Dies ist das Benutzerhandbuch für Amazon Inspector Classic. Informationen zum neuen Amazon Inspector finden Sie im Amazon Inspector Inspector-Benutzerhandbuch. Um auf die Amazon Inspector Classic-Konsole zuzugreifen, öffnen Sie die Amazon Inspector-Konsole unter https://console.aws.amazon.com/inspector/
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Integration in AWS Security Hub
AWS Security Hub liefert einen umfassenden Überblick über den Sicherheitsstatus in AWS und hilft Ihnen dabei, Ihre Umgebung anhand von Sicherheitsstandards und bewährten Methoden der Branche zu überprüfen. Security Hub sammelt Sicherheitsdaten aus allen AWS-Konten, Diensten und unterstützten Partnerprodukten von Drittanbietern und hilft Ihnen, Ihre Sicherheitstrends zu analysieren und die Sicherheitsprobleme mit der höchsten Priorität zu identifizieren.
Die Integration von Amazon Inspector mit Security Hub ermöglicht es Ihnen, Ergebnisse von Amazon Inspector an den Security Hub zu senden. Security Hub kann diese Erkenntnisse dann in die Analyse Ihres Sicherheitsnivels einbeziehen.
Inhalt
So sendet Amazon Inspector Ergebnisse an den Security Hub
Im Security Hub werden Sicherheitsprobleme als Erkenntnisse verfolgt. Einige Ergebnisse stammen von Problemen, die von anderen erkannt werden AWS-Dienstleistungen oder von Drittanbietern. Security Hub verwendet ebenfalls verschiedene Regeln, um Sicherheitsprobleme zu erkennen und Ergebnisse zu generieren.
Security Hub bietet Tools zur Verwaltung von Erkenntnissen aus all diesen Quellen. Sie können Ergebnislisten anzeigen und filtern und Details für ein Ergebnis anzeigen. Siehe .Ergebnisse anzeigen im AWS Security Hub-Leitfaden. Sie können auch den Status einer Untersuchung zu einem Ergebnis nachverfolgen. Siehe Ergreifen von Maßnahmen zu Ergebnissen im AWS Security Hub-Leitfaden.
Alle Funde in Security Hub verwenden ein Standard-JSON-Format, das so genannte AWS-Security Finding Format (ASFF). Das ASFF enthält Details über die Ursache des Problems, die betroffenen Ressourcen und den aktuellen Ergebnisstatus. Siehe .AWS Security Finding Format (ASFF)imAWS Security Hub-Benutzerhandbuchaus.
Amazon Inspector ist einer derAWS-Dienste, die Ergebnisse an den Security Hub senden.
Ergebnisarten, die von Amazon Inspector sendet
Amazon Inspector sendet alle Ergebnisse, die er generiert, an Security Hub.
Amazon Inspector sendet die Security Hub Verwendung desAWSSecurity Finding Format (ASFF)aus. In ASFF gibt das Types
-Feld den Ergebnistyp an. Die Ergebnisse von Amazon Inspector können die folgenden Werte für habenTypes
aus.
Software- und Konfigurationsprüfungen/Schwachstellen/CVE
Software- und Konfigurationsprüfungen/AWS Security Best Practices/Netzwerkerreichbarkeit
Software- und Konfigurationsprüfungen/Branchen- und behördliche Normen/CIS Host Hardening Benchmarks
Latenz für das Senden von Ergebnissen
Wenn Amazon Inspector ein neues Ergebnis erstellt, wird es normalerweise innerhalb von fünf Minuten an Security Hub gesendet.
Wiederholen, wenn Security Hub nicht verfügbar ist
Wenn der Security Hub nicht verfügbar ist, versucht Amazon Inspector so lange erneut, die Ergebnisse zu senden, bis sie empfangen wurden.
Vorhandene Ergebnisse in Security Hub aktualisieren
Nachdem ein Fund an Security Hub gesendet wurde, aktualisiert Amazon Inspector die Ergebnisse, um zusätzliche Beobachtungen der Fundaktivität zu reflektieren. Dies führt zu weniger Amazon Inspector-Erkenntnissen im Security Hub als in Amazon Inspector.
Typisches Ergebnis von Amazon Inspector
Amazon Inspector sendet Security Hub Verwendung desAWSSecurity Finding Format (ASFF)aus.
Hier ist ein Beispiel für ein typisches Ergebnis von Amazon Inspector.
{ "SchemaVersion": "2018-10-08", "Id": "inspector/us-east-1/111122223333/629ff13fbbb44c872f7bba3e7f79f60cb6d443d8", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "GeneratorId": "arn:aws:inspector:us-east-1:316112463485:rulespackage/0-PmNV0Tcd", "AwsAccountId": "111122223333", "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Network Reachability - Recognized port reachable from internet" ], "CreatedAt": "2020-08-19T17:36:22.169Z", "UpdatedAt": "2020-11-04T16:36:06.064Z", "Severity": { "Label": "MEDIUM", "Normalized": 40, "Original": "6.0" }, "Confidence": 10, "Title": "On instance i-0c10c2c7863d1a356, TCP port 22 which is associated with 'SSH' is reachable from the internet", "Description": "On this instance, TCP port 22, which is associated with SSH, is reachable from the internet. You can install the Inspector agent on this instance and re-run the assessment to check for any process listening on this port. The instance i-0c10c2c7863d1a356 is located in VPC vpc-a0c2d7c7 and has an attached ENI eni-078eac9d6ad9b20d1 which uses network ACL acl-154b8273. The port is reachable from the internet through Security Group sg-0af64c8a5eb30ca75 and IGW igw-e209d785", "Remediation": { "Recommendation": { "Text": "You can edit the Security Group sg-0af64c8a5eb30ca75 to remove access from the internet on port 22" } }, "ProductFields": { "attributes/VPC": "vpc-a0c2d7c7", "aws/inspector/id": "Recognized port reachable from internet", "serviceAttributes/schemaVersion": "1", "aws/inspector/arn": "arn:aws:inspector:us-east-1:111122223333:target/0-8zh1cWkg/template/0-rqtRV0u0/run/0-Ck2F6tY9/finding/0-B458MQWe", "attributes/ACL": "acl-154b8273", "serviceAttributes/assessmentRunArn": "arn:aws:inspector:us-east-1:111122223333:target/0-8zh1cWkg/template/0-rqtRV0u0/run/0-Ck2F6tY9", "attributes/PROTOCOL": "TCP", "attributes/RULE_TYPE": "RecognizedPortNoAgent", "aws/inspector/RulesPackageName": "Network Reachability", "attributes/INSTANCE_ID": "i-0c10c2c7863d1a356", "attributes/PORT_GROUP_NAME": "SSH", "attributes/IGW": "igw-e209d785", "serviceAttributes/rulesPackageArn": "arn:aws:inspector:us-east-1:111122223333:rulespackage/0-PmNV0Tcd", "attributes/SECURITY_GROUP": "sg-0af64c8a5eb30ca75", "attributes/ENI": "eni-078eac9d6ad9b20d1", "attributes/REACHABILITY_TYPE": "Internet", "attributes/PORT": "22", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/inspector/inspector/us-east-1/111122223333/629ff13fbbb44c872f7bba3e7f79f60cb6d443d8", "aws/securityhub/ProductName": "Inspector", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-east-1:193043430472:instance/i-0c10c2c7863d1a356", "Partition": "aws", "Region": "us-east-1", "Tags": { "Name": "kubectl" }, "Details": { "AwsEc2Instance": { "ImageId": "ami-02354e95b39ca8dec", "IpV4Addresses": [ "172.31.43.6" ], "VpcId": "vpc-a0c2d7c7", "SubnetId": "subnet-4975b475" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE" }
Aktivieren und Konfigurieren der Integration
Um die Integration mit Security Hub verwenden zu können, müssen Sie den Security Hub aktivieren. Informationen zur Aktivierung von Security Hub finden Sie unter Einrichten von Security Hub im AWS Security Hub-Leitfaden.
Wenn Sie sowohl Amazon Inspector als auch Security Hub, wird die Integration automatisch aktiviert. Amazon Inspector beginnt, Ergebnisse an den Security Hub zu senden.
So beenden Sie das Senden von Ergebnissen
Um keine Ergebnisse mehr an Security Hub zu senden, können Sie entweder die Security Hub-Konsole oder die API verwenden.
Siehe .Deaktivieren und Aktivieren des Flows von Erkenntnissen aus einer Integration (Konsole)oderDeaktivieren des Flows von Erkenntnissen aus einer Integration (Security Hub Hub-API, AWS CLI)imAWS Security Hub-Benutzerhandbuchaus.