Integrasi dengan AWS Security Hub - Amazon Inspector Klasik
Bagaimana Amazon Inspector mengirimkan temuan ke Security HubTemuan umum dari Amazon InspectorMengaktifkan dan mengonfigurasi integrasiBagaimana cara menghentikan pengiriman temuan

Ini adalah panduan pengguna untuk Amazon Inspector Classic. Untuk informasi tentang Amazon Inspector yang baru, lihat Panduan Pengguna Amazon Inspector. Untuk mengakses konsol Amazon Inspector Classic, buka konsol Amazon Inspector di https://console.aws.amazon.com/inspector/, lalu pilih Amazon Inspector Classic di panel navigasi.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Integrasi dengan AWS Security Hub

AWS Security Hub memberi Anda gambaran menyeluruh tentang status keamanan Anda dalam AWS dan membantu Anda memeriksa lingkungan Anda terhadap standar industri keamanan dan praktik terbaik. Security Hub mengumpulkan data keamanan dari seluruh akun AWS, layanan, dan produk mitra pihak ketiga yang didukung serta membantu Anda menganalisis tren keamanan dan mengidentifikasi masalah keamanan prioritas tertinggi.

Integrasi Amazon Inspector dengan Security Hub memungkinkan Anda untuk mengirimkan temuan dari Amazon Inspector ke Security Hub. Security Hub kemudian dapat menyertakan temuan tersebut dalam analisis postur keamanan Anda.

Bagaimana Amazon Inspector mengirimkan temuan ke Security Hub

Di Security Hub, masalah keamanan dilacak sebagai temuan. Beberapa temuan berasal dari masalah yang terdeteksi oleh layanan AWS atau mitra pihak ketiga. Security Hub juga memiliki seperangkat aturan yang digunakan untuk mendeteksi masalah keamanan dan menghasilkan temuan.

Security Hub menyediakan alat untuk mengelola temuan dari seluruh sumber tersebut. Anda dapat melihat dan memfilter daftar temuan dan melihat detail untuk temuan. Lihat Melihat temuan di Panduan Pengguna AWS Security Hub. Anda juga dapat melacak status penyelidikan ke temuan. Lihat Mengambil tindakan pada temuan di Panduan Pengguna AWS Security Hub.

Semua temuan di Security Hub menggunakan format JSON standar yang disebut Format Temuan Keamanan AWS (ASFF). ASFF mencakup detail tentang sumber masalah, sumber daya yang terpengaruh, dan status temuan saat ini. Lihat Format Temuan Keamanan AWS (ASFF) di Panduan Pengguna AWS Security Hub.

Amazon Inspector adalah salah satu layanan AWS yang mengirimkan temuan ke Security Hub.

Jenis temuan yang dikirimkan Amazon Inspector

Amazon Inspector mengirimkan semua temuan yang dihasilkannya ke Security Hub.

Amazon Inspector mengirimkan temuan ke Security Hub menggunakan Format Temuan Keamanan AWS (ASFF). Dalam ASFF, bidang Types menyediakan jenis temuan. Temuan dari Amazon Inspector dapat memiliki nilai berikut untuk Types.

  • Pemeriksaan Perangkat Lunak dan Konfigurasi/Kelemahan/CVE

  • Pemeriksaan Perangkat Lunak dan Konfigurasi/Praktik Terbaik Keamanan AWS/Keterjangkauan Jaringan

  • Pemeriksaan Perangkat Lunak dan Konfigurasi/Standar Industri dan Regulasi/Patokan Pengerasan Host CIS

Latensi untuk mengirim temuan

Ketika Amazon Inspector membuat temuan baru, temuan biasanya dikirim ke Security Hub dalam waktu lima menit.

Mencoba kembali saat Security Hub tidak tersedia

Jika Security Hub tidak tersedia, Amazon Inspector mencoba kembali mengirimkan temuan sampai mereka diterima.

Memperbarui temuan yang ada di Security Hub

Setelah mengirimkan temuan ke Security Hub, Amazon Inspector memperbarui temuan untuk mencerminkan pengamatan tambahan dari aktivitas temuan. Hal ini akan menghasilkan lebih sedikit temuan Amazon Inspector di Security Hub daripada di Amazon Inspector.

Temuan umum dari Amazon Inspector

Amazon Inspector mengirimkan temuan ke Security Hub menggunakan Format Temuan Keamanan AWS (ASFF).

Berikut adalah contoh temuan umum dari Amazon Inspector.


{
  "SchemaVersion": "2018-10-08",
  "Id": "inspector/us-east-1/111122223333/629ff13fbbb44c872f7bba3e7f79f60cb6d443d8",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
  "GeneratorId": "arn:aws:inspector:us-east-1:316112463485:rulespackage/0-PmNV0Tcd",
  "AwsAccountId": "111122223333",
  "Types": [
    "Software and Configuration Checks/AWS Security Best Practices/Network Reachability - Recognized port reachable from internet"
  ],
  "CreatedAt": "2020-08-19T17:36:22.169Z",
  "UpdatedAt": "2020-11-04T16:36:06.064Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40,
    "Original": "6.0"
  },
  "Confidence": 10,
  "Title": "On instance i-0c10c2c7863d1a356, TCP port 22 which is associated with 'SSH' is reachable from the internet",
  "Description": "On this instance, TCP port 22, which is associated with SSH, is reachable from the internet. You can install the Inspector agent on this instance and re-run the assessment to check for any process listening on this port. The instance i-0c10c2c7863d1a356 is located in VPC vpc-a0c2d7c7 and has an attached ENI eni-078eac9d6ad9b20d1 which uses network ACL acl-154b8273. The port is reachable from the internet through Security Group sg-0af64c8a5eb30ca75 and IGW igw-e209d785",
  "Remediation": {
    "Recommendation": {
      "Text": "You can edit the Security Group sg-0af64c8a5eb30ca75 to remove access from the internet on port 22"
    }
  },
  "ProductFields": {
    "attributes/VPC": "vpc-a0c2d7c7",
    "aws/inspector/id": "Recognized port reachable from internet",
    "serviceAttributes/schemaVersion": "1",
    "aws/inspector/arn": "arn:aws:inspector:us-east-1:111122223333:target/0-8zh1cWkg/template/0-rqtRV0u0/run/0-Ck2F6tY9/finding/0-B458MQWe",
    "attributes/ACL": "acl-154b8273",
    "serviceAttributes/assessmentRunArn": "arn:aws:inspector:us-east-1:111122223333:target/0-8zh1cWkg/template/0-rqtRV0u0/run/0-Ck2F6tY9",
    "attributes/PROTOCOL": "TCP",
    "attributes/RULE_TYPE": "RecognizedPortNoAgent",
    "aws/inspector/RulesPackageName": "Network Reachability",
    "attributes/INSTANCE_ID": "i-0c10c2c7863d1a356",
    "attributes/PORT_GROUP_NAME": "SSH",
    "attributes/IGW": "igw-e209d785",
    "serviceAttributes/rulesPackageArn": "arn:aws:inspector:us-east-1:111122223333:rulespackage/0-PmNV0Tcd",
    "attributes/SECURITY_GROUP": "sg-0af64c8a5eb30ca75",
    "attributes/ENI": "eni-078eac9d6ad9b20d1",
    "attributes/REACHABILITY_TYPE": "Internet",
    "attributes/PORT": "22",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/inspector/inspector/us-east-1/111122223333/629ff13fbbb44c872f7bba3e7f79f60cb6d443d8",
    "aws/securityhub/ProductName": "Inspector",
    "aws/securityhub/CompanyName": "Amazon"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "arn:aws:ec2:us-east-1:193043430472:instance/i-0c10c2c7863d1a356",
      "Partition": "aws",
      "Region": "us-east-1",
      "Tags": {
        "Name": "kubectl"
      },
      "Details": {
        "AwsEc2Instance": {
          "ImageId": "ami-02354e95b39ca8dec",
          "IpV4Addresses": [
            "172.31.43.6"
          ],
          "VpcId": "vpc-a0c2d7c7",
          "SubnetId": "subnet-4975b475"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE"
}

Mengaktifkan dan mengonfigurasi integrasi

Untuk menggunakan integrasi dengan Security Hub, Anda harus mengaktifkan Security Hub. Untuk informasi tentang cara mengaktifkan Security Hub, lihat Menyiapkan Security Hub di Panduan Pengguna AWS Security Hub.

Bila Anda mengaktifkan Amazon Inspector dan Security Hub, integrasi diaktifkan secara otomatis. Amazon Inspector mulai mengirim temuan ke Security Hub.

Bagaimana cara menghentikan pengiriman temuan

Untuk berhenti mengirim temuan ke Security Hub, Anda dapat menggunakan konsol Security Hub atau API.

Lihat Menonaktifkan dan mengaktifkan aliran temuan dari integrasi (konsol) atau Menonaktifkan aliran temuan dari integrasi (Security Hub API, AWS CLI) di Panduan Pengguna AWS Security Hub.