Recevoir des résultats de AWS Security Hub dans Explorer - AWS Systems Manager
Types de résultats reçus par ExplorerActivation de l'intégrationComment afficher les résultats de Security HubComment arrêter l'envoi des résultats

Recevoir des résultats de AWS Security Hub dans Explorer

AWS Security Hub fournit une vue complète de votre état de sécurité dans AWS. Le service collecte des données de sécurité, appelées résultats, provenant de l'ensemble des Comptes AWS, des services et des produits tiers pris en charge. Les résultats de Security Hub peuvent vous aider à vérifier votre environnement par rapport aux normes et aux bonnes pratiques du secteur de la sécurité, à analyser vos tendances en matière de sécurité et à identifier les problèmes de sécurité les plus prioritaires.

Security Hub envoie les résultats à Amazon EventBridge, qui utilise une règle d'événement pour envoyer les résultats à Explorer. Après avoir activé l'intégration, comme décrit ici, vous pouvez afficher les résultats de Security Hub dans un widget Explorer et afficher les détails des résultats dans OpsCenter OpsItems. Le widget fournit un résumé de toutes les résultats de Security Hub en fonction de la gravité. Les nouveaux résultats dans Security Hub sont généralement visibles dans Explorer quelques secondes après leur création.

Avertissement

Notez les informations importantes suivantes :

  • Explorer est intégré à OpsCenter, une fonctionnalité de Systems Manager. Après avoir activé l'intégration de Explorer avec Security Hub, OpsCenter crée automatiquement OpsItems pour les résultats de Security Hub. Selon votre environnement AWS, l'activation de l'intégration peut entraîner un grand nombre de OpsItems, ce qui a un coût.

    Avant de continuer, lisez les informations sur l'intégration de OpsCenter avec Security Hub. Cette rubrique comprend des détails spécifiques sur la façon dont les modifications et les mises à jour des résultats et des OpsItems sont imputées à votre compte. Pour en savoir plus, consultez Comprendre l’intégration d’OpsCenter avec AWS Security Hub. Pour plus d'informations sur la tarification de OpsCenter, consultez Tarification de AWS Systems Manager.

  • Si vous créez une synchronisation de données de ressources dans Explorer alors que vous êtes connecté au compte d'administrateur, l'intégration de Security Hub est automatiquement activée pour l'administrateur et tous les comptes membres dans la synchronisation. Une fois activée, OpsCenter crée automatiquement OpsItems pour les résultats de Security Hub, moyennant un coût. Pour plus d'informations sur la création d'une synchronisation des données de ressources, consultez Configuration de Systems Manager Explorer de sorte à afficher les données de plusieurs comptes et Régions.

Types de résultats reçus par Explorer

Explorer reçoit tous les résultats de Security Hub. Vous pouvez voir tous les résultats dans le widget Explorer, en fonction de la sévérité, lorsque vous activez les paramètres par défaut de Security Hub. Par défaut, Explorer crée OpsItems pour les résultats critiques et de gravité élevée. Vous pouvez configurer manuellement Explorer pour créer OpsItems pour les résultats de gravité moyenne et faible.

Bien que Explorer ne crée pas OpsItems pour les résultats informatifs, vous pouvez visualiser les données d'opérations informatives (OpsData) dans le widget de résumé des résultats de Security Hub. Explorer crée des OpsData pour tous les résultats, quelle que soit leur gravité. Pour plus d'informations sur les niveaux de gravité de Security Hub, consultez Gravité (français non garanti) dans la Référence d'API AWS Security Hub.

Activation de l'intégration

Cette section décrit comment activer et configurer Explorer pour commencer à recevoir les résultats de Security Hub.

Avant de commencer

Exécutez les tâches suivantes avant de configurer Explorer pour commencer à recevoir les résultats de Security Hub.

  • Activez et configurez Security Hub. Pour de plus amples informations, veuillez consulter Configuration de Security Hub dans le Guide de l'utilisateur AWS Security Hub.

  • Connectez-vous au compte de gestion AWS Organizations. Systems Manager doit accéder à AWS Organizations pour créer des OpsItems à partir des résultats de Security Hub. Une fois connecté au compte de gestion, vous êtes invité à sélectionner le bouton Activer l'accès sous l'onglet Configurer un tableau de bord Explorer, comme l'explique la procédure suivante. Si vous ne vous connectez pas au compte de gestion AWS Organizations, vous ne pouvez pas autoriser l'accès et Explorer ne peut pas créerOpsItems à partir des résultats de Security Hub.

Pour commencer à recevoir les résultats de Security Hub

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Explorer.

  3. Sélectionnez Paramètres.

  4. Sélectionnez l'onglet Configurer un tableau de bord.

  5. Sélectionnez AWS Security Hub.

  6. Sélectionnez le curseur Désactivé pour activer AWS Security Hub.

    Les résultats critiques et de gravité élevée sont affichés par défaut. Pour afficher les résultats de gravité moyenne et faible, sélectionnez le curseur Désactivé en regard de Moyenne,Faible.

  7. Dans la section OpsItems créés par les résultats de Security Hub, sélectionnez Activer l'accès. Si vous ne voyez pas ce bouton, connectez-vous au compte de gestion AWS Organizations et revenez à cette page pour sélectionner le bouton.

Comment afficher les résultats de Security Hub

La procédure suivante décrit la consultation des résultats Security Hub.

Pour consulter les résultats Security Hub

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Explorer.

  3. Recherchez le widget Résumé des résultats AWS Security Hub. Cela affiche les résultats de Security Hub. Vous pouvez sélectionner un niveau de sévérité pour afficher une description détaillée de l'OpsItem correspondant.

Comment arrêter l'envoi des résultats

La procédure suivante décrit l'arrêt de la réception des résultats de Security Hub.

Pour arrêter l'envoi des résultats de Security Hub

  1. Ouvrez la console AWS Systems Manager à l'adresse https://console.aws.amazon.com/systems-manager/.

  2. Dans le panneau de navigation, sélectionnez Explorer.

  3. Sélectionnez Paramètres.

  4. Sélectionnez l'onglet Configurer un tableau de bord.

  5. Sélectionnez le curseur Activé pour désactiver AWS Security Hub.

Important

Si l’option de désactivation des résultats de Security Hub est grisée dans la console, vous pouvez désactiver ce paramètre en exécutant la commande suivante dans l’AWS CLI. Vous devez exécuter la commande en étant connecté au compte de gestion AWS Organizations ou au compte d’administrateur délégué de Systems Manager. Pour le paramètre region, indiquez l’Région AWS où vous voulez cesser de recevoir les résultats de Security Hub dans Explorer. 


aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region Région AWS

Voici un exemple :


aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region us-east-1