AWS service (Serviço da AWS) integrações com o Security Hub - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS service (Serviço da AWS) integrações com o Security Hub

AWS O Security Hub suporta integrações com vários outros Serviços da AWS.

nota

As integrações podem não estar disponíveis em todas Regiões da AWS. Se uma integração não for suportada na região atual, ela não aparecerá na página Integrações.

Para obter uma lista das integrações que estão disponíveis nas regiões da China e AWS GovCloud (US), consulte Integrações com suporte na China (Pequim) e na China (Ningxia) e. Integrações que são suportadas em AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA)

A menos que indicado abaixo, AWS service (Serviço da AWS) as integrações que enviam descobertas para o Security Hub são ativadas automaticamente depois que você habilita o Security Hub e o outro serviço. As integrações que recebem as descobertas do Security Hub podem exigir etapas adicionais para ativação. Analise as informações sobre cada integração para saber mais.

Visão geral das integrações AWS de serviços com o Security Hub

Aqui está uma visão geral dos AWS serviços que enviam descobertas para o Security Hub ou recebem descobertas do Security Hub.

AWS Serviço integrado Direction

AWS Config

Envia descobertas

AWS Firewall Manager

Envia descobertas

Amazon GuardDuty

Envia descobertas

AWS Health

Envia descobertas

AWS Identity and Access Management Access Analyzer

Envia descobertas

Amazon Inspector

Envia descobertas

AWS IoT Device Defender

Envia descobertas

Amazon Macie

Envia descobertas

AWS Systems Manager Patch Manager

Envia descobertas

AWS Audit Manager

Recebe descobertas

AWS Chatbot

Recebe descobertas

Amazon Detective

Recebe descobertas

Amazon Security Lake

Recebe descobertas

AWS Systems Manager Explorer e OpsCenter

Recebe e atualiza as descobertas

AWS Trusted Advisor

Recebe descobertas

AWS serviços que enviam descobertas para o Security Hub

Os AWS serviços a seguir se integram ao Security Hub enviando descobertas para o Security Hub. O Security Hub converte as descobertas no formato AWS de descoberta de segurança.

AWS Config (Envia descobertas)

AWS Config é um serviço que permite avaliar, auditar e avaliar as configurações de seus AWS recursos. AWS Config monitora e registra continuamente suas configurações de AWS recursos e permite automatizar a avaliação das configurações gravadas em relação às configurações desejadas.

Ao usar a integração com AWS Config, você pode ver os resultados das avaliações de regras AWS Config gerenciadas e personalizadas como descobertas no Security Hub. Essas descobertas podem ser visualizadas com outras descobertas do Security Hub, fornecendo uma visão geral abrangente de sua postura de segurança.

AWS Config usa EventBridge a Amazon para enviar avaliações de AWS Config regras ao Security Hub. O Security Hub transforma as avaliações de regras em descobertas que seguem o Formato do Security Finding AWS. Em seguida, o Security Hub enriquece as descobertas com base no melhor esforço, obtendo mais informações sobre os recursos afetados, como o Amazon Resource Name (ARN), tags de recursos e data de criação.

Para mais informações sobre esta integração, consulte as seções a seguir.

Todas as descobertas no Security Hub usam o JSON formato padrão deASFF. ASFFinclui detalhes sobre a origem da descoberta, o recurso afetado e o status atual da descoberta. AWS Config envia avaliações de regras gerenciadas e personalizadas para o Security Hub via EventBridge. O Security Hub transforma as avaliações de regras em descobertas que seguem ASFF e enriquece as descobertas com base no melhor esforço.

Tipos de descobertas AWS Config enviadas ao Security Hub

Depois que a integração for ativada, AWS Config envia avaliações de todas as regras AWS Config gerenciadas e personalizadas para o Security Hub. Somente as avaliações que foram realizadas após a ativação do Security Hub são enviadas. Por exemplo, suponha que uma avaliação de AWS Config regra revele cinco recursos com falha. Se eu habilitar o Security Hub depois disso e a regra revelar um sexto recurso com falha, AWS Config enviará somente a sexta avaliação do recurso para o Security Hub.

As avaliações de AWS Config regras vinculadas a serviços, como aquelas usadas para executar verificações nos controles do Security Hub, estão excluídas.

Enviando AWS Config descobertas para o Security Hub

Quando a integração for ativada, o Security Hub atribuirá automaticamente as permissões necessárias para receber as descobertas AWS Config. O Security Hub usa permissões de service-to-service nível que fornecem uma maneira segura de ativar essa integração e importar descobertas AWS Config via Amazon EventBridge.

Latência para enviar descobertas

Quando AWS Config cria uma nova descoberta, geralmente você pode visualizá-la no Security Hub em cinco minutos.

Tentar novamente quando o Security Hub não estiver disponível

AWS Config envia as descobertas para o Security Hub com base no melhor esforço, por meio de EventBridge. Quando um evento não é entregue com sucesso ao Security Hub, EventBridge repita a entrega por até 24 horas ou 185 vezes, o que ocorrer primeiro.

Atualização das AWS Config descobertas existentes no Security Hub

Depois de AWS Config enviar uma descoberta para o Security Hub, ele pode enviar atualizações da mesma descoberta para o Security Hub para refletir observações adicionais da atividade de descoberta. As atualizações são enviadas somente para eventos ComplianceChangeNotification. Se nenhuma alteração de conformidade ocorrer, as atualizações não serão enviadas para o Security Hub. O Security Hub exclui as descobertas 90 dias após a atualização mais recente ou 90 dias após a criação, se nenhuma atualização ocorrer.

O Security Hub não arquiva as descobertas enviadas, AWS Config mesmo que você exclua o recurso associado.

Regiões nas quais existem AWS Config descobertas

AWS Config as descobertas ocorrem em uma base regional. AWS Config envia as descobertas para o Security Hub na mesma região ou regiões em que as descobertas ocorrem.

Para ver suas AWS Config descobertas, escolha Descobertas no painel de navegação do Security Hub. Para filtrar as descobertas para exibir somente AWS Config as descobertas, escolha Nome do produto no menu suspenso da barra de pesquisa. Insira Config e escolha Aplicar.

Interpretando AWS Config encontrar nomes no Security Hub

O Security Hub transforma avaliações de AWS Config regras em descobertas que seguem o. AWS Formato de descoberta de segurança (ASFF) AWS Config as avaliações de regras usam um padrão de evento diferente em comparação ASFF com. A tabela a seguir mapeia os campos de avaliação de AWS Config regras com seus ASFF equivalentes conforme eles aparecem no Security Hub.

Tipo de descoberta da avaliação da regra de configuração ASFFtipo de descoberta Valor codificado
detalhe. awsAccountId AwsAccountId
detalhe. newEvaluationResult. resultRecordedTime CreatedAt
detalhe. newEvaluationResult. resultRecordedTime UpdatedAt
ProductArn <partition><region>“arn:: hub de segurança:::” product/aws/config
ProductName “Config”
CompanyName "AWS"
Região “eu-central-1”
configRuleArn GeneratorId, ProductFields
detalhe. ConfigRuleARN/finding/hash Id
detalhe. configRuleName Título, ProductFields
detalhe. configRuleName Descrição “Essa descoberta foi criada para uma alteração de conformidade de recurso para a regra de configuração: ${detail.ConfigRuleName}
Item de configuração "ARN" ou Security Hub calculado ARN Resources[i].id
detalhe. resourceType Resources[i].Type "AwsS3Bucket"
Resources[i].Partition "aws"
Resources[i].Region “eu-central-1”
Item de configuração “configuração” Resources[i].Details
SchemaVersion "2018-10-08"
Severity.Label Consulte “Interpretar o rótulo de gravidade” abaixo
Tipos [“Verificações de Software e Configuração”]
detalhe. newEvaluationResult. complianceType Compliance.Status “FAILED“," NOT _ AVAILABLE “," PASSED “ou"WARNING”
Workflow.Status “RESOLVED" se uma AWS Config descoberta for gerada com um Compliance.Status de "PASSED,” ou se o Compliance.Status mudar de "" para "”.” FAILED PASSED Caso contrário, Workflow.Status será ".” NEW Você pode alterar esse valor com a BatchUpdateFindingsAPIoperação.

Interpretar o rótulo de gravidade

Todas as descobertas das avaliações de AWS Config regras têm um rótulo de severidade padrão MEDIUMnoASFF. Você pode atualizar o rótulo de gravidade de uma descoberta com a BatchUpdateFindingsAPIoperação.

Descoberta típica de AWS Config

O Security Hub transforma avaliações de AWS Config regras em descobertas que seguem o. ASFF A seguir está um exemplo de uma descoberta típica doASFF. AWS Config

nota

Se a descrição tiver mais de 1024 caracteres, ela será truncada para 1024 caracteres e dirá “(truncada)” ao final.

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }

Depois de habilitar o Security Hub, essa integração é ativada automaticamente. AWS Config imediatamente começa a enviar as descobertas para o Security Hub.

Para parar de enviar descobertas para o Security Hub, você pode usar o console do Security Hub ou o Security HubAPI.

Para obter instruções sobre como interromper o fluxo de descobertas, consulteHabilitando o fluxo de descobertas a partir de uma integração.

AWS Firewall Manager (Envia descobertas)

O Firewall Manager envia descobertas para o Security Hub quando uma política de firewall de aplicativo web (WAF) para recursos ou uma regra de lista de controle de acesso à web (webACL) não está em conformidade. O Firewall Manager também envia descobertas quando não AWS Shield Advanced está protegendo recursos ou quando um ataque é identificado.

Depois de habilitar o Security Hub, essa integração é ativada automaticamente. O Firewall Manager começa imediatamente a enviar descobertas ao Security Hub.

Para saber mais sobre integração, veja a página Integrações no console do Security Hub.

Para saber mais sobre o Firewall Manager, consulte Guia do desenvolvedor do AWS WAF .

Amazon GuardDuty (envia descobertas)

GuardDuty envia todas as descobertas geradas para o Security Hub.

As novas descobertas GuardDuty são enviadas ao Security Hub em cinco minutos. As atualizações das descobertas são enviadas com base na configuração de descobertas atualizadas da Amazon EventBridge nas GuardDuty configurações.

Quando você gera GuardDuty amostras de descobertas usando a página GuardDuty Configurações, o Security Hub recebe as descobertas de amostra e omite o prefixo [Sample] no tipo de descoberta. Por exemplo, o tipo de descoberta de amostra em GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions é exibido como Recon:IAMUser/ResourcePermissions no Security Hub.

Depois de habilitar o Security Hub, essa integração é ativada automaticamente. GuardDuty imediatamente começa a enviar as descobertas para o Security Hub.

Para obter mais informações sobre a GuardDuty integração, consulte Integração com o AWS Security Hub no Guia GuardDuty do usuário da Amazon.

AWS Health (Envia descobertas)

AWS Health fornece visibilidade contínua do desempenho de seus recursos e da disponibilidade de seu Serviços da AWS Contas da AWS e. Você pode usar eventos do AWS Health para saber como as mudanças de serviços e recursos podem afetar seus aplicativos executados no AWS.

A integração com AWS Health não usaBatchImportFindings. Em vez disso, AWS Health usa mensagens de service-to-service eventos para enviar descobertas ao Security Hub.

Para mais informações sobre a integração, consulte as seções a seguir.

No Security Hub, os problemas de segurança são rastreados como descobertas. Algumas descobertas vêm de problemas detectados por outros AWS serviços ou por parceiros terceirizados. O Security Hub também tem um conjunto de regras que ele usa para detectar problemas de segurança e gerar descobertas.

O Security Hub fornece ferramentas para gerenciar descobertas em todas essas fontes. Você pode exibir e filtrar listas de descobertas e exibir detalhes de uma descoberta. Consulte Analisando detalhes e histórico de descobertas no Security Hub. Você também pode rastrear o status de uma investigação em uma descoberta. Consulte Definindo o status do fluxo de trabalho das descobertas do Security Hub.

Todas as descobertas no Security Hub usam um JSON formato padrão chamado deAWS Formato de descoberta de segurança (ASFF). ASFFinclui detalhes sobre a origem do problema, os recursos afetados e o status atual da descoberta.

AWS Health é um dos AWS serviços que envia descobertas para o Security Hub.

Tipos de descobertas AWS Health enviadas ao Security Hub

Depois que a integração for ativada, AWS Health envia as descobertas que atendem a uma ou mais das especificações listadas para o Security Hub. O Security Hub ingere as descobertas noAWS Formato de descoberta de segurança (ASFF).

  • Descobertas que contêm qualquer um dos seguintes valores para AWS service (Serviço da AWS):

    • RISK

    • ABUSE

    • ACM

    • CLOUDHSM

    • CLOUDTRAIL

    • CONFIG

    • CONTROLTOWER

    • DETECTIVE

    • EVENTS

    • GUARDDUTY

    • IAM

    • INSPECTOR

    • KMS

    • MACIE

    • SES

    • SECURITYHUB

    • SHIELD

    • SSO

    • COGNITO

    • IOTDEVICEDEFENDER

    • NETWORKFIREWALL

    • ROUTE53

    • WAF

    • FIREWALLMANAGER

    • SECRETSMANAGER

    • BACKUP

    • AUDITMANAGER

    • ARTIFACT

    • CLOUDENDURE

    • CODEGURU

    • ORGANIZATIONS

    • DIRECTORYSERVICE

    • RESOURCEMANAGER

    • CLOUDWATCH

    • DRS

    • INSPECTOR2

    • RESILIENCEHUB

  • Descobertas com as palavras securityabuse, ou certificate no AWS Health typeCode campo

  • Descobertas de onde o AWS Health serviço está risk ou abuse

Enviando AWS Health descobertas para o Security Hub

Quando você optar por aceitar as descobertas AWS Health, o Security Hub atribuirá automaticamente as permissões necessárias para receber as descobertas AWS Health. O Security Hub usa permissões de service-to-service nível que fornecem uma maneira fácil e segura de habilitar essa integração e importar descobertas AWS Health via Amazon EventBridge em seu nome. Escolher Aceitar descobertas concede ao Security Hub permissão para consumir descobertas de AWS Health.

Latência para enviar descobertas

Quando AWS Health cria uma nova descoberta, ela geralmente é enviada ao Security Hub em cinco minutos.

Tentar novamente quando o Security Hub não estiver disponível

AWS Health envia as descobertas para o Security Hub com base no melhor esforço, por meio de EventBridge. Quando um evento não é entregue com sucesso ao Security Hub, EventBridge tente enviar o evento novamente por 24 horas.

Atualizar as descobertas do existentes no Security Hub

Depois de AWS Health enviar uma descoberta para o Security Hub, ele pode enviar atualizações para a mesma descoberta para refletir observações adicionais da atividade de descoberta para o Security Hub.

Regiões nas quais existem descobertas

Para eventos globais, AWS Health envia as descobertas para o Security Hub em us-east-1 AWS (partição), cn-northwest-1 (partição da China) e -1 (partição). gov-us-west GovCloud AWS Health envia eventos específicos da região para o Security Hub na mesma região ou regiões em que os eventos ocorrem.

Para ver suas AWS Health descobertas no Security Hub, escolha Descobertas no painel de navegação. Para filtrar as descobertas para exibir somente AWS Health as descobertas, escolha Health no campo Nome do produto.

Interpretando AWS Health encontrar nomes no Security Hub

AWS Health envia as descobertas para o Security Hub usando AWS Formato de descoberta de segurança (ASFF) o. AWS Health a descoberta usa um padrão de evento diferente em comparação com o ASFF formato do Security Hub. A tabela abaixo detalha todos os campos de AWS Health descoberta com seus ASFF equivalentes conforme eles aparecem no Security Hub.

Tipo de descoberta de saúde ASFFtipo de descoberta Valor codificado
conta AwsAccountId
detalhe. startTime CreatedAt
detalhe. eventDescription. latestDescription Descrição
detalhe. eventTypeCode GeneratorId
detalhe. eventArn (incluindo conta) + hash de detalhes. startTime Id
<region>“arn: aws: hub de segurança:::” product/aws/health ProductArn
conta ou resourceId Resources[i].id
Resources[i].Type “Outros”
SchemaVersion "2018-10-08"
Severity.Label Consulte “Interpretar o rótulo de gravidade” abaixo
Detalhe “AWS Health -”. eventTypeCode Cargo
- Tipos [“Verificações de Software e Configuração”]
event.time UpdatedAt
URLdo evento no console Health SourceUrl
Interpretar o rótulo de gravidade

O rótulo de severidade na ASFF descoberta é determinado usando a seguinte lógica:

  • Gravidade CRITICALse:

    • O service campo na AWS Health descoberta tem o valor Risk

    • O typeCode campo na AWS Health descoberta tem o valor AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION

    • O typeCode campo na AWS Health descoberta tem o valor AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK

    • O typeCode campo na AWS Health descoberta tem o valor AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES

    Gravidade HIGHse:

    • O service campo na AWS Health descoberta tem o valor Abuse

    • O typeCode campo na AWS Health descoberta contém o valor SECURITY_NOTIFICATION

    • O typeCode campo na AWS Health descoberta contém o valor ABUSE_DETECTION

    Gravidade MEDIUMse:

    • O campo service na descoberta for qualquer um dos seguintes: ACM, ARTIFACT, AUDITMANAGER, BACKUP,CLOUDENDURE, CLOUDHSM, CLOUDTRAIL, CLOUDWATCH, CODEGURGU, COGNITO, CONFIG, CONTROLTOWER, DETECTIVE, DIRECTORYSERVICE, DRS, EVENTS, FIREWALLMANAGER, GUARDDUTY, IAM, INSPECTOR, INSPECTOR2, IOTDEVICEDEFENDER, KMS, MACIE, NETWORKFIREWALL, ORGANIZATIONS, RESILIENCEHUB, RESOURCEMANAGER, ROUTE53, SECURITYHUB, SECRETSMANAGER, SES, SHIELD, SSO, or WAF

    • O typeCodecampo na AWS Health descoberta contém o valor CERTIFICATE

    • O typeCodecampo na AWS Health descoberta contém o valor END_OF_SUPPORT

Descoberta típica de AWS Health

AWS Health envia as descobertas para o Security Hub usando AWS Formato de descoberta de segurança (ASFF) o. A seguir está um exemplo de uma descoberta típica de AWS Health.

nota

Se a descrição tiver mais de 1024 caracteres, ela será truncada para 1024 caracteres e dirá (truncada) ao final.

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }

Depois de habilitar o Security Hub, essa integração é ativada automaticamente. AWS Health imediatamente começa a enviar as descobertas para o Security Hub.

Para parar de enviar descobertas para o Security Hub, você pode usar o console do Security Hub ou o Security HubAPI.

Para obter instruções sobre como interromper o fluxo de descobertas, consulteHabilitando o fluxo de descobertas a partir de uma integração.

AWS Identity and Access Management Access Analyzer (Envia descobertas)

Com o IAM Access Analyzer, todas as descobertas são enviadas para o Security Hub.

IAMO Access Analyzer usa raciocínio baseado em lógica para analisar políticas baseadas em recursos que são aplicadas aos recursos suportados em sua conta. IAMO Access Analyzer gera uma descoberta quando detecta uma declaração de política que permite que um principal externo acesse um recurso em sua conta.

No IAM Access Analyzer, somente a conta do administrador pode ver as descobertas dos analisadores que se aplicam a uma organização. Para analisadores organizacionais, o AwsAccountId ASFF campo reflete o ID da conta do administrador. Em ProductFields, o campo ResourceOwnerAccount indica a conta onde a descoberta foi encontrada Se você habilitar analisadores individualmente para cada conta, o Security Hub gerará várias descobertas, uma que identifica a ID da conta do administrador e outra que identifica a ID da conta do recurso.

Para obter mais informações, consulte Integração com o AWS Security Hub no Guia IAM do Usuário.

Amazon Inspector (envia descobertas)

O Amazon Inspector é um serviço de gerenciamento de vulnerabilidade que verifica continuamente suas worloads AWS em busca de vulnerabilidades. O Amazon Inspector descobre e escaneia automaticamente EC2 instâncias da Amazon e imagens de contêineres que residem no Amazon Elastic Container Registry. O escaneamento busca vulnerabilidades de software e exposição não intencional da rede.

Depois de habilitar o Security Hub, essa integração é ativada automaticamente. O Amazon Inspector começa imediatamente a enviar todas as descobertas geradas para o Security Hub.

Para obter mais informações sobre a integração, consulte Integração com o AWS Security Hub no Guia do Usuário do Amazon Inspector.

O Security Hub também pode receber descobertas do Amazon Inspector Classic. O Amazon Inspector Classic envia descobertas ao Security Hub que são geradas por meio de execuções de avaliação para todos os pacotes de regras compatíveis.

Para obter mais informações sobre a integração, consulte Integração com o AWS Security Hub no Guia do usuário do Amazon Inspector Classic.

As descobertas do Amazon Inspector e do Amazon Inspector Classic usam o mesmo produto. ARN As descobertas do Amazon Inspector têm a seguinte entrada em ProductFields:

"aws/inspector/ProductVersion": "2",

AWS IoT Device Defender (Envia descobertas)

AWS IoT Device Defender é um serviço de segurança que audita a configuração de seus dispositivos de IoT, monitora dispositivos conectados para detectar comportamentos anormais e ajuda a reduzir os riscos de segurança.

Depois de ativar o Security Hub AWS IoT Device Defender e o Security Hub, visite a página Integrações do console do Security Hub e escolha Aceitar descobertas para Auditoria, Detecção ou ambos. AWS IoT Device Defender O Audit and Detect começa a enviar todas as descobertas para o Security Hub.

AWS IoT Device Defender A auditoria envia resumos de verificação para o Security Hub, que contêm informações gerais para um tipo específico de verificação de auditoria e tarefa de auditoria. AWS IoT Device Defender O Detect envia descobertas de violações para comportamentos de aprendizado de máquina (ML), estatísticos e estáticos para o Security Hub. Auditar também envia atualizações de descoberta para o Security Hub.

Para obter mais informações sobre essa integração, consulte Integração com o AWS Security Hub no Guia do AWS IoT Desenvolvedor.

Amazon Macie (envia descobertas)

Uma descoberta da Macie pode indicar que há uma possível violação da política ou que dados confidenciais, como informações de identificação pessoal (PII), estão presentes nos dados que sua organização armazena no Amazon S3.

Depois de o Security Hub ser habilitado, o Macie começa automaticamente a enviar as descobertas da política para o Security Hub. A integração com o Macie pode ser configurada para também enviar descobertas de dados confidenciais ao Security Hub.

No Security Hub, o tipo de descoberta de uma política ou descoberta de dados confidenciais é alterado para um valor compatível comASFF. Por exemplo, o tipo de descoberta no Macie do Policy:IAMUser/S3BucketPublic é exibido como no Security Hub Effects/Data Exposure/Policy:IAMUser-S3BucketPublic.

O Macie também envia descobertas de amostras geradas pelo Security Hub. Para exemplos de descobertas, o nome do recurso afetado é macie-sample-finding-bucket e o valor do campo Sample étrue.

Para obter mais informações, consulte Integração do Amazon Macie com o AWS Security Hub no Guia do usuário do Amazon Macie.

AWS Systems Manager Gerenciador de patches (envia descobertas)

AWS Systems Manager O Patch Manager envia as descobertas para o Security Hub quando as instâncias da frota de um cliente não estão em conformidade com o padrão de conformidade de patches.

O Patch Manager automatiza o processo de instâncias de patch gerenciadas com atualizações relacionadas à segurança e outros tipos de atualizações.

Depois de habilitar o Security Hub, essa integração é ativada automaticamente. O Systems Manager Patch Manage começa imediatamente a enviar descobertas ao Security Hub.

Para obter mais informações sobre como usar o Patch Manager, consulte Patch Manager do AWS Systems Manager no AWS Systems Manager Guia do usuário.

AWS serviços que recebem descobertas do Security Hub

Os AWS serviços a seguir são integrados ao Security Hub e recebem descobertas do Security Hub. Onde observado, o serviço integrado também pode atualizar as descobertas. Nesse caso, as atualizações de descoberta feitas no serviço integrado também serão refletidas no Security Hub.

AWS Audit Manager (Recebe descobertas)

AWS Audit Manager recebe descobertas do Security Hub. Essas descobertas ajudam os usuários do Audit Manager a se preparar para as auditorias.

Para saber mais sobre o Audit Manager, consulte o Guia do usuário do AWS Audit Manager. AWS As verificações do Security Hub compatíveis com AWS Audit Manager listam os controles para os quais o Security Hub envia as descobertas ao Audit Manager.

AWS Chatbot (Recebe descobertas)

AWS Chatbot é um agente interativo que ajuda você a monitorar e interagir com seus AWS recursos nos canais do Slack e nas salas de bate-papo do Amazon Chime.

AWS Chatbot recebe descobertas do Security Hub.

Para saber mais sobre a AWS Chatbot integração com o Security Hub, consulte a visão geral da integração com o Security Hub no Guia AWS Chatbot do Administrador.

Amazon Detective (recebe descobertas)

Detective coleta automaticamente dados de registro de seus AWS recursos e usa aprendizado de máquina, análise estatística e teoria dos gráficos para ajudá-lo a visualizar e conduzir investigações de segurança mais rápidas e eficientes.

A integração do Security Hub com o Detective permite que você passe das descobertas da GuardDuty Amazon no Security Hub para o Detective. Você pode então usar as ferramentas e visualizações do Detective para investigá-las. A integração não requer nenhuma configuração adicional no Security Hub ou Detective.

Para descobertas recebidas de outros Serviços da AWS, o painel de detalhes da descoberta no console do Security Hub inclui uma subseção Investigue em Detective. Essa subseção contém um link para o Detective, onde você pode investigar mais detalhadamente o problema de segurança que a descoberta sinalizou. Você também pode criar um gráfico de comportamento no Detective com base nas descobertas do Security Hub para conduzir investigações mais eficazes. Para obter mais informações, consulte descobertas de segurança do AWS no Guia de administração do Amazon Detective.

Se a agregação entre regiões for ativada, quando você sair da região de agregação, o Detective será aberto na região de origem da descoberta.

Se um link não funcionar, para obter orientações de solução de problemas, consulte Solução de problemas de alternância.

Amazon Security Lake (recebe descobertas)

O Security Lake é um serviço de data lake de segurança totalmente gerenciado. O Security Lake pode ser usado para centralizar automaticamente dados de segurança da nuvem, on-premises e fontes personalizadas em um data lake armazenado em sua conta. Os assinantes podem consumir dados do Security Lake para casos de uso investigativos e analíticos.

Para ativar essa integração, você deve habilitar os dois serviços e adicionar o Security Hub como fonte no console do Security Lake, no Security Lake API ou AWS CLI. Depois de executar essas etapas, o Security Hub começa a enviar todas as descobertas para o Security Lake.

O Security Lake normaliza automaticamente as descobertas do Security Hub e as converte em um esquema padronizado de código aberto chamado Open Cybersecurity Schema Framework (). OCSF No Security Lake, você pode adicionar um ou mais assinantes para consumir as descobertas do Security Hub.

Para obter mais informações sobre essa integração, incluindo instruções sobre como adicionar o Security Hub como fonte e criar assinantes, consulte Integração com o AWS Security Hub no Guia do usuário do Amazon Security Lake.

AWS Systems Manager Explorer e OpsCenter (recebe e atualiza as descobertas)

AWS Systems Manager Explore e OpsCenter receba descobertas do Security Hub e atualize essas descobertas no Security Hub.

O Explorer traz um painel personalizável, fornecendo informações e análises importantes sobre a integridade operacional e o desempenho do seu ambiente AWS .

OpsCenter fornece um local central para visualizar, investigar e resolver itens de trabalho operacionais.

Para obter mais informações sobre o Explorer e OpsCenter, consulte Gerenciamento de operações no Guia AWS Systems Manager do Usuário.

AWS Trusted Advisor (Recebe descobertas)

Trusted Advisor baseia-se nas melhores práticas aprendidas ao atender centenas de milhares de AWS clientes. Trusted Advisor inspeciona seu AWS ambiente e, em seguida, faz recomendações quando existem oportunidades para economizar dinheiro, melhorar a disponibilidade e o desempenho do sistema ou ajudar a fechar lacunas de segurança.

Quando você ativa o Security Hub Trusted Advisor e o Security Hub, a integração é atualizada automaticamente.

O Security Hub envia os resultados de suas AWS verificações de melhores práticas de segurança básica para Trusted Advisor.

Para obter mais informações sobre a integração do Security Hub com Trusted Advisor, consulte Visualizando os controles do AWS Security Hub AWS Trusted Advisor no AWS Support User Guide.