在 OpsCenter 中接收来自 Amazon Security Hub 的调查结果 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

在 OpsCenter 中接收来自 Amazon Security Hub 的调查结果

Amazon Security Hub 提供了您在 Amazon 中的安全状态的全面视图,并可帮助您检查环境是否符合安全行业标准和最佳实践。Security Hub 从各 Amazon Web Services 账户、服务和受支持的第三方合作伙伴产品收集安全数据,帮助您分析安全趋势并确定最高优先级的安全问题。

Amazon Systems Manager OpsCenter 与 Security Hub 的集成使您能够从 OpsCenter 中的 Security Hub 接收调查结果。Security Hub 调查结果提供了安全信息,您可以在OpsCenter以聚合 Systems Manager 中的安全性、性能和操作问题并采取措施。

您可以在 OpsCenter 中自动创建操作问题 (OpsItems),用于诊断和纠正关键性和严重性高的调查结果。为了帮助您进行诊断,OpsItem 会包含相关信息,例如 Amazon 资源 ID 和类型以及调查结果详细信息。您还可以在 OpsCenter 中使用 Systems Manager 自动化运行手册运行预定义的工作流,以帮助修正 Amazon 资源的常见安全问题。

OpsCenter 与 Security Hub 进行双向集成。当您更新与安全检查结果相关的 OpsItem 状态和严重性字段时,这些更改会自动发送到 Security Hub,以确保您始终看到最新且正确的信息。OpsCenter 也与 Amazon Systems Manager Explorer(Explorer)进行了集成。在 Explorer 中,您可以查看根据严重性提供所有 Security Hub 调查结果摘要的小组件。

OpsCenter 如何从 Security Hub 接收调查结果

在 Security Hub 中,安全问题按结果进行跟踪。一些发现结果来自其他 Amazon 服务或第三方合作伙伴检测到的问题。Security Hub 还有一套用于检测安全问题和生成结果的规则。

Amazon Systems Manager OpsCenter 是 Amazon 服务中的一项,可接收来自 Security Hub 的结果。

接收来自 Security Hub 的结果的机制

要接收来自 Security Hub 的结果,OpsCenter 将利用 Security Hub 与 Amazon EventBridge 的集成。Security Hub 会将结果发送到 EventBridge,后者使用事件规则将这些结果发送到 OpsCenter。

OpsCenter 接收的调查结果类型

OpsItems系统将自动为严重性为 Critical (重大) 和 High (高) 的结果创建 。您可以将 OpsCenter 配置为显示严重性为 Medium (中) 和 Low (低) 的结果,如后文中的 启用和配置集成 所述。您可以对 OpsCenter 和 Explorer 进行配置,以便为除严重性为 Informational (信息性) 的结果之外的所有其他结果创建 OpsItems。有关 Security Hub 调查结果严重性的更多信息,请参阅Amazon Security Hub用户指南中的严重性级别

接收来自 Security Hub 的结果需要多长时间?

在 Security Hub 创建新结果时,几秒种后即可在 OpsCenter 中看到。

在发生系统中断时重试

来自 Security Hub 的数据保留在 OpsCenter 中最多 7 天,以便在发生系统中断时重试。Security Hub 还会每 12 小时刷新所有 Security Hub 标准规则。

启用和配置集成

要使用与 Security Hub 的集成,您必须激活 Security Hub。有关如何启用 Security Hub 的信息,请参阅《Amazon Security Hub 用户指南》中的设置 Security Hub

以下过程介绍了如何开始接收和配置 Security Hub 调查结果。

开始接收 Security Hub 的调查结果

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 OpsCenter

  3. Select OpsItems. 然后选择 Configure sources (配置源)

  4. Security Hub findings (Security Hub 调查结果) 部分,选择 Edit (编辑)

  5. 选择 Disabled (已禁用) 滑块,以允许 Security Hub 调查结果自动创建 OpsItems。

    默认情况下,会为严重性为 Critical (重大) 和 High (高) 的安全性调查结果创建 OpsItems。如果还要为严重性为 Medium (中) 和 Low (低) 的安全性调查结果创建 OpsItems,请分别选择 Medium (中) 和 Low (低) 旁边的 Disabled (已禁用) 滑块。

    根据需要配置完 Security Hub 集成后,选择 Save (保存)

如何查看来自 Security Hub 的调查结果

以下过程介绍了如何查看 Security Hub 的调查结果。

要通过 Explorer 查看 Security Hub 调查结果,请执行以下步骤:

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 Explorer

  3. 导航到 Security Hub findings (Security Hub 调查结果) 小组件。选择要查看的严重性的详细列表视图。这时将显示相应的 OpsItem。

如何停止接收调查结果

以下过程介绍了如何停止接收 Security Hub 结果。

停止接收 Security Hub 结果

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,选择 OpsCenter

  3. Select OpsItems. 然后选择 Configure sources (配置源)

  4. Security Hub findings (Security Hub 调查结果) 部分,选择 Edit (编辑)

  5. 选择 Enable (启用) 滑块以关闭 Security Hub 调查结果自动创建 OpsItems。然后选择 Save (保存)