本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用定制产品集成将发现结果发送到 Sec Amazon urity Hub
除了集成 Amazon 服务和第三方产品生成的调查结果外,Security Hub 还可以使用其他定制安全产品生成的调查结果。
您可以使用 BatchImportFindingsAPI 操作将这些发现手动发送到 Security Hub。
设置自定义集成时,请使用《Security Hub 合作伙伴集成指南》中提供的指南和清单。
从自定义安全产品发送结果的要求和建议
在成功调用 BatchImportFindings API 操作之前,您必须启用 Security Hub。
您必须使用 Amazon 安全调查结果格式 (ASFF) 提供结果详细信息。对于来自自定义集成的结果,请使用以下要求和建议。
- 设置产品 ARN
-
启用 Security Hub 时,会在当前账户中为 Security Hub 生成一个默认的产品 Amazon 资源名称(ARN)。
该产品 ARN 具有以下格式:
arn:aws:securityhub:。例如,<region>:<account-id>:product/<account-id>/defaultarn:aws:securityhub:us-west-2:123456789012:product/123456789012/default。调用
BatchImportFindingsAPI 操作时,请使用此产品 ARN 作为ProductArn属性的值。 - 定义公司和产品名称
-
您可以使用
BatchImportFindings为将调查发现发送到 Security Hub 的自定义集成设置首选公司名称和产品名称。您指定的名称将替换预先配置的公司名称和产品名称(分别称为“个人名称”和“默认名称”),并显示在 Security Hub 控制台和每个调查发现的 JSON 中。请参阅 使用 BatchImportFindings 创建和更新结果。
- 设置结果 ID
-
您必须使用
Id属性提供、管理和增加您自己的结果 ID。每个新发现都应有一个唯一的发现 ID。如果定制产品发送了多个具有相同查找 ID 的搜索结果,则 Security Hub 仅处理第一个查找结果。
- 设置账户 ID
-
您必须使用
AwsAccountId属性指定您自己的账户 ID。 - 设置创建日期和更新日期
更新来自自定义产品的结果
除了从自定义产品发送新结果以外,您还可以使用 BatchImportFindings API 操作更新来自自定义产品的现有结果。
要更新现有结果,请使用现有结果 ID(通过 Id 属性)。使用请求中更新的相应信息(包括修改后的 UpdatedAt 时间戳)重新发送完整的结果。
示例自定义集成
您可以使用以下示例自定义产品集成作为指南来创建您自己的自定义解决方案。
- 将 Chef InSpec 扫描结果发送到 Security Hub
-
您可以创建一个 Amazon CloudFormation 模板来运行Chef InSpec合规性扫描,然后将结果发送到 Security Hub。
有关更多详细信息,请参阅《使用 Chef InSpec 和 Amazon Security Hub 进行持续合规性监控》
。 - 将 Trivy 检测到的容器漏洞发送到 Security Hub
-
您可以创建一个用于扫描容器中是否存在漏洞的 Amazon CloudFormation 模板,然后将这些漏洞发现发送到 Security Hub。AquaSecurity Trivy
有关更多详细信息,请参阅如何使用Trivy和 Sec Amazon urity Hub 构建用于容器漏洞扫描的 CI/CD 管道
。