Amazon Web Services 服务 与 Security Hub 的集成 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Web Services 服务 与 Security Hub 的集成

Amazon Security Hub 支持与其他 Amazon Web Services 服务几个集成。

注意

可能并非所有 Amazon Web Services 区域集成都可用。如果当前区域不支持某个集成,则该集成不会显示在集成页面上。

有关在中国和地区可用的集成列表 Amazon GovCloud (US),请参阅中国(北京)和中国(宁夏)区域支持的集成和。Amazon GovCloud (美国东部)和 Amazon GovCloud (美国西部)支持的集成

除非下文另有说明,否则在您启用 Security Hub 和其他服务后,将自动激活将发现结果发送到 Security Hub 的集 Amazon Web Services 服务 成。接收 Security Hub 调查发现的集成可能需要额外的激活步骤。查看有关每个集成的信息以了解更多信息。

与 Security Hub 的 Amazon 服务集成概述

以下是将调查结果发送到 Security Hub 或从 Security Hub 接收发现结果的 Amazon 服务的概述。

综合 Amazon 服务 方向

Amazon Config

发送调查发现

Amazon Firewall Manager

发送调查发现

Amazon GuardDuty

发送调查发现

Amazon Health

发送调查发现

Amazon Identity and Access Management Access Analyzer

发送调查发现

Amazon Inspector

发送调查发现

Amazon IoT Device Defender

发送调查发现

Amazon Macie

发送调查发现

Amazon Systems Manager Patch Manager

发送调查发现

Amazon Audit Manager

接收调查发现

Amazon Chatbot

接收调查发现

Amazon Detective

接收调查发现

Amazon Security Lake

接收调查发现

Amazon Systems Manager 探险家和 OpsCenter

接收和更新调查发现

Amazon Trusted Advisor

接收调查发现

Amazon 将调查结果发送到 Security Hub 的服务

通过向 Security Hub 发送调查结果,以下 Amazon 服务与 Security Hub 集成。Security Hub 将发现结果转换为Amazon 安全调查结果格式

Amazon Config (发送调查结果)

Amazon Config 是一项允许您评估、审核和评估 Amazon 资源配置的服务。 Amazon Config 持续监控和记录您的 Amazon 资源配置,并允许您根据所需的配置自动评估记录的配置。

通过与集成 Amazon Config,您可以在 Security Hub 中将 Amazon Config 托管和自定义规则评估的结果作为发现结果进行查看。这些结果可以与 Security Hub 的其他发现一起查看,提供您的安全态势的全面概述。

Amazon Config 使用亚马逊 EventBridge 向 Security Hub 发送 Amazon Config 规则评估。Security Hub 将规则评估转换成遵循 Amazon 安全调查发现格式的调查发现。然后,Security Hub 通过获取有关受影响资源的更多信息(例如 Amazon 资源名称 (ARN)、资源标签和创建日期),尽最大努力丰富调查结果。

有关此集成的更多信息,请参阅以下部分:

Security Hub 中的所有发现都使用标准JSON格式ASFF。ASFF包括有关发现的来源、受影响的资源以及发现的当前状态的详细信息。 Amazon Config 通过向 Security Hub 发送托管和自定义规则评估 EventBridge。Security Hub 将规则评估转化为遵循的结果,ASFF并尽最大努力丰富调查结果。

Amazon Config 发送到 Security Hub 的发现类型

激活集成后, Amazon Config 将所有 Amazon Config 托管规则和自定义规则的评估发送到 Security Hub。仅发送在启用 Security Hub 后执行的评估。例如,假设 Amazon Config 规则评估显示五个失败的资源。如果之后我启用 Security Hub,然后规则显示第六个失败的资源,则只 Amazon Config 会向 Security Hub 发送第六次资源评估。

不包括来自服务相关 Amazon Config 规则的评估,例如用于对 Security Hub 控件进行检查的评估。

将 Amazon Config 调查结果发送到 Security Hub

激活集成后,Security Hub 将自动分配从中接收调查结果所需的权限 Amazon Config。Security Hub 使用 service-to-service级别权限,为您提供一种安全的方式来激活此集成并 Amazon Config 通过亚马逊导入调查结果 EventBridge。

发送调查发现的延迟

Amazon Config 创建新发现时,您通常可以在五分钟内在 Security Hub 中查看该发现。

Security Hub 不可用时重试

Amazon Config 尽最大努力将调查结果发送到 Security Hub。 EventBridge如果事件未成功传送到 Security Hub, EventBridge则会重试投递最多 24 小时或 185 次,以先到者为准。

更新 Security Hub 中的现有 Amazon Config 发现

将调查结果 Amazon Config 发送到 Security Hub 后,它可以向 Security Hub 发送同一发现的更新,以反映对发现活动的其他观察结果。仅针对 ComplianceChangeNotification 事件发送更新。如果没有发生合规性变化,则不会向 Security Hub 发送更新。Security Hub 会在最近一次更新后的 90 天或(如果没有更新)创建后的 90 天删除结果。

Amazon Config 即使您删除了关联的资源,Security Hub 也不会存档从中发送的结果。

存在 Amazon Config 调查结果的地区

Amazon Config 调查结果以区域为基础出现。 Amazon Config 将发现结果发送到发现结果所在的一个或多个区域的 Security Hub。

要查看您的 Amazon Config 发现,请从 Security Hub 导航窗格中选择调查结果。要筛选搜索结果以仅显示搜索 Amazon Config 结果,请在搜索栏下拉列表中选择产品名称。输入Config,然后选择应用

解释在 Security Hub 中 Amazon Config 查找的名字

Security Hub 将 Amazon Config 规则评估转化为遵循以下内容的Amazon 安全调查结果格式 (ASFF)结果。 Amazon Config 与相比,规则评估使用的事件模式不同ASFF。下表将 Amazon Config 规则评估字段与它们在 Security Hub 中显示的ASFF对应字段进行映射。

Config 规则评估调查发现类型 ASFF查找类型 硬编码值
细节。 awsAccountId AwsAccountId
细节。 newEvaluationResult。 resultRecordedTime CreatedAt
细节。 newEvaluationResult。 resultRecordedTime UpdatedAt
ProductArn <partition><region>“arn:: securityhub:::” product/aws/config
ProductName "Config"
CompanyName "Amazon"
区域 "eu-central-1"
configRuleArn GeneratorId, ProductFields
细节。 ConfigRuleARN/finding/hash Id
细节。 configRuleName 标题, ProductFields
细节。 configRuleName 描述 “此调查发现是针对配置规则的资源合规性更改而创建的:${detail.ConfigRuleName}
配置项 “ARN” 或 Security Hub 已计算 ARN Resources[i].id
细节。 resourceType Resources[i].Type "AwsS3Bucket"
Resources[i].Partition "aws"
Resources[i].Region "eu-central-1"
配置项目“配置” Resources[i].Details
SchemaVersion "2018-10-08"
Severity.Label 请参阅下面的“解释严重性标签”
类型 [“软件和配置检查”]
细节。 newEvaluationResult。 complianceType Compliance.Status FAILED“、” NOT _ AVAILABLE “、” PASSED “、” 或 “WARNING”
Workflow.Status “RESOLVED” 如果 Amazon Config 发现的合规性状态为 “”PASSED,或者合规状态从 “” 更改为 “”。” FAILED PASSED 否则,Workflow.Status 将为 “。” NEW 您可以通过BatchUpdateFindingsAPI操作更改此值。

解释严重性标签

Amazon Config 规则评估的所有发现的默认严重性标签MEDIUM均为ASFF。您可以通过BatchUpdateFindingsAPI操作更新调查结果的严重性标签。

来自的典型发现 Amazon Config

Security Hub 将 Amazon Config 规则评估转化为遵循以下内容的ASFF结果。以下是中典型发现 Amazon Config 的示例ASFF。

注意

如果描述超过 1024 个字符,则它将被截断至 1024 个字符,并在结尾处显示“(截断)”。

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }

启用 Security Hub 后,此集成将自动激活。 Amazon Config 立即开始向 Security Hub 发送调查结果。

要停止向 Security Hub 发送调查结果,你可以使用 Security Hub 控制台或 Security Hub API。

有关停止调查结果流的说明,请参阅支持整合结果的流动

Amazon Firewall Manager (发送调查结果)

当资源的 Web 应用程序防火墙 (WAF) 策略或 Web 访问控制列表 (WebACL) 规则不合规时,Firewall Manager 会将发现结果发送到 Security Hub。F Amazon Shield Advanced irewall Manager 还会在未保护资源或发现攻击时发送调查结果。

启用 Security Hub 后,此集成将自动激活。Firewall Manager 会立即开始向 Security Hub 发送调查发现。

要了解有关集成的更多信息,请查看 Security Hub 控制台中的集成页面。

要了解有关 Firewall Manager 的更多信息,请参阅 Amazon WAF 开发人员指南

亚马逊 GuardDuty (发送调查结果)

GuardDuty 将其生成的所有发现结果发送到 Security Hub。

来自 GuardDuty 的新发现将在五分钟内发送到 Security Hub。调查结果的更新是根据设置 EventBridge 中亚马逊的 “更新调查结果 GuardDuty ” 设置发送的。

当您使用 GuardDuty “设置” 页面生成 GuardDuty 示例查找结果时,Security Hub 会接收样本查找结果并省略查找结果类型[Sample]中的前缀。例如,中的样本查找结果类型显示 GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions为 Securit Recon:IAMUser/ResourcePermissions y Hub。

启用 Security Hub 后,此集成将自动激活。 GuardDuty 立即开始向 Security Hub 发送调查结果。

有关 GuardDuty 集成的更多信息,请参阅《亚马逊 GuardDuty 用户指南》中的与 Sec Amazon urity Hub 集成

Amazon Health (发送调查结果)

Amazon Health 提供对您的资源性能以及和可用性的持续可见 Amazon Web Services 服务 性 Amazon Web Services 账户。您可以使用 Amazon Health 事件来了解服务和资源更改会如何影响正在 Amazon运行的应用程序。

与的集成 Amazon Health 不起作用BatchImportFindings。而是 Amazon Health 使用 service-to-service事件消息将发现结果发送到 Security Hub。

有关此集成的更多信息,请参阅以下部分:

在 Security Hub 中,安全问题按调查结果进行跟踪。一些发现来自其他 Amazon 服务或第三方合作伙伴检测到的问题。Security Hub 还有一套用于检测安全问题和生成结果的规则。

Security Hub 提供了管理来自所有这些来源的结果的工具。您可以查看和筛选结果列表,并查看结果的详细信息。请参阅 在 Security Hub 中查看查找详情和查找历史记录。您还可以跟踪调查发现的调查状态。请参阅 设置 Security Hub 发现的工作流程状态

Security Hub 中的所有发现都使用一种名为 “” 的标准JSON格式Amazon 安全调查结果格式 (ASFF)。ASFF包括有关问题来源、受影响的资源以及发现结果的当前状态的详细信息。

Amazon Health 是将发现结果发送到 Security Hub 的 Amazon 服务之一。

Amazon Health 发送到 Security Hub 的发现类型

启用集成后, Amazon Health 将符合列出的一项或多项规范的发现结果发送到 Security Hub。Security Hub 在中提取了调查结果。Amazon 安全调查结果格式 (ASFF)

  • 包含以下任一值的调查结果 Amazon Web Services 服务:

    • RISK

    • ABUSE

    • ACM

    • CLOUDHSM

    • CLOUDTRAIL

    • CONFIG

    • CONTROLTOWER

    • DETECTIVE

    • EVENTS

    • GUARDDUTY

    • IAM

    • INSPECTOR

    • KMS

    • MACIE

    • SES

    • SECURITYHUB

    • SHIELD

    • SSO

    • COGNITO

    • IOTDEVICEDEFENDER

    • NETWORKFIREWALL

    • ROUTE53

    • WAF

    • FIREWALLMANAGER

    • SECRETSMANAGER

    • BACKUP

    • AUDITMANAGER

    • ARTIFACT

    • CLOUDENDURE

    • CODEGURU

    • ORGANIZATIONS

    • DIRECTORYSERVICE

    • RESOURCEMANAGER

    • CLOUDWATCH

    • DRS

    • INSPECTOR2

    • RESILIENCEHUB

  • 带有securityabuse、或字样certificate在 Amazon Health typeCode现场的调查结果

  • 发现 Amazon Health 服务所在位置riskabuse

将 Amazon Health 调查结果发送到 Security Hub

当您选择接受来自的调查结果时 Amazon Health,Security Hub 将自动分配从中接收调查结果所需的权限 Amazon Health。Security Hub 使用 service-to-service级别权限,为您提供一种安全、简便的方法来启用此集成并 EventBridge 代表您 Amazon Health 通过亚马逊导入调查结果。选择 “接受调查结果” 会授予 Security Hub 使用其中的查找结果的权限 Amazon Health。

发送调查发现的延迟

Amazon Health 创建新发现时,通常会在五分钟内将其发送到 Security Hub。

Security Hub 不可用时重试

Amazon Health 尽最大努力将调查结果发送到 Security Hub。 EventBridge如果事件未成功传送到 Security Hub, EventBridge则会在 24 小时内重试发送该事件。

更新 Security Hub 中的现有 结果

将调查结果 Amazon Health 发送到 Security Hub 后,它可以将同一发现的更新发送给 Security Hub,以反映对发现活动的其他观察结果。

存在调查发现的区域

对于全局事件,以 us-east-1(分区)、cn-northwest-1(中国分区)和 -1 Amazon (分区) Amazon Health 将发现结果发送到 Security Hub。 gov-us-west GovCloud Amazon Health 将特定于区域的事件发送到事件发生地相同的一个或多个区域的 Security Hub。

要在 Security Hub 中查看您的 Amazon Health 发现,请从导航面板中选择调查结果。要筛选结果以仅显示搜索 Amazon Health 结果,请从 “产品名称” 字段中选择 “Heal th”。

解释在 Security Hub 中 Amazon Health 查找的名字

Amazon Health 使用将发现结果发送到 Security Hub Amazon 安全调查结果格式 (ASFF)。 Amazon Health 与 Security Hub ASFF 格式相比,finding 使用了不同的事件模式。下表详细列出了所有 Amazon Health 查找字段及其在 Security Hub 中显示的ASFF对应字段。

健康调查发现类型 ASFF查找类型 硬编码值
account AwsAccountId
细节。 startTime CreatedAt
细节。 eventDescription。 latestDescription 描述
细节。 eventTypeCode GeneratorId
细节。 eventArn (包括账户)+ 详细信息哈希。 startTime Id
<region>“arn: aws: securityhub:::” product/aws/health ProductArn
账户或 resourceId Resources[i].id
Resources[i].Type “其他”
SchemaVersion "2018-10-08"
Severity.Label 请参阅下面的“解释严重性标签”
“Amazon Health -” 详情。 eventTypeCode Title
- 类型 [“软件和配置检查”]
event.time UpdatedAt
URLHealth 控制台上发生的事件 SourceUrl
解释严重性标签

ASFF调查结果中的严重性标签是使用以下逻辑确定的:

  • 严重性CRITICAL如果:

    • Amazon Health 调查结果中的service字段具有值 Risk

    • Amazon Health 调查结果中的typeCode字段具有值 AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION

    • Amazon Health 调查结果中的typeCode字段具有值 AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK

    • Amazon Health 调查结果中的typeCode字段具有值 AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES

    严重性HIGH如果:

    • Amazon Health 调查结果中的service字段具有值 Abuse

    • Amazon Health 调查结果中的typeCode字段包含值 SECURITY_NOTIFICATION

    • Amazon Health 调查结果中的typeCode字段包含值 ABUSE_DETECTION

    严重性MEDIUM如果:

    • 调查发现中的 service 字段为以下任意字段:ACMARTIFACTAUDITMANAGERBACKUPCLOUDENDURECLOUDHSMCLOUDTRAILCLOUDWATCHCODEGURGUCOGNITOCONFIGCONTROLTOWERDETECTIVEDIRECTORYSERVICEDRSEVENTSFIREWALLMANAGERGUARDDUTYIAMINSPECTORINSPECTOR2IOTDEVICEDEFENDERKMSMACIENETWORKFIREWALLORGANIZATIONSRESILIENCEHUBRESOURCEMANAGERROUTE53SECURITYHUBSECRETSMANAGERSESSHIELDSSO、或 WAF

    • Amazon Health 调查结果中的typeCode字段包含值 CERTIFICATE

    • Amazon Health 调查结果中的typeCode字段包含值 END_OF_SUPPORT

来自的典型发现 Amazon Health

Amazon Health 使用将发现结果发送到 Security Hub Amazon 安全调查结果格式 (ASFF)。以下是来自的典型发现的示例 Amazon Health。

注意

如果描述超过 1024 个字符,则它将被截断至 1024 个字符,并在结尾处显示(截断)

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in Amazon Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to Amazon Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }

启用 Security Hub 后,此集成将自动激活。 Amazon Health 立即开始向 Security Hub 发送调查结果。

要停止向 Security Hub 发送调查结果,你可以使用 Security Hub 控制台或 Security Hub API。

有关停止调查结果流的说明,请参阅支持整合结果的流动

Amazon Identity and Access Management Access Analyzer (发送调查结果)

使用 A IAM ccess Analyzer,所有发现的结果都将发送到 Security Hub。

IAMAccess Analyzer 使用基于逻辑的推理来分析应用于您账户中支持的资源的基于资源的策略。IAM当Access Analyzer检测到允许外部委托人访问您账户中的资源的策略声明时,它会生成调查结果。

在 IAM Access Analyzer 中,只有管理员帐户才能查看适用于组织的分析器的调查结果。对于组织分析器,该AwsAccountIdASFF字段反映管理员帐户 ID。在 ProductFields 下方,ResourceOwnerAccount 字段表示调查发现被发现的账户。如果您为每个账户单独启用分析器,Security Hub 会生成多个结果:一个用于标识管理员账户 ID,另一个用于标识资源账户 ID。

有关更多信息,请参阅《IAM用户指南》中的 “与 S Amazon ecurity Hub 集成”。

Amazon Inspector(发送调查发现)

Amazon Inspector 是一项漏洞管理服务,可持续扫描您的 Amazon 工作负载中是否存在漏洞。Amazon Inspector 会自动发现和扫描位于亚马逊弹性容器注册表中的亚马逊EC2实例和容器镜像。扫描会查找软件漏洞和意外网络暴露。

启用 Security Hub 后,此集成将自动激活。Amazon Inspector 立即开始将其生成的所有结果发送到 Security Hub。

有关集成的更多信息,请参阅 Amazon Inspector 用户指南中的与 Sec Amazon urity Hub 集成

Security Hub 还可以接收来自 Amazon Inspector Classic 的调查发现。Amazon Inspector Classic 会把通过评测生成的调查发现发送到 Security Hub,这一评测运行于所有支持的规则包。

有关集成的更多信息,请参阅 Amazon Inspector Classic 用户指南中的与 Sec Amazon urity Hub 集成

Amazon Inspector 和 Amazon Inspector Classic 的发现使用相同的产品ARN。Amazon Inspector 的调查发现在 ProductFields 中有以下条目:

"aws/inspector/ProductVersion": "2",

Amazon IoT Device Defender (发送调查结果)

Amazon IoT Device Defender 是一项安全服务,可审核您的物联网设备的配置,监控连接的设备以检测异常行为,并帮助降低安全风险。

同时启用两者 Amazon IoT Device Defender 和 Security Hub 后,请访问 Sec urity Hub 控制台的 “集成” 页面,然后选择 “接受审计”、“检测” 或 “两者” 的调查结果。 Amazon IoT Device Defender “审计和检测” 开始将所有发现结果发送到 Security Hub。

Amazon IoT Device Defender 审计将支票摘要发送到 Security Hub,其中包含特定审计检查类型和审计任务的一般信息。 Amazon IoT Device Defender 检测将机器学习 (ML)、统计和静态行为的违规发现发送到 Security Hub。审计还会将调查发现更新发送到 Security Hub。

有关此集成的更多信息,请参阅《Amazon IoT 开发者指南》中的 “与 S Amazon ecurity Hub 集成”。

Amazon Macie(发送调查发现)

Macie 的调查结果可能表明存在潜在的政策违规行为,或者您的组织存储在 Amazon S3 中的数据中存在个人身份信息 (PII) 等敏感数据。

启用 Security Hub 后,Macie 会自动开始向 Security Hub 发送策略调查发现。您可以对集成进行配置,将敏感数据结果也发送到 Security Hub。

在 Security Hub 中,策略或敏感数据查找结果的查找类型更改为与兼容的值ASFF。例如,Macie 中的 Policy:IAMUser/S3BucketPublic 调查发现类型在 Security Hub 中显示为 Effects/Data Exposure/Policy:IAMUser-S3BucketPublic

Macie 还会将生成的调查发现样本发送到 Security Hub。对于调查发现样本,受影响资源的名称为 macie-sample-finding-bucketSample 字段的值为 true

有关更多信息,请参阅 Amazon Macie 用户指南中的与 Amazon Security Hub 集成

Amazon Systems Manager 补丁管理器(发送调查结果)

Amazon Systems Manager 当客户队列中的实例不符合其补丁合规性标准时,Patch Manager 会将发现结果发送给 Security Hub。

Patch Manager 能够使用安全相关更新及其他更新类型自动执行修补托管实例的过程。

启用 Security Hub 后,此集成将自动激活。Systems Manager Patch Manager 立即开始将结果发送到 Security Hub。

有关使用 Patch Manager 的更多信息,请参阅 Amazon Systems Manager 用户指南中的 Amazon Systems Manager Patch Manager

Amazon 从 Security Hub 接收调查结果的服务

以下 Amazon 服务与 Security Hub 集成并接收来自 Security Hub 的调查结果。如有注明,集成服务也可能更新调查发现。在这种情况下,您在集成服务中进行的调查发现更新也将反映在 Security Hub 中。

Amazon Audit Manager (接收调查结果)

Amazon Audit Manager 接收来自 Security Hub 的调查结果。这些调查发现有助于 Audit Manager 用户为审计做好准备。

要了解有关 Audit Manager 的更多信息,请参阅 Au Amazon dit Manager 用户指南AmazonAmazon Audit Manager支持的 Security Hub 检查列出了 Security Hub 向 Audit Manager 发送调查发现的控件。

Amazon Chatbot (接收调查结果)

Amazon Chatbot 是一个交互式代理,可帮助您监控 Slack 频道和 Amazon Chime 聊天室中的 Amazon 资源并与之互动。

Amazon Chatbot 接收来自 Security Hub 的调查结果。

要了解有关与 Security Hub 集 Amazon Chatbot 成的更多信息,请参阅《Amazon Chatbot 管理员指南》中的 Sec urity Hub 集成概述

Amazon Detective(接收调查发现)

Detective 会自动从您的 Amazon 资源中收集日志数据,并使用机器学习、统计分析和图论来帮助您实现可视化,并更快、更高效地进行安全调查。

Security Hub 与 Detective 的集成允许你从亚马逊在 Security Hub 中的 GuardDuty 发现转向侦探。然后,您可以使用 Detective 工具和可视化功能调查它们。该集成不需要在 Security Hub 或 Detective 中进行任何其他配置。

对于从其他人那里收到的调查结果 Amazon Web Services 服务,Security Hub 控制台上的调查结果详细信息面板包括 “侦探调查” 小节。该小节包含指向 Detective 的链接,您可以在其中进一步调查调查发现所标记的安全问题。您还可以根据 Security Hub 的调查发现在 Detective 中构建行为图,以进行更有效的调查。要了解更多信息,请参阅《Amazon Detective 管理指南》中的Amazon 安全调查发现

如果启用了跨区域聚合,则当您从聚合区域进行转向时,Detective 将在调查发现的来源区域中打开。

如果链接无效,请参阅对转换进行故障排除以了解故障排除建议。

Amazon Security Lake(接收调查发现)

Security Lake 是一项完全托管的安全数据湖服务。您可以使用 Security Lake 自动将来自云、本地和自定义源的安全数据集中到存储在您账户中的数据湖中。订阅用户可以使用 Security Lake 中的数据进行调查和分析用例。

要激活此集成,您必须启用这两项服务,并将 Security Hub 作为源添加到 Security Lake 控制台、Security Lak API e 或 Amazon CLI。完成这些步骤后,Security Hub 开始将所有的调查发现发送到 Security Lake。

Security Lake 会自动对 Security Hub 的发现进行标准化,并将其转换为名为开放网络安全架构框架 (OCSF) 的标准化开源架构。在 Security Lake 中,你可以添加一个或多个订阅者来使用 Security Hub 的调查发现。

有关此集成的更多信息,包括有关将 Security Hub 添加为来源和创建订阅者的说明,请参阅 Amazon Sec Amazon urity Lake 用户指南中的与 Secur ity Hub 集成

Amazon Systems Manager Explorer 和 OpsCenter (接收和更新调查结果)

Amazon Systems Manager 浏览并 OpsCenter 接收来自 Security Hub 的调查结果,然后在 Security Hub 中更新这些发现。

Explorer 为您提供可自定义的控制面板,提供有关您 Amazon 环境运营状况和性能的关键见解和分析。

OpsCenter 为您提供查看、调查和解决操作工作项的中心位置。

有关 Explorer 和的更多信息 OpsCenter,请参阅《Amazon Systems Manager 用户指南》中的操作管理

Amazon Trusted Advisor (接收调查结果)

Trusted Advisor 借鉴了从为成千上万的 Amazon 客户提供服务中学到的最佳实践。 Trusted Advisor 检查您的 Amazon 环境,然后在有机会节省资金、提高系统可用性和性能或帮助填补安全漏洞时提出建议。

当你同时启用两者 Trusted Advisor 并启用 Security Hub 时,集成会自动更新。

Security Hub 将其 Amazon 基础安全最佳实践检查结果发送至。 Trusted Advisor

有关 Security Hub 与集成的更多信息 Trusted Advisor,请参阅《Amazon 支持用户指南》 Amazon Trusted Advisor中的 “查看 Sec Amazon urity Hub 控件”。