本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 服務 與 Security Hub 的整合
AWS Security Hub 支援與其他數個 整合 AWS 服務。
注意
整合可能完全無法使用 AWS 區域。如果目前區域不支援整合,則整合頁面不會顯示該整合。
如需中國區域和 中可用的整合清單 AWS GovCloud (US),請參閱 在中國(北京)和中國(寧夏)支持的集成和 AWS GovCloud (美國東部) 和 AWS GovCloud (美國西部) 支援的整合。
除非下方另有說明,否則在您啟用 Security Hub 和其他服務之後,會自動啟用將問題清單傳送到 Security Hub 的 AWS 服務 整合。接收 Security Hub 調查結果的整合可能需要額外的步驟才能啟用。檢閱每個整合的相關資訊以進一步了解。
與 Security Hub AWS 的服務整合概觀
以下是將問題清單傳送到 Security Hub 或從 Security Hub 接收問題清單的 AWS 服務概觀。
| 整合 AWS 服務 | Direction |
|---|---|
|
傳送問題清單 |
|
|
傳送問題清單 |
|
|
傳送問題清單 |
|
|
傳送問題清單 |
|
|
傳送問題清單 |
|
|
傳送問題清單 |
|
|
傳送問題清單 |
|
|
傳送問題清單 |
|
|
傳送問題清單 |
|
|
接收問題清單 |
|
|
接收問題清單 |
|
|
接收問題清單 |
|
|
接收問題清單 |
|
|
接收和更新問題清單 |
|
|
接收問題清單 |
AWS 將問題清單傳送到 Security Hub 的 服務
下列 AWS 服務透過將問題清單傳送到 Security Hub 來與 Security Hub 整合。Security Hub 會將調查結果轉換為AWS 安全調查結果格式。
AWS Config (傳送問題清單)
AWS Config 是一項服務,可讓您評估、稽核和評估 AWS 資源的組態。 AWS Config 會持續監控和記錄 AWS 資源組態,並可讓您根據所需的組態自動評估記錄組態。
透過使用 與 的整合 AWS Config,您可以在 Security Hub 中將受管和自訂規則評估的結果 AWS Config 視為調查結果。這些調查結果可與其他 Security Hub 調查結果一起檢視,以提供安全狀態的完整概觀。
AWS Config 使用 Amazon EventBridge 將 AWS Config 規則評估傳送至 Security Hub。Security Hub 會將規則評估轉換為遵循 AWS Security Finding 格式的調查結果。然後,Security Hub 會盡力取得受影響資源的詳細資訊,例如 Amazon Resource Name (ARN)、資源標籤和建立日期,以豐富調查結果。
如需此整合的詳細資訊,請參閱下列章節。
Security Hub 中的所有問題清單都使用標準JSON格式 ASFF。 ASFF包含問題清單來源、受影響的資源,以及問題清單目前狀態的詳細資訊。透過 AWS Config 將受管和自訂規則評估傳送至 Security Hub EventBridge。Security Hub 會將規則評估轉換為遵循 的調查結果,ASFF並盡最大努力豐富調查結果。
AWS Config 傳送至 Security Hub 的調查結果類型
啟用整合後, AWS Config 會將所有 AWS Config 受管規則和自訂規則的評估傳送至 Security Hub。只會傳送啟用 Security Hub 後執行的評估。例如,假設 AWS Config 規則評估顯示五個失敗的資源。如果在此之後啟用 Security Hub,然後規則顯示第六個失敗的資源,則 只會將第六個資源評估 AWS Config 傳送至 Security Hub。
排除來自服務連結 AWS Config 規則的評估,例如用於在 Security Hub 控制項上執行檢查的規則。
將 AWS Config 問題清單傳送至 Security Hub
啟用整合時,Security Hub 會自動指派從中接收問題清單所需的許可 AWS Config。Security Hub 使用 service-to-service關卡許可,提供您 AWS Config 透過 Amazon 從 啟用此整合和匯入問題清單的安全方式 EventBridge。
傳送問題清單延遲
AWS Config 建立新的問題清單時,您通常可以在五分鐘內在 Security Hub 中檢視問題清單。
無法使用 Security Hub 時重試
AWS Config 會盡力透過 將問題清單傳送到 Security Hub EventBridge。當事件未成功交付至 Security Hub 時, EventBridge 會重試交付最多 24 小時或 185 次,以先發生者為準。
更新 Security Hub 中的現有 AWS Config 問題清單
AWS Config 將問題清單傳送至 Security Hub 之後,它可以將相同問題清單的更新傳送至 Security Hub,以反映問題清單活動的其他觀察。更新只會針對ComplianceChangeNotification事件傳送。如果沒有發生合規變更,則不會將更新傳送到 Security Hub。Security Hub 會在最近一次更新後 90 天或建立後 90 天刪除問題清單,如果未進行更新。
AWS Config 即使您刪除相關聯的資源,Security Hub 也不會封存從 傳送的問題清單。
存在 AWS Config 調查結果的區域
AWS Config 問題清單是以區域為基礎。 會將問題清單 AWS Config 傳送至發生問題清單的相同區域或區域中的 Security Hub。
若要檢視問題 AWS Config 清單,請從 Security Hub 導覽窗格中選擇問題清單。若要篩選問題清單以僅顯示問題 AWS Config 清單,請在搜尋列下拉式清單中選擇產品名稱。輸入 Config,然後選擇套用。
解譯 Security Hub 中的 AWS Config 問題清單名稱
Security Hub 會將 AWS Config 規則評估轉換為遵循 AWS 安全調查結果格式 (ASFF). AWS Config rule 評估的調查結果,使用與 不同的事件模式ASFF。下表將 AWS Config 規則評估欄位與它們在 Security Hub 中顯示的ASFF對等對應。
| 組態規則評估問題清單類型 | ASFF 問題清單類型 | 硬式編碼值 |
|---|---|---|
| 詳細資訊。awsAccountId | AwsAccountId | |
| 詳細資訊newEvaluationResult。resultRecordedTime | CreatedAt | |
| 詳細資訊newEvaluationResult。resultRecordedTime | UpdatedAt | |
| ProductArn | "arn:<partition>:securityhub:<region>:product/aws/config" | |
| ProductName | 「組態」 | |
| CompanyName | "AWS" | |
| 區域 | "eu-central-1" | |
| configRuleArn | GeneratorId, ProductFields | |
| 詳細資訊。ConfigRuleARN/finding/hash | Id | |
| 詳細資訊。configRuleName | 標題、 ProductFields | |
| 詳細資訊。configRuleName | 描述 | 「此調查結果是針對組態規則的資源合規變更所建立:${detail.ConfigRuleName}」 |
| 組態項目 "ARN" 或 Security Hub 計算 ARN | Resources【i】.id | |
| 詳細資訊。resourceType | 資源 【i】。類型 | "AwsS3Bucket" |
| 資源 【i】。分割區 | "aws" | |
| 資源 【i】。區域 | "eu-central-1" | |
| 組態項目「組態」 | 資源 【i】。詳細資訊 | |
| SchemaVersion | "2018-10-08" | |
| Severity.Label | 請參閱下方的「解釋嚴重性標籤」 | |
| 類型 | 【「軟體和組態檢查」 | |
| 詳細資訊newEvaluationResult。complianceType | Compliance.Status | "FAILED"、"NOT_AVAILABLE"、"PASSED" 或 "WARNING" |
| Workflow.Status | 「RESOLVED」如果 AWS Config 產生調查結果,且 Compliance.Status 為「PASSED,」,或者如果 Compliance.Status 從「FAILED」變更為「」PASSED。 否則,Workflow.Status 將為 "NEW." 您可以使用 BatchUpdateFindingsAPI操作變更此值。 |
解譯嚴重性標籤
AWS Config 規則評估的所有調查結果在 MEDIUM中都有預設嚴重性標籤 ASFF。您可以使用 BatchUpdateFindingsAPI操作更新問題清單的嚴重性標籤。
來自 的典型調查結果 AWS Config
Security Hub 會將 AWS Config 規則評估轉換為遵循 的調查結果ASFF。以下是 AWS Config 中典型調查結果的範例ASFF。
注意
如果描述超過 1024 個字元,則會截斷為 1024 個字元,並在結尾顯示「(截斷)」。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }
啟用 Security Hub 之後,會自動啟用此整合。 AWS Config 立即開始將問題清單傳送至 Security Hub。
若要停止傳送問題清單至 Security Hub,您可以使用 Security Hub 主控台或 Security HubAPI。
如需停止問題清單流程的指示,請參閱 啟用來自整合的調查結果流程。
AWS Firewall Manager (傳送問題清單)
當資源的 Web 應用程式防火牆 (WAF) 政策或 Web 存取控制清單 (Web ACL) 規則不符合時,防火牆管理員會將問題清單傳送至 Security Hub。當 AWS Shield Advanced 未保護資源或識別攻擊時,防火牆管理員也會傳送問題清單。
啟用 Security Hub 之後,會自動啟用此整合。Firewall Manager 立即開始將問題清單傳送至 Security Hub。
若要進一步了解整合,請在 Security Hub 主控台中檢視整合頁面。
若要進一步了解 Firewall Manager,請參閱 AWS WAF 開發人員指南。
Amazon GuardDuty (傳送問題清單)
GuardDuty 會將其產生的所有調查結果類型傳送至 Security Hub。有些問題清單類型具有先決條件、啟用要求或區域限制。如需詳細資訊,請參閱《Amazon GuardDuty 使用者指南》中的GuardDuty 問題清單類型。
來自 的新問題清單 GuardDuty 會在五分鐘內傳送至 Security Hub。問題清單的更新會根據 Amazon 在設定 EventBridge 中的更新問題清單 GuardDuty 設定傳送。
當您使用 GuardDuty 設定頁面產生 GuardDuty 範例問題清單時,Security Hub 會收到範例問題清單,並在問題清單類型[Sample]中省略字首。例如, 中的 GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions範例問題清單類型會顯示為 Security Hub Recon:IAMUser/ResourcePermissions中的 。
啟用 Security Hub 之後,會自動啟用此整合。 GuardDuty 立即開始將問題清單傳送至 Security Hub。
如需 GuardDuty 整合的詳細資訊,請參閱《Amazon GuardDuty 使用者指南》中的與 AWS Security Hub 整合。
AWS Health (傳送問題清單)
AWS Health 可讓您持續了解資源效能,以及 AWS 服務 和 的可用性 AWS 帳戶。您可以使用 AWS Health 事件來了解服務和資源變更如何影響在 上執行的應用程式 AWS。
與 的整合 AWS Health 不使用 BatchImportFindings。反之, AWS Health service-to-service會使用事件訊息將問題清單傳送到 Security Hub。
如需 整合的詳細資訊,請參閱下列各節。
在 Security Hub 中,將安全問題作為問題清單進行追蹤。有些問題清單來自 AWS 其他服務或第三方合作夥伴偵測到的問題。Security Hub 也有一組規則,用來偵測安全問題並產生問題清單。
Security Hub 提供用來跨所有這些來源管理問題清單的工具。您可以檢視並篩選問題清單列表,並檢視問題清單的詳細資訊。請參閱 在 Security Hub 中檢閱問題清單詳細資訊和問題清單歷史記錄。您也可以追蹤問題清單的調查狀態。請參閱 設定 Security Hub 調查結果的工作流程狀態。
Security Hub 中的所有問題清單都使用稱為 的標準JSON格式AWS 安全調查結果格式 (ASFF)。 ASFF包含問題來源、受影響資源的詳細資訊,以及問題清單的目前狀態。
AWS Health 是將問題清單傳送到 Security Hub 的其中一項 AWS 服務。
AWS Health 傳送至 Security Hub 的調查結果類型
啟用整合之後, AWS Health 會將符合一或多個所列規格的調查結果傳送至 Security Hub。Security Hub 會擷取 中的調查結果AWS 安全調查結果格式 (ASFF)。
-
包含下列任何值的調查結果 AWS 服務:
RISKABUSEACMCLOUDHSMCLOUDTRAILCONFIGCONTROLTOWERDETECTIVEEVENTSGUARDDUTYIAMINSPECTORKMSMACIESESSECURITYHUBSHIELDSSOCOGNITOIOTDEVICEDEFENDERNETWORKFIREWALLROUTE53WAFFIREWALLMANAGERSECRETSMANAGERBACKUPAUDITMANAGERARTIFACTCLOUDENDURECODEGURUORGANIZATIONSDIRECTORYSERVICERESOURCEMANAGERCLOUDWATCHDRSINSPECTOR2RESILIENCEHUB
-
在
certificateAWS HealthtypeCode欄位中使用單字security、abuse或 的調查結果 -
AWS Health 服務為
risk或 的調查結果abuse
將 AWS Health 問題清單傳送至 Security Hub
當您選擇接受問題清單時 AWS Health,Security Hub 會自動指派接收問題清單所需的許可 AWS Health。Security Hub 使用 service-to-service關卡許可,為您提供安全、簡單的方式, EventBridge 以代表您 AWS Health 透過 Amazon 從 啟用此整合和匯入問題清單。選擇接受調查結果會授予 Security Hub 許可,以從中使用調查結果 AWS Health。
傳送問題清單延遲
當 AWS Health 建立新的問題清單時,通常會在五分鐘內傳送至 Security Hub。
無法使用 Security Hub 時重試
AWS Health 會盡力透過 將問題清單傳送到 Security Hub EventBridge。當事件未成功交付至 Security Hub 時, EventBridge 會重試傳送事件 24 小時。
更新 Security Hub 中的現有問題清單
AWS Health 將問題清單傳送至 Security Hub 後,它可以傳送更新至相同的問題清單,以反映對 Security Hub 問題清單活動的其他觀察。
存在調查結果的區域
對於全域事件, AWS Health 會將問題清單傳送至 us-east-1 (AWS 分割區)、cn-northwest-1 (中國分割區) 和 gov-us-west-1 (GovCloud 分割區) 中的 Security Hub。 AWS Health 會將區域特定事件傳送至事件發生的相同區域或區域中的 Security Hub。
若要在 Security Hub 中檢視問題 AWS Health 清單,請從導覽面板中選擇問題清單。若要篩選問題清單以僅顯示問題 AWS Health 清單,請從產品名稱欄位中選擇運作狀態。
解譯 Security Hub 中的 AWS Health 問題清單名稱
AWS Health 使用 AWS 安全調查結果格式 (ASFF). AWS Health finding 將調查結果傳送到 Security Hub,與 Security Hub ASFF 格式相比, 會使用不同的事件模式。下表詳細說明所有 AWS Health 調查結果欄位及其在 Security Hub 中出現的ASFF對應欄位。
| 運作狀態問題清單類型 | ASFF 問題清單類型 | 硬式編碼值 |
|---|---|---|
| 帳戶 | AwsAccountId | |
| 詳細資訊。startTime | CreatedAt | |
| 詳細資訊eventDescription。latestDescription | 描述 | |
| 詳細資訊。eventTypeCode | GeneratorId | |
| details.eventArn (包括帳戶) + 細節雜湊。startTime | Id | |
| "arn:aws:securityhub:<region>:product/aws/health:" | ProductArn | |
| 帳戶或 resourceId | Resources【i】.id | |
| Resources【i】。類型 | 「其他」 | |
| SchemaVersion | "2018-10-08" | |
| Severity.Label | 請參閱下面的「解釋嚴重性標籤」 | |
| “AWS Health -” 詳細資訊。eventTypeCode | Title | |
| - | 類型 | 【「軟體和組態檢查」】 |
| event.time | UpdatedAt | |
| URL Health 主控台上的事件 | SourceUrl |
解譯嚴重性標籤
ASFF 調查結果中的嚴重性標籤是使用以下邏輯決定:
-
嚴重性,CRITICAL如果:
-
AWS Health 調查結果中的
service欄位具有 值Risk -
AWS Health 調查結果中的
typeCode欄位具有 值AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION -
AWS Health 調查結果中的
typeCode欄位具有 值AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK -
AWS Health 調查結果中的
typeCode欄位具有 值AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES
嚴重性,HIGH如果:
-
AWS Health 調查結果中的
service欄位具有 值Abuse -
AWS Health 調查結果中的
typeCode欄位包含 值SECURITY_NOTIFICATION -
AWS Health 調查結果中的
typeCode欄位包含 值ABUSE_DETECTION
嚴重性,MEDIUM如果:
-
調查結果中的
service欄位是下列任何項目:ACM、ARTIFACT、AUDITMANAGER、BACKUPCLOUDENDURECLOUDHSM、CLOUDTRAIL、、CLOUDWATCHCODEGURGUCOGNITO、CONFIG、CONTROLTOWER、DETECTIVE、DIRECTORYSERVICE、、、DRSEVENTS、FIREWALLMANAGERGUARDDUTY、IAM、、、INSPECTOR、INSPECTOR2、IOTDEVICEDEFENDER、、KMSMACIENETWORKFIREWALLORGANIZATIONS、、、、、、、、、、、、、、、、、、、、、RESILIENCEHUBRESOURCEMANAGERROUTE53SECURITYHUBSECRETSMANAGERSESSHIELD、、、、、、SSO、、、、、、、、、、、 或WAF -
調查結果中的 typeCode AWS Health 欄位包含 值
CERTIFICATE -
調查結果中的 typeCode AWS Health 欄位包含 值
END_OF_SUPPORT
-
來自 的典型調查結果 AWS Health
AWS Health 會使用 將問題清單傳送到 Security HubAWS 安全調查結果格式 (ASFF)。以下是典型調查結果的範例 AWS Health。
注意
如果描述超過 1024 個字元,則會截斷為 1024 個字元,並在結尾說出 (截斷)。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }
啟用 Security Hub 之後,會自動啟用此整合。 AWS Health 立即開始將問題清單傳送至 Security Hub。
若要停止傳送問題清單至 Security Hub,您可以使用 Security Hub 主控台或 Security HubAPI。
如需停止問題清單流程的指示,請參閱 啟用來自整合的調查結果流程。
AWS Identity and Access Management Access Analyzer (傳送問題清單)
使用 IAM Access Analyzer,所有調查結果都會傳送至 Security Hub。
IAM Access Analyzer 使用邏輯式推理來分析套用至帳戶中支援資源的資源型政策。 IAMAccess Analyzer 偵測到政策陳述式時會產生調查結果,讓外部委託人存取您帳戶中的資源。
在 IAM Access Analyzer 中,只有管理員帳戶可以查看適用於組織的分析器問題清單。對於組織分析器, AwsAccountId ASFF 欄位反映管理員帳戶 ID。在 下ProductFields, ResourceOwnerAccount 欄位會指出發現問題清單的帳戶。如果您個別為每個帳戶啟用分析器,Security Hub 會產生多個調查結果,一個識別管理員帳戶 ID,另一個識別資源帳戶 ID。
如需詳細資訊,請參閱IAM《 使用者指南》中的與 AWS Security Hub 整合。
Amazon Inspector (傳送問題清單)
Amazon Inspector 是一種漏洞管理服務,可持續掃描工作負載 AWS 是否有漏洞。Amazon Inspector 會自動探索和掃描位於 Amazon Elastic Container Registry 中的 Amazon EC2執行個體和容器映像。掃描會尋找軟體漏洞和意外的網路暴露。
啟用 Security Hub 之後,會自動啟用此整合。Amazon Inspector 會立即開始將所有產生的調查結果傳送至 Security Hub。
如需整合的詳細資訊,請參閱《Amazon Inspector 使用者指南》中的與 AWS Security Hub 整合。
Security Hub 也可以從 Amazon Inspector Classic 接收問題清單。Amazon Inspector Classic 會將問題清單傳送至 Security Hub,此問題清單是透過所有支援的規則套件的評估執行所產生的。
如需整合的詳細資訊,請參閱《Amazon Inspector Classic 使用者指南》中的與 AWS Security Hub 整合。
Amazon Inspector 和 Amazon Inspector Classic 的調查結果使用相同的產品 ARN。Amazon Inspector 調查結果在 中具有下列項目ProductFields:
"aws/inspector/ProductVersion": "2",
AWS IoT Device Defender (傳送問題清單)
AWS IoT Device Defender 是一種安全服務,可稽核 IoT 裝置的組態、監控連線裝置以偵測異常行為,並協助降低安全風險。
啟用 AWS IoT Device Defender 和 Security Hub 後,請造訪 Security Hub 主控台的整合頁面
AWS IoT Device Defender 稽核會將檢查摘要傳送至 Security Hub,其中包含特定稽核檢查類型和稽核任務的一般資訊。 AWS IoT Device Defender 偵測會將機器學習 (ML)、統計和靜態行為的違規調查結果傳送至 Security Hub。稽核也會將問題清單更新傳送至 Security Hub。
如需此整合的詳細資訊,請參閱《 AWS IoT 開發人員指南》中的與 AWS Security Hub 整合。
Amazon Macie (傳送調查結果)
Macie 的調查結果可能指出存在潛在的政策違規,或組織存放在 Amazon S3 的資料中存在敏感資料,例如個人身分識別資訊 (PII)。
啟用 Security Hub 之後,Macie 會自動開始將政策問題清單傳送至 Security Hub。您可以設定整合,以將敏感資料調查結果傳送至 Security Hub。
在 Security Hub 中,政策或敏感資料調查結果的調查結果類型會變更為與 相容的值ASFF。例如,Macie 中的Policy:IAMUser/S3BucketPublic調查結果類型會顯示為 Security Hub Effects/Data Exposure/Policy:IAMUser-S3BucketPublic中的 。
Macie 也會將產生的範例調查結果傳送至 Security Hub。對於範例問題清單,受影響的資源名稱為 ,macie-sample-finding-bucket而 Sample 欄位的值為 true。
如需詳細資訊,請參閱《Amazon Macie 使用者指南》中的 Amazon Macie 與 AWS Security Hub 整合。 Amazon Macie
AWS Systems Manager 修補程式管理員 (傳送問題清單)
AWS Systems Manager 當客戶機群中的執行個體不符合其修補程式合規標準時,修補程式管理員會將問題清單傳送至 Security Hub。
Patch Manager 以安全相關和其他類型的更新自動化以修補受管執行個體。
啟用 Security Hub 之後,會自動啟用此整合。Systems Manager 修補程式管理員會立即開始將問題清單傳送至 Security Hub。
如需使用修補程式管理員的詳細資訊,請參閱AWS Systems Manager 《 使用者指南》中的AWS Systems Manager 修補程式管理員。
AWS 從 Security Hub 接收問題清單的 服務
下列 AWS 服務已與 Security Hub 整合,並從 Security Hub 接收調查結果。如所指出,整合服務也可能更新問題清單。在此情況下,您在整合服務中所做的更新也會反映在 Security Hub 中。
AWS Audit Manager (接收問題清單)
AWS Audit Manager 會從 Security Hub 接收問題清單。這些調查結果可協助 Audit Manager 使用者準備稽核。
若要進一步了解 Audit Manager,請參閱 AWS Audit Manager 使用者指南。AWS 支援的 Security Hub 檢查 AWS Audit Manager會列出 Security Hub 將問題清單傳送到 Audit Manager 的控制項。
AWS Chatbot (接收問題清單)
AWS Chatbot 是一種互動式代理程式,可協助您監控 Slack 管道和 Amazon Chime 聊天室中的 AWS 資源,並與之互動。
AWS Chatbot 會從 Security Hub 接收問題清單。
若要進一步了解與 Security Hub 的 AWS Chatbot 整合,請參閱 AWS Chatbot 管理員指南中的 Security Hub 整合概觀。
Amazon Detective (接收調查結果)
Detective 會自動從您的 AWS 資源收集日誌資料,並使用機器學習、統計分析和圖形理論,協助您視覺化和執行更快速且更有效率的安全調查。
Security Hub 與 Detective 的整合可讓您從 Security Hub 中的 Amazon GuardDuty 調查結果轉向 Detective。然後,您可以使用 Detective 工具和視覺化來調查它們。整合不需要在 Security Hub 或 Detective 中進行任何額外的組態。
對於從其他 收到的調查結果 AWS 服務,Security Hub 主控台上的調查結果詳細資訊面板包含 Detective 小節中的調查。該小節包含 Detective 的連結,您可以在其中進一步調查調查結果標記的安全問題。您也可以根據 Security Hub 調查結果在 Detective 中建置行為圖表,以進行更有效的調查。如需詳細資訊,請參閱《Amazon Detective 管理指南》中的AWS 安全調查結果。
如果啟用跨區域彙總,則當您從彙總區域樞紐時,Detective 會在調查結果產生的區域開啟。
如果連結無效,則針對故障診斷建議,請參閱針對樞紐進行故障診斷。
Amazon Security Lake (接收調查結果)
Security Lake 是全受管的安全資料湖服務。您可以使用 Security Lake,將來自雲端、內部部署和自訂來源的安全性資料自動集中到存放在您帳戶中的資料湖中。訂閱者可以使用來自 Security Lake 的資料進行調查和分析使用案例。
若要啟用此整合,您必須在 Security Lake 主控台、Security Lake API或 中啟用這兩個服務,並將 Security Hub 新增為來源 AWS CLI。完成這些步驟後,Security Hub 會開始將所有調查結果傳送至 Security Lake。
Security Lake 會自動標準化 Security Hub 問題清單,並將其轉換為稱為開放網路安全結構描述架構 () 的標準化開放原始碼結構描述OCSF。在 Security Lake 中,您可以新增一或多個訂閱者來取用 Security Hub 調查結果。
如需此整合的詳細資訊,包括新增 Security Hub 做為來源和建立訂閱者的指示,請參閱《Amazon Security Lake 使用者指南》中的與 AWS Security Hub 整合。
AWS Systems Manager Explorer 和 OpsCenter (接收和更新問題清單)
AWS Systems Manager 從 Security Hub 探索和 OpsCenter 接收問題清單,並在 Security Hub 中更新問題清單。
Explorer 為您提供可自訂的儀表板,提供對您 AWS 環境運作狀態和效能的關鍵洞見和分析。
OpsCenter 為您提供中央位置,讓您檢視、調查和解決操作工作項目。
如需 Explorer 和 的詳細資訊 OpsCenter,請參閱AWS Systems Manager 《 使用者指南》中的操作管理。
AWS Trusted Advisor (接收問題清單)
Trusted Advisor 利用從服務數十萬 AWS 客戶中學到的最佳實務。 Trusted Advisor 檢查您的 AWS 環境,然後在存在節省成本、改善系統可用性和效能或協助解決安全漏洞的機會時提出建議。
當您同時啟用 Trusted Advisor 和 Security Hub 時,整合會自動更新。
Security Hub 會將其 AWS 基礎安全最佳實務檢查的結果傳送至 Trusted Advisor。
如需與 Security Hub 整合的詳細資訊 Trusted Advisor,請參閱 AWS 支援使用者指南中的在 中檢視 AWS Security Hub 控制項 AWS Trusted Advisor。
