Integraciones de Servicio de AWS con Security Hub
AWS Security Hub admite integraciones con otros Servicios de AWS.
nota
Es posible que las integraciones no estén disponibles en todas las Regiones de AWS. Si en la región actual no se admite una integración, esta no aparece en la página Integraciones.
Para obtener una lista de las integraciones que están disponibles en las regiones de China y AWS GovCloud (US), consulte Integraciones que son compatibles en China (Pekín) y China (Ningxia) y Integraciones compatibles en AWS GovCloud (Este de EE. UU.) y AWS GovCloud (Oeste de EE. UU.).
A menos que se indique a continuación, las integraciones de Servicio de AWS que envían resultados a Security Hub se activan automáticamente después de habilitar Security Hub y el otro servicio. Las integraciones que reciben resultados de Security Hub pueden requerir pasos adicionales para su activación. Revise la información sobre cada integración para obtener más información.
Información general sobre integraciones de servicios de AWS con Security Hub
Esta es una descripción general de los servicios de AWS que envían resultados a Security Hub o reciben resultados de Security Hub.
Servicio de AWS integrado | Dirección |
---|---|
Envía resultados |
|
Envía resultados |
|
Envía resultados |
|
Envía resultados |
|
Envía resultados |
|
Envía resultados |
|
Envía resultados |
|
Envía resultados |
|
Envía resultados |
|
Recibe resultados |
|
Recibe resultados |
|
Recibe resultados |
|
Recibe resultados |
|
Recibe y actualiza resultados |
|
Recibe resultados |
Servicios de AWS que envían resultados a Security Hub
Los siguientes servicios de AWS se integran con Security Hub mediante el envío de resultados a Security Hub. Security Hub convierte los resultados al Formato de resultados de seguridad de AWS.
AWS Config (Envía resultados)
AWS Config es un servicio que le permite evaluar, auditar y analizar las configuraciones de sus recursos de AWS. AWS Config monitorea y registra continuamente las configuraciones de recursos de AWS y le permite automatizar la comparación de las configuraciones registradas con las configuraciones deseadas.
Al usar la integración con AWS Config, puede ver los resultados de las evaluaciones de reglas de AWS Config administradas y personalizadas como resultados en Security Hub. Estos resultados pueden verse junto con otros resultados de Security Hub, lo que proporciona una visión general completa sobre su posición de seguridad.
AWS Config utiliza Amazon EventBridge para enviar evaluaciones de reglas de AWS Config a Security Hub. Security Hub transforma las evaluaciones de reglas en resultados con Formato de resultados de seguridad de AWS. A continuación, Security Hub enriquece los resultados en la medida de lo posible obteniendo más información sobre los recursos afectados, como el nombre de recurso de Amazon (ARN), las etiquetas de los recursos y la fecha de creación.
Para obtener más información sobre esta integración, consulte las secciones siguientes.
Todos los resultados de Security Hub usan el formato JSON estándar de ASFF. ASFF incluye detalles sobre el origen del resultado, el recurso afectado y el estado actual del resultado. AWS Config envía evaluaciones de reglas administradas y personalizadas a Security Hub a través de EventBridge. Security Hub transforma las evaluaciones de reglas en resultados que siguen el ASFF y enriquece los resultados en la medida de lo posible.
Tipos de resultados que AWS Config envía a Security Hub
Una vez activada la integración, AWS Config envía las evaluaciones de todas las reglas de AWS Config administradas y personalizadas a Security Hub. Solo se envían las evaluaciones que se realizaron después de activar Security Hub. Por ejemplo, supongamos que la evaluación de una regla de AWS Config revela cinco recursos fallidos. Si activo Security Hub después de eso y la regla revela un sexto recurso fallido, AWS Config envía solo la evaluación del sexto recurso a Security Hub.
Se excluyen las evaluaciones de reglas de AWS Config vinculadas a un servicio, como las usadas para realizar comprobaciones en los controles de Security Hub.
Envío de resultados de AWS Config a Security Hub
Cuando se active la integración, Security Hub asignará automáticamente los permisos necesarios para recibir resultados de AWS Config. Security Hub utiliza permisos de nivel de servicio a servicio que le ofrecen una forma segura de activar esta integración e importar resultados desde AWS Config a través de Amazon EventBridge.
Latencia para el envío de resultados
Cuando AWS Config crea un nuevo resultado, generalmente puede verse en Security Hub en los cinco minutos siguientes.
Reintento cuando Security Hub no está disponible
AWS Config envía resultados a Security Hub en la medida en que sea posible a través de EventBridge. Cuando un evento no se envía correctamente a Security Hub, EventBridge vuelve a intentarlo durante un máximo de 24 horas o 185 veces, lo que ocurra primero.
Actualización de los resultados AWS Config existentes en Security Hub
Cuando AWS Config envía un resultado a Security Hub, puede enviar actualizaciones al mismo resultado a Security Hub para reflejar observaciones adicionales de la actividad del resultado. Las actualizaciones solo se envían para eventos de ComplianceChangeNotification
. Si no se produce ningún cambio de conformidad, se envían actualizaciones a Security Hub. Security Hub borra los resultados al cabo de 90 días desde la última actualización o 90 días después de que se crearan si no hay actualizaciones.
Security Hub no archiva los resultados que se envían desde AWS Config, incluso si se elimina el recurso asociado.
Regiones en las que existen resultados de AWS Config
Los resultados de AWS Config tienen lugar a nivel regional. AWS Config envía resultados al Security Hub de la misma región o regiones en las que se producen.
Para ver sus resultados de AWS Config, seleccione Resultados en el panel de navegación de Security Hub. Para filtrar los resultados y mostrar solo resultados de AWS Config, seleccione Nombre del producto en el menú desplegable de la barra de búsqueda. Introduzca Config y seleccione Aplicar.
Interpretación de nombres de resultados de AWS Config en Security Hub
Security Hub transforma las evaluaciones de reglas de AWS Config en resultados que siguen el formato Formato de resultados de seguridad de AWS (ASFF). Las evaluaciones de reglas de AWS Config utilizan un patrón de eventos diferente al de ASFF. En la siguiente tabla se detallan los campos de evaluación de reglas de AWS Config con sus homólogos de ASFF tal como aparecen en Security Hub.
Configuración de tipo de resultado de la evaluación de reglas | Tipo de resultado ASFF | Valor codificado |
---|---|---|
detail.awsAccountId | AwsAccountId | |
detail.newEvaluationResult.resultRecordedTime | CreatedAt | |
detail.newEvaluationResult.resultRecordedTime | UpdatedAt | |
ProductArn | “arn:<partition>:securityhub:<region>::product/aws/config” | |
ProductName | “Config” | |
CompanyName | "AWS" | |
Region | “eu-central-1” | |
configRuleArn | GeneratorId, ProductFields | |
detail.ConfigRuleARN/finding/hash | Id | |
detail.configRuleName | Title, ProductFields | |
detail.configRuleName | Descripción | “Este resultado se crea para un cambio de conformidad del recurso para la regla de configuración: ${detail.ConfigRuleName} “ |
Elemento de configuración “ARN” o ARN calculado de Security Hub | Resources[i].id | |
detail.resourceType | Resources[i].Type | "AwsS3Bucket" |
Resources[i].Partition | "aws" | |
Resources[i].Region | “eu-central-1” | |
Elemento de configuración “configuración” | Resources[i].Details | |
SchemaVersion | “10/08/2018” | |
Severity.Label | Consultar “Interpretación de la etiqueta de gravedad” a continuación | |
Tipos | [“Comprobaciones de configuración y software”] | |
detail.newEvaluationResult.complianceType | Compliance.Status | “NO_APROBADO”, “NO_DISPONIBLE”, “APROBADO” o “ADVERTENCIA” |
Workflow.Status | “RESUELTO” si se genera un resultado de AWS Config con un Compliance.Status de “APROBADO” o si el Compliance.Status cambia de “NO_APROBADO” a “APROBADO”. De lo contrario, Workflow.Status será “NUEVO”. Puede cambiar este valor con la operación de la API BatchUpdateFindings. |
Interpretación de la etiqueta de gravedad
Todos los resultados de las evaluaciones de reglas de AWS Config tienen una etiqueta de gravedad predeterminada de MEDIA en el ASFF. Puede actualizar la etiqueta de gravedad de un resultado con la operación de la API BatchUpdateFindings
.
Resultado típico de AWS Config
Security Hub transforma las evaluaciones de reglas de AWS Config en resultados que siguen el ASFF. El siguiente es un ejemplo de un resultado típico de AWS Config en el ASFF.
nota
Si la descripción contiene más de 1024 caracteres, se truncará en 1024 caracteres y al final dirá “(truncada)”.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }
Tras habilitar Security Hub, esta integración se activa automáticamente. AWS Config comienza a enviar inmediatamente resultados a Security Hub.
Para dejar de enviar resultados a Security Hub, puede utilizar la consola de Security Hub o la API de Security Hub.
Para obtener instrucciones sobre cómo detener el flujo de resultados, consulte Habilitación del flujo de resultados desde una integración.
AWS Firewall Manager (Envía resultados)
Firewall Manager envía resultados a Security Hub cuando no se cumple una política de firewall de aplicación web (WAF) sobre los recursos o una regla de una lista de control de acceso web (ACL web). Firewall Manager también envía los resultados si los recursos no están protegidos por AWS Shield Advanced o se identifica un ataque.
Tras activar Security Hub, esta integración se activa automáticamente. Firewall Manager comienza a enviar inmediatamente resultados a Security Hub.
Para obtener más información sobre la integración, consulte la página Integraciones de la consola de Security Hub.
Para obtener más información sobre Firewall Manager, consulte la Guía para desarrolladores de AWS WAF.
Amazon GuardDuty (Envía resultados)
GuardDuty envía todos los resultados que genera a Security Hub.
Los nuevos resultados de GuardDuty se envían a Security Hub en los cinco minutos siguientes. Las actualizaciones de los resultados se envían en función de la configuración Resultados actualizados para Amazon EventBridge en los ajustes de GuardDuty.
Al generar resultados de muestra de GuardDuty a través de la página Configuración de GuardDuty, Security Hub recibe los resultados de muestra y omite el prefijo [Sample]
en el tipo de resultado. Por ejemplo, el tipo de resultado de muestra en GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions
se muestra como Recon:IAMUser/ResourcePermissions
en Security Hub.
Tras activar Security Hub, esta integración se activa automáticamente. GuardDuty comienza a enviar inmediatamente resultados a Security Hub.
Para obtener más información sobre la integración de GuardDuty, consulte Integración con AWS Security Hub en la Guía del usuario de Amazon GuardDuty.
AWS Health (Envía resultados)
AWS Health proporciona visibilidad continua del rendimiento de sus recursos y de la disponibilidad de sus Servicios de AWS y sus Cuentas de AWS. Puede usar los eventos AWS Health para saber cómo pueden afectar los cambios de servicios y recursos a las aplicaciones que ejecuta en AWS.
La integración con AWS Health no utiliza BatchImportFindings
. En su lugar, AWS Health emplea la mensajería de eventos de servicio a servicio para enviar resultados a Security Hub.
Para obtener más información sobre la integración, consulte las siguientes secciones.
En Security Hub, los problemas de seguridad se rastrean como resultados. Algunos resultados provienen de problemas detectados por otros servicios de AWS o por socios terceros. Security Hub también cuenta con un conjunto de reglas que utiliza para detectar problemas de seguridad y generar resultados.
Security Hub proporciona herramientas para administrar los resultados de todas estas fuentes. Puede ver y filtrar listas de resultados y ver los detalles de una búsqueda. Consulte Revisión de los detalles de resultados y el historial de resultados en Security Hub. También puede realizar un seguimiento del estado de una investigación sobre un resultado. Consulte Configuración del estado de flujo de trabajo de los resultados de Security Hub.
Todos los resultados en Security Hub usan un formato JSON estándar denominado Formato de resultados de seguridad de AWS (ASFF). ASFF incluye detalles sobre el origen del problema, los recursos afectados y el estado actual del resultado.
AWS Health es uno de los servicios de AWS que envía resultados a Security Hub.
Tipos de resultados que AWS Health envía a Security Hub
Una vez que se habilita la integración, AWS Health envía los resultados que cumplen con una o más de las especificaciones de la lista a Security Hub. Security Hub ingiere los resultados en Formato de resultados de seguridad de AWS (ASFF).
-
Resultados que contienen cualquiera de los siguientes valores para el Servicio de AWS:
RISK
ABUSE
ACM
CLOUDHSM
CLOUDTRAIL
CONFIG
CONTROLTOWER
DETECTIVE
EVENTS
GUARDDUTY
IAM
INSPECTOR
KMS
MACIE
SES
SECURITYHUB
SHIELD
SSO
COGNITO
IOTDEVICEDEFENDER
NETWORKFIREWALL
ROUTE53
WAF
FIREWALLMANAGER
SECRETSMANAGER
BACKUP
AUDITMANAGER
ARTIFACT
CLOUDENDURE
CODEGURU
ORGANIZATIONS
DIRECTORYSERVICE
RESOURCEMANAGER
CLOUDWATCH
DRS
INSPECTOR2
RESILIENCEHUB
-
Resultados con las palabras
security
,abuse
ocertificate
en el campo AWS HealthtypeCode
-
Resultados en los que el servicio AWS Health sea
risk
oabuse
Envío de resultados de AWS Health a Security Hub
Si decide aceptar resultados de AWS Health, Security Hub asignará automáticamente los permisos necesarios para recibir los resultados de AWS Health. Security Hub utiliza permisos de nivel de servicio a servicio que le ofrecen una forma fácil y segura de habilitar esta integración e importar resultados de AWS Health a través de Amazon EventBridge en su nombre. Seleccionar Aceptar resultados concede permiso a Security Hub para consumir resultados de AWS Health.
Latencia para el envío de resultados
Cuando AWS Health crea un nuevo resultado, generalmente se envía a Security Hub en los cinco minutos siguientes.
Reintento cuando Security Hub no está disponible
AWS Health envía resultados a Security Hub en la medida en que sea posible a través de EventBridge. Cuando un evento no se envía correctamente a Security Hub, EventBridge vuelve a intentar enviar el evento durante 24 horas.
Actualización de los resultados existentes en Security Hub
Cuando AWS Health envía un resultado a Security Hub, puede enviar actualizaciones al mismo resultado a Security Hub para reflejar observaciones adicionales de la actividad del resultado.
Regiones en las que existen resultados
En caso de eventos globales, AWS Health envía resultados al Security Hub de us-east-1 (partición AWS), cn-northwest-1 (partición de China) y gov-us-west-1 (partición de GovCloud). AWS Health envía los eventos específicos de la región al Security Hub de la misma región o regiones en las que se producen los eventos.
Para ver sus resultados de AWS Health en Security Hub, seleccione Resultados en el panel de navegación. Para filtrar los resultados y mostrar solo resultados de AWS Health, seleccione Estado en el campo Nombre del producto.
Interpretación de nombres de resultados de AWS Health en Security Hub
AWS Health envía los resultados a Security Hub mediante Formato de resultados de seguridad de AWS (ASFF). El resultado de AWS Health utiliza un patrón de eventos diferente al del formato ASFF de Security Hub. En la siguiente tabla se detallan todos los campos de resultados de AWS Health con sus homólogos de ASFF tal y como aparecen en Security Hub.
Tipo de resultado de Estado | Tipo de resultado ASFF | Valor codificado |
---|---|---|
cuenta | AwsAccountId | |
detail.startTime | CreatedAt | |
detail.eventDescription.latestDescription | Descripción | |
detail.eventTypeCode | GeneratorId | |
detail.eventArn (incluido account) + hash de detail.startTime | Id | |
“arn:aws:securityhub:<region>::product/aws/health” | ProductArn | |
account o resourceId | Resources[i].id | |
Resources[i].Type | “Otros” | |
SchemaVersion | “10/08/2018” | |
Severity.Label | Consultar “Interpretación de la etiqueta de gravedad” a continuación | |
“AWS Health -” detail.eventTypeCode | Título | |
- | Tipos | [“Comprobaciones de configuración y software”] |
event.time | UpdatedAt | |
URL del evento de la consola Estado | SourceUrl |
Interpretación de la etiqueta de gravedad
La etiqueta de gravedad del resultado de ASFF se determina mediante la siguiente lógica:
-
Gravedad CRÍTICA si:
-
El campo
service
del resultado AWS Health tiene el valorRisk
-
El campo
typeCode
del resultado AWS Health tiene el valorAWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION
-
El campo
typeCode
del resultado AWS Health tiene el valorAWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK
-
El campo
typeCode
del resultado AWS Health tiene el valorAWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES
Gravedad ALTA si:
-
El campo
service
del resultado AWS Health tiene el valorAbuse
-
El campo
typeCode
del resultado AWS Health contiene el valorSECURITY_NOTIFICATION
-
El campo
typeCode
del resultado AWS Health contiene el valorABUSE_DETECTION
Gravedad MEDIA si:
-
El campo
service
del resultado es cualquiera de los siguientes:ACM
,ARTIFACT
,AUDITMANAGER
,BACKUP
,CLOUDENDURE
,CLOUDHSM
,CLOUDTRAIL
,CLOUDWATCH
,CODEGURGU
,COGNITO
,CONFIG
,CONTROLTOWER
,DETECTIVE
,DIRECTORYSERVICE
,DRS
,EVENTS
,FIREWALLMANAGER
,GUARDDUTY
,IAM
,INSPECTOR
,INSPECTOR2
,IOTDEVICEDEFENDER
,KMS
,MACIE
,NETWORKFIREWALL
,ORGANIZATIONS
,RESILIENCEHUB
,RESOURCEMANAGER
,ROUTE53
,SECURITYHUB
,SECRETSMANAGER
,SES
,SHIELD
,SSO
oWAF
-
El campo typeCode del resultado AWS Health contiene el valor
CERTIFICATE
-
El campo typeCode del resultado AWS Health contiene el valor
END_OF_SUPPORT
-
Resultado típico de AWS Health
Cómo AWS Health envía resultados a Security Hub mediante Formato de resultados de seguridad de AWS (ASFF). El siguiente es un ejemplo de un resultado habitual de AWS Health.
nota
Si la descripción contiene más de 1024 caracteres, se truncará en 1024 caracteres y al final dirá (truncada).
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }
Tras habilitar Security Hub, esta integración se activa automáticamente. AWS Health comienza a enviar inmediatamente resultados a Security Hub.
Para dejar de enviar resultados a Security Hub, puede utilizar la consola de Security Hub o la API de Security Hub.
Para obtener instrucciones sobre cómo detener el flujo de resultados, consulte Habilitación del flujo de resultados desde una integración.
AWS Identity and Access Management Access Analyzer (Envía resultados)
Con IAM Access Analyzer, todos los resultados se envían a Security Hub.
IAM Access Analyzer utiliza un razonamiento lógico para analizar las políticas basadas en recursos que se aplican a los recursos de la cuenta compatibles. IAM Access Analyzer genera un resultado cuando detecta una declaración de la política que permite que una entidad principal externa pueda acceder a un recurso de la cuenta.
En IAM Access Analyzer, solo la cuenta de administrador puede ver los resultados de los analizadores que se aplican a una organización. En el caso de los analizadores de la organización, el campo AwsAccountId
ASFF refleja el ID de la cuenta de administrador. Bajo ProductFields
, el campo ResourceOwnerAccount
indica la cuenta en la que se descubrió el resultado. Si habilita los analizadores de cada cuenta individualmente, Security Hub genera varios resultados, uno que identifica el ID de la cuenta de administrador y otro que identifica el ID de la cuenta de recursos.
Para obtener más información, consulte Integración con AWS Security Hub en la Guía del usuario de IAM.
Amazon Inspector (Envía resultados)
Amazon Inspector es un servicio de gestión de vulnerabilidades que analiza continuamente sus cargas de trabajo en AWS en busca de vulnerabilidades. Amazon Inspector descubre y escanea automáticamente las instancias e imágenes de contenedor de Amazon EC2 que residen en Amazon Elastic Container Registry. El escaneo busca vulnerabilidades de software y exposición no deseada en la red.
Tras activar Security Hub, esta integración se activa automáticamente. Amazon Inspector comienza a enviar a Security Hub inmediatamente todos los resultados que genera.
Para obtener más información sobre la integración, consulte Integración con AWS Security Hub en la Guía del usuario de Amazon Inspector.
Security Hub también puede recibir resultados desde Amazon Inspector Classic. Amazon Inspector Classic envía resultados de Security Hub que se generan a través de ejecuciones de evaluación para todos los paquetes de reglas compatibles.
Para obtener más información sobre la integración, consulte Integración con AWS Security Hub en la Guía del usuario de Amazon Inspector Classic.
Los resultados de Amazon Inspector y Amazon Inspector Classic utilizan el mismo ARN de producto. Los resultados de Amazon Inspector presentan la siguiente entrada en ProductFields
:
"aws/inspector/ProductVersion": "2",
AWS IoT Device Defender (Envía resultados)
AWS IoT Device Defender es un servicio de seguridad que audita la configuración de sus dispositivos de IoT, supervisa los dispositivos conectados para detectar comportamientos anómalos y ayuda a mitigar los riesgos de seguridad.
Tras habilitar tanto AWS IoT Device Defender como Security Hub, visite la página Integraciones de la consola de Security Hub
AWS IoT Device Defender Audit envía a Security Hub resúmenes de las comprobaciones que contienen información general sobre un tipo de control de auditoría y una tarea de auditoría específicos. AWS IoT Device Defender Detect envía resultados sobre infracciones relacionadas con comportamientos de machine learning (ML), estadísticos y estáticos a Security Hub. Audit también envía actualizaciones de resultados a Security Hub.
Para obtener más información sobre esta integración, consulte Integración con AWS Security Hub en la Guía para desarrolladores de AWS IoT.
Amazon Macie (Envía resultados)
Un resultado de Macie puede indicar que existe una infracción potencial de la política o que hay información confidencial, como información de identificación personal (PII), presente en los datos que su organización almacena en Amazon S3.
Después de activar Security Hub, Macie comienza a enviar automáticamente los resultados de las políticas a Security Hub. Puede configurar la integración para que también envíe resultados de datos confidenciales a Security Hub.
En Security Hub, el tipo de resultado de un resultado de una política o de datos confidenciales se cambia a un valor compatible con ASFF. Por ejemplo, el tipo de resultado Policy:IAMUser/S3BucketPublic
en Macie se muestra como Effects/Data Exposure/Policy:IAMUser-S3BucketPublic
en Security Hub.
Macie también envía resultados de muestra generados a Security Hub. En el caso de los resultados de muestra, el nombre del recurso afectado es macie-sample-finding-bucket
y el valor del campo Sample
es true
.
Para obtener más información, consulte Integración de Amazon Macie con AWS Security Hub en la Guía del usuario de Amazon Macie.
AWS Systems Manager Patch Manager (Envía resultados)
AWS Systems Manager Patch Manager envía los resultados a Security Hub cuando las instancias de la flota de un cliente no cumplen con su estándar de conformidad para parches.
Patch Manager automatiza el proceso de aplicación de parches a instancias administradas con actualizaciones relacionadas con la seguridad y otros tipos de actualizaciones.
Tras activar Security Hub, esta integración se activa automáticamente. Systems Manager Patch Manager comienza a enviar inmediatamente resultados a Security Hub.
Para obtener más información acerca de cómo utilizar Patch Manager, consulte AWS Systems Manager Patch Manager en la Guía del usuario de AWS Systems Manager.
Servicios de AWS que reciben resultados de Security Hub
Los siguientes servicios de AWS están integrados con Security Hub y reciben resultados de Security Hub. Cuando se indique lo contrario, el servicio integrado también puede actualizar resultados. En este caso, las actualizaciones de resultados que realice en el servicio integrado también se reflejarán en Security Hub.
AWS Audit Manager (Recibe resultados)
AWS Audit Manager recibe resultados de Security Hub. Estos resultados ayudan a los usuarios de Audit Manager a prepararse para las auditorías.
Para obtener más información sobre Audit Manager, consulte la Guía del usuario de AWS Audit Manager. AWS Las comprobaciones de Security Hub admitidas por AWS Audit Manager enumeran los controles para los que Security Hub envía resultados a Audit Manager.
AWS Chatbot (Recibe resultados)
AWS Chatbot es un agente interactivo que lo ayuda a supervisar sus recursos de AWS e interactuar con ellos en sus canales de Slack y salas de chat de Amazon Chime.
AWS Chatbot recibe resultados de Security Hub.
Para obtener más información sobre la integración de AWS Chatbot con Security Hub, consulte Información general sobre la integración con Security Hub en la Guía del administrador de AWS Chatbot.
Amazon Detective (Recibe resultados)
Detective recopila automáticamente los datos de registro de los recursos de AWS y utiliza el machine learning, el análisis estadístico y la teoría de grafos para ayudarle a visualizar y realizar investigaciones de seguridad más rápidas y eficientes.
La integración de Security Hub con Detective le permite pasar de los resultados de Amazon GuardDuty en Security Hub a Detective. A continuación, puede utilizar las herramientas y visualizaciones de Detective para investigarlos. La integración no requiere ninguna configuración adicional en Security Hub o Detective.
En el caso de resultados recibidos de otros Servicios de AWS, el panel de detalles de resultados de la consola de Security Hub incluye una subsección Investigar en Detective. Esa subsección contiene un enlace a Detective, donde puede investigar más a fondo el problema de seguridad que indicó el resultado. También puede crear un gráfico de comportamiento en Detective basado en los resultados de Security Hub para llevar a cabo investigaciones más eficaces. Para obtener más información, consulte Resultados de seguridad de AWS en la Guía de administración de Amazon Detective.
Si la agregación entre regiones está habilitada, al pasar de la región de agregación, Detective se abre en la región en la que se originó el resultado.
Si un enlace no funciona, para obtener información sobre la solución de problemas, consulte Solución de problemas del pivot.
Amazon Security Lake (Recibe resultados)
Security Lake es un servicio de lago de datos de seguridad totalmente gestionado. Puede usar Amazon Security Lake para centralizar automáticamente los datos de seguridad de fuentes en la nube, en las instalaciones y personalizadas en un lago de datos almacenado en su cuenta. Los suscriptores pueden consumir datos de Security Lake para casos de uso de investigación y análisis.
Para activar esta integración, debe habilitar ambos servicios y añadir Security Hub como fuente en la consola de Security Lake, la API de Security Lake o la AWS CLI. Cuando complete estos pasos, Security Hub empezará a enviar todos los resultados a Security Lake.
Security Lake normaliza automáticamente los resultados de Security Hub y los convierte en un esquema estandarizado de código abierto denominado Open Cybersecurity Schema Framework (OCSF). En Security Lake, puede añadir uno o más suscriptores para consumir resultados de Security Hub.
Para obtener más información sobre esta integración, incluidas instrucciones para añadir Security Hub como fuente y crear suscriptores, consulte Integración con AWS Security Hub en la Guía del usuario de Amazon Security Lake.
AWS Systems Manager Explorer y OpsCenter (Recibe y actualiza resultados)
AWS Systems Manager Explorer y OpsCenter reciben resultados de Security Hub y los actualizan en Security Hub.
Explorer le proporciona un panel personalizable con información y análisis clave sobre el estado y el rendimiento operativos de su entorno de AWS.
OpsCenter le ofrece una ubicación central donde ver, investigar y resolver elementos de trabajo operativos.
Para obtener más información sobre Explorer y OpsCenter, consulte Administración de operaciones en la Guía del usuario de AWS Systems Manager.
AWS Trusted Advisor (Recibe resultados)
Trusted Advisor aprovecha las prácticas recomendadas aprendidas al atender a cientos de miles de clientes de AWS. Trusted Advisor inspecciona su entorno de AWS y ofrece recomendaciones cuando surge la oportunidad de ahorrar dinero, mejorar el rendimiento y la disponibilidad del sistema o ayudar a cerrar deficiencias de seguridad.
Cuando habilita Trusted Advisor y Security Hub, la integración se actualiza automáticamente.
Security Hub envía los resultados de sus comprobaciones sobre el estándar AWS Foundational Security Best Practices a Trusted Advisor.
Para obtener más información sobre la integración de Security Hub con Trusted Advisor, consulte los controles de AWS Security Hub de AWS Trusted Advisor en la Guía del usuario de AWS Support.