使用自定义产品集成将结果发送到 AWS Security Hub - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自定义产品集成将结果发送到 AWS Security Hub

除了由集成的 AWS 服务和第三方产品生成的结果以外,Security Hub 还可以使用由您可能使用的其他自定义安全产品生成的结果。

您可以使用 BatchImportFindings API 操作手动将这些结果发送到 Security Hub 中。

从自定义安全产品发送结果的要求和建议

您必须先启用 Security Hub,然后才能成功调用 BatchImportFindings API 操作。

您必须使用 AWS Security Finding 格式 (ASFF) 提供结果详细信息。对于来自自定义集成的结果,请使用以下要求和建议。

设置产品 ARN

启用 Security Hub 时,会在当前账户中为 Security Hub 生成一个默认的产品 Amazon 资源名称 (ARN)。

该产品 ARN 具有以下格式: arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default。 例如,arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default

在调用 BatchImportFindings API 操作时,使用该产品 ARN 作为 ProductArn 属性的值。

定义产品名称

我们建议您使用 ProductFields 属性来定义生成您要发送到 Security Hub 的结果的产品名称。

例如.

"ProductFields": { "ProviderName": "<name of the product>", "ProviderVersion": "<product version>", }
设置结果 IDs

您必须使用 IDs 属性提供、管理和递增您自己的结果Id

每个新结果必须具有唯一的结果 ID。

设置账户 ID

您必须使用 AwsAccountId 属性指定您自己的账户 ID。

设置创建日期和更新日期

您必须为 CreatedAtUpdatedAt 属性提供您自己的时间戳。

更新来自自定义产品的结果

除了从自定义产品发送新结果以外,您还可以使用 BatchImportFindings API 操作更新来自自定义产品的现有结果。

要更新现有结果,请使用现有结果 ID(通过 Id 属性)。使用请求中更新的相应信息(包括修改后的 UpdatedAt 时间戳)重新发送完整的结果。

示例自定义集成

您可以使用以下示例自定义产品集成作为指南来创建您自己的自定义解决方案。

导入 AWS Config 规则

您可以使用 AWS CloudFormation 模板将 AWS Config 规则导入到 Security Hub。

要了解更多信息,请参阅如何将 AWS Config 规则评估作为结果导入 Security Hub

将结果从 Chef InSpec 扫描发送到Security Hub

您可以创建一个 AWS CloudFormation 模板来运行 Chef InSpec 合规性扫描,然后将结果发送到 Security Hub。

有关更多详细信息,请参阅 Chef InSpec 和 AWS Security Hub 的持续合规性监控

将 Trivy 检测到的容器漏洞发送到Security Hub

您可以创建一个 AWS CloudFormation 模板来使用 AquaSecurityTivy 扫描容器中的漏洞,然后将这些漏洞结果发送到 Security Hub。

有关更多详细信息,请参阅如何使用 Tivy 和 为容器漏洞扫描构建 CI/CD 管道AWS Security Hub。