AWS -Service Integrationen mit AWS Security Hub - AWS Security Hub
Überblick über die AWS Serviceintegrationen mit Security HubAWS Dienste, die Ergebnisse an Security Hub sendenAWS Dienste, die Erkenntnisse von Security Hub erhalten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS -Service Integrationen mit AWS Security Hub

AWS Security Hub unterstützt Integrationen mit mehreren anderen AWS -Services.

Anmerkung

Einige Integrationen sind nur in ausgewählten Versionen verfügbar. AWS-Regionen

Wenn eine Integration in einer bestimmten Region nicht unterstützt wird, ist sie nicht auf der Seite Integrationen der Security Hub Hub-Konsole aufgeführt.

Weitere Informationen finden Sie unter Integrationen, die in China (Peking) und China (Ningxia) unterstützt werden und Integrationen, die in AWS GovCloud (US-Ost) und (US-West) unterstützt werden AWS GovCloud .

Sofern unten nicht anders angegeben, werden AWS -Service Integrationen, die Ergebnisse an Security Hub senden, automatisch aktiviert, nachdem Sie Security Hub aktiviert haben. Integrationen, die Security Hub Hub-Ergebnisse erhalten, erfordern möglicherweise zusätzliche Schritte zur Aktivierung. Lesen Sie die Informationen zu den einzelnen Integrationen, um mehr zu erfahren.

Überblick über die AWS Serviceintegrationen mit Security Hub

Hier finden Sie eine Übersicht über AWS Dienste, die Ergebnisse an Security Hub senden oder Ergebnisse von Security Hub empfangen.

Integrierter AWS Service Richtung

AWS Config

Sendet Ergebnisse

AWS Firewall Manager

Sendet Ergebnisse

Amazon GuardDuty

Sendet Ergebnisse

AWS Health

Sendet Ergebnisse

AWS Identity and Access Management Access Analyzer

Sendet Ergebnisse

Amazon Inspector

Sendet Ergebnisse

AWS IoT Device Defender

Sendet Ergebnisse

Amazon Macie

Sendet Ergebnisse

AWS Systems Manager Patchmanager

Sendet Ergebnisse

AWS Audit Manager

Empfängt Ergebnisse

AWS Chatbot

Erhält Ergebnisse

Amazon Detective

Erhält Ergebnisse

Amazon Security Lake

Erhält Ergebnisse

AWS Systems Manager Explorer und OpsCenter

Empfängt und aktualisiert die Ergebnisse

AWS Trusted Advisor

Erhält Ergebnisse

AWS Dienste, die Ergebnisse an Security Hub senden

Die folgenden AWS Dienste lassen sich in Security Hub integrieren, indem sie Ergebnisse an Security Hub senden. Security Hub wandelt die Ergebnisse in das AWS Security Finding Format um.

AWS Config (Sendet Ergebnisse)

AWS Config ist ein Service, mit dem Sie die Konfigurationen Ihrer AWS Ressourcen bewerten, prüfen und auswerten können. AWS Config überwacht und zeichnet Ihre AWS Ressourcenkonfigurationen kontinuierlich auf und ermöglicht es Ihnen, die Auswertung der aufgezeichneten Konfigurationen anhand der gewünschten Konfigurationen zu automatisieren.

Wenn Sie die Integration mit verwenden AWS Config, können Sie die Ergebnisse AWS Config verwalteter und benutzerdefinierter Regelauswertungen als Ergebnisse in Security Hub anzeigen. Diese Erkenntnisse lassen sich zusammen mit anderen Ergebnissen von Security Hub aufrufen und bieten so einen umfassenden Überblick über Ihren Sicherheitsstatus.

AWS Config verwendet Amazon EventBridge , um AWS Config Regelauswertungen an Security Hub zu senden. Security Hub wandelt die Regelauswertungen in Ergebnisse um, die dem AWS Security Finding Format entsprechen. Security Hub bereichert die Ergebnisse dann nach bestem Wissen und Gewissen, indem es weitere Informationen über die betroffenen Ressourcen erhält, z. B. den Amazon-Ressourcennamen (ARN) und das Erstellungsdatum. Ressourcen-Tags in AWS Config Regelauswertungen sind nicht in den Ergebnissen von Security Hub enthalten.

Weitere Informationen zu dieser Integration finden Sie in den folgenden Abschnitten.

Alle Ergebnisse in Security Hub verwenden das Standard-JSON-Format von ASFF. ASFF enthält Details zur Herkunft des Befundes, zur betroffenen Ressource und zum aktuellen Status des Ergebnisses. AWS Config sendet verwaltete und benutzerdefinierte Regelauswertungen an Security Hub über EventBridge. Security Hub wandelt die Regelbeurteilungen in Ergebnisse um, die sich an ASFF orientieren, und bereichert die Ergebnisse nach bestem Wissen und Gewissen.

Arten von Ergebnissen, die AWS Config an Security Hub gesendet werden

Sobald die Integration aktiviert ist, werden Bewertungen aller AWS Config verwalteten Regeln und benutzerdefinierten Regeln an Security Hub AWS Config gesendet. Nur Bewertungen von AWS Config Regeln, die mit Diensten verknüpft sind, wie sie beispielsweise zur Überprüfung von Sicherheitskontrollen verwendet werden, sind ausgeschlossen.

AWS Config Ergebnisse an Security Hub senden

Wenn die Integration aktiviert ist, weist Security Hub automatisch die Berechtigungen zu, die für den Empfang von Ergebnissen erforderlich sind AWS Config. Security Hub verwendet service-to-service Level-Berechtigungen, die Ihnen eine sichere Möglichkeit bieten, diese Integration zu aktivieren und Ergebnisse von AWS Config Amazon zu importieren EventBridge.

Latenz für das Senden von Erkenntnissen

Wenn ein neues Ergebnis AWS Config erstellt wird, können Sie das Ergebnis normalerweise innerhalb von fünf Minuten im Security Hub anzeigen.

Wiederholen, wenn der Security Hub nicht verfügbar ist

AWS Config sendet die Ergebnisse nach bestem Wissen und Gewissen an Security Hub. EventBridge Wenn ein Ereignis nicht erfolgreich an Security Hub übermittelt wurde, wird die EventBridge Zustellung bis zu 24 Stunden oder 185 Mal wiederholt, je nachdem, was zuerst eintritt.

Aktualisierung vorhandener AWS Config Ergebnisse in Security Hub

Nachdem ein Ergebnis an Security Hub AWS Config gesendet wurde, kann es Updates zu demselben Ergebnis an Security Hub senden, um zusätzliche Beobachtungen der Findungsaktivität widerzuspiegeln. Updates werden nur für ComplianceChangeNotification Ereignisse gesendet. Wenn keine Änderung der Konformität erfolgt, werden keine Updates an Security Hub gesendet. Security Hub löscht Ergebnisse 90 Tage nach dem letzten Update oder 90 Tage nach der Erstellung, wenn kein Update erfolgt.

Security Hub archiviert keine Ergebnisse, die gesendet wurden, AWS Config selbst wenn Sie die zugehörige Ressource löschen.

Regionen, in denen AWS Config Ergebnisse vorliegen

AWS Config Die Ergebnisse erfolgen auf regionaler Basis. AWS Config sendet Ergebnisse an Security Hub in derselben Region oder Regionen, in denen die Ergebnisse auftreten.

Um Ihre AWS Config Ergebnisse anzuzeigen, wählen Sie Findings im Security Hub-Navigationsbereich aus. Um die Ergebnisse so zu filtern, dass nur AWS Config Ergebnisse angezeigt werden, wählen Sie in der Dropdownliste der Suchleiste die Option Produktname aus. Geben Sie Config ein und wählen Sie Apply aus.

Interpretieren AWS Config von gefundenen Namen in Security Hub

Security Hub wandelt AWS Config Regelauswertungen in Ergebnisse um, die dem AWS Format für Sicherheitslücken (ASFF) folgen. AWS Config Regelauswertungen verwenden ein anderes Ereignismuster als ASFF. In der folgenden Tabelle werden die Felder für die AWS Config Regelauswertung ihrem ASFF-Gegenstück zugeordnet, so wie sie in Security Hub angezeigt werden.

Findetyp für die Auswertung der Konfigurationsregel ASFF-Ergebnistyp Hartcodierter Wert
Detail. awsAccountId AwsAccountId
Detail. newEvaluationResult. resultRecordedTime CreatedAt
Detail. newEvaluationResult. resultRecordedTime UpdatedAt
ProductArn <region>„arn ::securityhub:: <partition>:product/aws/config“
ProductName „Config“
CompanyName "AWS"
Region „eu-central-1"
configRuleArn GeneratorId, ProductFields
Detail. ConfigRuleARN/Finden/Hash Id
Detail. configRuleName Titel, ProductFields
Detail. configRuleName Beschreibung „Dieses Ergebnis wurde für eine Änderung der Ressourcenkonformität für die Konfigurationsregel erstellt:${detail.ConfigRuleName}
Konfigurationselement „ARN“ oder von Security Hub berechneter ARN Ressourcen [i] .id
detail.Ressourcentyp Ressourcen [i] .Type "AwsS3Bucket"
Ressourcen [i] .Partition "aws"
Ressourcen [i] .Region „eu-central-1"
Konfigurationselement „Konfiguration“ Ressourcen [i] .Details
SchemaVersion „2018-10-08"
Schweregrad. Bezeichnung Weitere Informationen finden Sie weiter unten unter „Interpretation des Schweregrads“
Typen ["Software- und Konfigurationsprüfungen"]
Detail. newEvaluationResult. Art der Konformität Konformität. Status „FEHLGESCHLAGEN“, „NOT_AVAILABLE“, „BESTANDEN“ oder „WARNUNG“
Arbeitsablauf.Status „RESOLVED“, wenn ein AWS Config Ergebnis mit dem Wert Compliance.Status auf „PASSED“ generiert wird oder wenn sich der Wert Compliance.Status von „FAILED“ auf „PASSED“ ändert. Andernfalls lautet Workflow.Status „NEW“. Sie können diesen Wert mit der BatchUpdateFindingsAPI-Operation ändern.

Interpretation der Bezeichnung des Schweregrads

Für alle Ergebnisse aus AWS Config Regelauswertungen ist in der ASFF standardmäßig der Schweregrad MITTEL angegeben. Sie können den Schweregrad eines Ergebnisses mit dem BatchUpdateFindingsAPI-Vorgang aktualisieren.

Typischer Befund von AWS Config

Security Hub wandelt AWS Config Regelauswertungen in Ergebnisse um, die dem ASFF folgen. Im Folgenden finden Sie ein Beispiel für ein typisches Ergebnis aus AWS Config der ASFF.

Anmerkung

Wenn die Beschreibung mehr als 1024 Zeichen umfasst, wird sie auf 1024 Zeichen gekürzt und am Ende steht „(gekürzt)“.

{
	"SchemaVersion": "2018-10-08",
	"Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932",
	"ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config",
	"ProductName": "Config",
	"CompanyName": "AWS",
	"Region": "eu-central-1",
	"GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
	"AwsAccountId": "123456789012",
	"Types": [
		"Software and Configuration Checks"
	],
	"CreatedAt": "2022-04-15T05:00:37.181Z",
	"UpdatedAt": "2022-04-19T21:20:15.056Z",
	"Severity": {
		"Label": "MEDIUM",
		"Normalized": 40
	},
	"Title": "s3-bucket-level-public-access-prohibited-config-integration-demo",
	"Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo",
	"ProductFields": {
		"aws/securityhub/ProductName": "Config",
		"aws/securityhub/CompanyName": "AWS",
		"aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902",
		"aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
		"aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo",
		"aws/config/ConfigComplianceType": "NON_COMPLIANT"
	},
	"Resources": [{
		"Type": "AwsS3Bucket",
		"Id": "arn:aws:s3:::config-integration-demo-bucket",
		"Partition": "aws",
		"Region": "eu-central-1",
		"Details": {
			"AwsS3Bucket": {
				"OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c",
				"CreatedAt": "2022-04-15T04:32:53.000Z"
			}
		}
	}],
	"Compliance": {
		"Status": "FAILED"
	},
	"WorkflowState": "NEW",
	"Workflow": {
		"Status": "NEW"
	},
	"RecordState": "ACTIVE",
	"FindingProviderFields": {
		"Severity": {
			"Label": "MEDIUM"
		},
		"Types": [
			"Software and Configuration Checks"
		]
	}
}

Nachdem Sie Security Hub aktiviert haben, wird diese Integration automatisch aktiviert. AWS Config beginnt sofort, Ergebnisse an Security Hub zu senden.

Um das Senden von Ergebnissen an Security Hub zu beenden, können Sie die Security Hub Hub-Konsole, die Security Hub Hub-API oder die verwenden AWS CLI.

Weitere Informationen unter Deaktivieren und Aktivieren des Flows von Ergebnissen aus einer Integration (Konsole) oder Den Fluss von Erkenntnissen aus einer Integration deaktivieren (Security Hub API, AWS CLI).

AWS Firewall Manager (Sendet Ergebnisse)

Firewall Manager sendet Ergebnisse an Security Hub, wenn eine Web Application Firewall (WAF) -Richtlinie für Ressourcen oder eine Web Access Control List (Web ACL) -Regel nicht den Vorschriften entspricht. Firewall Manager sendet auch Erkenntnisse, wenn AWS Shield Advanced Ressourcen nicht geschützt sind oder wenn ein Angriff erkannt wird.

Nachdem Sie Security Hub aktiviert haben, wird diese Integration automatisch aktiviert. Firewall Manager beginnt sofort, Ergebnisse an Security Hub zu senden.

Weitere Informationen zur Integration finden Sie auf der Seite Integrationen in der Security Hub Hub-Konsole.

Weitere Informationen zu Firewall Manager finden Sie im AWS WAF Entwicklerhandbuch.

Amazon GuardDuty (Sendet Ergebnisse)

GuardDuty sendet alle Ergebnisse, die es generiert, an Security Hub.

Neue Ergebnisse von GuardDuty werden innerhalb von fünf Minuten an Security Hub gesendet. Aktualisierungen der Ergebnisse werden auf der Grundlage der Einstellung Aktualisierte Ergebnisse für Amazon EventBridge in den GuardDuty Einstellungen gesendet.

Wenn Sie GuardDuty Stichprobenergebnisse mithilfe der GuardDuty Einstellungsseite generieren, empfängt Security Hub die Probenergebnisse und lässt das Präfix [Sample] im Befundtyp weg. Beispielsweise GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions wird der Suchtyp der Stichprobe in wie Recon:IAMUser/ResourcePermissions in Security Hub angezeigt.

Nachdem Sie Security Hub aktiviert haben, wird diese Integration automatisch aktiviert. GuardDuty beginnt sofort, Ergebnisse an Security Hub zu senden.

Weitere Informationen zur GuardDuty Integration finden Sie unter Integration mit AWS Security Hub im GuardDuty Amazon-Benutzerhandbuch.

AWS Health (Sendet Ergebnisse)

AWS Health bietet fortlaufenden Einblick in die Leistung Ihrer Ressourcen und die Verfügbarkeit Ihrer AWS Dienste und Konten. Anhand von AWS Health Ereignissen können Sie herausfinden, wie sich Änderungen an Diensten und Ressourcen auf Ihre Anwendungen auswirken können, die auf ausgeführt AWS werden.

Die Integration mit verwendet AWS Health nichtBatchImportFindings. AWS Health Verwendet stattdessen service-to-service Ereignisnachrichten, um Ergebnisse an Security Hub zu senden.

Weitere Informationen zur Integration finden Sie in den folgenden Abschnitten.

Im Security Hub werden Sicherheitsprobleme als Erkenntnisse verfolgt. Einige Ergebnisse stammen aus Problemen, die von anderen AWS Diensten oder von Drittanbietern entdeckt wurden. Security Hub verwendet ebenfalls verschiedene Regeln, um Sicherheitsprobleme zu erkennen und Ergebnisse zu generieren.

Security Hub bietet Tools zur Verwaltung von Erkenntnissen aus all diesen Quellen. Sie können Listen mit Erkenntnissen anzeigen und filtern und Details zu einer Erkenntnis anzeigen. Siehe Verwaltung und Überprüfung von Funddetails und Verlauf. Sie können auch den Status einer Untersuchung zu einer Erkenntnis nachverfolgen. Siehe Ergreifen von Maßnahmen aufgrund der Ergebnisse in AWS Security Hub.

Alle Ergebnisse in Security Hub verwenden ein Standard-JSON-Format namensAWS Format für Sicherheitslücken (ASFF). ASFF enthält Einzelheiten zur Ursache des Problems, zu den betroffenen Ressourcen und zum aktuellen Stand der Ergebnisse.

AWS Health ist einer der AWS Dienste, der Ergebnisse an Security Hub sendet.

Arten von Ergebnissen, die AWS Health an Security Hub gesendet werden

Sobald die Integration aktiviert ist, werden alle von ihr generierten sicherheitsrelevanten Ergebnisse an Security Hub AWS Health gesendet. Die Ergebnisse werden mit dem an Security Hub gesendetAWS Format für Sicherheitslücken (ASFF). Sicherheitsbezogene Ergebnisse sind wie folgt definiert:

  • Jeder Befund im Zusammenhang mit einem Sicherheitsdienst AWS

  • Jeder Befund mit den Wörternsecurity,abuse, oder certificate im AWS Health TypeCode

  • Irgendein Befund, wo sich der AWS Health Dienst befindet risk oder abuse

AWS Health Ergebnisse an Security Hub senden

Wenn Sie sich dafür entscheiden, Ergebnisse von zu akzeptieren AWS Health, weist Security Hub automatisch die Berechtigungen zu, die für den Empfang der Ergebnisse von erforderlich sind AWS Health. Security Hub verwendet service-to-service Level-Berechtigungen, die Ihnen eine sichere und einfache Möglichkeit bieten, diese Integration zu aktivieren und Ergebnisse in Ihrem Namen AWS Health EventBridge über Amazon zu importieren. Wenn Sie „Ergebnisse akzeptieren“ wählen, erteilt Security Hub die Erlaubnis, Ergebnisse von zu verwenden AWS Health.

Latenz für das Senden von Erkenntnissen

Wenn ein neues Ergebnis AWS Health erstellt wird, wird es normalerweise innerhalb von fünf Minuten an Security Hub gesendet.

Wiederholen, wenn der Security Hub nicht verfügbar ist

AWS Health sendet die Ergebnisse nach bestem Wissen und Gewissen an Security Hub. EventBridge Wenn ein Ereignis nicht erfolgreich an Security Hub übermittelt wurde, wird EventBridge erneut versucht, das Ereignis für 24 Stunden zu senden.

Aktualisieren von vorhandenen Erkenntnissen in Security Hub

Nachdem ein Ergebnis an Security Hub AWS Health gesendet wurde, kann es Updates zu demselben Ergebnis senden, um zusätzliche Beobachtungen der Findungsaktivität an Security Hub widerzuspiegeln.

Regionen, in denen Ergebnisse vorliegen

AWS Health Sendet bei globalen Ereignissen Ergebnisse an Security Hub in us-east-1 (AWS Partition), cn-northwest-1 (Partition China) und -1 (Partition). gov-us-west GovCloud AWS Health sendet regionsspezifische Ereignisse an Security Hub in derselben Region oder Regionen, in denen die Ereignisse auftreten.

Um Ihre AWS Health Ergebnisse in Security Hub anzuzeigen, wählen Sie im Navigationsbereich Findings aus. Um die Ergebnisse so zu filtern, dass nur AWS Health Ergebnisse angezeigt werden, wählen Sie Health aus dem Feld Produktname aus.

Interpretieren AWS Health von gefundenen Namen in Security Hub

AWS Health sendet die Ergebnisse mit dem an Security HubAWS Format für Sicherheitslücken (ASFF). AWS Health Die Suche verwendet ein anderes Ereignismuster als das Security Hub ASFF-Format. In der folgenden Tabelle sind alle Ergebnisfelder AWS Health mit ihren ASFF-Gegenstücken aufgeführt, so wie sie in Security Hub erscheinen.

Art Health Gesundheitsbefundung ASFF-Ergebnistyp Hartcodierter Wert
Konto AwsAccountId
Detail.StartTime CreatedAt
Detail.EventDescription.Letzte Beschreibung Beschreibung
Detail. eventTypeCode GeneratorId
detail.eventArn (einschließlich Konto) + Hash von detail.StartTime Id
<region>„arn:aws:securityhub:: :product/aws/health“ ProductArn
Konto oder resourceId Ressourcen [i] .id
Ressourcen [i] .Type „Andere“
SchemaVersion „2018-10-08"
Schweregrad. Bezeichnung Weitere Informationen finden Sie weiter unten unter „Interpretation des Schweregrads“
Detail „AWS Health -“. eventTypeCode Title
- Typen ["Software- und Konfigurationsprüfungen"]
event.time UpdatedAt
URL des Ereignisses auf der Health Console SourceUrl
Interpretation des Schweregrads

Der Schweregrad im ASFF-Ergebnis wird anhand der folgenden Logik bestimmt:

  • Schweregrad KRITISCH wenn:

    • Das service Feld im AWS Health Ergebnis hat den Wert Risk

    • Das typeCode Feld im AWS Health Befund hat den Wert AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION

    • Das typeCode Feld im AWS Health Befund hat den Wert AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK

    • Das typeCode Feld im AWS Health Befund hat den Wert AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES

    Schweregrad HOCH, wenn:

    • Das service Feld im AWS Health Ergebnis hat den Wert Abuse

    • Das typeCode Feld im AWS Health Befund enthält den Wert SECURITY_NOTIFICATION

    • Das typeCode Feld im AWS Health Befund enthält den Wert ABUSE_DETECTION

    Schweregrad MITTEL, wenn:

    • Das service Feld im Ergebnis ist eines der folgenden:ACM,,,,,,,ARTIFACT,AUDITMANAGER,BACKUP,,CLOUDENDURE,CLOUDHSM,CLOUDTRAIL,,CLOUDWATCH,CODEGURGU,COGNITO,,CONFIG,CONTROLTOWER,DETECTIVE,DIRECTORYSERVICE,,DRS,EVENTS,FIREWALLMANAGER,,GUARDDUTY,IAM,INSPECTOR,,INSPECTOR2,IOTDEVICEDEFENDER,KMS,,MACIE,NETWORKFIREWALL,ORGANIZATIONS,RESILIENCEHUB,,RESOURCEMANAGER,ROUTE53,SECURITYHUB,,SECRETSMANAGER,SES,SHIELD,,SSO, oder WAF

    • Das TypeCode-Feld im AWS Health Ergebnis enthält den Wert CERTIFICATE

    • Das TypeCode-Feld im AWS Health Befund enthält den Wert END_OF_SUPPORT

Typischer Befund von AWS Health

AWS Health sendet Ergebnisse mit dem an Security HubAWS Format für Sicherheitslücken (ASFF). Im Folgenden finden Sie ein Beispiel für ein typisches Ergebnis von AWS Health.

Anmerkung

Wenn die Beschreibung mehr als 1024 Zeichen umfasst, wird sie auf 1024 Zeichen gekürzt und am Ende steht (gekürzt).

{
            "SchemaVersion": "2018-10-08",
            "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health",
            "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS",
            "AwsAccountId": "123456789012",
            "Types": [
                "Software and Configuration Checks"
            ],
            "CreatedAt": "2022-01-07T16:34:04.000Z",
            "UpdatedAt": "2022-01-07T19:17:43.000Z",
            "Severity": {
                "Label": "MEDIUM",
                "Normalized": 40
            },
            "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS",
            "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).",
            "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
            "ProductFields": {
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
                "aws/securityhub/ProductName": "Health",
                "aws/securityhub/CompanyName": "AWS"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com"
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "MEDIUM"
                },
                "Types": [
                    "Software and Configuration Checks"
                ]
            }
        }
    ]
}

Nachdem Sie Security Hub aktiviert haben, wird diese Integration automatisch aktiviert. AWS Health beginnt sofort, Ergebnisse an Security Hub zu senden.

Um das Senden von Ergebnissen an Security Hub zu beenden, können Sie die Security Hub Hub-Konsole, die Security Hub Hub-API oder verwenden AWS CLI.

Weitere Informationen unter Deaktivieren und Aktivieren des Flows von Ergebnissen aus einer Integration (Konsole) oder Den Fluss von Erkenntnissen aus einer Integration deaktivieren (Security Hub API, AWS CLI).

AWS Identity and Access Management Access Analyzer (Sendet Ergebnisse)

Mit IAM Access Analyzer werden alle Ergebnisse an Security Hub gesendet.

IAM Access Analyzer analysiert anhand von logischer Argumentation ressourcenbasierte Richtlinien, die auf unterstützte Ressourcen in Ihrem Konto angewendet werden. IAM Access Analyzer generiert ein Ergebnis, wenn er eine Richtlinienaussage entdeckt, die einem externen Principal den Zugriff auf eine Ressource in Ihrem Konto ermöglicht.

In IAM Access Analyzer kann nur das Administratorkonto Ergebnisse für Analyzer sehen, die für eine Organisation gelten. Bei Organisationsanalyseprogrammen gibt das AwsAccountId ASFF-Feld die Administratorkonto-ID an. Das ResourceOwnerAccount Feld ProductFields darunter gibt das Konto an, in dem das Ergebnis entdeckt wurde. Wenn Sie Analyzer für jedes Konto einzeln aktivieren, generiert Security Hub mehrere Ergebnisse, eines, das die Administratorkonto-ID identifiziert, und eines, das die Ressourcenkonto-ID identifiziert.

Weitere Informationen finden Sie unter Integration mit AWS Security Hub im IAM-Benutzerhandbuch.

Amazon Inspector (Sendet Ergebnisse)

Amazon Inspector ist ein Schwachstellen-Management-Service, der Ihre AWS Workloads kontinuierlich auf Sicherheitslücken scannt. Amazon Inspector erkennt und scannt automatisch Amazon EC2 EC2-Instances und Container-Images, die sich in der Amazon Elastic Container Registry befinden. Der Scan sucht nach Softwareschwachstellen und unbeabsichtigten Netzwerkbedrohungen.

Nachdem Sie Security Hub aktiviert haben, wird diese Integration automatisch aktiviert. Amazon Inspector beginnt sofort, alle Ergebnisse, die es generiert, an Security Hub zu senden.

Weitere Informationen zur Integration finden Sie unter Integration mit AWS Security Hub im Amazon Inspector Inspector-Benutzerhandbuch.

Security Hub kann auch Ergebnisse von Amazon Inspector Classic erhalten. Amazon Inspector Classic sendet Ergebnisse an Security Hub, die im Rahmen von Bewertungsläufen für alle unterstützten Regelpakete generiert wurden.

Weitere Informationen zur Integration finden Sie unter Integration mit AWS Security Hub im Amazon Inspector Classic-Benutzerhandbuch.

Die Ergebnisse für Amazon Inspector und Amazon Inspector Classic verwenden denselben Produkt-ARN. Die Ergebnisse von Amazon Inspector haben den folgenden Eintrag inProductFields:

"aws/inspector/ProductVersion": "2",

AWS IoT Device Defender (Sendet Ergebnisse)

AWS IoT Device Defender ist ein Sicherheitsdienst, der die Konfiguration Ihrer IoT-Geräte überprüft, angeschlossene Geräte überwacht, um ungewöhnliches Verhalten zu erkennen, und zur Minderung von Sicherheitsrisiken beiträgt.

Nachdem Sie beide AWS IoT Device Defender und Security Hub aktiviert haben, rufen Sie die Integrationsseite der Security Hub Hub-Konsole auf und wählen Sie Ergebnisse akzeptieren für Audit, Detect oder beides aus. AWS IoT Device Defender Audit and Detect beginnt, alle Ergebnisse an Security Hub zu senden.

AWS IoT Device Defender Audit sendet Prüfzusammenfassungen an Security Hub, die allgemeine Informationen für einen bestimmten Prüfungstyp und eine bestimmte Prüfungsaufgabe enthalten. AWS IoT Device Defender Detect sendet festgestellte Verstöße für maschinelles Lernen (ML), statistisches und statisches Verhalten an Security Hub. Audit sendet auch gefundene Updates an Security Hub.

Weitere Informationen zu dieser Integration finden Sie unter Integration mit AWS Security Hub im AWS IoT Entwicklerhandbuch.

Amazon Macie (Sendet Ergebnisse)

Ein Ergebnis von Macie kann darauf hinweisen, dass ein potenzieller Verstoß gegen die Richtlinien vorliegt oder dass sensible Daten, wie z. B. personenbezogene Daten (PII), in Daten enthalten sind, die Ihre Organisation in Amazon S3 speichert.

Nachdem Sie Security Hub aktiviert haben, beginnt Macie automatisch, Richtlinienergebnisse an Security Hub zu senden. Sie können die Integration so konfigurieren, dass auch Ergebnisse vertraulicher Daten an Security Hub gesendet werden.

In Security Hub wird der Suchtyp für eine Richtlinie oder einen Fund vertraulicher Daten auf einen Wert geändert, der mit ASFF kompatibel ist. Beispielsweise wird der Policy:IAMUser/S3BucketPublic Findungstyp in Macie wie Effects/Data Exposure/Policy:IAMUser-S3BucketPublic in Security Hub angezeigt.

Macie sendet auch generierte Probenergebnisse an Security Hub. Bei Stichprobenergebnissen lautet der Name der betroffenen Ressource macie-sample-finding-bucket und der Wert für das Sample Feld lautettrue.

Weitere Informationen finden Sie unter Amazon Macie Macie-Integration mit AWS Security Hub im Amazon Macie Macie-Benutzerhandbuch.

AWS Systems Manager Patch Manager (Sendet Ergebnisse)

AWS Systems Manager Patch Manager sendet Ergebnisse an Security Hub, wenn Instances in der Flotte eines Kunden nicht mehr dem Patch-Compliance-Standard entsprechen.

Patch Manager automatisiert den Prozess des Patchens verwalteter Instanzen mit sicherheitsrelevanten und anderen Arten von Updates.

Nachdem Sie Security Hub aktiviert haben, wird diese Integration automatisch aktiviert. Systems Manager Patch Manager beginnt sofort, Ergebnisse an Security Hub zu senden.

Weitere Informationen zur Verwendung von Patch Manager finden Sie unter AWS Systems Manager Patch Manager im AWS Systems Manager Benutzerhandbuch.

AWS Dienste, die Erkenntnisse von Security Hub erhalten

Die folgenden AWS Dienste sind in Security Hub integriert und beziehen Ergebnisse von Security Hub. Sofern angegeben, kann der integrierte Dienst die Ergebnisse auch aktualisieren. In diesem Fall wird das Auffinden von Updates, die Sie im integrierten Dienst vornehmen, auch in Security Hub widergespiegelt.

AWS Audit Manager (Erhält Ergebnisse)

AWS Audit Manager erhält Ergebnisse von Security Hub. Diese Ergebnisse helfen den Benutzern von Audit Manager, sich auf Audits vorzubereiten.

Weitere Informationen zu Audit Manager finden Sie im AWS Audit Manager Manager-Benutzerhandbuch. AWS Security Hub-Prüfungen, die von unterstützt werden, AWS Audit Manager listet die Kontrollen auf, für die Security Hub Ergebnisse an Audit Manager sendet.

AWS Chatbot (Empfängt Ergebnisse)

AWS Chatbot ist ein interaktiver Agent, der Ihnen hilft, Ihre AWS Ressourcen in Ihren Slack-Kanälen und Amazon Chime Chime-Chatrooms zu überwachen und mit ihnen zu interagieren.

AWS Chatbot erhält Ergebnisse von Security Hub.

Weitere Informationen zur AWS Chatbot Integration mit Security Hub finden Sie in der Security Hub Hub-Integrationsübersicht im AWS Chatbot Administratorhandbuch.

Amazon Detective (erhält Ergebnisse)

Detective sammelt automatisch Protokolldaten aus Ihren AWS Ressourcen und nutzt maschinelles Lernen, statistische Analysen und Graphentheorie, um Sie bei der Visualisierung und Durchführung schnellerer und effizienterer Sicherheitsuntersuchungen zu unterstützen.

Die Security Hub-Integration mit Detective ermöglicht es Ihnen, von GuardDuty Amazon-Ergebnissen in Security Hub zu Detective zu wechseln. Anschließend können Sie die Detective-Tools und Visualisierungen verwenden, um sie zu untersuchen. Die Integration erfordert keine zusätzliche Konfiguration in Security Hub oder Detective.

Für Ergebnisse, die von anderen stammen AWS -Services, enthält der Bereich mit den Befunddetails auf der Security Hub Hub-Konsole den Unterabschnitt In Detective untersuchen. Dieser Unterabschnitt enthält einen Link zu Detective, über den Sie das Sicherheitsproblem, das durch den Befund gemeldet wurde, weiter untersuchen können. Sie können in Detective auch ein Verhaltensdiagramm erstellen, das auf den Ergebnissen von Security Hub basiert, um effektivere Untersuchungen durchzuführen. Weitere Informationen finden Sie in den AWS Sicherheitsergebnissen im Amazon Detective Administration Guide.

Wenn die regionsübergreifende Aggregation aktiviert ist und Sie von der Aggregationsregion aus wechseln, wird Detective in der Region geöffnet, aus der das Ergebnis stammt.

Wenn ein Link nicht funktioniert, finden Sie Hinweise zur Fehlerbehebung unter Troubleshooting the Pivot.

Amazon Security Lake (erhält Ergebnisse)

Security Lake ist ein vollständig verwalteter Sicherheits-Data-Lake-Service. Sie können Security Lake verwenden, um Sicherheitsdaten aus Cloud-, lokalen und benutzerdefinierten Quellen automatisch in einem Data Lake zu zentralisieren, der in Ihrem Konto gespeichert ist. Abonnenten können Daten aus Security Lake für Ermittlungs- und Analysezwecke nutzen.

Um diese Integration zu aktivieren, müssen Sie beide Dienste aktivieren und Security Hub als Quelle in der Security Lake-Konsole, der Security Lake-API oder hinzufügen AWS CLI. Sobald Sie diese Schritte abgeschlossen haben, beginnt Security Hub, alle Ergebnisse an Security Lake zu senden.

Security Lake normalisiert die Ergebnisse von Security Hub automatisch und konvertiert sie in ein standardisiertes Open-Source-Schema namens Open Cybersecurity Schema Framework (OCSF). In Security Lake können Sie einen oder mehrere Abonnenten hinzufügen, um die Ergebnisse von Security Hub zu nutzen.

Weitere Informationen zu dieser Integration, einschließlich Anweisungen zum Hinzufügen von Security Hub als Quelle und zum Erstellen von Abonnenten, finden Sie unter Integration mit AWS Security Hub im Amazon Security Lake-Benutzerhandbuch.

AWS Systems Manager Explorer und OpsCenter (Empfängt und aktualisiert Ergebnisse)

AWS Systems Manager Erkunden und OpsCenter empfangen Sie Ergebnisse von Security Hub und aktualisieren Sie diese Ergebnisse in Security Hub.

Explorer bietet Ihnen ein anpassbares Dashboard, das wichtige Einblicke und Analysen zum Betriebszustand und zur Leistung Ihrer AWS Umgebung bietet.

OpsCenter bietet Ihnen einen zentralen Ort, an dem Sie betriebliche Arbeitsaufgaben anzeigen, untersuchen und lösen können.

Weitere Informationen zu Explorer und OpsCenter finden Sie unter Operations Management im AWS Systems Manager Benutzerhandbuch.

AWS Trusted Advisor (Erhält Ergebnisse)

Trusted Advisor stützt sich auf bewährte Verfahren, die bei der Betreuung von Hunderttausenden von AWS Kunden gelernt wurden. Trusted Advisor untersucht Ihre AWS Umgebung und gibt dann Empfehlungen, wenn Möglichkeiten bestehen, Geld zu sparen, die Systemverfügbarkeit und -leistung zu verbessern oder Sicherheitslücken zu schließen.

Wenn Sie Trusted Advisor sowohl als auch Security Hub aktivieren, wird die Integration automatisch aktualisiert.

Security Hub sendet die Ergebnisse seiner AWS Foundational Security Best Practices-Prüfungen an Trusted Advisor.

Weitere Informationen zur Security Hub-Integration mit Trusted Advisor finden Sie unter AWS Security Hub-Steuerelemente anzeigen AWS Trusted Advisor im AWS Support-Benutzerhandbuch.