Amazon Web Services 服务与 Security Hub CSPM 集成
Amazon Security Hub CSPM 支持与其他几个 Amazon Web Services 服务集成。这些集成可以帮助您全面了解整个 Amazon 环境的安全性和合规性。
除非下文另有说明,否则在您启用 Security Hub CSPM 和其他服务后,将调查发现发送到 Security Hub CSPM 的 Amazon Web Services 服务集成将自动激活。接收 Security Hub CSPM 调查发现的集成可能需要额外的激活步骤。查看有关每个集成的信息以了解更多信息。
某些集成功能并非在所有 Amazon Web Services 区域都可用。在 Security Hub CSPM 控制台中,如果当前区域不支持某个集成,则该集成不会显示在集成页面上。有关在中国区域和 Amazon GovCloud (US) Regions中可用的集成列表,请参阅按区域划分的集成可用性。
与 Security Hub CSPM 的 Amazon 服务集成概述
下表概述了向 Security Hub CSPM 发送调查发现或从 Security Hub CSPM 接收调查发现的 Amazon 服务。
| 集成 Amazon 服务 | 方向 |
|---|---|
|
发送调查发现 |
|
|
发送调查发现 |
|
|
发送调查发现 |
|
|
发送调查发现 |
|
|
发送调查发现 |
|
|
发送调查发现 |
|
|
发送调查发现 |
|
|
发送调查发现 |
|
|
发送调查发现 |
|
|
发送调查发现 |
|
|
接收调查发现 |
|
|
接收调查发现 |
|
|
接收调查发现 |
|
|
接收调查发现 |
|
|
接收和更新调查发现 |
|
|
接收调查发现 |
将调查发现发送到 Security Hub CSPM 的 Amazon Web Services 服务
以下 Amazon Web Services 服务与 Security Hub CSPM 集成,并可将调查发现发送到 Security Hub CSPM。Security Hub CSPM 会将调查发现转换为 Amazon 安全调查发现格式。
Amazon Config(发送调查发现)
Amazon Config 服务使您能够评测、审计和评估 Amazon 资源的配置。Amazon Config 可以持续监控和记录您的 Amazon 资源配置,并让您能依据配置需求自动评估记录的配置。
通过使用与 Amazon Config 的集成,您可以在 Security Hub CSPM 中将托管 Amazon Config 和自定义规则评估的结果作为调查发现进行查看。这些调查发现可与其他 Security Hub CSPM 调查发现一起查看,提供您的安全态势的全面概述。
Amazon Config 使用 Amazon EventBridge 向 Security Hub CSPM 发送 Amazon Config 规则评估。Security Hub CSPM 将规则评估转换成遵循 Amazon 安全调查发现格式的调查发现。然后,Security Hub CSPM 通过获取有关受影响资源的更多信息(例如 Amazon 资源名称(ARN)、资源标签和创建日期),尽最大努力丰富调查发现。
有关此集成的更多信息,请参阅以下部分:
Security Hub CSPM 中的所有调查发现都使用 ASFF 的标准 JSON 格式。ASFF 包括有关调查发现来源、受影响资源以及调查发现当前状态的详细信息。Amazon Config 通过 EventBridge 将托管规则和自定义规则评估结果发送到 Security Hub CSPM。Security Hub CSPM 将规则评估转化为遵循 ASFF 的调查发现,并尽最大努力丰富调查发现。
Amazon Config 发送到 Security Hub CSPM 的调查发现类型
集成激活后,Amazon Config 会向 Security Hub CSPM 发送所有 Amazon Config 托管规则和自定义规则的评估。仅会发送启用 Security Hub CSPM 后执行的评估。例如,假设 Amazon Config 规则评估显示五个失败的资源。如果在该评估之后启用 Security Hub CSPM,并且该规则随后显示第六个失败的资源,则 Amazon Config 仅会向 Security Hub CSPM 发送第六个资源评估。
来自服务相关 Amazon Config 规则的评估(例如用于对 Security Hub CSPM 控件运行检查的评估)会被排除。但由 Amazon Control Tower 在 Amazon Config 中创建和管理的服务相关规则生成的调查发现除外。包括这些规则的调查发现有助于确保您的调查发现数据包括由 Amazon Control Tower 执行的主动检查的结果。
向 Security Hub CSPM 发送 Amazon Config 调查发现
激活集成后,Security Hub CSPM 将自动分配从 Amazon Config 中接收调查发现所需的权限。Security Hub CSPM 使用服务到服务级别的权限,为您提供一种安全的方式来激活此集成并通过 Amazon EventBridge 从 Amazon Config 中导入调查发现。
发送调查发现的延迟
Amazon Config 创建新调查发现时,您通常可以在五分钟内在 Security Hub CSPM 中查看该调查发现。
Security Hub CSPM 不可用时重试
Amazon Config 尽最大努力通过 EventBridge 将调查发现发送到 Security Hub CSPM。当事件未成功传送到 Security Hub CSPM 时,EventBridge 会重试投递最多 24 小时或 185 次,以先到者为准。
更新 Security Hub CSPM 中的现有 Amazon Config 调查发现
Amazon Config 将调查发现发送到 Security Hub CSPM 后,可以向 Security Hub CSPM 发送同一调查发现的更新,以反映对调查发现活动的其他观测结果。仅针对 ComplianceChangeNotification 事件发送更新。如果没有发生合规性变化,则不会向 Security Hub CSPM 发送更新。Security Hub CSPM 会在最近一次更新后的 90 天或(如果没有更新)创建后的 90 天删除结果。
即使您删除了关联的资源,Security Hub CSPM 也不会归档从 Amazon Config 中发送的调查发现。
存在 Amazon Config 调查发现的区域
Amazon Config 调查发现以区域为基础出现。Amazon Config 将调查发现发送到调查发现所在的一个或多个区域的 Security Hub CSPM。
要查看您的 Amazon Config 调查发现,请从 Security Hub CSPM 导航窗格中选择调查发现。要筛选调查发现以仅显示 Amazon Config 调查发现,请在搜索栏下拉列表中选择产品名称。输入Config,然后选择应用。
解释 Security Hub CSPM 中的 Amazon Config 调查发现名称
Security Hub CSPM 将 Amazon Config 规则评估转化为遵循 Amazon安全调查发现格式 (ASFF) 的调查发现。与 ASFF 相比,Amazon Config 规则评估使用了不同的事件模式。下表将 Amazon Config 规则评估字段与 Security Hub CSPM 中出现的 ASFF 对应字段进行了映射。
| Config 规则评估调查发现类型 | ASFF 结果类型 | 硬编码值 |
|---|---|---|
| detail.awsAccountID | AwsAccountId | |
| detail.newEvaluationResult.resultRecordedTime | CreatedAt | |
| detail.newEvaluationResult.resultRecordedTime | UpdatedAt | |
| ProductArn | "arn:<partition>:securityhub:<region>::product/aws/config" | |
| ProductName | "Config" | |
| CompanyName | "Amazon" | |
| 区域 | "eu-central-1" | |
| configRuleArn | GeneratorId, ProductFields | |
| detail.ConfigRuleARN/finding/hash | Id | |
| detail.configRuleName | Title, ProductFields | |
| detail.configRuleName | 描述 | “此调查发现是针对配置规则的资源合规性更改而创建的:${detail.ConfigRuleName}” |
| 配置项“ARN”或 Security Hub CSPM 计算的 ARN | Resources[i].id | |
| detail.resourceType | Resources[i].Type | "AwsS3Bucket" |
| Resources[i].Partition | "aws" | |
| Resources[i].Region | "eu-central-1" | |
| 配置项目“配置” | Resources[i].Details | |
| SchemaVersion | "2018-10-08" | |
| Severity.Label | 请参阅下面的“解释严重性标签” | |
| 类型 | [“软件和配置检查”] | |
| detail.newEvaluationResult.complianceType | Compliance.Status | "FAILED", "NOT_AVAILABLE", "PASSED", or "WARNING" |
| Workflow.Status | 如果生成的 Amazon Config 调查发现 Compliance.Status 为 “PASSED”,或者 Compliance.Status 从“FAILED”变为“PASSED”,则为“RESOLVED”。否则,Workflow.Status 将为“NEW”。您可以通过 batchUpdateFindings API 操作更改此值。 |
解释严重性标签
Amazon Config 规则评估的所有调查发现在 ASFF 中都有一个默认的严重性标签为中等。您可以通过 BatchUpdateFindings API 操作更新调查发现的严重性标签。
来自 Amazon Config 的典型结果
Security Hub CSPM 将 Amazon Config 规则评估转换为遵循 ASFF 的调查发现。下面是 ASFF 中 Amazon Config 的典型调查发现的示例。
注意
如果描述超过 1,024 个字符,则它将被截断至 1,024 个字符,并在结尾处显示“(截断)”。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }
启用 Security Hub CSPM 后,此集成将自动激活。Amazon Config 立即开始将调查发现发送到 Security Hub CSPM。
要停止向 Security Hub CSPM 发送调查发现,您可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API。
有关停止调查发现流的说明,请参阅启用来自 Security Hub CSPM 集成的调查发现流。
Amazon Firewall Manager(发送调查发现)
当 Web 应用程序防火墙 (WAF) 资源策略或 Web 访问控制列表 (Web ACL) 规则不合规时,Firewall Manager 会将调查发现发送到 Security Hub CSPM。Firewall Manager 还会在 Amazon Shield Advanced 未保护资源或发现攻击时发送调查发现。
启用 Security Hub CSPM 后,此集成将自动激活。Firewall Manager 会立即开始向 Security Hub CSPM 发送调查发现。
要了解有关集成的更多信息,请查看 Security Hub CSPM 控制台中的集成页面。
要了解有关 Firewall Manager 的更多信息,请参阅 Amazon WAF 开发人员指南。
Amazon GuardDuty (发送调查发现)
GuardDuty 将其生成的所有调查发现类型发送到 Security Hub CSPM。某些调查发现类型具有先决条件、启用要求或区域限制。有关更多信息,请参阅《Amazon GuardDuty 用户指南》中的 GuardDuty finding types。
GuardDuty 的新调查发现将在五分钟内发送到 Security Hub CSPM。调查发现的更新是根据 GuardDuty 设置中 Amazon EventBridge 的更新调查发现设置发送的。
当您使用 GuardDuty 设置页面生成 GuardDuty 样本调查发现时,Security Hub CSPM 会收到样本调查发现并省略调查发现类型中的前缀 [Sample]。例如,GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions 中的样本调查发现类型显示为 Security Hub CSPM 的 Recon:IAMUser/ResourcePermissions。
启用 Security Hub CSPM 后,此集成将自动激活。GuardDuty 立即开始将调查发现发送到 Security Hub CSPM。
有关 GuardDuty 集成的更多信息,请参阅《Amazon GuardDuty 用户指南》中的 Integrating with Amazon Security Hub CSPM。
Amazon Health(发送调查发现)
Amazon Health 会持续监控资源性能以及 Amazon Web Services 服务 和 Amazon Web Services 账户 的可用性。您可以使用 Amazon Health 事件来了解服务和资源更改会如何影响正在 Amazon 运行的应用程序。
与 Amazon Health 的集成不使用 BatchImportFindings。而是 Amazon Health 使用服务到服务事件消息收发功能将调查发现发送到 Security Hub CSPM。
有关此集成的更多信息,请参阅以下部分:
在 Security Hub CSPM 中,安全问题按调查发现进行跟踪。一些调查发现来自其他 Amazon 服务或第三方合作伙伴检测到的问题。Security Hub CSPM 还有一套用于检测安全问题和生成调查发现的规则。
Security Hub CSPM 提供了用于管理来自所有这些来源的调查发现的工具。您可以查看和筛选结果列表,并查看结果的详细信息。请参阅在 Security Hub CSPM 中查看调查发现详细信息和历史记录。您还可以跟踪调查发现的调查状态。请参阅在 Security Hub CSPM 中设置调查发现的工作流状态。
Security Hub CSPM 中的所有调查发现都使用标准的 JSON 格式(称为 Amazon安全调查发现格式 (ASFF))。ASFF 包括有关问题根源、受影响资源以及调查发现当前状态的详细信息。
Amazon Health 是一项 Amazon 服务,可将调查发现发送到 Security Hub CSPM。
Amazon Health 发送到 Security Hub CSPM 的调查发现类型
启用集成后,Amazon Health 会向 Security Hub CSPM 发送符合列出的一项或多项规范的调查发现。Security Hub CSPM 会以 Amazon安全调查发现格式 (ASFF) 提取调查发现。
-
包含 Amazon Web Services 服务 的以下任何值的调查发现:
-
RISK -
ABUSE -
ACM -
CLOUDHSM -
CLOUDTRAIL -
CONFIG -
CONTROLTOWER -
DETECTIVE -
EVENTS -
GUARDDUTY -
IAM -
INSPECTOR -
KMS -
MACIE -
SES -
SECURITYHUB -
SHIELD -
SSO -
COGNITO -
IOTDEVICEDEFENDER -
NETWORKFIREWALL -
ROUTE53 -
WAF -
FIREWALLMANAGER -
SECRETSMANAGER -
BACKUP -
AUDITMANAGER -
ARTIFACT -
CLOUDENDURE -
CODEGURU -
ORGANIZATIONS -
DIRECTORYSERVICE -
RESOURCEMANAGER -
CLOUDWATCH -
DRS -
INSPECTOR2 -
RESILIENCEHUB
-
-
Amazon Health
typeCode字段中带有security、abuse或certificate字样的调查发现 -
Amazon Health 服务为
risk或abuse的调查发现
向 Security Hub CSPM 发送 Amazon Health 调查发现
当您选择接受来自 Amazon Health 的调查发现时,Security Hub CSPM 将自动分配从 Amazon Health 中接收调查发现所需的权限。Security Hub CSPM 使用服务到服务的权限级别,为您提供了一种安全、轻松的方式来启用此集成并通过 Amazon EventBridge 代表您从 Amazon Health 导入结果。选择接受调查发现会授予 Security Hub CSPM 使用 Amazon Health 中的调查发现的权限。
发送调查发现的延迟
Amazon Health 创建新调查发现时,通常会在 5 分钟内将调查发现发送到 Security Hub CSPM。
Security Hub CSPM 不可用时重试
Amazon Health 尽最大努力通过 EventBridge 将调查发现发送到 Security Hub CSPM。当事件未成功传送到 Security Hub CSPM 时,EventBridge 会在 24 小时内重试发送该事件。
更新 Security Hub CSPM 中的现有调查发现
Amazon Health 向 Security Hub CSPM 发送调查发现后,可以向 Security Hub CSPM 发送同一调查发现的更新,以反映对调查发现活动的其他观测结果。
存在调查发现的区域
对于全球事件,Amazon Health 将调查发现发送到 us-east-1(Amazon 分区)、cn-northwest-1(中国分区)和 gov-us-west-1(GovCloud 分区)的 Security Hub CSPM。Amazon Health 将特定于区域的事件发送到事件发生地相同的一个或多个区域的 Security Hub CSPM。
要在 Security Hub CSPM 中查看您的 Amazon Health 调查发现,请从导航面板中选择调查发现。要筛选结果以仅显示 Amazon Health 结果,请从产品名称字段中选择健康。
解释 Security Hub CSPM 中的 Amazon Health 调查发现名称
Amazon Health 使用 Amazon安全调查发现格式 (ASFF) 将调查发现发送到 Security Hub CSPM。与 Security Hub CSPM ASFF 格式相比,Amazon Health 调查发现使用了不同的事件模式。下表详细列出了所有 Amazon Health 调查发现字段,以及其在 Security Hub CSPM 中出现的 ASFF 对应类型。
| 健康调查发现类型 | ASFF 结果类型 | 硬编码值 |
|---|---|---|
| 账户 | AwsAccountId | |
| detail.startTime | detail.eventDescription.latestDescription | |
| detail.eventDescription.latestDescription | 描述 | |
| detail.eventTypeCode | GeneratorId | |
| detail.eventArn(包括账户)+ detail.startTime 的 hash | Id | |
| "arn:aws:securityhub:<region>::product/aws/health" | ProductArn | |
| 账户或 resourceId | Resources[i].id | |
| Resources[i].Type | “其他” | |
| SchemaVersion | "2018-10-08" | |
| Severity.Label | 请参阅下面的“解释严重性标签” | |
| “Amazon Health -" detail.eventTypeCode | 标题 | |
| - | 类型 | [“软件和配置检查”] |
| event.time | UpdatedAt | |
| Health 控制台上事件的 URL | SourceUrl |
解释严重性标签
ASFF 调查发现中的严重性标签是使用以下逻辑确定的:
-
如果满足以下条件,则严重性为危急。
-
Amazon Health 调查发现中的
service字段具有值Risk -
Amazon Health 调查发现中的
typeCode字段具有值AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION -
Amazon Health 调查发现中的
typeCode字段具有值AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK -
Amazon Health 调查发现中的
typeCode字段具有值AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES
严重性为高,如果:
-
Amazon Health 调查发现中的
service字段具有值Abuse -
Amazon Health 调查发现中的
typeCode字段包含值SECURITY_NOTIFICATION -
Amazon Health 调查发现中的
typeCode字段包含值ABUSE_DETECTION
如果满足以下条件,则严重性为中。
-
调查发现中的
service字段为以下任意字段:ACM、ARTIFACT、AUDITMANAGER、BACKUP、CLOUDENDURE、CLOUDHSM、CLOUDTRAIL、CLOUDWATCH、CODEGURGU、COGNITO、CONFIG、CONTROLTOWER、DETECTIVE、DIRECTORYSERVICE、DRS、EVENTS、FIREWALLMANAGER、GUARDDUTY、IAM、INSPECTOR、INSPECTOR2、IOTDEVICEDEFENDER、KMS、MACIE、NETWORKFIREWALL、ORGANIZATIONS、RESILIENCEHUB、RESOURCEMANAGER、ROUTE53、SECURITYHUB、SECRETSMANAGER、SES、SHIELD、SSO、或WAF -
Amazon Health 调查发现中的typeCode字段包含值
CERTIFICATE -
Amazon Health 调查发现中的typeCode字段包含值
END_OF_SUPPORT
-
来自 Amazon Health 的典型结果
Amazon Health 使用 Amazon安全调查发现格式 (ASFF) 将调查发现发送到 Security Hub CSPM。下面是 Amazon Health 典型调查发现的示例。
注意
如果描述超过 1024 个字符,则它将被截断至 1024 个字符,并在结尾处显示(截断)。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in Amazon Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to Amazon Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }
启用 Security Hub CSPM 后,此集成将自动激活。Amazon Health 立即开始将调查发现发送到 Security Hub CSPM。
要停止向 Security Hub CSPM 发送调查发现,您可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API。
有关停止调查发现流的说明,请参阅启用来自 Security Hub CSPM 集成的调查发现流。
Amazon Identity and Access Management Access Analyzer(发送调查发现)
借助 IAM Access Analyzer,所有调查发现都会发送到 Security Hub CSPM。
IAM Access Analyzer 使用基于逻辑的推理来分析应用于您账户中受支持资源的基于资源的策略。IAM Access Analyzer 在检测到允许外部主体访问您账户中资源的策略语句时生成一个调查发现。
在 IAM Access Analyzer 中,只有管理员账户才能看到适用于组织的分析器的调查发现。对于组织分析器,AwsAccountId ASFF 字段反映管理员账户 ID。在 ProductFields 下方,ResourceOwnerAccount 字段表示调查发现被发现的账户。如果您为每个账户单独启用分析器,Security Hub CSPM 会生成多个调查发现:一个用于标识管理员账户 ID,另一个用于标识资源账户 ID。
有关更多信息,请参阅《IAM 用户指南》中的 Integration with Amazon Security Hub CSPM。
Amazon Inspector(发送调查发现)
Amazon Inspector 是一项漏洞管理服务,可持续扫描您的 Amazon 工作负载中是否存在漏洞。Amazon Inspector 可以自动发现并扫描驻留在 Amazon 弹性容器注册表中的 Amazon EC2 实例和容器映像。扫描会查找软件漏洞和意外网络暴露。
启用 Security Hub CSPM 后,此集成将自动激活。Amazon Inspector 立即开始将其生成的所有调查发现发送到 Security Hub CSPM。
有关集成的更多信息,请参阅《Amazon Inspector 用户指南》中的 Integration with Amazon Security Hub CSPM。
Security Hub CSPM 还可以接收来自 Amazon Inspector Classic 的调查发现。Amazon Inspector Classic 会将通过所有受支持规则包的评测运行生成的调查发现发送到 Security Hub CSPM。
有关集成的更多信息,请参阅《Amazon Inspector Classic 用户指南》中的 Integration with Amazon Security Hub CSPM。
Amazon Inspector 和 Amazon Inspector Classic 的调查发现使用相同的产品 ARN。Amazon Inspector 的调查发现在 ProductFields 中有以下条目:
"aws/inspector/ProductVersion": "2",
注意
Amazon Inspector Code Security 生成的安全调查发现不适用于此集成。但是,您可以在 Amazon Inspector 控制台中和通过 Amazon Inspector API 访问这些特定调查发现。
Amazon IoT Device Defender(发送调查发现)
Amazon IoT Device Defender 是一项安全服务,审核 IoT 设备的配置、监控互联设备以检测异常行为,并帮助降低安全风险。
启用 Amazon IoT Device Defender 和 Security Hub CSPM 后,请访问 Security Hub CSPM 控制台的“集成”页面
Amazon IoT Device Defender“审计”会将检查摘要发送到 Security Hub CSPM,其中包含特定审计检查类型和审计任务的常规信息。Amazon IoT Device Defender“检测”会将机器学习 (ML)、统计和静态行为的违规调查发现发送到 Security Hub CSPM。“审计”还会将调查发现更新发送到 Security Hub CSPM。
有关此集成的更多信息,请参阅《Amazon IoT 开发者指南》中的 Integration with Amazon Security Hub CSPM。
Amazon Macie(发送调查发现)
Amazon Macie 是一项数据安全服务,该服务使用机器学习和模式匹配来发现敏感数据,提供对数据安全风险的可见性,并实现针对这些风险的自动防护。Macie 的调查发现可能表明 Amazon S3 数据资产中存在潜在的策略违规行为或敏感数据。
启用 Security Hub CSPM 后,Macie 会自动开始向 Security Hub CSPM 发送策略调查发现。您可以对集成进行配置,将敏感数据调查发现也发送到 Security Hub CSPM。
在 Security Hub CSPM 中,策略或敏感数据调查发现的调查发现类型更改为与 ASFF 兼容的值。例如,Macie 中的 Policy:IAMUser/S3BucketPublic 调查发现类型在 Security Hub CSPM 中显示为 Effects/Data Exposure/Policy:IAMUser-S3BucketPublic。
Macie 还会将生成的调查发现样本发送到 Security Hub CSPM。对于调查发现样本,受影响资源的名称为 macie-sample-finding-bucket,Sample 字段的值为 true。
有关更多信息,请参阅《Amazon Macie 用户指南》中的 Evaluating Macie findings with Security Hub。
Amazon Route 53 Resolver DNS Firewall(发送调查发现)
使用 Amazon Route 53 Resolver DNS Firewall,您可以筛选和管理虚拟私有云 (VPC) 的出站 DNS 流量。为此,请在 DNS Firewall 规则组中创建可重复使用的筛选规则集合,将规则组与您的 VPC 关联,然后监控 DNS Firewall 日志和指标中的活动。根据活动,您可以调整 DNS Firewall 行为。DNS Firewall 是 Route 53 Resolver 的一项功能。
Route 53 Resolver DNS Firewall 可以将多种类型的调查发现发送到 Security Hub CSPM:
-
对于 Amazon 托管域列表关联的域,与被阻止或发出警报的查询相关的调查发现,这些是 Amazon 管理的域列表。
-
对于与您定义的自定义域列表关联的域,与被阻止或发出警报的查询相关的调查发现。
-
与 DNS Firewall Advanced 阻止或发出警报的查询相关的调查发现,这是一项 Route 53 Resolver 功能,可以检测与高级 DNS 威胁(例如域生成算法 (DGA) 和 DNS 隧道)相关的查询。
启用 Security Hub CSPM 和 Route 53 Resolver DNS Firewall 后,DNS Firewall 会自动开始向 Security Hub CSPM 发送 Amazon 托管域列表和 DNS Firewall Advanced 的调查发现。要同时将自定义域列表的调查发现发送到 Security Hub CSPM,请在 Security Hub CSPM 中手动启用集成。
在 Security Hub CSPM 中,Route 53 Resolver DNS Firewall 的所有调查发现都具有以下类型:TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation。
有关更多信息,请参阅《Amazon Route 53 开发人员指南》中的 Sending findings from Route 53 Resolver DNS Firewall to Security Hub。
Amazon Systems Manager Patch Manager(发送调查发现)
当客户实例集中的实例不符合其补丁合规性标准时,Amazon Systems Manager 补丁管理器会将调查发现发送到 Security Hub。
Patch Manager 能够使用安全相关更新及其他更新类型自动执行修补托管实例的过程。
启用 Security Hub CSPM 后,此集成将自动激活。Systems Manager 补丁管理器立即开始将调查发现发送到 Security Hub CSPM。
有关使用 Patch Manager 的更多信息,请参阅 Amazon Systems Manager 用户指南中的 Amazon Systems Manager Patch Manager。
从 Security Hub CSPM 接收调查发现的 Amazon 服务
以下 Amazon 服务与 Security Hub CSPM 集成并从 Security Hub CSPM 接收调查发现。如有注明,集成服务也可能更新调查发现。在这种情况下,您在集成服务中进行的调查发现更新也将反映在 Security Hub CSPM 中。
Amazon Audit Manager(接收调查发现)
Amazon Audit Manager 从 Security Hub CSPM 接收调查发现。这些调查发现有助于 Audit Manager 用户为审计做好准备。
要了解有关 Audit Manager 的更多信息,请参阅《Amazon Audit Manager 用户指南》。AmazonAmazon Audit Manager 支持的 Security Hub CSPM 检查列出了 Security Hub CSPM 向 Audit Manager 发送调查发现的控件。
聊天应用程序中的 Amazon Q 开发者版(接收调查发现)
聊天应用程序中的 Amazon Q 开发者版是一种交互式代理,可帮助您监控 Slack 频道和 Amazon Chime 聊天室中的 Amazon 资源并与之交互。
聊天应用程序中的 Amazon Q 开发者版会收到来自 Security Hub CSPM 的调查发现。
要详细了解聊天应用程序中的 Amazon Q 开发者版如何与 Security Hub CSPM 集成,请参阅《聊天应用程序中的 Amazon Q 开发者版管理员指南》中的 Security Hub CSPM 集成概述。
Amazon Detective(接收调查发现)
Detective 会自动从您的 Amazon 资源收集日志数据,并使用机器学习、统计分析和图形理论来帮助您可视化和执行更快、更高效的安全调查。
Security Hub CSPM 与 Detective 的集成允许您从 Security Hub CSPM 中的 Amazon GuardDuty 结果转向 Detective。然后,您可以使用 Detective 工具和可视化功能调查它们。该集成不需要在 Security Hub CSPM 或 Detective 中进行任何其他配置。
对于从其他 Amazon Web Services 服务 收到的调查发现,Security Hub CSPM 控制台上的调查发现详细信息面板包括在 Detective 中调查小节。该小节包含指向 Detective 的链接,您可以在其中进一步调查调查发现所标记的安全问题。您还可以根据 Security Hub CSPM 调查发现在 Detective 中构建行为图,以进行更有效的调查。要了解更多信息,请参阅《Amazon Detective 管理指南》中的Amazon 安全调查发现。
如果启用了跨区域聚合,则当您从聚合区域进行转向时,Detective 将在调查发现的来源区域中打开。
如果链接无效,请参阅对转换进行故障排除以了解故障排除建议。
Amazon Security Lake(接收调查发现)
Security Lake 是一项完全托管的安全数据湖服务。您可以使用 Security Lake 自动将来自云、本地和自定义源的安全数据集中到存储在您账户中的数据湖中。订阅用户可以使用 Security Lake 中的数据进行调查和分析用例。
要激活此集成,您必须启用这两项服务,并在 Security Lake 控制台、Security Lake API 或 Amazon CLI 中将 Security Hub CSPM 添加为来源。完成这些步骤后,Security Hub CSPM 开始将所有调查发现发送到 Security Lake。
Security Lake 会自动对 Security Hub CSPM 调查发现进行标准化,并将其转换为名为开放网络安全架构框架 (OCSF) 的标准化开源架构。在 Security Lake 中,您可以添加一个或多个订阅用户来使用 Security Hub CSPM 调查发现。
有关此集成的更多信息,包括有关将 Security Hub CSPM 添加为来源和创建订阅用户的说明,请参阅《Amazon Security Lake 用户指南》中的 Integration with Amazon Security Hub CSPM。
Amazon Systems Manager Explorer 和 OpsCenter(接收和更新调查发现)
Amazon Systems Manager Explorer 和 OpsCenter 接收来自 Security Hub CSPM 的调查发现,并在 Security Hub CSPM 中更新这些调查发现。
Explorer 为您提供可自定义的控制面板,提供有关您 Amazon 环境运营状况和性能的关键见解和分析。
OpsCenter 为您提供查看、调查和解决操作工作项的中心位置。
有关 Explorer 和 OpsCenter 的更多信息,请参阅《Amazon Systems Manager 用户指南》中的运营管理。
Amazon Trusted Advisor(接收调查发现)
Trusted Advisor 凝聚了从为数十万 Amazon 客户提供服务中总结的最佳实践。Trusted Advisor 可检查您的 Amazon 环境,然后在有可能节省开支、提高系统可用性和性能或弥补安全漏洞时为您提供建议。
启用 Trusted Advisor 和 Security Hub CSPM 时,集成会自动更新。
Security Hub CSPM 将其 Amazon 基础安全最佳实践检查结果发送至 Trusted Advisor。
有关 Security Hub CSPM 与 Trusted Advisor 集成的更多信息,请参阅《Amazon Support 用户指南》中的 Viewing Amazon Security Hub CSPM controls in Amazon Trusted Advisor。