Servizio AWS integrazioni con Security Hub - AWS Security Hub
Panoramica delle integrazioni dei AWS servizi con Security HubAWS servizi che inviano i risultati a Security HubAWS servizi che ricevono risultati da Security Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Servizio AWS integrazioni con Security Hub

AWS Security Hub supporta integrazioni con molti altri Servizi AWS.

Nota

Le integrazioni potrebbero non essere disponibili tutte. Regioni AWS Se un'integrazione non è supportata nella regione corrente, non viene visualizzata nella pagina Integrazioni.

Per un elenco delle integrazioni disponibili nelle regioni della Cina e AWS GovCloud (US), consulta Integrazioni supportate nelle regioni Cina (Pechino) e Cina (Ningxia) eIntegrazioni supportate nelle regioni AWS GovCloud (Stati Uniti orientali) e (Stati Uniti occidentali) AWS GovCloud .

A meno che non sia indicato di seguito, Servizio AWS le integrazioni che inviano i risultati a Security Hub vengono attivate automaticamente dopo aver abilitato Security Hub e l'altro servizio. Le integrazioni che ricevono i risultati del Security Hub potrebbero richiedere passaggi aggiuntivi per l'attivazione. Consulta le informazioni su ciascuna integrazione per saperne di più.

Panoramica delle integrazioni dei AWS servizi con Security Hub

Ecco una panoramica dei AWS servizi che inviano risultati a Security Hub o ricevono risultati da Security Hub.

AWS Servizio integrato Direzione

AWS Config

Invia i risultati

AWS Firewall Manager

Invia i risultati

Amazon GuardDuty

Invia i risultati

AWS Health

Invia i risultati

AWS Identity and Access Management Access Analyzer

Invia i risultati

Amazon Inspector

Invia i risultati

AWS IoT Device Defender

Invia i risultati

Amazon Macie

Invia i risultati

AWS Systems Manager Gestione patch

Invia i risultati

AWS Audit Manager

Riceve i risultati

Amazon Q Developer nelle applicazioni di chat

Riceve i risultati

Amazon Detective

Riceve i risultati

Amazon Security Lake

Riceve i risultati

AWS Systems Manager Explorer e OpsCenter

Riceve e aggiorna i risultati

AWS Trusted Advisor

Riceve i risultati

AWS servizi che inviano i risultati a Security Hub

I seguenti AWS servizi si integrano con Security Hub inviando i risultati a Security Hub. Security Hub converte i risultati nel formato AWS Security Finding.

AWS Config (Invia i risultati)

AWS Config è un servizio che consente di valutare, controllare e valutare le configurazioni delle AWS risorse. AWS Config monitora e registra continuamente le configurazioni AWS delle risorse e consente di automatizzare la valutazione delle configurazioni registrate rispetto alle configurazioni desiderate.

Utilizzando l'integrazione con AWS Config, puoi vedere i risultati delle valutazioni delle regole AWS Config gestite e personalizzate come risultati in Security Hub. Questi esiti possono essere visualizzati insieme ad altri esiti di Security Hub, per fornire una panoramica completa della posizione di sicurezza.

AWS Config utilizza Amazon EventBridge per inviare valutazioni delle AWS Config regole a Security Hub. Security Hub trasforma le valutazioni delle regole in risultati che seguono il AWS Security Finding Format. Security Hub arricchisce quindi i risultati con il massimo impegno ottenendo ulteriori informazioni sulle risorse interessate, come Amazon Resource Name (ARN), i tag delle risorse e la data di creazione.

Per ulteriori informazioni su questa integrazione, consulta le seguenti sezioni.

Tutti i risultati in Security Hub utilizzano il formato JSON standard di ASFF. ASFF include dettagli sull'origine del risultato, sulla risorsa interessata e sullo stato attuale del risultato. AWS Config invia valutazioni di regole gestite e personalizzate a Security Hub tramite EventBridge. Security Hub trasforma le valutazioni delle regole in risultati che seguono l'ASFF e arricchisce i risultati con il massimo impegno.

Tipi di risultati che vengono AWS Config inviati a Security Hub

Dopo l'attivazione dell'integrazione, AWS Config invia le valutazioni di tutte le regole AWS Config gestite e le regole personalizzate a Security Hub. Vengono inviate solo le valutazioni eseguite dopo l'attivazione di Security Hub. Ad esempio, supponiamo che la valutazione di una AWS Config regola riveli cinque risorse fallite. Se abilito Security Hub in seguito e la regola rivela una sesta risorsa guasta, AWS Config invia solo la valutazione della sesta risorsa a Security Hub.

Sono escluse le valutazioni AWS Config delle regole collegate ai servizi, come quelle utilizzate per eseguire i controlli sui controlli del Security Hub.

Invio AWS Config dei risultati a Security Hub

Quando l'integrazione è attivata, Security Hub assegnerà automaticamente le autorizzazioni necessarie per ricevere i risultati da. AWS Config Security Hub utilizza autorizzazioni di service-to-service livello che forniscono un modo sicuro per attivare questa integrazione e importare i risultati AWS Config tramite Amazon EventBridge.

Latenza per l'invio degli esiti

Quando si AWS Config crea un nuovo risultato, in genere è possibile visualizzarlo in Security Hub entro cinque minuti.

Nuovo tentativo quando Security Hub non è disponibile

AWS Config invia i risultati a Security Hub con la massima diligenza possibile tramite EventBridge. Quando un evento non viene consegnato correttamente a Security Hub, EventBridge riprova la consegna per un massimo di 24 ore o 185 volte, a seconda dell'evento che si verifica per primo.

Aggiornamento dei AWS Config risultati esistenti in Security Hub

Dopo aver AWS Config inviato un risultato a Security Hub, può inviare aggiornamenti dello stesso risultato a Security Hub per riflettere ulteriori osservazioni sull'attività di ricerca. Gli aggiornamenti vengono inviati solo per ComplianceChangeNotification gli eventi. Se non si verifica alcuna modifica della conformità, gli aggiornamenti non vengono inviati a Security Hub. Security Hub elimina i risultati 90 giorni dopo l'aggiornamento più recente o 90 giorni dopo la creazione se non si verifica alcun aggiornamento.

Security Hub non archivia i risultati inviati AWS Config anche se elimini la risorsa associata.

Regioni in cui esistono AWS Config i risultati

AWS Config i risultati avvengono su base regionale. AWS Config invia i risultati a Security Hub nella stessa regione o nelle stesse regioni in cui si verificano i risultati.

Per visualizzare i AWS Config risultati, scegli Findings dal riquadro di navigazione di Security Hub. Per filtrare i risultati in modo da visualizzare solo AWS Config i risultati, scegli Nome prodotto nel menu a discesa della barra di ricerca. Immettete Config e scegliete Applica.

Interpretazione dei nomi AWS Config dei risultati in Security Hub

Security Hub trasforma le valutazioni delle AWS Config regole in risultati che seguono ilAWS Formato ASFF (Security Finding Format). AWS Config le valutazioni delle regole utilizzano un pattern di eventi diverso rispetto a ASFF. La tabella seguente mappa i campi di valutazione delle AWS Config regole con la loro controparte ASFF così come appaiono in Security Hub.

Tipo di risultato per la valutazione delle regole di Config Tipo di risultati ASFF Valore codificato
dettaglio. awsAccountId AwsAccountId
dettaglio. newEvaluationResult. resultRecordedTime CreatedAt
dettaglio. newEvaluationResult. resultRecordedTime UpdatedAt
ProductArn <partition><region>«arn: :securityhub:::» product/aws/config
ProductName «Config»
CompanyName "AWS"
Regione «eu-central-1"
configRuleArn GeneratorId, ProductFields
dettaglio. ConfigRuleARN/finding/hash Id
dettaglio. configRuleName Titolo, ProductFields
dettaglio. configRuleName Descrizione «Questo risultato è stato creato per una modifica della conformità delle risorse per la regola di configurazione:${detail.ConfigRuleName}»
Elemento di configurazione «ARN» o ARN calcolato da Security Hub Risorse [i] .id
Detail.ResourceType Risorse [i] .Type "AwsS3Bucket"
Risorse [i] .Partizione "aws"
Risorse [i] .Region «eu-central-1"
Elemento di configurazione «configuration» Risorse [i] .Dettagli
SchemaVersion «2018-10-08"
Etichetta di severità Vedi «Interpretazione dell'etichetta di severità» di seguito
Tipi ["Controlli del software e della configurazione"]
dettaglio. newEvaluationResult. Tipo di conformità Conformità.Stato «FAILED», «NOT_AVAILABLE», «PASSED» o «WARNING»
Flusso di lavoro. Stato «RISOLTO» se viene generato un AWS Config risultato con un valore Compliance.Status pari a «PASSED» o se Compliance.Status cambia da «FAILED» a «PASSED». Altrimenti, Workflow.Status sarà «NUOVO». È possibile modificare questo valore con l'BatchUpdateFindingsoperazione API.

Interpretazione dell'etichetta di gravità

Tutti i risultati delle valutazioni delle AWS Config regole hanno un'etichetta di gravità predefinita pari a MEDIUM nell'ASFF. È possibile aggiornare l'etichetta di gravità di un risultato con l'operazione BatchUpdateFindingsAPI.

Risultato tipico di AWS Config

Security Hub trasforma le valutazioni delle AWS Config regole in risultati conformi all'ASFF. Di seguito è riportato un esempio di un risultato tipico dell' AWS Config ASFF.

Nota

Se la descrizione è composta da più di 1024 caratteri, verrà troncata a 1024 caratteri e alla fine verrà visualizzato «(troncato)».

{
	"SchemaVersion": "2018-10-08",
	"Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932",
	"ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config",
	"ProductName": "Config",
	"CompanyName": "AWS",
	"Region": "eu-central-1",
	"GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
	"AwsAccountId": "123456789012",
	"Types": [
		"Software and Configuration Checks"
	],
	"CreatedAt": "2022-04-15T05:00:37.181Z",
	"UpdatedAt": "2022-04-19T21:20:15.056Z",
	"Severity": {
		"Label": "MEDIUM",
		"Normalized": 40
	},
	"Title": "s3-bucket-level-public-access-prohibited-config-integration-demo",
	"Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo",
	"ProductFields": {
		"aws/securityhub/ProductName": "Config",
		"aws/securityhub/CompanyName": "AWS",
		"aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902",
		"aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
		"aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo",
		"aws/config/ConfigComplianceType": "NON_COMPLIANT"
	},
	"Resources": [{
		"Type": "AwsS3Bucket",
		"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
		"Partition": "aws",
		"Region": "eu-central-1",
		"Details": {
			"AwsS3Bucket": {
				"OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c",
				"CreatedAt": "2022-04-15T04:32:53.000Z"
			}
		}
	}],
	"Compliance": {
		"Status": "FAILED"
	},
	"WorkflowState": "NEW",
	"Workflow": {
		"Status": "NEW"
	},
	"RecordState": "ACTIVE",
	"FindingProviderFields": {
		"Severity": {
			"Label": "MEDIUM"
		},
		"Types": [
			"Software and Configuration Checks"
		]
	}
}

Dopo aver abilitato Security Hub, questa integrazione viene attivata automaticamente. AWS Config inizia immediatamente a inviare i risultati a Security Hub.

Per interrompere l'invio dei risultati a Security Hub, puoi utilizzare la console Security Hub o l'API Security Hub.

Per istruzioni su come interrompere il flusso dei risultati, consultaAbilitare il flusso di risultati da un'integrazione.

AWS Firewall Manager (Invia i risultati)

Firewall Manager invia i risultati a Security Hub quando una politica WAF (Web Application Firewall) per le risorse o una regola della lista di controllo degli accessi Web (Web Access Control List) non è conforme. Firewall Manager invia i risultati anche quando AWS Shield Advanced non protegge le risorse o quando viene identificato un attacco.

Dopo aver abilitato Security Hub, questa integrazione viene attivata automaticamente. Firewall Manager inizia immediatamente a inviare i risultati a Security Hub.

Per ulteriori informazioni sull'integrazione, visualizza la pagina Integrazioni nella console Security Hub.

Per ulteriori informazioni su Firewall Manager, consulta la Guida per AWS WAF gli sviluppatori.

Amazon GuardDuty (invia i risultati)

GuardDuty invia tutti i tipi di risultati che genera a Security Hub. Alcuni tipi di risultati hanno prerequisiti, requisiti di abilitazione o limitazioni regionali. Per ulteriori informazioni, consulta la sezione GuardDuty Ricerca dei tipi nella Amazon GuardDuty User Guide.

I nuovi risultati GuardDuty vengono inviati a Security Hub entro cinque minuti. Gli aggiornamenti ai risultati vengono inviati in base all'impostazione Updated results per Amazon EventBridge nelle GuardDuty impostazioni.

Quando si generano risultati di GuardDuty esempio utilizzando la pagina GuardDuty Impostazioni, Security Hub riceve i risultati del campione e omette il prefisso [Sample] nel tipo di risultato. Ad esempio, il tipo di ricerca del campione GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions viene visualizzato come Recon:IAMUser/ResourcePermissions in Security Hub.

Dopo aver abilitato Security Hub, questa integrazione viene attivata automaticamente. GuardDuty inizia immediatamente a inviare i risultati a Security Hub.

Per ulteriori informazioni sull' GuardDuty integrazione, consulta Integrating with AWS Security Hub nella Amazon GuardDuty User Guide.

AWS Health (Invia i risultati)

AWS Health offre una visibilità continua sulle prestazioni delle risorse e sulla disponibilità delle tue Servizi AWS e Account AWS. È possibile utilizzare AWS Health gli eventi per scoprire in che modo le modifiche ai servizi e alle risorse potrebbero influire sulle applicazioni su cui vengono eseguite AWS.

L'integrazione con AWS Health non utilizzaBatchImportFindings. AWS Health Utilizza invece la messaggistica service-to-service degli eventi per inviare i risultati a Security Hub.

Per ulteriori informazioni sull'integrazione, consulta le seguenti sezioni.

Nella Centrale di sicurezza, i problemi di sicurezza vengono monitorati come esiti. Alcuni risultati derivano da problemi rilevati da altri AWS servizi o da partner terzi. Security Hub dispone inoltre di una serie di regole che utilizza per rilevare problemi di sicurezza e generare risultati.

Security Hub fornisce strumenti per gestire i risultati da tutte queste fonti. È possibile visualizzare e filtrare gli elenchi di risultati e visualizzare i dettagli per un riscontro. Per informazioni, consulta Analisi dei dettagli dei risultati e della cronologia delle ricerche in Security Hub. È inoltre possibile monitorare lo stato di un'indagine in un esito. Per informazioni, consulta Impostazione dello stato del flusso di lavoro dei risultati del Security Hub.

Tutti i risultati in Security Hub utilizzano un formato JSON standard chiamato. AWS Formato ASFF (Security Finding Format) ASFF include dettagli sull'origine del problema, sulle risorse interessate e sullo stato attuale del risultato.

AWS Health è uno dei AWS servizi che invia i risultati a Security Hub.

Tipi di risultati che vengono AWS Health inviati a Security Hub

Dopo aver abilitato l'integrazione, AWS Health invia a Security Hub i risultati che soddisfano una o più delle specifiche elencate. Security Hub inserisce i risultati in. AWS Formato ASFF (Security Finding Format)

  • Risultati che contengono uno dei seguenti valori per Servizio AWS:

    • RISK

    • ABUSE

    • ACM

    • CLOUDHSM

    • CLOUDTRAIL

    • CONFIG

    • CONTROLTOWER

    • DETECTIVE

    • EVENTS

    • GUARDDUTY

    • IAM

    • INSPECTOR

    • KMS

    • MACIE

    • SES

    • SECURITYHUB

    • SHIELD

    • SSO

    • COGNITO

    • IOTDEVICEDEFENDER

    • NETWORKFIREWALL

    • ROUTE53

    • WAF

    • FIREWALLMANAGER

    • SECRETSMANAGER

    • BACKUP

    • AUDITMANAGER

    • ARTIFACT

    • CLOUDENDURE

    • CODEGURU

    • ORGANIZATIONS

    • DIRECTORYSERVICE

    • RESOURCEMANAGER

    • CLOUDWATCH

    • DRS

    • INSPECTOR2

    • RESILIENCEHUB

  • Risultati con security le abuse parole o certificate sul AWS Health typeCode campo

  • Risultati in cui si trova il AWS Health servizio risk o abuse

Invio AWS Health dei risultati a Security Hub

Quando scegli di accettare i risultati da AWS Health, Security Hub assegnerà automaticamente le autorizzazioni necessarie per ricevere i risultati da. AWS Health Security Hub utilizza autorizzazioni di service-to-service livello che ti forniscono un modo semplice e sicuro per abilitare questa integrazione e importare i risultati AWS Health da Amazon per tuo EventBridge conto. La scelta di Accept Findings concede a Security Hub l'autorizzazione a utilizzare i risultati da AWS Health.

Latenza per l'invio degli esiti

Quando viene AWS Health creato un nuovo risultato, di solito viene inviato a Security Hub entro cinque minuti.

Nuovo tentativo quando Security Hub non è disponibile

AWS Health invia i risultati a Security Hub con la massima diligenza possibile tramite EventBridge. Quando un evento non viene recapitato correttamente a Security Hub, EventBridge riprova a inviarlo per 24 ore.

Aggiornamento degli esiti esistenti nella Centrale di sicurezza

Dopo aver AWS Health inviato un risultato a Security Hub, può inviare aggiornamenti allo stesso risultato per riflettere ulteriori osservazioni sull'attività di ricerca a Security Hub.

Regioni in cui esistono i risultati

Per gli eventi globali, AWS Health invia i risultati al Security Hub in us-east-1 AWS (partizione), cn-northwest-1 (partizione cinese) e -1 (partizione). gov-us-west GovCloud AWS Health invia eventi specifici della regione a Security Hub nella stessa regione o nelle stesse regioni in cui si verificano gli eventi.

Per visualizzare i AWS Health risultati in Security Hub, scegli Findings dal pannello di navigazione. Per filtrare i risultati in modo da visualizzare solo AWS Health i risultati, scegli Health dal campo Nome prodotto.

Interpretazione dei nomi AWS Health dei risultati in Security Hub

AWS Health invia i risultati a Security Hub utilizzandoAWS Formato ASFF (Security Finding Format). AWS Health la ricerca utilizza un pattern di eventi diverso rispetto al formato ASFF di Security Hub. La tabella seguente descrive in dettaglio tutti i campi di AWS Health ricerca con la loro controparte ASFF così come appaiono in Security Hub.

Tipo di reperto sanitario Tipo di risultati ASFF Valore codificato
account AwsAccountId
Dettaglio. Ora di inizio CreatedAt
Detail.EventDescription.Ultima descrizione Descrizione
dettaglio. eventTypeCode GeneratorId
detail.eventArn (incluso l'account) + hash di detail.startTime Id
«<region>product/aws/healtharn:aws:securityhub:::» ProductArn
account o resourceID Risorse [i] .id
Risorse [i] .Tipo «Altro»
SchemaVersion «2018-10-08"
Etichetta di severità Vedi «Interpretazione dell'etichetta di severità» di seguito
Dettaglio «AWS Health -». eventTypeCode Titolo
- Tipi ["Controlli del software e della configurazione"]
event.time UpdatedAt
URL dell'evento sulla console Health SourceUrl
Interpretazione dell'etichetta di gravità

L'etichetta di gravità nel risultato ASFF viene determinata utilizzando la seguente logica:

  • Severità CRITICA se:

    • Il service campo del AWS Health risultato ha il valore Risk

    • Il typeCode campo del AWS Health risultato ha il valore AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION

    • Il typeCode campo del AWS Health risultato ha il valore AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK

    • Il typeCode campo del AWS Health risultato ha il valore AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES

    Severità ALTA se:

    • Il service campo del AWS Health risultato ha il valore Abuse

    • Il typeCode campo del AWS Health risultato contiene il valore SECURITY_NOTIFICATION

    • Il typeCode campo del AWS Health risultato contiene il valore ABUSE_DETECTION

    Severità MEDIUM se:

    • Il service campo del risultato è uno dei seguenti:ACM,ARTIFACT,AUDITMANAGER,BACKUP,CLOUDENDURE,CLOUDHSM,CLOUDTRAIL, CLOUDWATCHCODEGURGU,COGNITO,CONFIG,CONTROLTOWER,DETECTIVE,DIRECTORYSERVICE, DRSEVENTS,FIREWALLMANAGER,GUARDDUTY,IAM,INSPECTOR,INSPECTOR2,IOTDEVICEDEFENDER, KMSMACIE,NETWORKFIREWALL,ORGANIZATIONS,RESILIENCEHUB,RESOURCEMANAGER,ROUTE53,SECURITYHUB, SECRETSMANAGERSES,SHIELD,SSO,, WAF

    • Il campo TypeCode del AWS Health risultato contiene il valore CERTIFICATE

    • Il campo TypeCode del AWS Health risultato contiene il valore END_OF_SUPPORT

Risultato tipico di AWS Health

AWS Health invia i risultati a Security Hub utilizzandoAWS Formato ASFF (Security Finding Format). Di seguito è riportato un esempio di un risultato tipico di AWS Health.

Nota

Se la descrizione è composta da più di 1024 caratteri, verrà troncata a 1024 caratteri e alla fine verrà riportata la dicitura (troncata).

{
            "SchemaVersion": "2018-10-08",
            "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health",
            "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS",
            "AwsAccountId": "123456789012",
            "Types": [
                "Software and Configuration Checks"
            ],
            "CreatedAt": "2022-01-07T16:34:04.000Z",
            "UpdatedAt": "2022-01-07T19:17:43.000Z",
            "Severity": {
                "Label": "MEDIUM",
                "Normalized": 40
            },
            "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS",
            "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).",
            "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
            "ProductFields": {
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
                "aws/securityhub/ProductName": "Health",
                "aws/securityhub/CompanyName": "AWS"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com"
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "MEDIUM"
                },
                "Types": [
                    "Software and Configuration Checks"
                ]
            }
        }
    ]
}

Dopo aver abilitato Security Hub, questa integrazione viene attivata automaticamente. AWS Health inizia immediatamente a inviare i risultati a Security Hub.

Per interrompere l'invio dei risultati a Security Hub, puoi utilizzare la console Security Hub o l'API Security Hub.

Per istruzioni su come interrompere il flusso dei risultati, consultaAbilitare il flusso di risultati da un'integrazione.

AWS Identity and Access Management Access Analyzer (Invia i risultati)

Con IAM Access Analyzer, tutti i risultati vengono inviati a Security Hub.

IAM Access Analyzer utilizza il ragionamento basato sulla logica per analizzare le politiche basate sulle risorse applicate alle risorse supportate nel tuo account. IAM Access Analyzer genera un risultato quando rileva una dichiarazione di policy che consente a un principale esterno di accedere a una risorsa del tuo account.

In IAM Access Analyzer, solo l'account amministratore può visualizzare i risultati degli analizzatori che si applicano a un'organizzazione. Per gli analizzatori di organizzazioni, il campo AwsAccountId ASFF riflette l'ID dell'account amministratore. SottoProductFields, il ResourceOwnerAccount campo indica l'account in cui è stato scoperto il risultato. Se abiliti gli analizzatori singolarmente per ogni account, Security Hub genera più risultati, uno che identifica l'ID dell'account amministratore e uno che identifica l'ID dell'account della risorsa.

Per ulteriori informazioni, consulta Integration with AWS Security Hub nella IAM User Guide.

Amazon Inspector (invia i risultati)

Amazon Inspector è un servizio di gestione delle vulnerabilità che analizza continuamente i carichi di lavoro alla ricerca AWS di eventuali vulnerabilità. Amazon Inspector rileva e analizza automaticamente le EC2 istanze Amazon e le immagini dei container che si trovano nell'Amazon Elastic Container Registry. La scansione cerca le vulnerabilità del software e l'esposizione involontaria della rete.

Dopo aver abilitato Security Hub, questa integrazione viene attivata automaticamente. Amazon Inspector inizia immediatamente a inviare tutti i risultati generati a Security Hub.

Per ulteriori informazioni sull'integrazione, consulta Integration with AWS Security Hub nella Amazon Inspector User Guide.

Security Hub può anche ricevere risultati da Amazon Inspector Classic. Amazon Inspector Classic invia a Security Hub i risultati generati tramite esecuzioni di valutazione per tutti i pacchetti di regole supportati.

Per ulteriori informazioni sull'integrazione, consulta Integration with AWS Security Hub nella Amazon Inspector Classic User Guide.

I risultati di Amazon Inspector e Amazon Inspector Classic utilizzano lo stesso ARN del prodotto. I risultati di Amazon Inspector riportano la seguente voce: ProductFields

"aws/inspector/ProductVersion": "2",

AWS IoT Device Defender (Invia i risultati)

AWS IoT Device Defender è un servizio di sicurezza che verifica la configurazione dei dispositivi IoT, monitora i dispositivi connessi per rilevare comportamenti anomali e aiuta a mitigare i rischi per la sicurezza.

Dopo aver abilitato entrambi AWS IoT Device Defender e Security Hub, visita la pagina delle integrazioni della console di Security Hub e scegli Accetta risultati per Audit, Detect o entrambi. AWS IoT Device Defender Audit and Detect inizia a inviare tutti i risultati a Security Hub.

AWS IoT Device Defender Audit invia riepiloghi dei controlli a Security Hub, che contengono informazioni generali per un tipo di controllo e un'attività di controllo specifici. AWS IoT Device Defender Detect invia i risultati delle violazioni per i comportamenti statici, statistici e di apprendimento automatico (ML) a Security Hub. Audit invia anche gli aggiornamenti dei risultati a Security Hub.

Per ulteriori informazioni su questa integrazione, consulta Integration with AWS Security Hub nella AWS IoT Developer Guide.

Amazon Macie (invia risultati)

Un risultato di Macie può indicare che esiste una potenziale violazione delle politiche o che dati sensibili, come le informazioni di identificazione personale (PII), sono presenti nei dati archiviati dalla tua organizzazione in Amazon S3.

Dopo aver abilitato Security Hub, Macie inizia automaticamente a inviare i risultati delle policy a Security Hub. Puoi configurare l'integrazione per inviare anche i risultati dei dati sensibili a Security Hub.

In Security Hub, il tipo di ricerca per una policy o una ricerca di dati sensibili viene modificato in un valore compatibile con ASFF. Ad esempio, il tipo di Policy:IAMUser/S3BucketPublic ricerca in Macie viene visualizzato come Effects/Data Exposure/Policy:IAMUser-S3BucketPublic in Security Hub.

Macie invia anche i risultati dei campioni generati a Security Hub. Per i risultati di esempio, il nome della risorsa interessata è macie-sample-finding-bucket e il valore del Sample campo ètrue.

Per ulteriori informazioni, consulta l'integrazione di Amazon Macie con AWS Security Hub nella Guida per l'utente di Amazon Macie.

AWS Systems Manager Patch Manager (invia i risultati)

AWS Systems Manager Patch Manager invia i risultati a Security Hub quando le istanze del parco macchine di un cliente non sono conformi allo standard di conformità delle patch.

Patch Manager automatizza il processo di applicazione di patch alle istanze gestite con aggiornamenti correlati alla sicurezza e di altro tipo.

Dopo aver abilitato Security Hub, questa integrazione viene attivata automaticamente. Systems Manager Patch Manager inizia immediatamente a inviare i risultati a Security Hub.

Per ulteriori informazioni sull'utilizzo di Patch Manager, vedere AWS Systems Manager Patch Manager nella Guida AWS Systems Manager per l'utente.

AWS servizi che ricevono risultati da Security Hub

I seguenti AWS servizi sono integrati con Security Hub e ricevono i risultati da Security Hub. Dove indicato, il servizio integrato può anche aggiornare i risultati. In questo caso, la ricerca degli aggiornamenti apportati nel servizio integrato si rifletterà anche in Security Hub.

AWS Audit Manager (Riceve i risultati)

AWS Audit Manager riceve i risultati da Security Hub. Questi risultati aiutano gli utenti di Audit Manager a prepararsi per gli audit.

Per ulteriori informazioni su Audit Manager, consulta la Guida per l'utente di AWS Audit Manager. AWS I controlli Security Hub supportati da AWS Audit Manager elencano i controlli per i quali Security Hub invia i risultati all'Audit Manager.

Amazon Q Developer nelle applicazioni di chat (riceve i risultati)

Amazon Q Developer nelle applicazioni di chat è un agente interattivo che ti aiuta a monitorare e interagire con AWS le tue risorse nei canali Slack e nelle chat room di Amazon Chime.

Amazon Q Developer nelle applicazioni di chat riceve i risultati da Security Hub.

Per ulteriori informazioni sull'integrazione di Amazon Q Developer nelle applicazioni di chat con Security Hub, consulta la panoramica sull'integrazione di Security Hub nella Guida per l'amministratore delle applicazioni Amazon Q Developer in chat.

Amazon Detective (riceve i risultati)

Detective raccoglie automaticamente i dati di registro dalle tue AWS risorse e utilizza l'apprendimento automatico, l'analisi statistica e la teoria dei grafi per aiutarti a visualizzare e condurre indagini di sicurezza più rapide ed efficienti.

L'integrazione di Security Hub con Detective ti consente di passare dai GuardDuty risultati di Amazon in Security Hub a Detective. Puoi quindi utilizzare gli strumenti e le visualizzazioni del Detective per indagare su di essi. L'integrazione non richiede alcuna configurazione aggiuntiva in Security Hub o Detective.

Per i risultati ricevuti da altri Servizi AWS, il pannello dei dettagli dei risultati sulla console Security Hub include una sottosezione Investigate in Detective. Quella sottosezione contiene un collegamento a Detective dove puoi approfondire il problema di sicurezza segnalato dalla scoperta. Puoi anche creare un grafico comportamentale in Detective basato sui risultati del Security Hub per condurre indagini più efficaci. Per ulteriori informazioni, consulta i risultati AWS di sicurezza nell'Amazon Detective Administration Guide.

Se l'aggregazione tra regioni è abilitata, quando si esegue il pivot dalla regione di aggregazione, Detective si apre nella regione in cui ha avuto origine il risultato.

Se un collegamento non funziona, per consigli sulla risoluzione dei problemi, consulta la sezione relativa alla risoluzione dei problemi del pivot.

Amazon Security Lake (riceve i risultati)

Security Lake è un servizio di data lake di sicurezza completamente gestito. Puoi utilizzare Security Lake per centralizzare automaticamente i dati di sicurezza provenienti da fonti cloud, locali e personalizzate in un data lake archiviato nel tuo account. Gli abbonati possono utilizzare i dati di Security Lake per casi d'uso investigativi e di analisi.

Per attivare questa integrazione, è necessario abilitare entrambi i servizi e aggiungere Security Hub come origine nella console di Security Lake, nell'API di Security Lake o AWS CLI. Una volta completati questi passaggi, Security Hub inizia a inviare tutti i risultati a Security Lake.

Security Lake normalizza automaticamente i risultati di Security Hub e li converte in uno schema open source standardizzato chiamato Open Cybersecurity Schema Framework (OCSF). In Security Lake, puoi aggiungere uno o più abbonati per utilizzare i risultati di Security Hub.

Per ulteriori informazioni su questa integrazione, comprese le istruzioni sull'aggiunta di Security Hub come fonte e sulla creazione di abbonati, consulta Integration with AWS Security Hub nella Amazon Security Lake User Guide.

AWS Systems Manager Explorer e OpsCenter (riceve e aggiorna i risultati)

AWS Systems Manager Esplora e OpsCenter ricevi i risultati da Security Hub e aggiorna tali risultati in Security Hub.

Explorer ti offre una dashboard personalizzabile, che fornisce approfondimenti e analisi chiave sullo stato operativo e sulle prestazioni del tuo AWS ambiente.

OpsCenter offre una posizione centrale per visualizzare, esaminare e risolvere gli elementi di lavoro operativi.

Per ulteriori informazioni su Explorer e OpsCenter, vedere Gestione delle operazioni nella Guida AWS Systems Manager per l'utente.

AWS Trusted Advisor (Riceve i risultati)

Trusted Advisor si basa sulle migliori pratiche apprese servendo centinaia di migliaia di AWS clienti. Trusted Advisor ispeziona l' AWS ambiente e quindi formula raccomandazioni quando esistono opportunità per risparmiare denaro, migliorare la disponibilità e le prestazioni del sistema o contribuire a colmare le lacune di sicurezza.

Quando abiliti Trusted Advisor sia Security Hub che Security Hub, l'integrazione viene aggiornata automaticamente.

Security Hub invia i risultati dei controlli relativi alle Buone Pratiche di Sicurezza AWS Fondamentali a Trusted Advisor.

Per ulteriori informazioni sull'integrazione di Security Hub con Trusted Advisor, vedere Visualizzazione dei controlli AWS di Security Hub AWS Trusted Advisor nella AWS Support User Guide.