AWS 서비스 Security Hub와의 통합 - AWS 보안 허브
Security Hub와의 AWS 서비스 통합 개요AWS Security Hub로 조사 결과를 보내는 서비스AWS Security Hub에서 조사 결과를 수신하는 서비스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 서비스 Security Hub와의 통합

AWS Security Hub는 여러 다른 와의 통합을 지원합니다 AWS 서비스.

참고

일부 에서는 통합을 사용하지 못할 수 있습니다 AWS 리전. 현재 리전에서 통합이 지원되지 않는 경우 통합 페이지에 표시되지 않습니다.

중국 리전 및 에서 사용할 수 있는 통합 목록은 중국(베이징) 및 중국(닝샤)에서 지원되는 통합 및 섹션을 AWS GovCloud (US)참조하세요AWS GovCloud (미국 동부) 및 AWS GovCloud (미국 서부) 에서 지원되는 통합.

아래에 명시되지 않는 한 Security Hub 및 다른 서비스를 활성화하면 Security Hub로 조사 결과를 전송하는 AWS 서비스 통합이 자동으로 활성화됩니다. Security Hub 조사 결과를 받은 통합에는 활성화를 위한 추가 단계가 필요할 수 있습니다. 더 자세히 알아보려면 각 통합에 대한 정보를 검토해 보십시오.

Security Hub와의 AWS 서비스 통합 개요

다음은 Security Hub로 조사 결과를 보내거나 Security Hub에서 조사 결과를 수신하는 AWS 서비스에 대한 개요입니다.

통합 AWS 서비스 Direction

AWS Config

조사 결과를 전송합니다

AWS Firewall Manager

조사 결과를 전송합니다

Amazon GuardDuty

조사 결과를 전송합니다

AWS Health

조사 결과를 전송합니다

AWS Identity and Access Management Access Analyzer

조사 결과를 전송합니다

Amazon Inspector

조사 결과를 전송합니다

AWS IoT Device Defender

조사 결과를 전송합니다

Amazon Macie

조사 결과를 전송합니다

AWS Systems Manager 패치 관리자

조사 결과를 전송합니다

AWS Audit Manager

조사 결과를 수신합니다

AWS Chatbot

조사 결과를 수신합니다

Amazon Detective

조사 결과를 수신합니다

Amazon Security Lake

조사 결과를 수신합니다

AWS Systems Manager 탐색기 및 OpsCenter

조사 결과 수령 및 업데이트

AWS Trusted Advisor

조사 결과를 수신합니다

AWS Security Hub로 조사 결과를 보내는 서비스

다음 AWS 서비스는 조사 결과를 Security Hub로 전송하여 Security Hub와 통합됩니다. Security Hub는 조사 결과를 AWS 보안 조사 결과 형식 으로 변환합니다.

AWS Config (결과 전송)

AWS Config 는 AWS 리소스 구성을 평가, 감사 및 평가할 수 있는 서비스입니다. 는 AWS 리소스 구성을 AWS Config 지속적으로 모니터링 및 기록하고 원하는 구성에 대해 기록된 구성의 평가를 자동화할 수 있습니다.

와의 통합을 사용하면 Security Hub에서 관리형 및 사용자 지정 규칙 평가 결과를 AWS Config 조사 결과로 볼 AWS Config수 있습니다. 이러한 조사 결과는 다른 Security Hub 조사 결과와 함께 볼 수 있으며, 보안 상태에 대한 포괄적인 개요를 제공합니다.

AWS Config 는 Amazon EventBridge 을 사용하여 AWS Config 규칙 평가를 Security Hub로 전송합니다. Security Hub는 규칙 평가를 AWS 보안 조사 결과 형식을 따르는 조사 결과로 변환합니다. 그런 다음 Security Hub는 Amazon 리소스 이름(ARN), 리소스 태그, 생성 날짜 등 영향을 받는 리소스에 대한 자세한 정보를 얻어 최선의 노력을 기반으로 조사 결과를 강화합니다.

이 통합에 대한 자세한 내용은 다음 단원을 참조하십시오.

Security Hub의 모든 조사 결과는 표준 JSON 형식인 를 사용합니다ASFF. ASFF 에는 조사 결과의 오리진, 영향을 받는 리소스 및 조사 결과의 현재 상태에 대한 세부 정보가 포함되어 있습니다. 는 를 통해 관리형 및 사용자 지정 규칙 평가를 Security Hub로 AWS Config 보냅니다 EventBridge. Security Hub는 규칙 평가를 후속 조사 결과로 변환ASFF하고 최선의 노력을 기반으로 조사 결과를 강화합니다.

Security Hub로 AWS Config 보내는 조사 결과 유형

통합이 활성화된 후 는 모든 AWS Config 관리형 규칙 및 사용자 지정 규칙에 대한 평가를 Security Hub로 AWS Config 보냅니다. Security Hub가 활성화된 후 수행된 평가만 전송됩니다. 예를 들어 AWS Config 규칙 평가에서 실패한 리소스가 5개 있다고 가정해 보겠습니다. 그런 다음 Security Hub를 활성화하면 규칙에 여섯 번째 실패한 리소스가 표시되고 는 여섯 번째 리소스 평가만 Security Hub로 AWS Config 보냅니다.

Security Hub 컨트롤에서 검사를 실행하는 데 사용되는 규칙과 같은 서비스 연결 AWS Config 규칙 의 평가는 제외됩니다.

Security Hub로 AWS Config 조사 결과 전송

통합이 활성화되면 Security Hub는 에서 결과를 수신하는 데 필요한 권한을 자동으로 할당합니다 AWS Config. Security Hub는 이 통합을 활성화하고 Amazon 를 AWS Config 통해 에서 결과를 가져올 수 있는 안전한 방법을 제공하는 service-to-service 수준 권한을 사용합니다 EventBridge.

조사 결과 전송 지연 시간

가 새 결과를 AWS Config 생성하면 일반적으로 5분 이내에 Security Hub에서 결과를 볼 수 있습니다.

Security Hub를 사용할 수 없을 때 다시 시도

AWS Config 는 를 통해 결과를 Security Hub에 최선의 노력을 다해 전송합니다 EventBridge. 이벤트가 Security Hub로 성공적으로 전송되지 않으면 는 EventBridge 최대 24시간 또는 185회 중 먼저 도래하는 시간 동안 전송을 재시도합니다.

Security Hub에서 기존 AWS Config 조사 결과 업데이트

가 결과를 Security Hub에 AWS Config 전송한 후 동일한 결과에 대한 업데이트를 Security Hub에 전송하여 결과 활동에 대한 추가 관찰 내용을 반영할 수 있습니다. 업데이트는 ComplianceChangeNotification 이벤트에 대해서만 전송됩니다. 규정 준수 변경 사항이 발생하지 않으면 업데이트가 Security Hub로 전송되지 않습니다. Security Hub는 조사 결과를 가장 최근 업데이트 후 90일 또는 업데이트가 없는 경우 생성일 이후 90일에 삭제됩니다.

Security Hub는 연결된 리소스를 삭제 AWS Config 하더라도 에서 전송된 조사 결과를 보관하지 않습니다.

AWS Config 조사 결과가 있는 리전

AWS Config 조사 결과는 리전별로 발생합니다. 는 조사 결과가 발생한 동일한 리전 또는 리전의 Security Hub로 조사 결과를 AWS Config 보냅니다.

AWS Config 조사 결과를 보려면 Security Hub 탐색 창에서 조사 결과를 선택합니다. 조사 결과를 필터링하여 AWS Config 조사 결과만 표시하려면 검색 도구 모음 드롭다운에서 제품 이름을 선택합니다. 구성을 입력하고 적용을 선택합니다.

Security Hub에서 AWS Config 결과 이름 해석

Security Hub는 AWS Config 규칙 평가를 를 따르는 조사 결과로 변환합니다AWS 보안 결과 형식(ASFF). AWS Config 규칙 평가는 와 다른 이벤트 패턴을 사용합니다ASFF. 다음 표는 AWS Config 규칙 평가 필드를 Security Hub에 표시된 ASFF 대로 해당 필드와 매핑합니다.

구성 규칙 평가 조사 결과 유형 ASFF 결과 유형 하드코딩된 값
세부 정보.awsAccountId AwsAccountId
세부 정보.newEvaluationResult.resultRecordedTime CreatedAt
세부 정보.newEvaluationResult.resultRecordedTime UpdatedAt
ProductArn “arn:<partition>:securityhub:<region>::product/aws/config”
ProductName "Config"
CompanyName "AWS"
Region "eu-central-1"
configRuleArn GeneratorId, ProductFields
세부 정보.ConfigRuleARN/finding/hash Id
세부 정보.configRuleName 제목, ProductFields
세부 정보.configRuleName 설명 “이 조사 결과는 구성 규칙(${detail.ConfigRuleName})의 리소스 규정 준수 변경을 위해 작성되었습니다.”
구성 항목 “ARN” 또는 Security Hub가 계산됨 ARN Resources[i].id
세부 정보.resourceType Resources[i].Type "AwsS3Bucket"
Resources[i].Partition "aws"
Resources[i].Region "eu-central-1"
구성 항목 "configuration" Resources[i].Details
SchemaVersion "2018-10-08"
Severity.Label 아래 “심각도 레이블 해석”을 참고하십시오
타입 ["소프트웨어 및 구성 점검"]
세부 정보.newEvaluationResult.complianceType Compliance.Status “FAILED”, “NOT_AVAILABLE”, “PASSED” 또는 “WARNING”
Workflow.Status Compliance.StatusRESOLVED를 사용하여 AWS Config 조사 결과가 생성되는 경우 “PASSED,” 또는 Compliance.Status가 “FAILED”에서 “PASSED.”로 변경되는 경우 “ 그렇지 않으면 Workflow.Status는 “.”가 됩니다NEW. BatchUpdateFindings API 작업을 사용하여 이 값을 변경할 수 있습니다.

심각도 레이블 해석

AWS Config 규칙 평가의 모든 결과에는 MEDIUM의 기본 심각도 레이블이 있습니다ASFF. BatchUpdateFindings API 작업으로 조사 결과의 심각도 레이블을 업데이트할 수 있습니다.

의 일반적인 결과 AWS Config

Security Hub는 AWS Config 규칙 평가를 를 따르는 조사 결과로 변환합니다ASFF. 다음은 AWS Config 에서 얻은 일반적인 결과의 예입니다ASFF.

참고

설명이 1024자를 초과하면 1024자에서 잘리고 끝에 “(잘림)"이라고 표시됩니다.

{
	"SchemaVersion": "2018-10-08",
	"Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932",
	"ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config",
	"ProductName": "Config",
	"CompanyName": "AWS",
	"Region": "eu-central-1",
	"GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
	"AwsAccountId": "123456789012",
	"Types": [
		"Software and Configuration Checks"
	],
	"CreatedAt": "2022-04-15T05:00:37.181Z",
	"UpdatedAt": "2022-04-19T21:20:15.056Z",
	"Severity": {
		"Label": "MEDIUM",
		"Normalized": 40
	},
	"Title": "s3-bucket-level-public-access-prohibited-config-integration-demo",
	"Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo",
	"ProductFields": {
		"aws/securityhub/ProductName": "Config",
		"aws/securityhub/CompanyName": "AWS",
		"aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902",
		"aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
		"aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo",
		"aws/config/ConfigComplianceType": "NON_COMPLIANT"
	},
	"Resources": [{
		"Type": "AwsS3Bucket",
		"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
		"Partition": "aws",
		"Region": "eu-central-1",
		"Details": {
			"AwsS3Bucket": {
				"OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c",
				"CreatedAt": "2022-04-15T04:32:53.000Z"
			}
		}
	}],
	"Compliance": {
		"Status": "FAILED"
	},
	"WorkflowState": "NEW",
	"Workflow": {
		"Status": "NEW"
	},
	"RecordState": "ACTIVE",
	"FindingProviderFields": {
		"Severity": {
			"Label": "MEDIUM"
		},
		"Types": [
			"Software and Configuration Checks"
		]
	}
}

Security Hub를 활성화하면 이 통합이 자동으로 활성화됩니다. AWS Config 즉시 Security Hub로 조사 결과를 보내기 시작합니다.

Security Hub로 조사 결과 전송을 중지하려면 Security Hub 콘솔 또는 Security Hub 를 사용할 수 있습니다API.

조사 결과의 흐름을 중지하는 방법에 대한 지침은 섹션을 참조하세요통합에서 조사 결과의 흐름 활성화.

AWS Firewall Manager (결과 전송)

Firewall Manager는 리소스에 대한 웹 애플리케이션 방화벽(WAF) 정책 또는 웹 액세스 제어 목록(웹 ACL) 규칙이 규정을 준수하지 않을 때 Security Hub에 조사 결과를 전송합니다. 또한 Firewall Manager는 AWS Shield Advanced 가 리소스를 보호하지 않거나 공격이 식별될 때 조사 결과를 전송합니다.

Security Hub를 활성화하면 이 통합이 자동으로 활성화됩니다. Firewall Manager는 즉시 Security Hub로 조사 결과를 전송하기 시작합니다.

통합에 대해 자세히 알아보려면 Security Hub 콘솔의 통합 페이지를 확인하십시오.

Firewall Manager에 대해 자세히 알아보려면 AWS WAF 개발자 안내서를 참조하십시오.

Amazon GuardDuty (조사 결과 전송)

GuardDuty 는 생성된 모든 조사 결과를 Security Hub로 보냅니다.

의 새 조사 결과는 GuardDuty 5분 이내에 Security Hub로 전송됩니다. 조사 결과에 대한 업데이트는 EventBridge GuardDuty 설정에서 Amazon에 대한 조사 결과 업데이트 설정에 따라 전송됩니다.

GuardDuty 설정 페이지를 사용하여 GuardDuty 샘플 결과를 생성하면 Security Hub는 샘플 결과를 수신하고 결과 유형의 접두사를 생략[Sample]합니다. 예를 들어 의 샘플 결과 유형은 GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions Security HubRecon:IAMUser/ResourcePermissions에 로 표시됩니다.

Security Hub를 활성화하면 이 통합이 자동으로 활성화됩니다. GuardDuty 즉시 Security Hub로 조사 결과를 보내기 시작합니다.

GuardDuty 통합에 대한 자세한 내용은 Amazon GuardDuty 사용 설명서AWS Security Hub와의 통합을 참조하세요.

AWS Health (결과 전송)

AWS Health 는 리소스 성능과 AWS 서비스 및 의 가용성에 대한 지속적인 가시성을 제공합니다 AWS 계정. AWS Health 이벤트를 사용하여 서비스 및 리소스 변경이 AWS에서 실행 중인 애플리케이션에 어떤 영향을 미칠 수 있는지 알아볼 수 있습니다.

와의 통합은 를 사용하지 AWS Health 않습니다BatchImportFindings. 대신 이벤트 메시징을 AWS Health 사용하여 service-to-service 결과를 Security Hub로 보냅니다.

이 통합에 대한 자세한 내용은 다음 단원을 참조하십시오.

Security Hub의 경우 보안 문제를 조사 결과와 같이 추적합니다. 일부 조사 결과는 다른 AWS 서비스 또는 타사 파트너가 감지한 문제에서 비롯됩니다. Security Hub에는 보안 문제를 감지하고 조사 결과를 생성하는 데 사용하는 규칙 집합도 있습니다.

Security Hub는 이러한 모든 출처를 총망라하여 조사 결과를 관리할 도구를 제공합니다. 사용자는 조사 결과 목록을 조회하고 필터링할 수 있으며 주어진 조사 결과의 세부 정보를 조회할 수도 있습니다. Security Hub에서 조사 결과 세부 정보 및 조사 결과 기록 검토 섹션을 참조하십시오. 또한 주어진 결과에 대한 조사 상태를 추적할 수도 있습니다. Security Hub 조사 결과의 워크플로 상태 설정을 참조하세요.

Security Hub의 모든 조사 결과는 라는 표준 JSON 형식을 사용합니다AWS 보안 결과 형식(ASFF). ASFF 에는 문제의 소스, 영향을 받는 리소스 및 조사 결과의 현재 상태에 대한 세부 정보가 포함되어 있습니다.

AWS Health 는 결과를 Security Hub로 보내는 AWS 서비스 중 하나입니다.

Security Hub로 AWS Health 보내는 조사 결과 유형

통합이 활성화된 후 는 나열된 사양 중 하나 이상을 충족하는 조사 결과를 Security Hub로 AWS Health 보냅니다. Security Hub는 의 조사 결과를 수집합니다AWS 보안 결과 형식(ASFF).

  • 에 대한 다음 값 중 하나라도 포함된 결과 AWS 서비스:

    • RISK

    • ABUSE

    • ACM

    • CLOUDHSM

    • CLOUDTRAIL

    • CONFIG

    • CONTROLTOWER

    • DETECTIVE

    • EVENTS

    • GUARDDUTY

    • IAM

    • INSPECTOR

    • KMS

    • MACIE

    • SES

    • SECURITYHUB

    • SHIELD

    • SSO

    • COGNITO

    • IOTDEVICEDEFENDER

    • NETWORKFIREWALL

    • ROUTE53

    • WAF

    • FIREWALLMANAGER

    • SECRETSMANAGER

    • BACKUP

    • AUDITMANAGER

    • ARTIFACT

    • CLOUDENDURE

    • CODEGURU

    • ORGANIZATIONS

    • DIRECTORYSERVICE

    • RESOURCEMANAGER

    • CLOUDWATCH

    • DRS

    • INSPECTOR2

    • RESILIENCEHUB

  • 필드에 security, abuse또는 단어certificate가 AWS Health typeCode 있는 결과

  • AWS Health 서비스가 또는 인 경우의 결과 risk abuse

Security Hub로 AWS Health 조사 결과 전송

에서 결과를 수락하도록 선택하면 AWS Health Security Hub는 에서 결과를 수신하는 데 필요한 권한을 자동으로 할당합니다 AWS Health. Security Hub는 service-to-service 이러한 통합을 활성화하고 EventBridge 사용자를 대신하여 Amazon을 AWS Health 통해 결과를 가져올 수 있는 안전하고 쉬운 방법을 제공하는 수준 권한을 사용합니다. 결과 수락을 선택하면 Security Hub가 의 결과를 사용할 수 있는 권한을 부여합니다 AWS Health.

조사 결과 전송 지연 시간

가 새 결과를 AWS Health 생성하면 일반적으로 5분 이내에 Security Hub로 전송됩니다.

Security Hub를 사용할 수 없을 때 다시 시도

AWS Health 는 를 통해 결과를 Security Hub에 최선의 노력을 다해 전송합니다 EventBridge. 이벤트가 Security Hub로 성공적으로 전달되지 않으면 EventBridge는 24시간 동안 이벤트 전송을 재시도합니다.

Security Hub에서 기존 조사 결과 업데이트

가 결과를 Security Hub에 AWS Health 전송한 후 동일한 결과에 대한 업데이트를 전송하여 결과 활동에 대한 추가 관찰 내용을 Security Hub에 반영할 수 있습니다.

조사 결과가 존재하는 리전

글로벌 이벤트의 경우 us-east-1(AWS 파티션), cn-northwest-1(중국 파티션) 및 gov-us-west-1(GovCloud 파티션)의 Security Hub로 AWS Health 조사 결과를 보냅니다. 는 이벤트가 발생하는 동일한 리전 또는 리전의 Security Hub로 리전별 이벤트를 AWS Health 보냅니다.

Security Hub에서 AWS Health 조사 결과를 보려면 탐색 패널에서 조사 결과를 선택합니다. 조사 결과를 필터링하여 AWS Health 조사 결과만 표시하려면 제품 이름 필드에서 상태를 선택합니다.

Security Hub에서 AWS Health 결과 이름 해석

AWS Health 는 를 사용하여 조사 결과를 Security Hub로 보냅니다AWS 보안 결과 형식(ASFF). AWS Health 검색은 Security Hub ASFF 형식과 다른 이벤트 패턴을 사용합니다. 아래 표에는 Security Hub에 나타나는 것과 동일한 ASFF 결과가 있는 모든 AWS Health 결과 필드가 자세히 나와 있습니다.

상태 결과 유형 ASFF 결과 유형 하드코딩된 값
account AwsAccountId
세부 정보.startTime CreatedAt
세부 정보.eventDescription.latestDescription 설명
세부 정보.eventTypeCode GeneratorId
detail.eventArn (계정 포함) + 세부 정보 해시.startTime Id
“arn:aws:securityhub:<region>::product/aws/health” ProductArn
계정 또는 resourceId Resources[i].id
Resources[i].Type “기타”
SchemaVersion "2018-10-08"
Severity.Label 아래 “심각도 레이블 해석”을 참고하십시오
“AWS Health -” 세부 정보.eventTypeCode Title
- 타입 ["소프트웨어 및 구성 점검"]
event.time UpdatedAt
URL Health 콘솔의 이벤트 SourceUrl
심각도 레이블 해석

ASFF 조사 결과의 심각도 레이블은 다음 로직을 사용하여 결정됩니다.

  • 심각도CRITICAL:

    • AWS Health 조사 결과의 service 필드에 값이 있습니다. Risk

    • AWS Health 조사 결과의 typeCode 필드에 값이 있습니다. AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION

    • AWS Health 조사 결과의 typeCode 필드에 값이 있습니다. AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK

    • AWS Health 조사 결과의 typeCode 필드에 값이 있습니다. AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES

    심각도HIGH:

    • AWS Health 조사 결과의 service 필드에 값이 있습니다. Abuse

    • AWS Health 조사 결과의 typeCode 필드에 값이 포함됩니다. SECURITY_NOTIFICATION

    • AWS Health 조사 결과의 typeCode 필드에 값이 포함됩니다. ABUSE_DETECTION

    심각도MEDIUM:

    • 조사 결과의 service 필드는 ACM, ARTIFACT, AUDITMANAGER, BACKUP,CLOUDENDURE, CLOUDHSM, CLOUDTRAIL, CLOUDWATCH, CODEGURGU, COGNITO, CONFIG, CONTROLTOWER, DETECTIVE, DIRECTORYSERVICE, DRS, EVENTS, FIREWALLMANAGER, GUARDDUTY, IAM, INSPECTOR, INSPECTOR2, IOTDEVICEDEFENDER, KMS, MACIE, NETWORKFIREWALL, ORGANIZATIONS, RESILIENCEHUB, RESOURCEMANAGER, ROUTE53, SECURITYHUB, SECRETSMANAGER, SES, SHIELD, SSO 또는 WAF이 될 수 있습니다.

    • 조사 결과의 typeCode 필드에 AWS Health 값이 포함됩니다. CERTIFICATE

    • 조사 결과의 typeCode 필드에 AWS Health 값이 포함됩니다. END_OF_SUPPORT

의 일반적인 결과 AWS Health

AWS Health 는 를 사용하여 결과를 Security Hub로 전송합니다AWS 보안 결과 형식(ASFF). 다음은 의 일반적인 조사 결과의 예입니다 AWS Health.

참고

설명이 1024자를 초과하면 1024자에서 잘리고 끝에 (잘림) 라고 표시됩니다.

{
            "SchemaVersion": "2018-10-08",
            "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health",
            "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS",
            "AwsAccountId": "123456789012",
            "Types": [
                "Software and Configuration Checks"
            ],
            "CreatedAt": "2022-01-07T16:34:04.000Z",
            "UpdatedAt": "2022-01-07T19:17:43.000Z",
            "Severity": {
                "Label": "MEDIUM",
                "Normalized": 40
            },
            "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS",
            "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).",
            "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
            "ProductFields": {
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
                "aws/securityhub/ProductName": "Health",
                "aws/securityhub/CompanyName": "AWS"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com"
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "MEDIUM"
                },
                "Types": [
                    "Software and Configuration Checks"
                ]
            }
        }
    ]
}

Security Hub를 활성화하면 이 통합이 자동으로 활성화됩니다. AWS Health 즉시 가 결과를 Security Hub로 보내기 시작합니다.

Security Hub로 조사 결과 전송을 중지하려면 Security Hub 콘솔 또는 Security Hub 를 사용할 수 있습니다API.

조사 결과의 흐름을 중지하는 방법에 대한 지침은 섹션을 참조하세요통합에서 조사 결과의 흐름 활성화.

AWS Identity and Access Management Access Analyzer (결과 전송)

IAM Access Analyzer를 사용하면 모든 조사 결과가 Security Hub로 전송됩니다.

IAM Access Analyzer는 로직 기반 추론을 사용하여 계정의 지원되는 리소스에 적용되는 리소스 기반 정책을 분석합니다. IAM Access Analyzer는 외부 보안 주체가 계정의 리소스에 액세스할 수 있도록 허용하는 정책 문을 감지하면 결과를 생성합니다.

IAM Access Analyzer에서는 관리자 계정만 조직에 적용되는 분석기에 대한 결과를 볼 수 있습니다. 조직 분석기의 경우 AwsAccountId ASFF 필드에는 관리자 계정 ID가 반영됩니다. ProductFields에서 ResourceOwnerAccount 필드는 조사 결과가 발견된 계정을 나타냅니다. 각 계정에 대해 분석기를 개별적으로 활성화하면, Security Hub는 관리자 계정 ID를 식별하는 조사 결과와 리소스 계정 ID를 식별하는 조사 결과 등 여러 조사 결과를 생성합니다.

자세한 내용은 IAM 사용 설명서AWS Security Hub와의 통합을 참조하세요.

Amazon Inspector(조사 결과를 전송함)

Amazon Inspector는 AWS 워크로드에서 취약성을 지속적으로 검사하는 취약성 관리 서비스입니다. Amazon Inspector는 Amazon Elastic Container Registry에 있는 Amazon EC2 인스턴스 및 컨테이너 이미지를 자동으로 검색하고 스캔합니다. 이 검사는 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 찾습니다.

Security Hub를 활성화하면 이 통합이 자동으로 활성화됩니다. Amazon Inspector는 생성한 모든 조사 결과를 즉시 Security Hub로 보내기 시작합니다.

통합에 대한 자세한 내용은 Amazon Inspector 사용 설명서AWS Security Hub와의 통합을 참조하세요.

Security Hub는 Amazon Inspector Classic에서 조사 결과를 받을 수도 있습니다. Amazon Inspector Classic에서는 지원되는 모든 규칙 패키지에 대한 평가 실행을 통해 생성된 조사 결과를 Security Hub로 전송합니다.

통합에 대한 자세한 내용은 Amazon Inspector Classic 사용 설명서AWS Security Hub와의 통합을 참조하세요.

Amazon Inspector 및 Amazon Inspector Classic에 대한 조사 결과는 동일한 제품을 사용합니다ARN. Amazon Inspector 조사 결과에는 ProductFields에 다음과 같은 항목이 있습니다.

"aws/inspector/ProductVersion": "2",

AWS IoT Device Defender (결과 전송)

AWS IoT Device Defender 는 IoT 디바이스의 구성을 감사하고, 연결된 디바이스를 모니터링하여 비정상적인 동작을 감지하고, 보안 위험을 완화하는 데 도움이 되는 보안 서비스입니다.

AWS IoT Device Defender 및 Security Hub를 모두 활성화한 후 Security Hub 콘솔의 통합 페이지를 방문하여 감사, 감지 또는 둘 다에 대한 결과 수락을 선택합니다. AWS IoT Device Defender 감사 및 감지는 모든 결과를 Security Hub로 보내기 시작합니다.

AWS IoT Device Defender 감사는 특정 감사 검사 유형 및 감사 작업에 대한 일반 정보가 포함된 검사 요약을 Security Hub에 전송합니다. AWS IoT Device Defender Detect는 기계 학습(ML), 통계 및 정적 동작에 대한 위반 결과를 Security Hub에 전송합니다. 또한, 감사는 Security Hub로 조사 결과 업데이트를 전송합니다.

이 통합에 대한 자세한 내용은 AWS IoT 개발자 안내서AWS Security Hub와의 통합을 참조하세요.

Amazon Macie(조사 결과를 전송합니다)

Macie의 조사 결과는 정책 위반 가능성이 있거나 개인 식별 정보(PII)와 같은 민감한 데이터가 조직에서 Amazon S3에 저장하는 데이터에 있음을 나타낼 수 있습니다.

Security Hub를 활성화하면 Macie는 자동으로 Security Hub에 정책 조사 결과를 보내기 시작합니다. 민감한 데이터 조사 결과를 Security Hub로 전송하도록 통합을 구성할 수도 있습니다.

Security Hub에서 정책 또는 민감한 데이터 결과의 결과 유형이 와 호환되는 값으로 변경됩니다ASFF. 예를 들어, Macie에서 Policy:IAMUser/S3BucketPublic 조사 결과 유형은 Security Hub에서 Effects/Data Exposure/Policy:IAMUser-S3BucketPublic으로 표시됩니다.

또한, Macie는 생성된 샘플 조사 결과를 Security Hub로 전송합니다. 샘플 조사 결과의 경우 영향을 받는 리소스의 이름은 macie-sample-finding-bucket이고 Sample 필드의 값은 true입니다.

자세한 내용은 Amazon Macie 사용 설명서에 있는 Amazon Macie와 AWS Security Hub와의 통합을 참고하십시오.

AWS Systems Manager Patch Manager(조사 결과 전송)

AWS Systems Manager 고객의 플릿에 있는 인스턴스가 패치 규정 준수 표준을 준수하지 않으면 Patch Manager는 결과를 Security Hub로 전송합니다.

패치 관리자는 보안 관련 및 기타 유형의 업데이트로 관리형 인스턴스에 패치를 적용하는 프로세스를 자동화해 줍니다.

Security Hub를 활성화하면 이 통합이 자동으로 활성화됩니다. Systems Manager Patch Manager가 즉시 Security Hub로 조사 결과를 전송하기 시작합니다.

패치 관리자 사용에 대한 자세한 내용은AWS Systems Manager 사용자 설명서AWS Systems Manager 패치 관리자를 참조하십시오.

AWS Security Hub에서 조사 결과를 수신하는 서비스

다음 AWS 서비스는 Security Hub와 통합되어 Security Hub에서 조사 결과를 수신합니다. 별도로 명시되어 있는 경우, 통합 서비스는 조사 결과를 업데이트할 수도 있습니다. 이 경우, 통합 서비스에 조사 결과를 업데이트하면 Security Hub에도 반영됩니다.

AWS Audit Manager (결과 수신)

AWS Audit Manager 는 Security Hub에서 조사 결과를 수신합니다. 이러한 조사 결과는 Audit Manager 사용자가 감사를 준비하는 데 도움이 됩니다.

Audit Manager에 대한 자세한 내용은 AWS Audit Manager 사용 설명서 섹션을 참조하세요. AWSAWS Audit Manager에서 지원하는 Security Hub 검사 Security Hub가 감사 관리자로 조사 결과를 보내는 데 사용되는 제어 기능이 나열되어 있습니다.

AWS Chatbot (결과 수신)

AWS Chatbot 는 Slack 채널 및 Amazon Chime 채팅룸의 AWS 리소스를 모니터링하고 상호 작용하는 데 도움이 되는 대화형 에이전트입니다.

AWS Chatbot 는 Security Hub에서 조사 결과를 수신합니다.

Security Hub와의 AWS Chatbot 통합에 대한 자세한 내용은 AWS Chatbot 관리자 안내서Security Hub 통합 개요를 참조하세요.

Amazon Detective(조사 결과를 수신합니다)

Detective는 AWS 리소스에서 로그 데이터를 자동으로 수집하고 기계 학습, 통계 분석 및 그래프 이론을 사용하여 더 빠르고 효율적인 보안 조사를 시각화하고 수행하는 데 도움이 됩니다.

Security Hub와 Detective의 통합을 통해 Security Hub의 Amazon GuardDuty 조사 결과에서 Detective로 피벗할 수 있습니다. 그런 다음 조사 도구와 시각화를 사용하여 이 결과를 조사할 수 있습니다. 통합에는 Security Hub 또는 탐지에서 추가 구성이 필요하지 않습니다.

다른 에서 받은 조사 결과의 경우 Security Hub 콘솔의 AWS 서비스조사 결과 세부 정보 패널에는 Detective의 조사 하위 섹션이 포함되어 있습니다. 해당 하위 섹션에는 Detective로 연결되는 링크가 포함되어 있으며, 이 링크를 통해 조사 결과에서 보고된 보안 문제를 추가로 조사할 수 있습니다. 또한, Security Hub 조사 결과를 기반으로 Detective에서 동작 그래프를 작성하여 보다 효과적인 조사를 수행할 수 있습니다. 자세한 내용은 Amazon Detective 관리 설명서AWS 보안 조사 결과를 참고하십시오.

리전 간 집계가 활성화된 경우 집계 리전에서 피벗하면 조사 결과가 발생한 리전에서 Detective가 열립니다.

링크가 작동하지 않는 경우 문제 해결 방법은 피벗 문제 해결을 참조하십시오.

Amazon Security Lake(조사 결과를 수신합니다)

Security Lake는 완전 관리형 보안 데이터 레이크 서비스입니다. Security Lake는 클라우드, 온프레미스 및 사용자 지정 소스의 보안 데이터를 계정에 저장된 데이터 레이크로 자동 중앙 집중화합니다. 구독자는 조사 및 분석 사용 사례에 Security Lake의 데이터를 사용할 수 있습니다.

이 통합을 활성화하려면 서비스를 모두 활성화하고 Security Lake 콘솔, Security Lake API또는 에서 Security Hub를 소스로 추가해야 합니다 AWS CLI. 이 단계를 완료하면 Security Hub가 모든 조사 결과를 Security Lake로 보내기 시작합니다.

Security Lake는 Security Hub 조사 결과를 자동으로 정규화하고 이를 Open Cybersecurity Schema Framework()라는 표준화된 오픈 소스 스키마로 변환합니다OCSF. Security Lake에서는 구독자를 한 명 이상 추가하여 Security Hub의 조사 결과를 사용할 수 있습니다.

Security Hub를 소스로 추가하고 구독자를 생성하는 방법을 포함하여 이 통합에 대한 자세한 내용은 Amazon AWS Security Lake 사용 설명서의 Security Hub와의 통합을 참조하세요.

AWS Systems Manager 탐색기 및 OpsCenter (결과 수신 및 업데이트)

AWS Systems Manager Security Hub에서 조사 결과를 탐색 및 OpsCenter 수신하고 Security Hub에서 해당 조사 결과를 업데이트합니다.

Explorer는 사용자 지정 가능한 대시보드를 제공하여 사용자의 AWS 환경에 대한 운영 상태 및 성능에 주요 인사이트와 분석을 제공합니다.

OpsCenter 는 운영 작업 항목을 보고 조사하고 해결할 수 있는 중앙 위치를 제공합니다.

Explorer 및 에 대한 자세한 내용은 AWS Systems Manager 사용 설명서작업 관리를 OpsCenter참조하세요.

AWS Trusted Advisor (결과 수신)

Trusted Advisor 는 수십만 명의 AWS 고객에게 서비스를 제공하여 얻은 모범 사례를 활용합니다. 는 AWS 환경을 Trusted Advisor 검사한 다음 비용을 절감하거나 시스템 가용성 및 성능을 개선하거나 보안 격차를 좁힐 수 있는 기회가 있을 때 권장 사항을 제시합니다.

Trusted Advisor 및 Security Hub를 모두 활성화하면 통합이 자동으로 업데이트됩니다.

Security Hub는 AWS 기본 보안 모범 사례 검사 결과를 로 전송합니다 Trusted Advisor.

와의 Security Hub 통합에 대한 자세한 내용은 AWS 지원 사용 설명서의 에서 AWS Security Hub 제어 보기를 AWS Trusted Advisor Trusted Advisor참조하세요.