Esta es la guía del usuario de Amazon Inspector Classic. Para obtener más información acerca de Amazon Inspector, consulte la Guía del usuario de Amazon Inspector. Para acceder a la consola de Amazon Inspector Classic, abra la consola de Amazon Inspector en https://console.aws.amazon.com/inspector/
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Integración con AWS Security Hub
AWS Security Hub le proporciona una visión completa de su estado de seguridad en AWS y lo ayuda a comprobar su entorno con las prácticas recomendadas y los estándares del sector de seguridad. Security Hub recopila datos de seguridad de todas las cuentas de AWS, de los servicios y de los productos de terceros compatibles y le ayuda a analizar sus tendencias de seguridad y a identificar los problemas de seguridad de mayor prioridad.
La integración de Amazon Inspector con Security Hub permite enviar resultados de Amazon Inspector a Security Hub. Security Hub puede incluir esos resultados en su análisis de la posición de seguridad.
Contenido
Cómo envía Amazon Inspector los resultados a Security Hub
En Security Hub, los problemas de seguridad se rastrean como resultados. Algunos resultados provienen de problemas detectados por otros servicios de AWS o por socios terceros. Security Hub también cuenta con un conjunto de reglas que utiliza para detectar problemas de seguridad y generar resultados.
Security Hub proporciona herramientas para administrar los resultados de todas estas fuentes. Puede ver y filtrar listas de resultados y ver los detalles de una búsqueda. Consulte Visualización de hallazgos en la Guía del usuario de AWS Security Hub. También puede realizar un seguimiento del estado de una investigación de un hallazgo. Consulte Adopción de medidas sobre los hallazgos en la Guía del usuario de AWS Security Hub.
Todos los resultados en Security Hub usan un formato JSON estándar denominado AWS Security Finding Format (ASFF). El ASFF incluye detalles sobre el origen del problema, los recursos afectados y el estado actual del hallazgo. Consulte la sección Formato de resultado de seguridad (ASFF) en la Guía del usuarioAWS Security Hub.
Amazon Inspector es uno de los servicios de AWS que envía los resultados a Security Hub.
Tipos de resultados que envía Amazon Inspector
Amazon Inspector envía todos los resultados que genera a Security Hub.
Amazon Inspector envía los resultados a Security Hub mediante AWSASFF. En ASFF, el campo Types proporciona el tipo de hallazgo. Los resultados de Amazon Inspector pueden tener los siguientes valores para Types.
Comprobaciones de software y configuración/Vulnerabilidades/CVE
Comprobaciones de software y configuración/Mejores prácticas de seguridad de AWS/Accesibilidad a la red
Comprobaciones de software y configuración/Estándares normativos y del sector/Indicadores de referencia de fortalecimiento del host de CIS
Latencia para el envío de hallazgos
Cuando Amazon Inspector crea un nuevo resultado, generalmente se envía a Security Hub en un plazo aproximado de 5 minutos.
Reintento cuando Security Hub no está disponible
Si Security Hub no está disponible, Amazon Inspector vuelve a intentar enviar los resultados hasta que se reciban.
Actualización de los resultados existentes en Security Hub
Después de enviar un resultado a Security Hub, Amazon Inspector envía actualizaciones para reflejar observaciones adicionales de la actividad de búsqueda. Esto se traducirá en menos resultados de Amazon Inspector en Security Hub que en Amazon Inspector.
Resultado típico de Amazon Inspector
Amazon Inspector envía los resultados a Security Hub mediante AWSASFF.
Este es un ejemplo de un resultado típico de Amazon Inspector.
{ "SchemaVersion": "2018-10-08", "Id": "inspector/us-east-1/111122223333/629ff13fbbb44c872f7bba3e7f79f60cb6d443d8", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "GeneratorId": "arn:aws:inspector:us-east-1:316112463485:rulespackage/0-PmNV0Tcd", "AwsAccountId": "111122223333", "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Network Reachability - Recognized port reachable from internet" ], "CreatedAt": "2020-08-19T17:36:22.169Z", "UpdatedAt": "2020-11-04T16:36:06.064Z", "Severity": { "Label": "MEDIUM", "Normalized": 40, "Original": "6.0" }, "Confidence": 10, "Title": "On instance i-0c10c2c7863d1a356, TCP port 22 which is associated with 'SSH' is reachable from the internet", "Description": "On this instance, TCP port 22, which is associated with SSH, is reachable from the internet. You can install the Inspector agent on this instance and re-run the assessment to check for any process listening on this port. The instance i-0c10c2c7863d1a356 is located in VPC vpc-a0c2d7c7 and has an attached ENI eni-078eac9d6ad9b20d1 which uses network ACL acl-154b8273. The port is reachable from the internet through Security Group sg-0af64c8a5eb30ca75 and IGW igw-e209d785", "Remediation": { "Recommendation": { "Text": "You can edit the Security Group sg-0af64c8a5eb30ca75 to remove access from the internet on port 22" } }, "ProductFields": { "attributes/VPC": "vpc-a0c2d7c7", "aws/inspector/id": "Recognized port reachable from internet", "serviceAttributes/schemaVersion": "1", "aws/inspector/arn": "arn:aws:inspector:us-east-1:111122223333:target/0-8zh1cWkg/template/0-rqtRV0u0/run/0-Ck2F6tY9/finding/0-B458MQWe", "attributes/ACL": "acl-154b8273", "serviceAttributes/assessmentRunArn": "arn:aws:inspector:us-east-1:111122223333:target/0-8zh1cWkg/template/0-rqtRV0u0/run/0-Ck2F6tY9", "attributes/PROTOCOL": "TCP", "attributes/RULE_TYPE": "RecognizedPortNoAgent", "aws/inspector/RulesPackageName": "Network Reachability", "attributes/INSTANCE_ID": "i-0c10c2c7863d1a356", "attributes/PORT_GROUP_NAME": "SSH", "attributes/IGW": "igw-e209d785", "serviceAttributes/rulesPackageArn": "arn:aws:inspector:us-east-1:111122223333:rulespackage/0-PmNV0Tcd", "attributes/SECURITY_GROUP": "sg-0af64c8a5eb30ca75", "attributes/ENI": "eni-078eac9d6ad9b20d1", "attributes/REACHABILITY_TYPE": "Internet", "attributes/PORT": "22", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/inspector/inspector/us-east-1/111122223333/629ff13fbbb44c872f7bba3e7f79f60cb6d443d8", "aws/securityhub/ProductName": "Inspector", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-east-1:193043430472:instance/i-0c10c2c7863d1a356", "Partition": "aws", "Region": "us-east-1", "Tags": { "Name": "kubectl" }, "Details": { "AwsEc2Instance": { "ImageId": "ami-02354e95b39ca8dec", "IpV4Addresses": [ "172.31.43.6" ], "VpcId": "vpc-a0c2d7c7", "SubnetId": "subnet-4975b475" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE" }
Habilitación y configuración de la integración
Para utilizar la integración con Security Hub, debe activar Security Hub. Para obtener información acerca de cómo habilitar Security Hub, consulte la Configuración de Security Hub en la Guía del usuario de AWS Security Hub.
Al habilitar Amazon Inspector y Security Hub, la integración se activa automáticamente. Amazon Inspector empieza a enviar resultados a Security Hub.
Cómo dejar de enviar hallazgos
Para dejar de enviar resultados a Security Hub, puede utilizar la consola de Security Hub o la API.
Consulte Desactivar y habilitar el flujo de resultados desde una integración (consola) o Desactivar el flujo de resultados desde una integración (Security Hub API, AWS CLI) en la AWS Security HubGuía del usuario.
