管理产品集成 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理产品集成

利用 中的 Integrations (集成)AWS 管理控制台 页面,可访问所有可用的 AWS 和第三方产品集成。AWS Security Hub API 还提供了可用于管理集成的操作。

注意

某些集成并非在所有区域都可用。如果不支持某个集成,则不会在 Integrations (集成) 页面上列出该集成。

查看和筛选集成列表(控制台)

Integrations (集成) 页面中,您可以查看和筛选集成列表。

查看集成列表

  1. 通过以下网址打开 AWS Security Hub 控制台:https://console.amazonaws.cn/securityhub/

  2. 在 Security Hub 导航窗格中,选择 Integrations (集成)

Integrations (集成) 页面上,依次列出了与其他 AWS 服务的集成和与第三方产品的集成。

对于每个集成,Integrations (集成) 页面提供了以下信息。

  • 公司的名称

  • 产品的名称

  • 集成的描述

  • 集成适用于的类别

  • 启用集成的方式

  • 集成的当前状态

您可以通过输入以下字段中的文本来筛选列表。

  • 公司名称

  • 产品名称

  • 集成描述

  • 类别

查看有关产品集成的信息(Security Hub API、AWS CLI)

要查看有关产品集成的信息,您可以使用 API 调用或 AWS Command Line Interface。您可以显示有关所有产品集成的信息,或有关您已启用的产品集成的信息。

查看有关所有可用产品集成的信息(Security Hub API、AWS CLI)

查看有关已启用的产品集成的信息(Security Hub API、AWS CLI)

启用集成

Integrations (集成) 页面上,每个集成均提供了自身的必需启用步骤。

对于与其他 AWS 服务的大多数集成,唯一必需的步骤是启用另一项服务。集成信息包含指向服务主页的链接。在启用另一项服务时,将自动创建并应用资源级权限,从而使 Security Hub 能够收到来自服务的结果。

对于第三方产品集成,您可能需要从 AWS Marketplace 中购买集成,然后配置该集成。集成信息提供了用于执行这些任务的链接。

如果 AWS Marketplace 中有产品的多个版本,请选择要订阅的版本,然后选择 Continue to Subscribe (继续订阅)。例如,某些产品提供标准版本和 AWS GovCloud (US)版本。

启用产品集成时,将向该产品订阅自动附加资源策略。该资源策略定义 Security Hub 从该产品接收结果所需的权限。

禁用和启用来自集成的结果流(控制台)

Integrations (集成) 页面上,对于发送结果的集成,Status (状态) 信息指示您当前是否接受结果。

要停止接受结果,请选择 Stop accepting findings (停止接受结果)

要恢复接受结果,请选择 Accept findings (接受结果)

禁用来自集成的结果流(Security Hub API、AWS CLI)

要禁用来自集成的结果流,您可以使用 API 调用或 AWS Command Line Interface。

禁用来自集成的结果流(Security Hub API、AWS CLI)

  • APISecurity Hub 使用 –DisableImportFindingsForProduct 操作。要标识要禁用的集成,您需要订阅的 ARN。要获取已启用集成的订阅 ARNs,请使用 ListEnabledProductsForImport 操作。

  • AWS CLI – 在命令行中,运行 disable-import-findings-for-product 命令。

    aws securityhub disable-import-findings-for-product --product-subscription-arn <subscription ARN>

    示例

    aws securityhub disable-import-findings-for-product --product-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"

启用来自集成的结果流(Security Hub API、AWS CLI)

要启用来自集成的结果流,您可以使用 API 调用或 AWS Command Line Interface。

启用来自集成的结果流(Security Hub API、AWS CLI)

  • APISecurity Hub 使用 –EnableImportFindingsForProduct 操作。要使 Security Hub 能够接收来自集成的结果,您需要产品 ARN。要获取可用集成的 ARNs,请使用 DescribeProducts 操作。

  • AWS CLI:在命令行中,运行 enable-import-findings-for-product 命令。

    aws securityhub enable-import-findings-for-product --product-arn <integration ARN>

    示例

    aws securityhub enable-import-findings-for product --product-arn "arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"

查看来自集成的结果

对于您接受其结果的集成(Status (状态)Accepting findings (接受结果)),要查看结果列表,请选择 See findings (查看结果)

结果列表显示了工作流程状态为 NEWNOTIFIED 的所选集成的活动结果。

从调查结果列表中,您可以执行以下操作。