Verwenden von benutzerdefinierten Produktintegrationen, um Ergebnisse an AWS Security Hub zu senden - AWS Security Hub
Anforderungen und Empfehlungen für das Senden von Ergebnissen aus benutzerdefinierten Sicherheitsprodukten Importieren von Ergebnissen aus benutzerdefinierten ProduktenBeispiel für benutzerdefinierte Integrationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von benutzerdefinierten Produktintegrationen, um Ergebnisse an AWS Security Hub zu senden

Zusätzlich zu den Ergebnissen, die durch die integrierten AWS Dienste und Produkte von Drittanbietern generiert wurden, kann Security Hub auch Ergebnisse verwenden, die von anderen kundenspezifischen Sicherheitsprodukten generiert wurden.

Sie können diese Ergebnisse mithilfe der BatchImportFindingsAPI-Operation manuell an Security Hub senden.

Verwenden Sie bei der Einrichtung der benutzerdefinierten Integration die Richtlinien und Checklisten im Security Hub Partner Integration Guide.

Anforderungen und Empfehlungen für das Senden von Ergebnissen aus benutzerdefinierten Sicherheitsprodukten

Bevor Sie den BatchImportFindingsAPI-Vorgang erfolgreich aufrufen können, müssen Sie Security Hub aktivieren.

Sie müssen die Ergebnisdetails mit dem AWS Format für Sicherheitssuche (ASFF) angeben. Verwenden Sie für die Ergebnisse Ihrer benutzerdefinierten Integration die folgenden Anforderungen und Empfehlungen.

Einstellen des Produkt-ARNs

Wenn Sie Security Hub aktivieren, wird ein Standardprodukt Amazon Resource Name (ARN) für Security Hub in Ihrem aktuellen Konto generiert.

Dieser Produkt-ARN weist das folgende Format auf: arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default. z. B. arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default.

Verwenden Sie diesen Produkt-ARN als Wert für das ProductArn-Attribut, wenn Sie die BatchImportFindings-API-Operation aufrufen.

Definition des Unternehmens- und Produktnamens

Sie können BatchImportFindings damit einen bevorzugten Firmen- und Produktnamen für die benutzerdefinierte Integration festlegen, die Ergebnisse an Security Hub sendet.

Ihre angegebenen Namen ersetzen den vorkonfigurierten Firmennamen und den Produktnamen, genannt persönlicher Name bzw. Standardname, und werden in der Security Hub Hub-Konsole und im JSON jedes Fundes angezeigt. Siehe Verwenden von BatchImportFindings zum Erstellen und Aktualisieren von Ergebnissen.

Einstellen der Ergebnis-IDs

Sie müssen Ihre eigenen Ergebnis-IDs mit dem Id-Attribut bereitstellen, verwalten und inkrementieren.

Jeder neue Befund sollte eine eindeutige Ergebnis-ID haben. Wenn das benutzerdefinierte Produkt mehrere Ergebnisse mit derselben Befund-ID sendet, verarbeitet Security Hub nur den ersten Befund.

Einstellen der Konto-ID

Sie müssen mit dem AwsAccountId-Attribut Ihre eigene Konto-ID angeben.

Einstellen Erstellungs- und Aktualisierungsdatums

Sie müssen eigene Zeitstempel für die Attribute CreatedAt und UpdatedAt angeben.

Importieren von Ergebnissen aus benutzerdefinierten Produkten

Zusätzlich zum Senden neuer Ergebnisse aus benutzerdefinierten Produkten können Sie auch die BatchImportFindings-API-Operation verwenden, um vorhandene Ergebnisse aus benutzerdefinierten Produkten zu aktualisieren.

Um vorhandene Ergebnisse zu aktualisieren, verwenden Sie die vorhandene Ergebnis-ID (über das Id-Attribut). Senden Sie das vollständige Ergebnis erneut mit den entsprechenden Informationen, die in der Anforderung aktualisiert wurden, einschließlich eines geänderten UpdatedAt-Zeitstempels.

Beispiel für benutzerdefinierte Integrationen

Sie können das folgende Beispiel für benutzerdefinierte Produktintegrationen als Leitfaden verwenden, um Ihre eigene benutzerdefinierte Lösung zu erstellen.

Ergebnisse von Chef InSpec Scans an Security Hub senden

Sie können eine AWS CloudFormation Vorlage erstellen, die einen Chef InSpec Konformitätsscan durchführt und die Ergebnisse dann an Security Hub sendet.

Weitere Informationen finden Sie unter Kontinuierliche Compliance-Überwachung mit Chef InSpec und AWS Security Hub.

Von entdeckte Container-Schwachstellen Trivy an Security Hub senden

Sie können eine AWS CloudFormation Vorlage erstellen, mit der Container AquaSecurity Trivy nach Sicherheitslücken gescannt werden, und die gefundenen Sicherheitslücken dann an Security Hub gesendet werden.

Weitere Informationen finden Sie unter So erstellen Sie eine CI/CD-Pipeline für das Scannen von Container-Schwachstellen mit Trivy und AWS Security Hub.