Integration in AWS Security Hub - Amazon Inspector Classic

Dies ist das Benutzerhandbuch für Amazon Inspector Classic. Informationen zum neuen Amazon Inspector finden Sie im Amazon Inspector Inspector-Benutzerhandbuch. Um auf die Amazon Inspector Classic-Konsole zuzugreifen, öffnen Sie die Amazon Inspector-Konsole unter https://console.aws.amazon.com/inspector/ und wählen Sie dann Amazon Inspector Classic im Navigationsbereich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integration in AWS Security Hub

AWS Security Hub liefert einen umfassenden Überblick über den Sicherheitsstatus in AWS und hilft Ihnen dabei, Ihre Umgebung anhand von Sicherheitsstandards und bewährten Methoden der Branche zu überprüfen. Security Hub sammelt Sicherheitsdaten aus allen AWS-Konten, Diensten und unterstützten Partnerprodukten von Drittanbietern und hilft Ihnen, Ihre Sicherheitstrends zu analysieren und die Sicherheitsprobleme mit der höchsten Priorität zu identifizieren.

Die Integration von Amazon Inspector mit Security Hub ermöglicht es Ihnen, Ergebnisse von Amazon Inspector an den Security Hub zu senden. Security Hub kann diese Erkenntnisse dann in die Analyse Ihres Sicherheitsnivels einbeziehen.

So sendet Amazon Inspector Ergebnisse an den Security Hub

Im Security Hub werden Sicherheitsprobleme als Erkenntnisse verfolgt. Einige Ergebnisse stammen von Problemen, die von anderen erkannt werden AWS-Dienstleistungen oder von Drittanbietern. Security Hub verwendet ebenfalls verschiedene Regeln, um Sicherheitsprobleme zu erkennen und Ergebnisse zu generieren.

Security Hub bietet Tools zur Verwaltung von Erkenntnissen aus all diesen Quellen. Sie können Ergebnislisten anzeigen und filtern und Details für ein Ergebnis anzeigen. Siehe .Ergebnisse anzeigen im AWS Security Hub-Leitfaden. Sie können auch den Status einer Untersuchung zu einem Ergebnis nachverfolgen. Siehe Ergreifen von Maßnahmen zu Ergebnissen im AWS Security Hub-Leitfaden.

Alle Funde in Security Hub verwenden ein Standard-JSON-Format, das so genannte AWS-Security Finding Format (ASFF). Das ASFF enthält Details über die Ursache des Problems, die betroffenen Ressourcen und den aktuellen Ergebnisstatus. Siehe .AWS Security Finding Format (ASFF)imAWS Security Hub-Benutzerhandbuchaus.

Amazon Inspector ist einer derAWS-Dienste, die Ergebnisse an den Security Hub senden.

Ergebnisarten, die von Amazon Inspector sendet

Amazon Inspector sendet alle Ergebnisse, die er generiert, an Security Hub.

Amazon Inspector sendet die Security Hub Verwendung desAWSSecurity Finding Format (ASFF)aus. In ASFF gibt das Types-Feld den Ergebnistyp an. Die Ergebnisse von Amazon Inspector können die folgenden Werte für habenTypesaus.

  • Software- und Konfigurationsprüfungen/Schwachstellen/CVE

  • Software- und Konfigurationsprüfungen/AWS Security Best Practices/Netzwerkerreichbarkeit

  • Software- und Konfigurationsprüfungen/Branchen- und behördliche Normen/CIS Host Hardening Benchmarks

Latenz für das Senden von Ergebnissen

Wenn Amazon Inspector ein neues Ergebnis erstellt, wird es normalerweise innerhalb von fünf Minuten an Security Hub gesendet.

Wiederholen, wenn Security Hub nicht verfügbar ist

Wenn der Security Hub nicht verfügbar ist, versucht Amazon Inspector so lange erneut, die Ergebnisse zu senden, bis sie empfangen wurden.

Vorhandene Ergebnisse in Security Hub aktualisieren

Nachdem ein Fund an Security Hub gesendet wurde, aktualisiert Amazon Inspector die Ergebnisse, um zusätzliche Beobachtungen der Fundaktivität zu reflektieren. Dies führt zu weniger Amazon Inspector-Erkenntnissen im Security Hub als in Amazon Inspector.

Typisches Ergebnis von Amazon Inspector

Amazon Inspector sendet Security Hub Verwendung desAWSSecurity Finding Format (ASFF)aus.

Hier ist ein Beispiel für ein typisches Ergebnis von Amazon Inspector.

{ "SchemaVersion": "2018-10-08", "Id": "inspector/us-east-1/111122223333/629ff13fbbb44c872f7bba3e7f79f60cb6d443d8", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "GeneratorId": "arn:aws:inspector:us-east-1:316112463485:rulespackage/0-PmNV0Tcd", "AwsAccountId": "111122223333", "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Network Reachability - Recognized port reachable from internet" ], "CreatedAt": "2020-08-19T17:36:22.169Z", "UpdatedAt": "2020-11-04T16:36:06.064Z", "Severity": { "Label": "MEDIUM", "Normalized": 40, "Original": "6.0" }, "Confidence": 10, "Title": "On instance i-0c10c2c7863d1a356, TCP port 22 which is associated with 'SSH' is reachable from the internet", "Description": "On this instance, TCP port 22, which is associated with SSH, is reachable from the internet. You can install the Inspector agent on this instance and re-run the assessment to check for any process listening on this port. The instance i-0c10c2c7863d1a356 is located in VPC vpc-a0c2d7c7 and has an attached ENI eni-078eac9d6ad9b20d1 which uses network ACL acl-154b8273. The port is reachable from the internet through Security Group sg-0af64c8a5eb30ca75 and IGW igw-e209d785", "Remediation": { "Recommendation": { "Text": "You can edit the Security Group sg-0af64c8a5eb30ca75 to remove access from the internet on port 22" } }, "ProductFields": { "attributes/VPC": "vpc-a0c2d7c7", "aws/inspector/id": "Recognized port reachable from internet", "serviceAttributes/schemaVersion": "1", "aws/inspector/arn": "arn:aws:inspector:us-east-1:111122223333:target/0-8zh1cWkg/template/0-rqtRV0u0/run/0-Ck2F6tY9/finding/0-B458MQWe", "attributes/ACL": "acl-154b8273", "serviceAttributes/assessmentRunArn": "arn:aws:inspector:us-east-1:111122223333:target/0-8zh1cWkg/template/0-rqtRV0u0/run/0-Ck2F6tY9", "attributes/PROTOCOL": "TCP", "attributes/RULE_TYPE": "RecognizedPortNoAgent", "aws/inspector/RulesPackageName": "Network Reachability", "attributes/INSTANCE_ID": "i-0c10c2c7863d1a356", "attributes/PORT_GROUP_NAME": "SSH", "attributes/IGW": "igw-e209d785", "serviceAttributes/rulesPackageArn": "arn:aws:inspector:us-east-1:111122223333:rulespackage/0-PmNV0Tcd", "attributes/SECURITY_GROUP": "sg-0af64c8a5eb30ca75", "attributes/ENI": "eni-078eac9d6ad9b20d1", "attributes/REACHABILITY_TYPE": "Internet", "attributes/PORT": "22", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/inspector/inspector/us-east-1/111122223333/629ff13fbbb44c872f7bba3e7f79f60cb6d443d8", "aws/securityhub/ProductName": "Inspector", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-east-1:193043430472:instance/i-0c10c2c7863d1a356", "Partition": "aws", "Region": "us-east-1", "Tags": { "Name": "kubectl" }, "Details": { "AwsEc2Instance": { "ImageId": "ami-02354e95b39ca8dec", "IpV4Addresses": [ "172.31.43.6" ], "VpcId": "vpc-a0c2d7c7", "SubnetId": "subnet-4975b475" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE" }

Aktivieren und Konfigurieren der Integration

Um die Integration mit Security Hub verwenden zu können, müssen Sie den Security Hub aktivieren. Informationen zur Aktivierung von Security Hub finden Sie unter Einrichten von Security Hub im AWS Security Hub-Leitfaden.

Wenn Sie sowohl Amazon Inspector als auch Security Hub, wird die Integration automatisch aktiviert. Amazon Inspector beginnt, Ergebnisse an den Security Hub zu senden.

So beenden Sie das Senden von Ergebnissen

Um keine Ergebnisse mehr an Security Hub zu senden, können Sie entweder die Security Hub-Konsole oder die API verwenden.

Siehe .Deaktivieren und Aktivieren des Flows von Erkenntnissen aus einer Integration (Konsole)oderDeaktivieren des Flows von Erkenntnissen aus einer Integration (Security Hub Hub-API, AWS CLI)imAWS Security Hub-Benutzerhandbuchaus.