在 Security Hub 中启用和管理集成 - AWS Security Hub
查看集成选项和详细信息支持整合中发现结果的流动禁用来自集成的结果流查看来自集成的结果

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Security Hub 中启用和管理集成

AWS Security Hub 可以从多个中提取安全发现 AWS 服务 并支持第三方 AWS Partner Network 安全解决方案。这些集成可以帮助您全面了解整个公司的安全性和合规性 AWS 环境。

重要

来自支持的 AWS 和第三方产品集成,Security Hub 仅接收和整合您在中启用 Security Hub 后生成的发现 AWS 账户.

该服务不会追溯性地接收和整合在您启用 Security Hub 之前生成的安全调查结果。

Security Hub 控制台的 “集” 页面提供对可用内容的访问权限 AWS 以及第三方产品集成。Security Hub API 还具有用于管理集成的操作。

注意

集成可能并非全部可用 AWS 区域。 如果当前区域不支持某个集成,则该集成不会显示在集成页面上。

有关中国地区可用的集成列表和 AWS GovCloud (US),参见中国(北京)和中国(宁夏)区域支持的集成AWS GovCloud (美国东部)和 AWS GovCloud (美国西部)支持的集成

本节提供有关如何管理内置内容的信息 AWS 服务 和第三方集成。您还可以将自定义安全产品与 Security Hub 集成。有关信息,请参阅将 Security Hub 与定制产品集成

查看集成选项和详细信息

选择您的首选方法,然后按照步骤查看 Security Hub 中的集成列表或有关特定集成的详细信息。

Security Hub console
查看集成选项和详细信息(控制台)

  1. 打开 AWS Security Hub 控制台位于https://console.aws.amazon.com/securityhub/

  2. 在 Security Hub 导航窗格中,选择集成

在 “集成” 页面上,与其他集成 AWS 服务 排在第一位,其次是与第三方产品的集成。

对于每个集成,集成页面都提供以下信息:

  • 公司的名称

  • 产品的名称

  • 集成的描述

  • 集成适用于的类别

  • 启用集成的方式

  • 集成的当前状态

您可以通过输入以下字段中的文本来筛选列表:

  • 公司名称

  • 产品名称

  • 集成描述

  • 类别

Security Hub API

查看集成选项和详细信息 (API)

要获取集成列表,请使用 DescribeProducts操作。如果你使用的是 AWS CLI,运行 describe-products命令。

要检索特定产品集成的详细信息,请在ProductArn字段中提供该集成的亚马逊资源名称 (ARN)。

例如,以下 AWS CLI 命令检索有关 Security Hub 与 3 CORESec 集成的详细信息。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securityhub describe-products --product-arn "arn:aws:securityhub:us-east-1::product/3coresec/3coresec"

支持整合中发现结果的流动

在 S ecurity Hub 控制台的集成页面上,您可以看到启用每个集成所需的步骤。

对于与其他人的大多数集成 AWS 服务,启用集成的唯一必要步骤就是启用其他服务。集成信息包括指向其他服务主页的链接。在启用另一项服务时,将自动创建并应用资源级权限,从而使 Security Hub 能够收到来自服务的调查发现。

对于第三方产品集成,您可能需要从中购买集成 AWS Marketplace,然后配置集成。集成信息提供了完成这些任务的链接。

如果产品有多个版本可用 AWS Marketplace,选择要订阅的版本,然后选择 “继续订阅”。例如,有些产品提供标准版本和 AWS GovCloud (US) 版本。

启用产品集成时,将向该产品订阅自动附加资源策略。该资源策略定义 Security Hub 从该产品接收调查发现所需的权限。

完成启用集成的所有初步步骤后,您可以禁用并重新启用该集成的结果流。在集成页面上,对于发送调查发现的集成,状态信息指示您当前是否正在接受调查发现。

Security Hub console
启用来自集成(控制台)的调查结果流

  1. 打开 AWS Security Hub 控制台位于https://console.aws.amazon.com/securityhub/

  2. 在 Security Hub 导航窗格中,选择集成

  3. 对于发送发现结果的集成,状态信息表明 Security Hub 当前是否接受来自该集成的结果。

  4. 选择接受调查发现

Security Hub API

使用 EnableImportFindingsForProduct操作。如果你使用的是 AWS CLI,运行 enable-import-findings-for-product命令。要使 Security Hub 能够从集成中接收结果,您需要该产品ARN。要获取可用集成的信息,请使用 ARNs DescribeProducts操作。如果你使用的是 AWS CLI,运行 describe-products.

例如,以下 AWS CLI 命令使 Security Hub 能够接收来自 CrowdStrike Falcon 集成的调查结果。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securityhub enable-import-findings-for product --product-arn "arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"

禁用来自集成的结果流

选择您的首选方法,然后按照步骤禁用集成中的结果流。

Security Hub console
禁用来自集成的结果流(控制台)

  1. 打开 AWS Security Hub 控制台位于https://console.aws.amazon.com/securityhub/

  2. 在 Security Hub 导航窗格中,选择集成

  3. 对于发送发现结果的集成,状态信息表明 Security Hub 当前是否接受来自该集成的结果。

  4. 选择停止接受调查结果

Security Hub API

使用 DisableImportFindingsForProduct操作。如果你使用的是 AWS CLI,运行 disable-import-findings-for-product命令。要禁用集成的结果流,您需要订阅ARN已启用的集成。要获得订阅ARN,请使用 ListEnabledProductsForImport操作。如果你使用的是 AWS CLI,运行 list-enabled-products-for-import.

例如,以下 AWS CLI 命令禁用从 F CrowdStrike alcon 集成向 Security Hub 传输调查结果。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securityhub disable-import-findings-for-product --product-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"

查看来自集成的结果

当您开始接受来自集成的结果时,Security Hub 控制台的 “集” 页面会将集成的状态显示为 “正在接受调查结果”。要查看集成的结果列表,请选择查看结果

结果列表显示了工作流程状态为 NEWNOTIFIED 的所选集成的活动结果。

如果您启用跨区域聚合,则在聚合区域中,列表将包括来自聚合区域和启用集成的关联区域的调查发现。Security Hub 不会根据跨区域聚合配置自动启用集成。

在其他区域,集成的查找调查发现列表仅包含来自当前区域的调查发现。

有关如何配置跨区域聚合的信息,请参阅 了解 Security Hub 中的跨区域聚合

从调查结果列表中,您可以执行以下操作。