可用的 Amazon 服务集成 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

可用的 Amazon 服务集成

Security Hub 支持与多种集成Amazon服务。

注意

某些集成并非在所有区域都可用。

如果不支持某个集成,则不会在 Integrations (集成) 页面上列出该集成。

另请参阅 集成在中国(北京)和中国(宁夏)支持的集成AmazonGovCloud(美国东部)和AmazonGovCloud(美国西部)

以下是有关每个 Amazon 服务集成的详细信息。

Amazon Audit Manager(发送调查结果)

Security Hub 将控制结果发送给 Audit Manager。这些调查结果有助于 Audit Manager 用户准备审计。

要了解有关 Audit Manager 的更多信息,请参阅AmazonAudit Manager 用户指南.Amazon 支持的 Security Hub 检查Amazon Audit Manager列出了 Security Hub 向 Audit Manager 发送调查结果的控件。

Amazon Chatbot(发送调查结果)

Amazon Chatbot是一个互动的代理,可以帮助你监控并与你的互动AmazonSlack 频道和 Amazon Chime 聊天室中的资源。

Security Hub 将发现发送到Amazon Chatbot.

要了解有关的更多信息Amazon Chatbot与 Security Hub 集成,请参阅Security Hub 集成概述中的Amazon Chatbot管理员指南.

亚马逊 Detective(从 Security Hub 链接)

Detective 会自动从您的Amazon资源,并使用机器学习、统计分析和图形理论来帮助您可视化和执行更快、更高效的安全调查。

借助 Security Hub 与 Detective 的集成,您可以从 Security Hub 中的 Amazon GuardDuty 结果转入 Detective。然后,您可以使用 Detective 工具和可视化功能调查这些结果。集成不需要在 Security Hub 或 Detective 中进行任何其他配置。

对于 GuardDuty 结果类型,结果详细信息包括在 Detective 中调查小节。该小节包含指向 Detective 的链接。请参阅透视转到实体个人资料或从 Amazon GuardDuty 查找概述或AmazonSecurity Hub中的Amazon Detective 用户指南.

如果启用了查找聚合,那么当从聚合区域进行转置时,Detective 会在发现的地区中打开。

如果链接无效,请参阅对转换进行故障排除以了解故障排除建议。

Amazon Firewall Manager(发送调查结果)

当资源的 WAF 策略或 Web ACL 规则不合规时,Firewall Manager 会将结果发送到 Security Hub。Firewall Manager 还会在以下情况Amazon Shield Advanced没有保护资源,或者在发现攻击时。

如果您已使用 Firewall Manager,Security Hub 会自动启用此集成。您无需采取任何其他操作即可开始从 Firewall Manager 接收结果。

要了解有关集成的更多信息,请参阅集成Security Hub 控制台中的页面。

要了解有关 Firewall Manager 的更多信息,请参阅Amazon WAF开发人员指南.

Amazon GuardDuty(发送发现)

针对所有支持的结果类型,GuardDuty 会将结果发送到 Security Hub。

来自 GuardDuty 的新结果将在 5 分钟内发送到 Security Hub。调查结果的更新将根据更新的结果在 GuardDuty 设置中为 Amazon EventBridge 设置。

当你使用 GuardDuty 生成 GuardDuty 样本发现时设置页面上,Security Hub 会收到示例调查结果并省略查找类型中的前缀 “[示例]”。例如,GuardDuty “[SAMPLE] Rec: IAMUSER/ResourcePermissions” 中的示例结果类型在 Security Hub 中显示为 “Recon: IAMUSER/ResourcePermissions”。

有关 GuardDuty 集成的更多信息,请参阅集成AmazonSecurity Hub中的Amazon GuardDuty 用户指南.

Amazon Health(发送调查结果)

Amazon Health持续了解您的资源性能和Amazon服务和账户。您可以使用Amazon Health事件,了解服务和资源更改可能如何影响运行在上的应用程序Amazon.

与集成Amazon Health不使用BatchImportFindings. 相反,Amazon Health使用服务到服务事件消息传递将结果发送到 Security Hub。

有关集成的更多信息,请参阅下面几节。

在 Security Hub 中,安全问题按结果进行跟踪。一些发现结果来自其他 Amazon 服务或第三方合作伙伴检测到的问题。Security Hub 还有一套用于检测安全问题和生成结果的规则。

Security Hub 提供了管理来自所有这些来源的结果的工具。您可以查看和筛选结果列表,并查看结果的详细信息。请参阅 在中查看查找列表和详细信息Amazon Security Hub。您还可以跟踪结果的调查状态。请参阅 对结果执行操作Amazon Security Hub

Security Hub 中的所有结果都使用标准的 JSON 格式,称为Amazon Security Finding 格式 (ASFF). ASFF 包括有关问题根源、受影响资源以及结果当前状态的详细信息。

Amazon Health是其中之一Amazon服务,会将结果发送到 Security Hub。

发现结果的类型Amazon Health发送到 Security Hub

启用集成后,Amazon Health将其生成的所有与安全相关的发现发送到 Security Hub。调查结果 Security Hub 使用Amazon Security Finding 格式 (ASFF). 与安全相关的调查结果定义如下:

  • 任何与AmazonSecurity 服务/服务

  • 任何用单词的发现securityabuse,或者certificate中的Amazon Health TypeCode

  • 任何发现在哪里Amazon Health服务是risk要么abuse

SENDAmazon Health发送到 Security Hub 的结果

当你选择接受来自的调查结果Amazon Health,Security Hub 将自动分配必要的权限,以接收来自Amazon Health. Security Hub 使用服务到服务级别的权限,这些权限为您提供了一种安全、简单的方法来启用此集成并从Amazon Health通过 Amazon EventBridge 代表您。选择 “接受查找结果” 授予 Security Hub 使用来自的调查结果的权限Amazon Health.

发送结果的延迟

何时Amazon Health创建新结果,通常会在五分钟内将结果发送到 Security Hub。

Security Hub 不可用时重试

Amazon Health通过 EventBridge 尽最大努力将结果发送到 Security Hub。当事件未成功发送到 Security Hub 时,EventBridge 会重试发送事件 24 小时。

更新 Security Hub 中的现有结果

晚于Amazon Health将结果发送到 Security Hub,它可以将同一结果的更新发送到 Security Hub,以反映对查找活动的其他观测结果到 Security Hub。

存在调查结果的地区

Amazon Health将在 us-east-1 中向 Security Hub 发送调查结果(适用于Amazon分区),选择加入地区,中国-宁夏(适用于所有中国地区),AmazonGovCloud-美国西部(适用于所有 GovCloud 地区)。

查看您的Amazon Health选择 Security Hub 中的结果结果从导航面板中显示。筛选结果以仅显示Amazon Health调查结果,选择运行状况来自 的产品名称字段中返回的子位置类型。

解释Amazon Health在 Security Hub 中查找名称

运行 Health 使用Amazon Security Finding 格式 (ASFF).Amazon Health与 Security Hub ASFF 格式相比,查找使用了不同的事件模式。下表详细列出了所有Amazon Health查找 Security Hub 中显示的 ASFF 对应字段。

Health 结果类型 ASFF 结果类型 硬编码值
账户 AwsAccountId
详细信息。StartTime CreatedAt
详细信息。事件描述。最新说明 描述
详细信息。eventType 代码 生成器 ID
详细信息 .eventarn Id
“arna: aws: Security Hub:<region>። product/aws/健康” ProducTarN
账户或 resourceId 资源 [i] .id
资源 [i]。类型 “其他”
SchemaVersion “2018-10-08”
严重性。标签 请参阅下面的 “解释严重性标签
”Amazon Health-” 详细信息 .eventType 代码 Title
- 类型 ["软件和配置检查"]
event.time UpdatedAt
Health 控制台上事件的 URL 源代码 URL

解释严重性标签

ASFF 调查结果中的严重性标签使用以下逻辑确定:

  • 严重性关键的如果运行 Health 况调查结果中的服务字段有值 “风险” 或运行 Health 况调查结果中的类型代码字段的值为 “AWS_S3_OPEN_ACCES_AUCCET_BUCKET_通知” 或 “AWS_SHIELD_IN_IN_RESPORS_TO_DOS_AST_AST_AST_ABLING_PLACKET_PLACE_INTROS_LIMITION_PLACE_INTION_RESPORS_DDOS_AST_ATTROS_ABLING_ATTROS_ABLIST_ATTROS_ABLISD_ABLIST_YOUR_AWS_ 资源”

  • 严重性如果运行 Health 调查结果中的服务字段具有 “滥用” 值,或者运行 Health 调查结果中的 TypeCode 字段包含值 “SECURITY_ONTENTURY” 或 “ABUSE_PROTEC

  • 严重性中等如果运行 Health 况调查结果中的服务字段是以下任何一个-ACM、CLOUDHSM、COLOUDHSM、配置、控制塔、配置、侦探、事件、GUARDY、IAM、督察、KMS、MACIE、SES、SecuritHUB、盾牌、SSO、COGNITO、IOTDEVICE DEFENDENDER、网络防火墙、ROUTE53、WAF、FIREWALMANAGER、SPECLESMANAGER、备份审计管理器、神器、CLOUDURE、CODEGURU、组织、目录服务、资源管理器、CLOUDWATCH、DRS、INSPECTOR2、RESLIENHUB 或TypeCode运行 Health 查找结果中的字段包含值 “证书” 或 “END_OF_SUPPORT”

来自 Amazon Health 的典型结果

Amazon HealthSecurity Hub 用Amazon Security Finding 格式 (ASFF). 下面是典型结果的示例Amazon Health.

注意

如果描述超过 1024 个字符,它将被截断为 1024 个字符,并在最后显示 “(截断)”。

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "065013762486", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }

若要使用与 Security Hub 的集成,您必须启用 Security Hub。有关如何启用 Security Hub 的信息,请参阅设置AmazonSecurity Hub.

当你同时启用两者Amazon Health和 Security Hub,集成将自动启用。Amazon Health立即开始向 Security Hub 发送结果。

要停止向 Security Hub 发送结果,您可以使用 Security Hub 控制台或 API。

请参阅禁用和启用来自集成的结果流(控制台)禁用来自集成(Security Hub API,)的结果流Amazon CLI)

IAM 访问分析器(发送调查结果)

借助 IAM Access Analyzer,所有结果都会发送到 Security Hub。

IAM Access Analyzer 使用基于逻辑的推理来分析应用于您账户中受支持资源的基于资源的策略。IAM Access Analyzer 在检测到允许外部委托人访问您账户中资源的策略语句时生成一个结果。

要了解更多信息,请参阅集成AmazonSecurity Hub中的IAM 用户指南.

Amazon Inspector(发送发现)

Amazon Inspector 是一项漏洞管理服务,可持续扫描Amazon漏洞的工作负载。Amazon Inspector 会自动发现和扫描驻留在 Amazon Elastic Container Registry (Amazon ECR) 中的 EC2 实例和容器镜像。扫描会查找软件漏洞和意外的网络暴露。

当您同时启用 Amazon Inspector 和 Security Hub 时,集成将自动启用。Amazon Inspector 开始将结果发送到 Security Hub。Amazon Inspector 将其生成的所有调查结果发送给 Security Hub。

有关集成的更多信息,请参阅集成AmazonSecurity Hub中的Amazon Inspector 用户指南.

Security Hub 还可以接收来自 Amazon Inspector Classic 的结果。Amazon Inspector Classic 会将结果发送到 Security Hub,这些结果都是通过针对所有支持的规则包运行

有关集成的更多信息,请参阅集成AmazonSecurity Hub中的Amazon Inspector Classic Useric.

Amazon Inspector 和亚 Amazon Inspector Classic 的发现使用相同的产品 ARN 亚马逊检查员的调查结果有以下条目ProductFields

"aws/inspector/ProductVersion": "2",

Amazon Macie(发送调查结果)

来自 Macie 的结果可以表明存在策略违规的情况,或者您的组织在 Amazon S3 中存储的数据内存在敏感数据(例如个人可识别信息 (PII))。

默认情况下,Macie 仅将策略结果发送到 Security Hub。您可以将集成配置为也将敏感数据发现发送到 Security Hub。

在 Security Hub 中,策略或敏感数据查找的查找类型更改为与 ASFF 兼容的值。例如,Policy:IAMUser/S3BucketPublic在 Macie 中查找类型显示为Effects/Data Exposure/Policy:IAMUser-S3BucketPublic在 Security Hub 中。

Macie 还会将生成的示例结果发送到 Security Hub。对于示例结果,受影响资源的名称为macie-sample-finding-bucket以及的价值Sample字段是true.

有关更多信息,请参阅 。Amazon Macie 与AmazonSecurity Hub中的Amazon Macie 用户指南.

此前,Security Hub 还收到了来自 Amazon Macie Classic 的调查结果,该调查结果已停产且不再可用。Macie Classic 发送了基本和自定义发现(警报Security Hub 从S3 存储桶属性S3 对象索引。Macie Classic 没有从CloudTrail 数据索引。

Amazon Systems Manager资源管理器和 OpsCenter(接收和更新调查结果)

Amazon Systems Manager资源管理器和 OpsCenter 接收来自 Security Hub 的调查结果,并在 Security Hub 中更新这些发现。

Explorer 为您提供了一个可自定义的仪表板,为您的运营状况和绩效提供关键见解和分析Amazon环境。

OpsCenter 为您提供了查看、调查和解决操作工作项的中心位置。

有关资源管理器和 OpsCenter 的更多信息,请参阅。运营管理中的Amazon Systems Manager用户指南.

Amazon Systems Manager修补管理器(发送结果)

Amazon Systems Manager当客户队列中的实例不符合补丁合规性标准时,Patch Manager 将发现发送给 Security Hub。

Patch Manager 能够使用安全相关更新及其他更新类型自动执行修补托管实例的过程。

有关使用 Patch Manager 的更多信息,请参阅Amazon Systems ManagerPatch Manager中的Amazon Systems Manager用户指南.

Amazon Trusted Advisor(接收调查结果)

Trusted Advisor 凝聚了从为数十万 Amazon 客户提供服务中总结的最佳实践。Trusted Advisor 可检查您的 Amazon 环境,然后​在有可能节省开支、提高系统可用性和性能或弥补安全漏洞时为您提供建议。

当你同时启用两者Trusted Advisor和 Security Hub,集成将自动更新。

Security Hub 发送其结果Amazon基础安全最佳实践检查Trusted Advisor.

有关 Security Hub 与集成的更多信息。Trusted Advisor,请参阅查看Amazon中的 Security Hub 控件Amazon Trusted Advisor中的AmazonSupport 用户指南.