本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 Security Hub 与定制产品集成
除了集成 Amazon 服务和第三方产品生成的调查结果外,Sec Amazon urity Hub 还可以使用其他定制安全产品生成的调查结果。
你可以使用以下方法将这些发现发送到 Security Hub BatchImportFindingsSecurity Hub 的运营API。您可以使用相同的操作来更新已发送到 Security Hub 的定制产品的结果。
设置自定义集成时,请使用《Security Hub 合作伙伴集成指南》中提供的指南和清单。
定制产品集成的要求和建议
必须先启用 Security Hub,然后才能成功调用该BatchImportFindings
API操作。
您还必须使用提供定制产品的查找详情Amazon 安全调查结果格式 (ASFF)。查看以下定制产品集成的要求和建议:
- 设置产品 ARN
-
启用 Security Hub 后,将在您的当前账户中生成 Security Hub 的默认产品 Amazon 资源名称 (ARN)。
该产品ARN采用以下格式:
arn:aws:securityhub:
. 例如,<region>
:<account-id>
:product/<account-id>
/defaultarn:aws:securityhub:us-west-2:123456789012:product/123456789012/default
。调用
BatchImportFindings
API操作时,使用此产品ARN作为ProductArn
属性的值。 - 设置公司名称和产品名称
-
您可以使用
BatchImportFindings
为将调查发现发送到 Security Hub 的自定义集成设置首选公司名称和产品名称。您指定的名称将替换预先配置的公司名称和产品名称(分别称为个人名称和默认名称),并显示在 Security Hub 控制台和每个查找结果中。JSON请参阅 BatchImportFindings 用于寻找提供者。
- 设定调查结果 IDs
-
您必须使用
Id
属性提供、管理和增加自己的调查结果IDs。每个新发现都应有一个唯一的发现 ID。如果定制产品发送了多个具有相同查找 ID 的搜索结果,则 Security Hub 仅处理第一个查找结果。
- 设置账户 ID
-
您必须使用
AwsAccountId
属性指定您自己的账户 ID。 - 设置创建日期和更新日期
更新来自自定义产品的结果
除了发送来自定制产品的新调查结果外,您还可以使用该BatchImportFindings
API操作来更新来自自定义产品的现有调查结果。
要更新现有结果,请使用现有结果 ID(通过 Id
属性)。使用请求中更新的相应信息(包括修改后的 UpdatedAt
时间戳)重新发送完整的结果。
示例自定义集成
您可以使用以下自定义产品集成示例作为指南,创建自己的自定义解决方案:
- 发送来自的调查结果 Chef InSpec 扫描到 Security Hub
-
您可以创建一个运行以下内容的 Amazon CloudFormation 模板 厨师 InSpec 合规性扫描,然后将发现的结果发送到 Security Hub。
有关更多详细信息,请参阅持续合规性监控 Chef InSpec 还有 Sec Amazon urity Hub
。 - 发送检测到的容器漏洞 Trivy 到 Security Hub
-
您可以创建一个使用以下 Amazon CloudFormation 内容的模板 AquaSecurityTrivy 扫描容器中是否存在漏洞,然后将这些漏洞发现发送到 Security Hub。
有关更多详细信息,请参阅如何使用构建用于容器漏洞扫描的 CI/CD 管道 Trivy 还有 Sec Amazon urity Hub
。