使用自定义产品集成将结果发送到AmazonSecurity Hub - Amazon Security Hub
从自定义安全产品发送结果的要求和建议 更新来自自定义产品的结果示例自定义集成
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自定义产品集成将结果发送到AmazonSecurity Hub

除了由综合产生的调查结果Amazon服务和第三方产品,Security Hub 还可以使用由您可能使用的其他自定义安全产品生成的结果。

您可 Security Hub 用BatchImportFindingsAPI 操作。

设置自定义集成时,请使用指南和清单在中提供Security Hub 合作伙伴集成指南.

从自定义安全产品发送结果的要求和建议

在成功调用BatchImportFindings启用 API 操作,您必须启用 Security Hub。

您必须使用 Amazon Security Finding 格式 (ASFF) 提供结果详细信息。对于来自自定义集成的结果,请使用以下要求和建议。

设置产品 ARN

启用 Security Hub 时,会在当前账户中为生成一个默认的产品 Amazon 资源名称 (ARN)。

此产品 ARN 具有以下格式:arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default. 例如,arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default.

使用此产品 ARN 作为ProductArn调用时的属性BatchImportFindingsAPI 操作。

定义公司和产品名称

您可以使用BatchImportFindings为向 Security Hub 发送调查结果的自定义集成设置首选公司名称和产品名称。

您指定的名称将替换预配置的公司名称和产品名称,分别称为个人名称和默认名称,并显示在 Security Hub 控制台和每个查找结果的 JSON 中。请参阅 使用 BatchImportFindings 创建和更新结果

设置结果 ID

您必须使用 Id 属性提供、管理和增加您自己的结果 ID。

每个新结果必须具有唯一的结果 ID。

设置账户 ID

您必须使用 AwsAccountId 属性指定您自己的账户 ID。

设置创建日期和更新日期

您必须为 CreatedAtUpdatedAt 属性提供您自己的时间戳。

更新来自自定义产品的结果

除了从自定义产品发送新结果以外,您还可以使用 BatchImportFindings API 操作更新来自自定义产品的现有结果。

要更新现有结果,请使用现有结果 ID(通过 Id 属性)。使用请求中更新的相应信息(包括修改后的 UpdatedAt 时间戳)重新发送完整的结果。

示例自定义集成

您可以使用以下示例自定义产品集成作为指南来创建您自己的自定义解决方案。

从发送结果Chef InSpec扫描到 Security Hub

您可以创建Amazon CloudFormation运行Chef InSpec合规性扫描,然后将结果发送到 Security Hub。

有关更多详细信息,请参阅使用持续监控合规Chef InSpec和AmazonSecurity Hub.

发送检测到的容器漏洞Trivy到 Security Hub

您可以创建Amazon CloudFormation使用的模板AquaSecurity Trivy扫描容器中的漏洞,然后将这些漏洞发现发送到 Security Hub。

有关更多详细信息,请参阅如何使用构建用于容器漏洞扫描的 CI/CD 管道Trivy和AmazonSecurity Hub.