管理产品集成 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理产品集成

Amazon Web Services Management Console 中的集成页面提供对所有可用的 Amazon 和第三方产品集成的访问权限。Amazon Security Hub API 还提供了可用于管理集成的操作。

注意

某些集成并非在所有区域都可用。如果当前区域不支持某个集成,则不会在集成页面上列出该集成。

另请参阅 中国(北京)和中国(宁夏)区域支持的集成Amazon GovCloud (美国东部)和 Amazon GovCloud (美国西部)支持的集成

查看和筛选集成列表(控制台)

Integrations (集成) 页面中,您可以查看和筛选集成列表。

查看集成列表
  1. 打开 Amazon Security Hub 控制台,登陆:https://console.aws.amazon.com/securityhub/

  2. 在 Security Hub 导航窗格中,选择集成

Integrations (集成) 页面上,依次列出了与其他 Amazon 服务的集成和与第三方产品的集成。

对于每个集成,Integrations (集成) 页面提供了以下信息。

  • 公司的名称

  • 产品的名称

  • 集成的描述

  • 集成适用于的类别

  • 启用集成的方式

  • 集成的当前状态

您可以从以下字段中输入文本来筛选列表。

  • 公司名称

  • 产品名称

  • 集成描述

  • 类别

查看有关产品集成的信息 (Security Hub API, Amazon CLI)

要查看有关产品集成的信息,您可以使用“API 调用”或 Amazon Command Line Interface。您可以显示有关所有产品集成的信息,也可以显示有关您已启用的产品集成的信息。

要查看有关所有可用产品集成的信息 (Security Hub API, Amazon CLI)
  • Security Hub API – 使用该 DescribeProducts 操作。要确定要返回的特定产品集成,请使用 ProductArn 参数提供集成 ARN。

  • Amazon CLI – 在命令行处,运行 describe-products 命令。要确定要返回的特定产品集成,请提供集成 ARN。

    aws securityhub describe-products --product-arn "<integrationARN>"

    示例

    aws securityhub describe-products --product-arn "arn:aws:securityhub:us-east-1::product/3coresec/3coresec"
要查看有关您已启用的产品集成的信息 (Security Hub API, Amazon CLI)

启用集成

Integrations (集成) 页面上,每个集成均提供了自身的必需启用步骤。

对于与其他 Amazon 服务的大多数集成,唯一必需的步骤是启用另一项服务。集成信息包含指向服务主页的链接。在启用另一项服务时,将自动创建并应用资源级权限,从而使 Security Hub 能够收到来自服务的调查发现。

对于第三方产品集成,您可能需要从 Amazon Web Services Marketplace 中购买集成,然后配置该集成。集成信息提供了用于执行这些任务的链接。

如果 Amazon Web Services Marketplace 中有产品的多个版本,请选择要订阅的版本,然后选择 Continue to Subscribe (继续订阅)。例如,某些产品提供标准版本和 Amazon GovCloud (US)版本。

启用产品集成时,将向该产品订阅自动附加资源策略。该资源策略定义 Security Hub 从该产品接收调查发现所需的权限。

禁用和启用来自集成的结果流(控制台)

集成页面上,对于发送调查发现的集成,状态信息指示您当前是否正在接受调查发现。

要停止接受结果,请选择 Stop accepting findings (停止接受结果)

要恢复接受结果,请选择 Accept findings (接受结果)

禁用来自集成(Security Hub API, Amazon CLI)的调查发现流

要禁用来自集成的调查发现流,您可以使用“API 调用”或 Amazon Command Line Interface。

要禁用来自集成(Security Hub API, Amazon CLI)的调查发现流
  • Security Hub API – 使用该 DisableImportFindingsForProduct 操作。要确定要禁用的集成,您需要订阅的 ARN。要获取启用的集成的订阅 ARN,请使用 ListEnabledProductsForImport 操作。

  • Amazon CLI – 在命令行处,运行 disable-import-findings-for-product 命令。

    aws securityhub disable-import-findings-for-product --product-subscription-arn <subscription ARN>

    示例

    aws securityhub disable-import-findings-for-product --product-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"

启用来自集成(Security Hub API, Amazon CLI)的调查发现流

要启用来自集成的调查发现流,您可以使用“API 调用”或 Amazon Command Line Interface。

要启用来自集成(Security Hub API, Amazon CLI)的调查发现流
  • Security Hub API – 使用该 EnableImportFindingsForProduct 操作。要允许 Security Hub 接收来自集成的调查发现,您需要产品 ARN。要获取可用集成的 ARN,请使用 DescribeProducts 操作。

  • Amazon CLI 在命令行处,运行 enable-import-findings-for-product 命令。

    aws securityhub enable-import-findings-for-product --product-arn <integration ARN>

    示例

    aws securityhub enable-import-findings-for product --product-arn "arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"

查看来自集成的结果

对于您接受其调查发现的集成(状态正在接受调查发现),要查看调查发现列表,请选择查看调查发现

结果列表显示了工作流程状态为 NEWNOTIFIED 的所选集成的活动结果。

如果您启用跨区域聚合,则在聚合区域中,列表将包括来自聚合区域和启用集成的关联区域的调查发现。Security Hub 不会根据跨区域聚合配置自动启用集成。

在其他区域,集成的查找调查发现列表仅包含来自当前区域的调查发现。

有关如何配置跨区域聚合的信息,请参阅 跨区域聚合

从调查结果列表中,您可以执行以下操作。