与 Amazon Security Hub 集成 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

与 Amazon Security Hub 集成

Amazon Security Hub提供了您在Amazon,可帮助您检查环境是否符合安全行业标准和最佳实践。Security Hub 从跨Amazon帐户、服务和受支持的第三方合作伙伴产品,可帮助您分析安全趋势并确定最高优先级的安全问题。

通过 Amazon GuardDuty 与 Security Hub 的集成,您可以将调查结果从 GuardDuty 发送到 Security Hub。Security Hub 可以在其安全状况分析中包含这些结果。

Amazon GuardDuty 如何将结果发送到Amazon Security Hub

在 Amazon Security Hub 中,安全问题按结果进行跟踪。一些调查结果来自其他Amazon服务或由第三方合作伙伴提供。Security Hub 还有一套用于检测安全问题和生成结果的规则。

Security Hub 提供了管理来自所有这些来源的结果的工具。您可以查看和筛选结果列表,并查看结果的详细信息。请参阅查看结果中的Amazon Security Hub用户指南。您还可以跟踪结果的调查状态。请参阅对结果采取行动中的Amazon Security Hub用户指南

Security Hub 中的所有结果都使用标准的 JSON 格式,称为AmazonSecurity Fintage 格式 (ASFF)。ASFF 包括有关问题根源、受影响资源以及结果当前状态的详细信息。请参阅AmazonSecurity Finding 格式 (ASFF)中的Amazon Security Hub用户指南

Amazon GuardDuty 责任是Amazon将调查结果发送到 Security Hub 的服务

GuardDuty 发送到 Security Hub 的结果类型

启用集成后,GuardDuty 会将其生成的所有调查结果发送到 Security Hub。这些调查结果 Security Hub 使用AmazonSecurity Finding 格式 (ASFF)。在 ASFF 中,Types 字段提供结果类型。

发送结果的延迟

GuardDuty ate 创建新结果时,通常会在五分钟内将结果发送给 Security Hub。

在 Security Hub 不可用时重试

如果 Security Hub 不可用,GuardDuty 试发送结果,直到收到结果。

更新 Security Hub 中的现有结果

将结果发送到 Security Hub 之后,GuardDuty ab 会发送反映对查找活动的其他观测结果到 Security Hub 中。汇总调查结果的更新速率基于导出更新频率指定。

归档或取消归档 GuardDuty 查找结果不会更新 Security Hub 中的查找结果。这意味着在 GuardDuty 中处于活动状态的手动未存档调查结果将不会发送到 Security Hub

在中查看 GuardDuty 结果Amazon Security Hub

要在 Security Hub 查看您的 GuardDuty 调查结果,请选择请参阅结果Amazon GuardDuty来自摘要页面。或者,您可以选择结果,并过滤查找结果以仅显示 GuardDuty 查找结果,方法是选择产品名称:字段,其值为GuardDuty

解释 GuardDuty 中的结果名称Amazon Security Hub

GuardDuty 将调查结果发送到 Security Hub 使用AmazonSecurity Finding 格式 (ASFF)。在 ASFF 中,Types 字段提供结果类型。ASFF 使用与 GuardDuty 类型不同的命名方案。下表详细列出了所有 GuardDuty 查找类型及其 ASFF 对应的查找类型,因为它们出现在 Security Hub。

注意

对于某些 GuardDuty 查找类型,Security Hub 会根据查找详细信息的资源角色演员或者TARGET。有关更多信息,请参阅 查找详细信息

GuardDuty Finty 类型

ASFF 结果类型

Security: EC2/C&Cactiver.B

TTP/命令和控制/后门:EC2-C&C

Backdoor:EC2/C&CActivity.B!DNS

TTP/命令和控制/后门:EC2-C&Cactivit.B! DNS

Backdoor:EC2/DenialOfService.Dns

TTP/命令和控制/后门:EC2 拒绝服务

Backdoor:EC2/DenialOfService.Tcp

TTP/命令和控制/后门:EC2 拒绝服务

Backdoor:EC2/DenialOfService.Udp

TTP/命令和控制/后门:EC2 拒绝服务

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

TTP/命令和控制/后门:EC2 拒绝服务

Backdoor:EC2/DenialOfService.UnusualProtocol

TPS/ 命令和控制/后门:EC2 拒绝服务

Backdoor:EC2/Spambot

TTP/命令和控制/后门:EC2-垃圾邮件机器人

Behavior:EC2/NetworkPortUnusual

异常行为/虚拟机/行为:EC2 网络端口不寻常

Behavior:EC2/TrafficVolumeUnusual

异常行为/虚拟机/行为:EC2 流量不寻常

CryptoCurrency:EC2/BitcoinTool.B

TTP/命令和控制/加密货币:EC2 比特币工具 .B

CryptoCurrency:EC2/BitcoinTool.B!DNS

TTPs/命令和控制/加密货币:EC2 比特币工具 .B! DNS

发现:S3/ 存储桶数字。不寻常

TTP/发现:S3 存储桶数字。异常

S3/MaliciousIPCaller.Custom

TTP/发现:S3-恶意来电者。自定义

发现:S3/ 托里来电者

TTP/发现:S3 旋转调用器

发现:S3-恶意来电者

TTP/发现:S3-恶意来电者

渗透:S3/ 对象。异常

TTP/渗透:S3 对象。异常

渗透:S3-恶意呼叫者

TTP/渗透:S3-恶意呼叫者

影响:EC2/ 端口扫描

TTP/影响/影响:EC2 端口扫描

影响:EC2/ 风力

TTP/冲击/冲击:EC2-风暴力

影响:S3/ 对象删除。异常

TTP/影响:S3 对象删除。异常

影响:S3/ 许可流化。异常

TTP/影响:S3 允许流化。异常

影响:S3 恶意来电者

TTP/影响:S3-恶意呼叫者

PenTest:IAMUser/KaliLinux

TTPs/PenTest/PenTest: IAMUser/KariLinux

PenTest:IAMUser/ParrotLinux

TTPs/PenTest: IAMUser/ParrotLinux

PenTest:IAMUser/PentooLinux

TTPs/PenTest/PentooLinux

五旬节:S3/ 卡里里诺

TPs/五月测试:S3-卡里利诺

五旬节:S3/parrotLinux

TPs/五月测试:S3-鹦鹉 Linux

五月测试:S3/Pen工具/INUX

TTPS/五月测试:S3

Persistence:IAMUser/NetworkPermissions

TTP/持久性/持久性:IAMS 用户网络权限

Persistence:IAMUser/ResourcePermissions

TTP/持久性/持久性:IAMS 用户资源权限

Persistence:IAMUser/UserPermissions

TTP/持久性/持久性:IAMS 用户用户权限

Policy:IAMUser/RootCredentialUsage

TTP/策略:iAM-用户根凭证使用

Policy: S3/帐户BlockPublicAccessDisabled

TTPs/Policy: S3 帐户块 PublicAccessDisabled

Policy: S3/Blockname AccessAccessDisabled

TTPs/Policy: S3 存储桶名称已授予

Policy: S3/BlockPublicAccessDisabled

效果/数据暴露/策略:S3 存储桶阻止公共访问已禁用

Policy: S3/BlockPublicAccessDisabled

TTPs/Policy: S3 存储桶公开访问已授予

PrivilegeEscalation:IAMUser/AdministrativePermissions

TTP/权限提升/权限升级:iam用户管理权限

Recon:EC2/PortProbeEMRUnprotectedPort

TTPs/Discovery/Recon: EC2 端口探测器运行受保护的端口

Recon:EC2/PortProbeUnprotectedPort

TTPs/Discovery/Recon: EC2 端口 Policy Port

Recon:EC2/Portscan

TTPs/Discovery/Recon: EC2 端口扫描

Recon:IAMUser/MaliciousIPCaller

TTPs/Discovery/Recon: IAMUserMaliciousIPCaller/MaliciousIPCaller.Custom

Recon:IAMUser/MaliciousIPCaller.Custom

TTPs/Discovery/Recon: IAMUserMaliciousIPCaller.Custom

Recon:IAMUser/NetworkPermissions

TTPs/Discovery/Recon: IAMUserCustom

Recon:IAMUser/ResourcePermissions

TTPs/Discovery/Recon: IAMUserCustom

Recon:IAMUser/TorIPCaller

TTPs/Discovery/Recon: IAMUser-TorIPCallerer

Recon:IAMUser/UserPermissions

TTPs/Discovery/Recon: IAMUserCustom

ResourceConsumption:IAMUser/ComputeResources

异常行为/用户/资源总和:iam用户计算资源

Stealth:IAMUser/CloudTrailLoggingDisabled

TTPS/ 防御消息/隐藏:Iam用户/云TravelSecurity Disable 已禁用

Stealth:IAMUser/LoggingConfigurationModified

TTPS/ 防御消息/隐藏:IAMP 用户记录配置已修改

Stealth:IAMUser/PasswordPolicyChange

TTPs/Decurity Evecurity: IAMUser/PenTPs/Decurity Policy 更改

Stealth:S3/ServerAccessLoggingDisabled

TTPs/Decurity EvecaDisabled: S3-Services AccessDisabled

Trojan:EC2/BlackholeTraffic

TTP/命令和控制/特洛伊木马程序:EC2 黑眼通信

Trojan:EC2/BlackholeTraffic!DNS

TTP/命令和控制/特洛伊木马:EC2 黑洞流量! DNS

Trojan:EC2/DGADomainRequest.B

TPS/ 命令和控制/特洛伊木马程序:EC2-多个多多马请求 .B

Trojan:EC2/DGADomainRequest.C!DNS

TTPS/命令和控制/特洛伊木马:EC2-DGADomainRequest.C! DNS

Trojan:EC2/DNSDataExfiltration

TTP/命令和控制/特洛伊木马程序:EC2-DNS 数据泄露! DNS

Trojan:EC2/DriveBySourceTraffic!DNS

TTP/初始访问/特洛伊木马程序:EC2 驱动器源流量! DNS

Trojan:EC2/DropPoint

效果/数据泄露/特洛伊木马:EC2-Droppoint

Trojan:EC2/DropPoint!DNS

效果/数据泄露/特洛伊木马:EC2 滴点! DNS

Trojan:EC2/PhishingDomainRequest!DNS

TTP/命令和控制/特洛伊木马程序:EC2-网络钓鱼域请求! DNS

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

TPS/ 命令和控制/未授权访问:EC2-恶意呼叫者。自定义

UnauthorizedAccess:EC2/MetadataDNSRebind

TTPs/UnauthorizedAccess: EC2 元数据加载重新绑定

UnauthorizedAccess:EC2/RDPBruteForce

TTP/初始访问/未授权访问:EC2-RDPP 暴力

UnauthorizedAccess:EC2/SSHBruteForce

TTP/初始访问/未经授权的访问:EC2-SSH 强制

UnauthorizedAccess:EC2/TorClient

影响/资源消耗/未经授权的访问:EC2 通过客户端

UnauthorizedAccess:EC2/TorRelay

影响/资源消耗/未经授权的访问:EC2 转中继

UnauthorizedAccess:IAMUser/ConsoleLogin

异常行为/用户/未授权访问:iAM用户控制台登录

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

TTPs/UnauthorizedAccess: IAMUser.Custom 成功 .B

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration

效果/数据泄漏/未授权访问授权

UnauthorizedAccess:IAMUser/MaliciousIPCaller

TTP/未授权访问:IAMER 用户恶意呼叫者

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

TTPs/UnauthorizedAccess: IAMUserMaliciousIPCaller.Custom

UnauthorizedAccess:IAMUser/TorIPCaller

TPS/ 命令和控制/未授权访问:IAMER 用户托里调用者

UnauthorizedAccess: S3/MaliciousIPCaller.Custom

TTP/未授权访问:S3-恶意来电者。自定义

未授权访问:S3/ 托里来电者

TTP/未授权访问:S3 环形调用方

来自 GuardDuty 的典型结果

卫队将调查结果发送到 Security Hub 使用AmazonSecurity Finding 格式 (ASFF)

下面是 GuardDuty 的典型结果示例。

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws::guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea", "ProductArn": "arn:aws::securityhub:us-east-1::product/aws/guardduty", "GeneratorId": "arn:aws::guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64", "AwsAccountId": "193043430472", "Types": [ "TTPs/Initial Access/UnauthorizedAccess:EC2-SSHBruteForce" ], "FirstObservedAt": "2020-08-22T09:15:57Z", "LastObservedAt": "2020-09-30T11:56:49Z", "CreatedAt": "2020-08-22T09:34:34.146Z", "UpdatedAt": "2020-09-30T12:14:00.206Z", "Severity": { "Product": 2, "Label": "MEDIUM", "Normalized": 40 }, "Title": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356.", "Description": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356. Brute force attacks are used to gain unauthorized access to your instance by guessing the SSH password.", "SourceUrl": "https://us-east-1.console.aws.amazon.com/guardduty/home?region=us-east-1#/findings?macros=current&fId=46ba0ac2845071e23ccdeb2ae03bfdea", "ProductFields": { "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/portName": "Unknown", "aws/guardduty/service/archived": "false", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asnOrg": "CENTURYLINK-US-LEGACY-QWEST", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lat": "42.5122", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/ipAddressV4": "199.241.229.197", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lon": "-90.7384", "aws/guardduty/service/action/networkConnectionAction/blocked": "false", "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/port": "46717", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/country/countryName": "United States", "aws/guardduty/service/serviceName": "guardduty", "aws/guardduty/service/evidence": "", "aws/guardduty/service/action/networkConnectionAction/localIpDetails/ipAddressV4": "172.31.43.6", "aws/guardduty/service/detectorId": "d4b040365221be2b54a6264dc9a4bc64", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/org": "CenturyLink", "aws/guardduty/service/action/networkConnectionAction/connectionDirection": "INBOUND", "aws/guardduty/service/eventFirstSeen": "2020-08-22T09:15:57Z", "aws/guardduty/service/eventLastSeen": "2020-09-30T11:56:49Z", "aws/guardduty/service/action/networkConnectionAction/localPortDetails/portName": "SSH", "aws/guardduty/service/action/actionType": "NETWORK_CONNECTION", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/city/cityName": "Dubuque", "aws/guardduty/service/additionalInfo": "", "aws/guardduty/service/resourceRole": "TARGET", "aws/guardduty/service/action/networkConnectionAction/localPortDetails/port": "22", "aws/guardduty/service/action/networkConnectionAction/protocol": "TCP", "aws/guardduty/service/count": "74", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asn": "209", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/isp": "CenturyLink", "aws/securityhub/FindingId": "arn:aws::securityhub:us-east-1::product/aws/guardduty/arn:aws::guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea", "aws/securityhub/ProductName": "GuardDuty", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws::ec2:us-east-1:193043430472:instance/i-0c10c2c7863d1a356", "Partition": "aws", "Region": "us-east-1", "Tags": { "Name": "kubectl" }, "Details": { "AwsEc2Instance": { "Type": "t2.micro", "ImageId": "ami-02354e95b39ca8dec", "IpV4Addresses": [ "18.234.130.16", "172.31.43.6" ], "VpcId": "vpc-a0c2d7c7", "SubnetId": "subnet-4975b475", "LaunchedAt": "2020-08-03T23:21:57Z" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE" }

启用和配置集成

使用与的集成Amazon Security Hub,您必须启用 Security Hub。有关如何启用 Security Hub 的信息,请参阅设置 Security Hub中的Amazon Security Hub用户指南

同时启用 GuardDuty ense 和 Security Hub 时,集成将自动启用。GuardDuty 立即开始将调查结果发送到 Security Hub。

停止将调查结果发布到 Security Hub

要停止将结果发送到 Security Hub,您可以使用 Security Hub 控制台或 API。

请参阅禁用和启用来自集成的结果流(控制台)或者禁用来自集成的结果流(Security Hub API、AmazonCLI)中的Amazon Security Hub用户指南