本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 服務 與 Security Hub 的整合
AWS Security Hub 支援與數個其他 的整合 AWS 服務。
注意
並非所有 都提供整合 AWS 區域。如果目前區域不支援整合,則整合頁面不會顯示該整合。
如需中國區域和 中可用的整合清單 AWS GovCloud (US),請參閱 在中國(北京)和中國(寧夏)支持的集成和 AWS GovCloud (美國東部) 和 AWS GovCloud (美國西部) 支援的整合。
除非下方另有說明,否則在您啟用 Security Hub 和其他服務之後,會自動啟用將調查結果傳送到 Security Hub 的 AWS 服務 整合。接收 Security Hub 調查結果的整合可能需要額外的步驟才能啟用。檢閱每個整合的相關資訊,以進一步了解。
與 Security Hub AWS 的服務整合概觀
以下是將調查結果傳送至 Security Hub 或從 Security Hub 接收調查結果的 AWS 服務概觀。
| 整合式 AWS 服務 | Direction |
|---|---|
|
傳送調查結果 |
|
|
傳送調查結果 |
|
|
傳送調查結果 |
|
|
傳送調查結果 |
|
|
傳送調查結果 |
|
|
傳送調查結果 |
|
|
傳送調查結果 |
|
|
傳送調查結果 |
|
|
傳送調查結果 |
|
|
接收調查結果 |
|
|
接收調查結果 |
|
|
接收調查結果 |
|
|
接收調查結果 |
|
|
接收和更新調查結果 |
|
|
接收調查結果 |
AWS 將調查結果傳送至 Security Hub 的 服務
下列 AWS 服務透過將調查結果傳送至 Security Hub 與 Security Hub 整合。Security Hub 會將調查結果轉換為 AWS Security Finding 格式 。
AWS Config (傳送調查結果)
AWS Config 是一項服務,可讓您評估、稽核和評估 AWS 資源的組態。 AWS Config 會持續監控和記錄 AWS 資源組態,並可讓您根據所需的組態自動評估記錄的組態。
透過使用與 的整合 AWS Config,您可以在 Security Hub 中將受管和自訂規則評估的結果 AWS Config 視為調查結果。這些調查結果可與其他 Security Hub 調查結果一起檢視,以提供安全狀態的完整概觀。
AWS Config 使用 Amazon EventBridge 將 AWS Config 規則評估傳送至 Security Hub。Security Hub 將規則評估轉換為遵循 AWS Security Finding 格式 的調查結果。然後,Security Hub 會盡可能取得受影響資源的詳細資訊,例如 Amazon Resource Name (ARN)、資源標籤和建立日期,藉此豐富調查結果。
如需此整合的詳細資訊,請參閱下列各節。
Security Hub 中的所有調查結果都使用 的標準JSON格式ASFF。ASFF 包括有關調查結果的來源、受影響資源和調查結果目前狀態的詳細資訊。透過 將受管和自訂規則評估 AWS Config 傳送至 Security Hub EventBridge。Security Hub 會將規則評估轉換為遵循調查結果,ASFF並盡最大努力豐富調查結果。
AWS Config 傳送至 Security Hub 的調查結果類型
啟用整合後, AWS Config 會將所有 AWS Config 受管規則和自訂規則的評估傳送至 Security Hub。只有啟用 Security Hub 後執行的評估才會傳送。例如,假設 AWS Config 規則評估顯示五個失敗的資源。如果我在此之後啟用 Security Hub,然後規則顯示第六個失敗的資源,則 只會將第六個資源評估 AWS Config 傳送至 Security Hub。
不包括服務連結 AWS Config 規則 的評估,例如用於在 Security Hub 控制項上執行檢查的評估。
將 AWS Config 調查結果傳送至 Security Hub
啟用整合時,Security Hub 會自動指派從 接收調查結果所需的許可 AWS Config。Security Hub 使用 service-to-service 層級許可,提供您透過 AWS Config Amazon 啟用此整合和匯入調查結果的安全方式 EventBridge。
傳送問題清單延遲
AWS Config 建立新的調查結果時,您通常可以在五分鐘內在 Security Hub 中檢視調查結果。
無法使用 Security Hub 時重試
AWS Config 會盡最大努力透過 將調查結果傳送至 Security Hub EventBridge。當事件無法成功交付至 Security Hub 時, EventBridge 會重試交付最多 24 小時或 185 次,以先發生者為準。
更新 Security Hub 中的現有 AWS Config 調查結果
AWS Config 將調查結果傳送至 Security Hub 之後,可以將相同調查結果的更新傳送至 Security Hub,以反映調查結果活動的其他觀察。僅針對ComplianceChangeNotification事件傳送更新。如果沒有發生合規變更,則不會將更新傳送至 Security Hub。Security Hub 會在最近的更新後 90 天或建立後 90 天刪除調查結果,如果沒有更新,則會刪除調查結果。
AWS Config 即使您刪除關聯的資源,Security Hub 也不會封存從 傳送的調查結果。
存在 AWS Config 調查結果的區域
AWS Config 調查結果會以區域為基礎發生。將調查結果 AWS Config 傳送至發生調查結果的相同區域或區域中的 Security Hub。
若要檢視您的 AWS Config 調查結果,請從 Security Hub 導覽窗格中選擇調查結果。若要篩選調查結果以僅顯示 AWS Config 調查結果,請在搜尋列下拉式清單中選擇產品名稱。輸入組態 ,然後選擇套用 。
解譯 Security Hub 中的 AWS Config 調查結果名稱
Security Hub 將 AWS Config 規則評估轉換為遵循 AWS 安全調查結果格式 (ASFF). AWS Config rule 評估的調查結果,使用與 不同的事件模式ASFF。下表將 AWS Config 規則評估欄位與它們在 Security Hub 中顯示的ASFF規則評估欄位對應。
| 組態規則評估調查結果類型 | ASFF 調查結果類型 | 硬式編碼值 |
|---|---|---|
| 詳細資訊。awsAccountId | AwsAccountId | |
| 詳細資訊newEvaluationResult。resultRecordedTime | CreatedAt | |
| 詳細資訊newEvaluationResult。resultRecordedTime | UpdatedAt | |
| ProductArn | "arn:<partition>:securityhub:<region>:product/aws/config" | |
| ProductName | "組態" | |
| CompanyName | "AWS" | |
| 區域 | "eu-central-1" | |
| configRuleArn | GeneratorId, ProductFields | |
| 詳細資訊。ConfigRuleARN/finding/hash | Id | |
| 詳細資訊。configRuleName | 標題、 ProductFields | |
| 詳細資訊。configRuleName | 描述 | "為組態規則的資源合規變更建立此調查結果:${detail.ConfigRuleName}" |
| 已計算組態項目 "ARN" 或 Security Hub ARN | Resources【i】.id | |
| 詳細資訊。resourceType | 資源 【i】。類型 | "AwsS3Bucket" |
| 資源 【i】。分割區 | "aws" | |
| 資源 【i】。區域 | "eu-central-1" | |
| 組態項目「組態」 | 資源 【i】。詳細資訊 | |
| SchemaVersion | "2018-10-08" | |
| Severity.Label | 請參閱下面的「解釋嚴重性標籤」 | |
| 類型 | 【「軟體和組態檢查」 | |
| 詳細資訊newEvaluationResult。complianceType | Compliance.Status | "FAILED"、"NOT_AVAILABLE"、"PASSED" 或 "WARNING" |
| Workflow.Status | RESOLVED如果 AWS Config 產生的結果為 Compliance.Status 為 "PASSED," 或 Compliance.Status 從 "FAILED" 變更為 "PASSED。" 否則,Workflow.Status 將為 "NEW."。您可以使用 BatchUpdateFindingsAPI操作變更此值。 |
解讀嚴重性標籤
AWS Config 規則評估的所有調查結果在 MEDIUM中都有預設嚴重性標籤 ASFF。您可以使用 BatchUpdateFindingsAPI操作更新調查結果的嚴重性標籤。
來自 的典型調查結果 AWS Config
Security Hub 會將 AWS Config 規則評估轉換為遵循 的調查結果ASFF。以下是 AWS Config 中典型調查結果的範例ASFF。
注意
如果描述超過 1024 個字元,則會截斷為 1024 個字元,並在結尾顯示「(截斷)」。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }
啟用 Security Hub 後,此整合會自動啟用。 AWS Config 立即開始將調查結果傳送至 Security Hub。
若要停止傳送調查結果至 Security Hub,您可以使用 Security Hub 主控台或 Security HubAPI。
如需停止調查結果流程的指示,請參閱 啟用來自整合的調查結果流程。
AWS Firewall Manager (傳送調查結果)
當資源的 Web 應用程式防火牆 (WAF) 政策或 Web 存取控制清單 (web ACL) 規則不符合規定時,防火牆管理員會將調查結果傳送至 Security Hub。當 AWS Shield Advanced 未保護資源,或當識別攻擊時,Firriton Manager 也會傳送調查結果。
啟用 Security Hub 之後,會自動啟用此整合。Firewall Manager 立即開始將調查結果傳送至 Security Hub。
若要進一步了解整合,請檢視 Security Hub 主控台中的整合頁面。
若要進一步了解 Firewall Manager,請參閱 AWS WAF 開發人員指南。
Amazon GuardDuty (傳送調查結果)
GuardDuty 會將產生的所有調查結果傳送至 Security Hub。
來自 的新調查結果 GuardDuty 會在五分鐘內傳送至 Security Hub。調查結果的更新會根據 Amazon 在設定 EventBridge 中的更新調查結果 GuardDuty 設定傳送。
當您使用 GuardDuty 設定頁面產生 GuardDuty 範例調查結果時,Security Hub 會收到範例調查結果,並在調查結果類型[Sample]中省略字首。例如, 中的 GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions範例調查結果類型會顯示為 Security Hub Recon:IAMUser/ResourcePermissions中的 。
啟用 Security Hub 後,此整合會自動啟用。 GuardDuty 立即開始將調查結果傳送至 Security Hub。
如需 GuardDuty 整合的詳細資訊,請參閱 Amazon GuardDuty 使用者指南 中的與 AWS Security Hub 整合。
AWS Health (傳送調查結果)
AWS Health 可讓您持續掌握資源效能,以及 AWS 服務 和 的可用性 AWS 帳戶。您可以使用 AWS Health 事件來了解服務和資源變更如何影響在 上執行的應用程式 AWS。
與 的整合 AWS Health 不使用 BatchImportFindings。反之, AWS Health service-to-service會使用事件傳訊將調查結果傳送至 Security Hub。
如需整合的詳細資訊,請參閱下列各節。
在 Security Hub 中,將安全問題作為問題清單進行追蹤。有些調查結果來自其他 AWS 服務或第三方合作夥伴偵測到的問題。Security Hub 也有一組規則,用來偵測安全問題並產生問題清單。
Security Hub 提供用來跨所有這些來源管理問題清單的工具。您可以檢視並篩選問題清單列表,並檢視問題清單的詳細資訊。請參閱 在 Security Hub 中檢閱調查結果詳細資訊和調查結果歷史記錄。您也可以追蹤問題清單的調查狀態。請參閱 設定 Security Hub 調查結果的工作流程狀態。
Security Hub 中的所有調查結果都使用稱為 的標準JSON格式AWS 安全調查結果格式 (ASFF)。ASFF 包含問題來源、受影響資源的詳細資訊,以及調查結果的目前狀態。
AWS Health 是將調查結果傳送至 Security Hub 的其中一項 AWS 服務。
AWS Health 傳送至 Security Hub 的調查結果類型
啟用整合後, AWS Health 將符合一或多個所列規格的調查結果傳送至 Security Hub。Security Hub 會擷取 中的調查結果AWS 安全調查結果格式 (ASFF)。
-
包含下列任何 值的調查結果 AWS 服務:
RISKABUSEACMCLOUDHSMCLOUDTRAILCONFIGCONTROLTOWERDETECTIVEEVENTSGUARDDUTYIAMINSPECTORKMSMACIESESSECURITYHUBSHIELDSSOCOGNITOIOTDEVICEDEFENDERNETWORKFIREWALLROUTE53WAFFIREWALLMANAGERSECRETSMANAGERBACKUPAUDITMANAGERARTIFACTCLOUDENDURECODEGURUORGANIZATIONSDIRECTORYSERVICERESOURCEMANAGERCLOUDWATCHDRSINSPECTOR2RESILIENCEHUB
-
欄位中具有單字
security、abuse或 AWS HealthtypeCode的調查結果certificate -
AWS Health 服務為
risk或 的調查結果abuse
將 AWS Health 調查結果傳送至 Security Hub
當您選擇接受來自 的調查結果時 AWS Health,Security Hub 會自動指派從 接收調查結果所需的許可 AWS Health。Security Hub 使用 service-to-service層級許可,為您提供安全、簡單的方法,以 EventBridge 代表您 AWS Health 透過 Amazon 從 啟用此整合和匯入調查結果。選擇接受調查結果會授予 Security Hub 使用 調查結果的許可 AWS Health。
傳送問題清單延遲
AWS Health 建立新調查結果時,通常會在五分鐘內傳送至 Security Hub。
無法使用 Security Hub 時重試
AWS Health 會盡最大努力透過 將調查結果傳送至 Security Hub EventBridge。當事件未成功交付至 Security Hub 時, EventBridge會重試傳送事件 24 小時。
更新 Security Hub 中的現有問題清單
AWS Health 將調查結果傳送至 Security Hub 之後,它可以傳送更新至相同的調查結果,以反映調查結果活動的其他觀察結果。
存在調查結果的區域
對於全域事件, AWS Health 將調查結果傳送至 us-east-1 (AWS 分割區)、cn-northwest-1 (中國分割區) 和 gov-us-west-1 (GovCloud 分割區) 中的 Security Hub。將區域特定事件 AWS Health 傳送至事件發生的相同區域或區域中的 Security Hub。
若要在 Security Hub 中檢視您的 AWS Health 調查結果,請從導覽面板中選擇調查結果。若要篩選調查結果以僅顯示 AWS Health 調查結果,請從產品名稱欄位中選擇運作狀態。
解譯 Security Hub 中的 AWS Health 調查結果名稱
AWS Health 會使用 AWS 安全調查結果格式 (ASFF). AWS Health finding 將調查結果傳送至 Security Hub,與 Security Hub ASFF 格式相比,使用不同的事件模式。下表詳細說明所有 AWS Health 調查結果欄位及其在 Security Hub 中出現ASFF的對應欄位。
| 運作狀態調查結果類型 | ASFF 調查結果類型 | 硬式編碼值 |
|---|---|---|
| 帳戶 | AwsAccountId | |
| 詳細資訊。startTime | CreatedAt | |
| 詳細資訊eventDescription。latestDescription | 描述 | |
| 詳細資訊。eventTypeCode | GeneratorId | |
| details.eventArn (包括帳戶) + 細節雜湊。startTime | Id | |
| "arn:aws:securityhub:<region>::product/aws/health" | ProductArn | |
| 帳戶或 resourceId | Resources【i】.id | |
| 資源 【i】。類型 | "其他" | |
| SchemaVersion | "2018-10-08" | |
| Severity.Label | 請參閱下面的「解釋嚴重性標籤」 | |
| “AWS Health -” 詳細資訊。eventTypeCode | Title | |
| - | 類型 | 【「軟體和組態檢查」 |
| event.time | UpdatedAt | |
| URL Health 主控台上的事件 | SourceUrl |
解讀嚴重性標籤
ASFF 調查結果中的嚴重性標籤是使用以下邏輯決定:
-
嚴重性,CRITICAL如果:
-
AWS Health 調查結果中的
service欄位具有 值Risk -
AWS Health 調查結果中的
typeCode欄位具有 值AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION -
AWS Health 調查結果中的
typeCode欄位具有 值AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK -
AWS Health 調查結果中的
typeCode欄位具有 值AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES
嚴重性,HIGH如果:
-
AWS Health 調查結果中的
service欄位具有 值Abuse -
AWS Health 調查結果中的
typeCode欄位包含 值SECURITY_NOTIFICATION -
AWS Health 調查結果中的
typeCode欄位包含 值ABUSE_DETECTION
嚴重性,MEDIUM如果:
-
調查結果中的
service欄位為下列任何項目:ACM、ARTIFACT、AUDITMANAGERBACKUP、CLOUDENDURE、CLOUDHSM、CLOUDTRAIL、CLOUDWATCHCODEGURGUCOGNITO、CONFIG、CONTROLTOWER、DETECTIVE、、DIRECTORYSERVICE、DRSEVENTS、、FIREWALLMANAGERGUARDDUTY、IAM、、、INSPECTOR、INSPECTOR2、、、、、、、IOTDEVICEDEFENDERKMSMACIENETWORKFIREWALLORGANIZATIONSRESILIENCEHUBRESOURCEMANAGERROUTE53SECURITYHUB、、、、、、、SECRETSMANAGERSES、、、、、、、、、、、、、、、SHIELD、、、、、SSO、、、、、、、、、或WAF -
調查結果中的 typeCode AWS Health 欄位包含 值
CERTIFICATE -
調查結果中的 typeCode AWS Health 欄位包含 值
END_OF_SUPPORT
-
來自 的典型調查結果 AWS Health
AWS Health 會使用 將調查結果傳送至 Security HubAWS 安全調查結果格式 (ASFF)。以下是來自 的典型調查結果範例 AWS Health。
注意
如果描述超過 1024 個字元,則會截斷為 1024 個字元,並在結尾顯示 (截斷)。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }
啟用 Security Hub 後,此整合會自動啟用。 AWS Health 立即開始將調查結果傳送至 Security Hub。
若要停止傳送調查結果至 Security Hub,您可以使用 Security Hub 主控台或 Security HubAPI。
如需停止調查結果流程的指示,請參閱 啟用來自整合的調查結果流程。
AWS Identity and Access Management Access Analyzer (傳送調查結果)
使用 IAM Access Analyzer,所有調查結果都會傳送至 Security Hub。
IAM Access Analyzer 使用邏輯式推理來分析套用至您帳戶中支援資源的資源型政策。IAM Access Analyzer 在偵測到允許外部委託人存取您帳戶中資源的政策陳述式時,會產生調查結果。
在 IAM Access Analyzer 中,只有管理員帳戶可以查看適用於組織的分析器調查結果。對於組織分析器, AwsAccountId ASFF 欄位反映管理員帳戶 ID。在 下ProductFields, ResourceOwnerAccount 欄位會指出發現調查結果的帳戶。如果您個別為每個帳戶啟用分析器,Security Hub 會產生多個調查結果,一個識別管理員帳戶 ID,另一個識別資源帳戶 ID。
如需詳細資訊,請參閱 IAM 使用者指南中的與 AWS Security Hub 整合。
Amazon Inspector (傳送調查結果)
Amazon Inspector 是一種漏洞管理服務,可持續掃描工作負載 AWS 是否有漏洞。Amazon Inspector 會自動探索和掃描位於 Amazon Elastic Container Registry 中的 Amazon EC2執行個體和容器映像。掃描會尋找軟體漏洞和非預期的網路暴露。
啟用 Security Hub 之後,會自動啟用此整合。Amazon Inspector 立即開始將所有產生的調查結果傳送至 Security Hub。
如需整合的詳細資訊,請參閱 Amazon Inspector 使用者指南中的與 AWS Security Hub 整合。
Security Hub 也可以從 Amazon Inspector Classic 接收調查結果。Amazon Inspector Classic 會將透過所有支援規則套件的評估執行所產生的調查結果傳送至 Security Hub。
如需整合的詳細資訊,請參閱 Amazon Inspector Classic 使用者指南中的與 AWS Security Hub 整合。
Amazon Inspector 和 Amazon Inspector Classic 的調查結果使用相同的產品 ARN。Amazon Inspector 調查結果在 中具有下列項目ProductFields:
"aws/inspector/ProductVersion": "2",
AWS IoT Device Defender (傳送調查結果)
AWS IoT Device Defender 是一種安全服務,可稽核 IoT 裝置的組態、監控連線裝置以偵測異常行為,並協助降低安全風險。
啟用 AWS IoT Device Defender 和 Security Hub 後,請造訪 Security Hub 主控台的整合頁面
AWS IoT Device Defender 稽核會將檢查摘要傳送至 Security Hub,其中包含特定稽核檢查類型和稽核任務的一般資訊。 AWS IoT Device Defender 偵測會將機器學習 (ML)、統計和靜態行為的違規調查結果傳送至 Security Hub。稽核也會將調查結果更新傳送至 Security Hub。
如需此整合的詳細資訊,請參閱 AWS IoT 開發人員指南 中的與 AWS Security Hub 整合。
Amazon Macie (傳送調查結果)
Macie 的調查結果可能指出存在潛在的政策違規,或組織存放在 Amazon S3 的資料中存在敏感資料,例如個人身分識別資訊 (PII)。
啟用 Security Hub 之後,Macie 會自動開始將政策調查結果傳送至 Security Hub。您可以設定整合,以將敏感資料調查結果傳送至 Security Hub。
在 Security Hub 中,政策或敏感資料調查結果的調查結果類型會變更為與 相容的值ASFF。例如,Macie 中的Policy:IAMUser/S3BucketPublic調查結果類型會顯示在 Security Hub Effects/Data Exposure/Policy:IAMUser-S3BucketPublic中。
Macie 也會將產生的範例調查結果傳送至 Security Hub。對於範例調查結果,受影響資源的名稱為 ,macie-sample-finding-bucket欄位的值Sample為 true。
如需詳細資訊,請參閱 Amazon Macie 使用者指南 中的 Amazon Macie 與 AWS Security Hub 整合。 Amazon Macie
AWS Systems Manager Patch Manager (傳送調查結果)
AWS Systems Manager 當客戶機群中的執行個體不符合其修補程式合規標準時, Patch Manager 會將調查結果傳送至 Security Hub。
Patch Manager 以安全相關和其他類型的更新自動化以修補受管執行個體。
啟用 Security Hub 之後,會自動啟用此整合。Systems Manager Patch Manager 立即開始將調查結果傳送至 Security Hub。
如需使用修補程式管理員的詳細資訊,請參閱 AWS Systems Manager 使用者指南 中的AWS Systems Manager 修補程式管理員。
AWS 從 Security Hub 接收調查結果的 服務
下列 AWS 服務與 Security Hub 整合,並從 Security Hub 接收調查結果。如上所述,整合服務也可能更新調查結果。在此情況下,您在整合服務中所做的更新也會反映在 Security Hub 中。
AWS Audit Manager (接收調查結果)
AWS Audit Manager 會從 Security Hub 接收調查結果。這些調查結果可協助 Audit Manager 使用者準備稽核。
若要進一步了解 Audit Manager,請參閱 AWS Audit Manager 使用者指南。AWS Security Hub 支援的 Security Hub 檢查 AWS Audit Manager會列出 Security Hub 將調查結果傳送至 Audit Manager 的控制項。
AWS Chatbot (接收調查結果)
AWS Chatbot 是互動式代理程式,可協助您監控 Slack 頻道和 Amazon Chime 聊天室中的 AWS 資源並與之互動。
AWS Chatbot 會從 Security Hub 接收調查結果。
若要進一步了解與 Security Hub 的 AWS Chatbot 整合,請參閱 AWS Chatbot 管理員指南 中的 Security Hub 整合概觀。
Amazon Detective (接收調查結果)
Detective 會自動從您的 AWS 資源收集日誌資料,並使用機器學習、統計分析和圖形理論,協助您視覺化和執行更快速且更有效率的安全調查。
Security Hub 與 Detective 的整合可讓您從 Security Hub 中的 Amazon GuardDuty 調查結果轉向 Detective。然後,您可以使用 Detective 工具和視覺化進行調查。整合不需要在 Security Hub 或 Detective 中進行任何額外的組態。
對於從其他 收到的調查結果 AWS 服務,Security Hub 主控台上的調查結果詳細資訊面板包含 Detective 子節中的調查。該小節包含 Detective 的連結,您可以在其中進一步調查調查結果標記的安全問題。您也可以根據 Security Hub 調查結果在 Detective 中建立行為圖表,以進行更有效的調查。如需詳細資訊,請參閱 Amazon Detective 管理指南 中的AWS 安全調查結果。
如果啟用跨區域彙總,則當您從彙總區域樞紐分析時, Detective 會在調查結果產生的區域開啟。
如果連結無效,則針對故障診斷建議,請參閱針對樞紐進行故障診斷。
Amazon Security Lake (接收調查結果)
Security Lake 是完全受管的安全資料湖服務。您可以使用 Security Lake 將來自雲端、內部部署和自訂來源的安全性資料自動集中到儲存在您帳戶中的資料湖中。訂閱者可以使用來自 Security Lake 的資料進行調查和分析使用案例。
若要啟用此整合,您必須在 Security Lake 主控台、Security Lake API或 中啟用這兩個 服務,並將 Security Hub 新增為來源 AWS CLI。完成這些步驟後,Security Hub 會開始將所有調查結果傳送至 Security Lake。
Security Lake 會自動標準化 Security Hub 調查結果,並將其轉換為稱為 Open Cybersecurity 結構描述架構 () 的標準化開放原始碼結構描述OCSF。在 Security Lake 中,您可以新增一或多個訂閱者以取用 Security Hub 調查結果。
如需此整合的詳細資訊,包括將 Security Hub 新增至來源和建立訂閱者的指示,請參閱 Amazon Security Lake 使用者指南中的與 AWS Security Hub 整合。
AWS Systems Manager Explorer 和 OpsCenter (接收和更新調查結果)
AWS Systems Manager 從 Security Hub 探索和 OpsCenter 接收調查結果,並在 Security Hub 中更新這些調查結果。
Explorer 為您提供可自訂的儀表板,可針對環境 AWS 的運作狀態和效能提供關鍵洞察和分析。
OpsCenter 為您提供中央位置,供您檢視、調查和解決操作工作項目。
如需 Explorer 和 的詳細資訊 OpsCenter,請參閱 AWS Systems Manager 使用者指南 中的操作管理。
AWS Trusted Advisor (接收調查結果)
Trusted Advisor 利用從服務數十萬 AWS 個客戶中學到的最佳實務。 Trusted Advisor 檢查您的 AWS 環境,然後在存在節省成本、改善系統可用性和效能或協助解決安全漏洞的機會時提出建議。
當您同時啟用 Trusted Advisor 和 Security Hub 時,整合會自動更新。
Security Hub 會將 AWS 基礎安全最佳實務檢查的結果傳送至 Trusted Advisor。
如需 Security Hub 與 整合的詳細資訊 Trusted Advisor,請參閱 AWS 支援使用者指南 中的檢視 AWS Security Hub 控制項 AWS Trusted Advisor。
