Receber descobertas do AWS Security Hub no Explorer - AWS Systems Manager

Receber descobertas do AWS Security Hub no Explorer

O AWS Security Hub fornece uma visualização abrangente de seu estado de segurança na AWS. O serviço coleta dados de segurança, chamados de descobertas, de várias Contas da AWS, serviços e produtos de terceiros compatíveis. As descobertas do Security Hub podem ajudar a verificar o ambiente conforme os padrões e as práticas recomendadas do setor de segurança, a analisar as tendências de segurança e a identificar os problemas de segurança de maior prioridade.

O Security Hub envia descobertas ao Amazon EventBridge, que usa uma regra de evento para enviar as descobertas ao Explorer. Após habilitar a integração, conforme descrito aqui, você poderá ver as descobertas do Security Hub em um widget do Explorer e ver os detalhes da descoberta em OpsCenter OpsItems. O widget fornece um resumo de todas as descobertas do Security Hub com base na gravidade. Novas descobertas no Security Hub geralmente são visíveis no Explorer segundos após serem criadas.

Atenção

Observe as seguintes informações importantes:

  • O Explorer é integrado com o OpsCenter, um recurso do Systems Manager. Depois que você habilitar a integração do Explorer com o Security Hub, o OpsCenter criará automaticamente OpsItems para as descobertas do Security Hub. Dependendo do ambiente da AWS, habilitar a integração poderá resultar em um grande número de OpsItems, que incorrerá em custos.

    Antes de continuar, leia sobre a integração do OpsCenter com o Security Hub. O tópico contém detalhes específicos sobre como as alterações e atualizações nas descobertas e nos OpsItems são cobradas em sua conta. Para ter mais informações, consulte Noções básicas sobre a integração do OpsCenter com o AWS Security Hub. Para obter informações sobre preços do OpsCenter, consulte Preços do AWS Systems Manager.

  • Se você criar uma sincronização de dados de recursos no Explorer enquanto estiver conectado à conta do administrador, a integração com o Security Hub será habilitada automaticamente para o administrador e para todas as contas de membro na sincronização. Depois de habilitado, o OpsCenter cria automaticamente OpsItems para descobertas do Security Hub, incorrendo em custos. Para obter mais informações sobre como criar uma sincronização de dados de recursos, consulte Configurar o Systems Manager Explorer para exibir dados de várias contas e regiões.

Tipos de descobertas que o Explorer recebe

O Explorer recebe todas as descobertas Security Hub. Você pode ver todas as descobertas com base na gravidade no widget do Explorer quando ativar as configurações padrão do Security Hub. Por padrão, o Explorer cria OpsItems para descobertas criticas e de alta gravidade. Você pode configurar o Explorer manualmente para criar OpsItems para descobertas de gravidade média e baixa.

Embora o Explorer não crie OpsItems para descobertas informativas, é possível visualizar dados de operações informativas (OpsData) no widget de resumo das descobertas do Security Hub. O Explorer cria OpsData para todas as descobertas, de qualquer gravidade. Para obter mais informações sobre níveis de gravidade do Security Hub, consulte Severity na AWS Security Hub API Reference.

Habilitar a integração

Esta seção descreve como habilitar configurar o Explorer para começar a receber descobertas do Security Hub.

Antes de começar

Conclua as seguintes tarefas antes de configurar o Explorer para começar a receber descobertas do Security Hub.

  • Habilite e configure o Security Hub. Para obter mais informações , consulte Configurar o Security Hub no Manual do usuário do AWS Security Hub.

  • Faça login na conta de gerenciamento do AWS Organizations. O Systems Manager requer acesso ao AWS Organizations para criar OpsItems das descobertas do Security Hub. Depois de se registrar na conta de gerenciamento, você deverá selecionar o botão Enable access (Habilitar acesso) na guia Explorer Configure dashboard (Configurar painel do Explorer), conforme descrito no procedimento a seguir. Se você não fizer login na conta de gerenciamento do AWS Organizations, você não poderá permitir acesso e o Explorer não poderá criar OpsItems com base nas descobertas do Security Hub.

Para começar a receber as descobertas do Security Hub
  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, escolha Explorer.

  3. Selecione Settings.

  4. Selecione a guia Configure dashboard (Configurar painel).

  5. Selecione AWS Security Hub.

  6. Selecione o controle deslizante Disabled (Desabilitado) para ativar o AWS Security Hub.

    As descobertas críticas e de alta gravidade são exibidas por padrão. Para exibir descobertas de gravidade média e baixa, selecione o botão deslizante Desabilitado, ao lado de Média, Baixa.

  7. Na seção OpsItems created by Security Hub findings (OpsItems criados pelas descobertas do Security Hub), selecione Enable access (Habilitar acesso). Se esse botão não for exibido, faça login na conta de gerenciamento do AWS Organizations e retorne a esta página para selecionar o botão.

Como examinar as descobertas do Security Hub.

O procedimento a seguir descreve como visualizar as descobertas do Security Hub.

Para visualizar descobertas do Security Hub
  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, escolha Explorer.

  3. Localize o widget de resumo das descobertas do AWS Security Hub. Isso exibe suas descobertas do Security Hub. Você pode selecionar um nível de gravidade para exibir uma descrição detalhada do OpsItem correspondente.

Como parar de receber descobertas

O procedimento a seguir descreve como parar de receber descobertas do Security Hub.

Para interromper o recebimento das descobertas do Security Hub
  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, escolha Explorer.

  3. Selecione Settings.

  4. Selecione a guia Configure dashboard (Configurar painel).

  5. Selecione o controle deslizante Enabled (Habilitado) para desativar o AWS Security Hub.

Importante

Se a opção de desabilitar as descobertas do Security Hub estiver esmaecida no console, você poderá desabilitar essa configuração executando o seguinte comando na AWS CLI. O comando deverá ser executado enquanto você estiver conectado à conta de gerenciamento do AWS Organizations ou à conta de administrador delegado do Systems Manager. Para o parâmetro region, especifique a Região da AWS na qual você deseja parar de receber as descobertas do Security Hub no Explorer.

aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region Região da AWS

Aqui está um exemplo.

aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region us-east-1