 caractères et indiquera « (tronqué) » à la fin.

{
	"SchemaVersion": "2018-10-08",
	"Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932",
	"ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config",
	"ProductName": "Config",
	"CompanyName": "AWS",
	"Region": "eu-central-1",
	"GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
	"AwsAccountId": "123456789012",
	"Types": [
		"Software and Configuration Checks"
	],
	"CreatedAt": "2022-04-15T05:00:37.181Z",
	"UpdatedAt": "2022-04-19T21:20:15.056Z",
	"Severity": {
		"Label": "MEDIUM",
		"Normalized": 40
	},
	"Title": "s3-bucket-level-public-access-prohibited-config-integration-demo",
	"Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo",
	"ProductFields": {
		"aws/securityhub/ProductName": "Config",
		"aws/securityhub/CompanyName": "AWS",
		"aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902",
		"aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
		"aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo",
		"aws/config/ConfigComplianceType": "NON_COMPLIANT"
	},
	"Resources": [{
		"Type": "AwsS3Bucket",
		"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
		"Partition": "aws",
		"Region": "eu-central-1",
		"Details": {
			"AwsS3Bucket": {
				"OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c",
				"CreatedAt": "2022-04-15T04:32:53.000Z"
			}
		}
	}],
	"Compliance": {
		"Status": "FAILED"
	},
	"WorkflowState": "NEW",
	"Workflow": {
		"Status": "NEW"
	},
	"RecordState": "ACTIVE",
	"FindingProviderFields": {
		"Severity": {
			"Label": "MEDIUM"
		},
		"Types": [
			"Software and Configuration Checks"
		]
	}
}

Une fois que vous avez activé Security Hub, cette intégration est automatiquement activée. AWS Config commence immédiatement à envoyer les résultats à Security Hub.

Pour arrêter d'envoyer des résultats à Security Hub, vous pouvez utiliser la console Security Hub ou Security HubAPI.

Pour obtenir des instructions sur la manière d'arrêter le flux de résultats, voirPermettre le flux des résultats d'une intégration.

AWS Firewall Manager (Envoie les résultats)

Firewall Manager envoie les résultats à Security Hub lorsqu'une politique de pare-feu d'application Web (WAF) pour les ressources ou une règle de liste de contrôle d'accès Web (WebACL) n'est pas conforme. Firewall Manager envoie également des résultats lorsqu' AWS Shield Advanced il ne protège pas les ressources ou lorsqu'une attaque est identifiée.

Une fois que vous avez activé Security Hub, cette intégration est automatiquement activée. Firewall Manager commence immédiatement à envoyer ses résultats à Security Hub.

Pour en savoir plus sur l'intégration, consultez la page Intégrations de la console Security Hub.

Pour en savoir plus sur Firewall Manager, consultez le manuel du AWS WAF développeur.

Amazon GuardDuty (envoie les résultats)

GuardDuty envoie tous les résultats qu'il génère à Security Hub.

Les nouvelles découvertes GuardDuty sont envoyées à Security Hub dans les cinq minutes. Les mises à jour des résultats sont envoyées en fonction du paramètre Résultats mis à jour pour Amazon EventBridge dans GuardDuty les paramètres.

Lorsque vous générez des GuardDuty échantillons de résultats à l'aide de la page GuardDuty Paramètres, Security Hub reçoit les résultats des échantillons et omet le préfixe [Sample] dans le type de recherche. Par exemple, le type de recherche d'échantillon GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions est affiché comme Recon:IAMUser/ResourcePermissions dans Security Hub.

Une fois que vous avez activé Security Hub, cette intégration est automatiquement activée. GuardDuty commence immédiatement à envoyer les résultats à Security Hub.

Pour plus d'informations sur l' GuardDuty intégration, consultez Integration with AWS Security Hub dans le guide de GuardDuty l'utilisateur Amazon.

AWS Health (Envoie les résultats)

AWS Health fournit une visibilité continue sur les performances de vos ressources et sur la disponibilité de vos Services AWS terres Comptes AWS. Vous pouvez utiliser AWS Health les événements pour découvrir comment les modifications des services et des ressources peuvent affecter les applications qui s'exécutent sur AWS.

L'intégration avec AWS Health n'utilise pasBatchImportFindings. AWS Health Utilise plutôt la messagerie service-to-service événementielle pour envoyer les résultats à Security Hub.

Pour plus d'informations sur l'intégration, consultez les sections suivantes.

Dans Security Hub, les problèmes de sécurité sont suivis en tant que findings. (résultats) Certains résultats proviennent de problèmes détectés par d'autres AWS services ou par des partenaires tiers. Security Hub utilise également un ensemble de règles pour détecter les problèmes de sécurité et générer des résultats.

Security Hub fournit des outils permettant de gérer les résultats provenant de toutes ces sources. Vous pouvez afficher et filtrer les listes de résultats et afficher les informations sur un résultat. Consultez Révision des informations de recherche et de l'historique des recherches dans Security Hub. Vous pouvez également suivre le statut d'une analyse dans un résultat. Consultez Configuration de l'état du flux de travail en fonction des résultats du Security Hub.

Tous les résultats de Security Hub utilisent un JSON format standard appeléAWS Format de recherche de sécurité (ASFF). ASFFinclut des détails sur la source du problème, les ressources concernées et l'état actuel de la découverte.

AWS Health est l'un des AWS services qui envoie les résultats à Security Hub.

Types de résultats AWS Health envoyés à Security Hub

Une fois l'intégration activée, AWS Health envoie à Security Hub les résultats répondant à une ou plusieurs des spécifications répertoriées. Security Hub ingère les résultats dans leAWS Format de recherche de sécurité (ASFF).

  • Résultats contenant l'une des valeurs suivantes pour Service AWS :

    • RISK

    • ABUSE

    • ACM

    • CLOUDHSM

    • CLOUDTRAIL

    • CONFIG

    • CONTROLTOWER

    • DETECTIVE

    • EVENTS

    • GUARDDUTY

    • IAM

    • INSPECTOR

    • KMS

    • MACIE

    • SES

    • SECURITYHUB

    • SHIELD

    • SSO

    • COGNITO

    • IOTDEVICEDEFENDER

    • NETWORKFIREWALL

    • ROUTE53

    • WAF

    • FIREWALLMANAGER

    • SECRETSMANAGER

    • BACKUP

    • AUDITMANAGER

    • ARTIFACT

    • CLOUDENDURE

    • CODEGURU

    • ORGANIZATIONS

    • DIRECTORYSERVICE

    • RESOURCEMANAGER

    • CLOUDWATCH

    • DRS

    • INSPECTOR2

    • RESILIENCEHUB

  • Résultats obtenus avec les mots securityabuse, ou certificate AWS Health typeCode sur le terrain

  • Résultats indiquant où se trouve le AWS Health service risk ou abuse

Envoi AWS Health des résultats à Security Hub

Lorsque vous choisissez d'accepter les résultats de AWS Health, Security Hub attribue automatiquement les autorisations nécessaires pour recevoir les résultats AWS Health. Security Hub utilise des autorisations de service-to-service niveau qui vous permettent d'activer facilement et en toute sécurité cette intégration et d'importer des résultats AWS Health depuis Amazon EventBridge en votre nom. Si vous sélectionnez Accepter les résultats, Security Hub autorise Security Hub à consulter les résultats provenant de AWS Health.

Latence pour l'envoi des résultats

Lors AWS Health de la création d'un nouveau résultat, il est généralement envoyé à Security Hub dans les cinq minutes.

Réessayer lorsque Security Hub n'est pas disponible

AWS Health envoie les résultats à Security Hub dans la mesure du possible via EventBridge. Lorsqu'un événement n'est pas transmis avec succès à Security Hub, EventBridge réessayez de l'envoyer pendant 24 heures.

Mise à jour des résultats existants dans Security Hub

Après avoir AWS Health envoyé un résultat à Security Hub, celui-ci peut envoyer des mises à jour du même résultat afin de refléter des observations supplémentaires concernant l'activité de recherche à Security Hub.

Régions dans lesquelles des résultats existent

Pour les événements mondiaux, AWS Health envoie les résultats à Security Hub au format us-east-1 AWS (partition), cn-northwest-1 (partition chinoise) et -1 (partition). gov-us-west GovCloud AWS Health envoie des événements spécifiques à une région au Security Hub de la ou des régions où les événements se produisent.

Pour consulter vos AWS Health résultats dans Security Hub, choisissez Findings dans le panneau de navigation. Pour filtrer les résultats afin de n'afficher que AWS Health les résultats, choisissez Health dans le champ Nom du produit.

Interprétation AWS Health de la recherche de noms dans Security Hub

AWS Health envoie les résultats à Security Hub à l'aide duAWS Format de recherche de sécurité (ASFF). AWS Health la recherche utilise un modèle d'événement différent de celui du ASFF format Security Hub. Le tableau ci-dessous détaille tous les champs de AWS Health recherche avec leur ASFF équivalent tels qu'ils apparaissent dans Security Hub.

Type de diagnostic de santé ASFFtype de recherche Valeur codée en dur
compte AwsAccountId
détail. startTime CreatedAt
détail. eventDescription. latestDescription Description
détail. eventTypeCode GeneratorId
détail. eventArn (compte inclus) + hachage de détails. startTime Id
<region>« arn:aws:securityhub : : : » product/aws/health ProductArn
compte ou resourceId Ressources [i] .id
Ressources [i] .Type « Autre »
SchemaVersion « 2018-10-08 »
Sévérité. Label Voir « Interprétation de l'étiquette de gravité » ci-dessous
« AWS Health  - » détail. eventTypeCode Title
- Types ["Vérifications du logiciel et de la configuration"]
événement.heure UpdatedAt
URLde l'événement sur la console Health SourceUrl
Interprétation du label de gravité

L'étiquette de gravité du ASFF résultat est déterminée selon la logique suivante :

  • Sévérité CRITICALsi :

    • Le service champ de la AWS Health recherche contient la valeur Risk

    • Le typeCode champ de la AWS Health recherche contient la valeur AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION

    • Le typeCode champ de la AWS Health recherche contient la valeur AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK

    • Le typeCode champ de la AWS Health recherche contient la valeur AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES

    Sévérité HIGHsi :

    • Le service champ de la AWS Health recherche contient la valeur Abuse

    • Le typeCode champ de la AWS Health recherche contient la valeur SECURITY_NOTIFICATION

    • Le typeCode champ de la AWS Health recherche contient la valeur ABUSE_DETECTION

    Sévérité MEDIUMsi :

    • Le service champ de la recherche est l'un des suivants :ACM,ARTIFACT,AUDITMANAGER,BACKUP,CLOUDENDURE,CLOUDHSM,CLOUDTRAIL,CLOUDWATCH,CODEGURGU,COGNITO,CONFIG, CONTROLTOWERDETECTIVE,DIRECTORYSERVICE,DRS,EVENTS,FIREWALLMANAGER,GUARDDUTY,IAM,INSPECTOR,INSPECTOR2,IOTDEVICEDEFENDER,KMS,MACIE,NETWORKFIREWALL,ORGANIZATIONS,RESILIENCEHUB,RESOURCEMANAGER,ROUTE53,SECURITYHUB,SECRETSMANAGER,SES,SHIELD,SSO, ou WAF

    • Le typeCodechamp de la AWS Health recherche contient la valeur CERTIFICATE

    • Le typeCodechamp de la AWS Health recherche contient la valeur END_OF_SUPPORT

Constatation typique tirée de AWS Health

AWS Health envoie les résultats à Security Hub à l'aide duAWS Format de recherche de sécurité (ASFF). Voici un exemple de résultat typique tiré de AWS Health.

Note

Si la description comporte plus de 1024 caractères, elle sera tronquée à 1024 caractères et indiquera (tronqué) à la fin.

{
            "SchemaVersion": "2018-10-08",
            "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health",
            "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS",
            "AwsAccountId": "123456789012",
            "Types": [
                "Software and Configuration Checks"
            ],
            "CreatedAt": "2022-01-07T16:34:04.000Z",
            "UpdatedAt": "2022-01-07T19:17:43.000Z",
            "Severity": {
                "Label": "MEDIUM",
                "Normalized": 40
            },
            "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS",
            "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).",
            "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
            "ProductFields": {
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
                "aws/securityhub/ProductName": "Health",
                "aws/securityhub/CompanyName": "AWS"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com"
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "MEDIUM"
                },
                "Types": [
                    "Software and Configuration Checks"
                ]
            }
        }
    ]
}

Une fois que vous avez activé Security Hub, cette intégration est automatiquement activée. AWS Health commence immédiatement à envoyer les résultats à Security Hub.

Pour arrêter d'envoyer des résultats à Security Hub, vous pouvez utiliser la console Security Hub ou Security HubAPI.

Pour obtenir des instructions sur la manière d'arrêter le flux de résultats, voirPermettre le flux des résultats d'une intégration.

AWS Identity and Access Management Access Analyzer (Envoie les résultats)

Avec IAM Access Analyzer, tous les résultats sont envoyés à Security Hub.

IAMAccess Analyzer utilise un raisonnement basé sur la logique pour analyser les politiques basées sur les ressources appliquées aux ressources prises en charge dans votre compte. IAMAccess Analyzer génère une constatation lorsqu'il détecte une déclaration de politique permettant à un principal externe d'accéder à une ressource de votre compte.

Dans IAM Access Analyzer, seul le compte administrateur peut consulter les résultats des analyseurs qui s'appliquent à une organisation. Pour les analyseurs d'organisation, le AwsAccountId ASFF champ reflète l'ID du compte administrateur. En dessousProductFields, le ResourceOwnerAccount champ indique le compte dans lequel la découverte a été découverte. Si vous activez les analyseurs individuellement pour chaque compte, Security Hub génère plusieurs résultats, l'un identifiant le compte administrateur et l'autre identifiant le compte ressource.

Pour plus d'informations, consultez la section Intégration à AWS Security Hub dans le guide de IAM l'utilisateur.

Amazon Inspector (envoie les résultats)

Amazon Inspector est un service de gestion des vulnérabilités qui analyse en permanence vos AWS charges de travail pour détecter les vulnérabilités. Amazon Inspector découvre et analyse automatiquement les EC2 instances Amazon et les images de conteneurs qui se trouvent dans le registre Amazon Elastic Container Registry. L'analyse recherche les vulnérabilités logicielles et les expositions involontaires au réseau.

Une fois que vous avez activé Security Hub, cette intégration est automatiquement activée. Amazon Inspector commence immédiatement à envoyer tous les résultats qu'il génère à Security Hub.

Pour plus d'informations sur l'intégration, consultez Integration with AWS Security Hub dans le guide de l'utilisateur d'Amazon Inspector.

Security Hub peut également recevoir les résultats d'Amazon Inspector Classic. Amazon Inspector Classic envoie les résultats à Security Hub qui sont générés par le biais d'évaluations pour tous les packages de règles pris en charge.

Pour plus d'informations sur l'intégration, consultez Integration with AWS Security Hub dans le guide de l'utilisateur Amazon Inspector Classic.

Les résultats pour Amazon Inspector et Amazon Inspector Classic utilisent le même produitARN. Les résultats d'Amazon Inspector contiennent l'entrée suivante dans ProductFields :

"aws/inspector/ProductVersion": "2",

AWS IoT Device Defender (Envoie les résultats)

AWS IoT Device Defender est un service de sécurité qui audite la configuration de vos appareils IoT, surveille les appareils connectés pour détecter les comportements anormaux et contribue à atténuer les risques de sécurité.

Après avoir activé les deux AWS IoT Device Defender options et Security Hub, rendez-vous sur la page Intégrations de la console Security Hub et choisissez Accepter les résultats pour Audit, Detect ou les deux. AWS IoT Device Defender Audit and Detect commence à envoyer tous les résultats à Security Hub.

AWS IoT Device Defender L'audit envoie des résumés de contrôle à Security Hub, qui contiennent des informations générales relatives à un type de contrôle d'audit et à une tâche d'audit spécifiques. AWS IoT Device Defender Detect envoie les résultats des violations relatives à l'apprentissage automatique (ML), aux statistiques et aux comportements statiques à Security Hub. L'audit envoie également les mises à jour de recherche à Security Hub.

Pour plus d'informations sur cette intégration, consultez la section Integration with AWS Security Hub dans le manuel du AWS IoT développeur.

Amazon Macie (envoie les résultats)

Une découverte de Macie peut indiquer qu'il existe une violation potentielle de la politique ou que des données sensibles, telles que des informations personnelles identifiables (PII), sont présentes dans les données que votre organisation stocke sur Amazon S3.

Une fois que vous avez activé Security Hub, Macie commence automatiquement à envoyer les résultats des politiques à Security Hub. Vous pouvez configurer l'intégration pour envoyer également les résultats de données sensibles à Security Hub.

Dans Security Hub, le type de recherche d'une politique ou d'une recherche de données sensibles est remplacé par une valeur compatible avecASFF. Par exemple, le type de Policy:IAMUser/S3BucketPublic recherche dans Macie est affiché comme Effects/Data Exposure/Policy:IAMUser-S3BucketPublic dans Security Hub.

Macie envoie également les résultats des échantillons générés à Security Hub. Pour les résultats d'échantillonnage, le nom de la ressource affectée est macie-sample-finding-bucket et la valeur du Sample champ esttrue.

Pour plus d'informations, consultez la section Intégration d'Amazon Macie à AWS Security Hub dans le guide de l'utilisateur d'Amazon Macie.

AWS Systems Manager Gestionnaire de correctifs (envoie les résultats)

AWS Systems Manager Patch Manager envoie les résultats à Security Hub lorsque les instances du parc d'un client ne sont pas conformes à sa norme de conformité aux correctifs.

Le Gestionnaire de correctifs automatise le processus d’application des correctifs de sécurité et d’autres types de mise à jour sur les instances gérées.

Une fois que vous avez activé Security Hub, cette intégration est automatiquement activée. Systems Manager Patch Manager commence immédiatement à envoyer ses résultats à Security Hub.

Pour plus d'informations sur l'utilisation du gestionnaire de correctifs, consultez la section Gestionnaire de AWS Systems Manager correctifs dans le guide de AWS Systems Manager l'utilisateur.

AWS services recevant les résultats de Security Hub

Les AWS services suivants sont intégrés à Security Hub et reçoivent les résultats de Security Hub. Lorsque cela est indiqué, le service intégré peut également mettre à jour les résultats. Dans ce cas, la recherche des mises à jour que vous apportez dans le service intégré sera également reflétée dans Security Hub.

AWS Audit Manager (Reçoit les résultats)

AWS Audit Manager reçoit les résultats de Security Hub. Ces résultats aident les utilisateurs d'Audit Manager à se préparer aux audits.

Pour en savoir plus sur Audit Manager, consultez le guide de l'utilisateur d'AWS Audit Manager. AWS Les contrôles pris en charge par Security Hub AWS Audit Manager répertorient les contrôles pour lesquels Security Hub envoie les résultats à Audit Manager.

AWS Chatbot (Reçoit les résultats)

AWS Chatbot est un agent interactif qui vous aide à surveiller et à interagir avec vos AWS ressources sur vos chaînes Slack et les forums de discussion Amazon Chime.

AWS Chatbot reçoit les résultats de Security Hub.

Pour en savoir plus sur l' AWS Chatbot intégration avec Security Hub, consultez la présentation de l'intégration de Security Hub dans le guide de l'AWS Chatbot administrateur.

Amazon Detective (reçoit les résultats)

Detective collecte automatiquement les données des journaux à partir de vos AWS ressources et utilise l'apprentissage automatique, l'analyse statistique et la théorie des graphes pour vous aider à visualiser et à mener des enquêtes de sécurité plus rapides et plus efficaces.

L'intégration de Security Hub à Detective vous permet de passer des GuardDuty résultats d'Amazon dans Security Hub à Detective. Vous pouvez ensuite utiliser les outils Detective et les visualisations pour les étudier. L'intégration ne nécessite aucune configuration supplémentaire dans Security Hub ou Detective.

Pour les résultats provenant d'autres utilisateurs Services AWS, le panneau de détails des recherches de la console Security Hub inclut une sous-section Investigate in Detective. Cette sous-section contient un lien vers Detective où vous pouvez étudier plus en détail le problème de sécurité signalé par le résultat. Vous pouvez également créer un graphe de comportement dans Detective en vous basant sur les résultats du Security Hub afin de mener des enquêtes plus efficaces. Pour plus d'informations, consultez les résultats AWS de sécurité dans le guide d'administration Amazon Detective.

Si l'agrégation entre régions est activée, lorsque vous quittez la région d'agrégation, Detective s'ouvre dans la région d'où provient le résultat.

Si un lien ne fonctionne pas et que vous souhaitez accéder à des conseils de dépannage, veuillez consulter la page relative au dépannage.

Amazon Security Lake (reçoit les résultats)

Security Lake est un service de lac de données de sécurité entièrement géré. Vous pouvez utiliser Security Lake pour centraliser automatiquement les données de sécurité provenant de sources cloud, locales et personnalisées dans un lac de données stocké dans votre compte. Les abonnés peuvent utiliser les données de Security Lake à des fins d'investigation et d'analyse.

Pour activer cette intégration, vous devez activer les deux services et ajouter Security Hub en tant que source dans la console Security Lake, Security Lake API ou AWS CLI. Une fois ces étapes terminées, Security Hub commence à envoyer tous les résultats à Security Lake.

Security Lake normalise automatiquement les résultats de Security Hub et les convertit en un schéma open source standardisé appelé Open Cybersecurity Schema Framework ()OCSF. Dans Security Lake, vous pouvez ajouter un ou plusieurs abonnés pour consulter les résultats du Security Hub.

Pour plus d'informations sur cette intégration, notamment les instructions relatives à l'ajout de Security Hub en tant que source et à la création d'abonnés, consultez Integration with AWS Security Hub dans le guide de l'utilisateur d'Amazon Security Lake.

AWS Systems Manager Explorer et OpsCenter (reçoit et met à jour les résultats)

AWS Systems Manager Explorez et OpsCenter recevez les résultats de Security Hub, puis mettez-les à jour dans Security Hub.

Explorer vous fournit un tableau de bord personnalisable, fournissant des informations et des analyses clés sur la santé opérationnelle et les performances de votre AWS environnement.

OpsCenter vous fournit un emplacement central pour visualiser, étudier et résoudre les éléments de travail opérationnels.

Pour plus d'informations sur Explorer et OpsCenter voir Gestion des opérations dans le Guide de AWS Systems Manager l'utilisateur.

AWS Trusted Advisor (Reçoit les résultats)

Trusted Advisor s'appuie sur les meilleures pratiques apprises en servant des centaines de milliers de AWS clients. Trusted Advisor inspecte votre AWS environnement, puis émet des recommandations lorsque des opportunités se présentent pour économiser de l'argent, améliorer la disponibilité et les performances du système ou contribuer à combler les failles de sécurité.

Lorsque vous activez à la fois Security Hub Trusted Advisor et Security Hub, l'intégration est automatiquement mise à jour.

Security Hub envoie les résultats de ses vérifications des meilleures pratiques de sécurité AWS fondamentales à Trusted Advisor.

Pour plus d'informations sur l'intégration de Security Hub avec Security Hub Trusted Advisor, consultez la section Visualisation des contrôles AWS Security Hub AWS Trusted Advisor dans le Guide de l'utilisateur du AWS Support.