Intégration à AWS Security Hub - Amazon Security Lake
Comment Security Lake reçoit les résultats de Security HubPrérequisEnvoyer les résultats de Security Hub à Security LakeArrêter l'envoi des résultats de Security Hub dans Security Lake

Amazon Security Lake est en version préliminaire. Votre utilisation de la version préliminaire d'Amazon Security Lake est soumise à la section 2 des conditions deAWS service (« versions bêta et versions préliminaires »).

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Intégration à AWS Security Hub

AWS Security Hub fournit une vue complète de votre état de sécurité dans AWS et vous permet de vérifier votre environnement par rapport aux normes et aux bonnes pratiques du secteur de la sécurité. Security Hub collecte les données de sécurité des services et Comptes AWS, ainsi que des produits de tierces parties pris en charge. Il vous aide aussi à analyser les tendances en matière de sécurité et à identifier les problèmes de sécurité prioritaires.

Lorsque vous intégrez Amazon Security Lake et Security Hub, vous recevez les résultats de Security Hub dans Security Lake. Les résultats de Security Hub deviennent une source que les abonnés de Security Lake peuvent consulter pour vous aider à analyser votre niveau de sécurité.

Comment Security Lake reçoit les résultats de Security Hub

Dans Security Hub, les problèmes de sécurité sont suivis en tant que résultats. Certains résultats proviennent de problèmes qui sont détectés par d'autres services AWS ou par des partenaires tiers. Security Hub utilise également un ensemble de règles appelées contrôles pour détecter les problèmes de sécurité et générer des résultats.

Tous les résultats dans Security Hub utilisent un format JSON standard appelé AWSSecurity Finding Format (ASFF).

Security Lake reçoit les résultats du Security Hub et les transforme enCadre de schéma de cybersécurité ouvert (OCSF).

Prérequis

Lorsque vous activez Security Hub et que vous ajoutez les résultats de Security Hub en tant que source dans Security Lake, Security Hub commence à envoyer de nouvelles découvertes et des mises à jour des résultats existants à Security Lake.

Si vous souhaitez que Security Hub génère des résultats de contrôle et les envoie à Security Lake, vous devez activer les normes de sécurité pertinentes et activer l'enregistrement des ressources sur une base régionale dansAWS Config. Pour plus d'informations, consultez la section Activation et configurationAWS Config du Guide deAWS Security Hub l'utilisateur.

Envoyer les résultats de Security Hub à Security Lake

Pour envoyer les résultats du Security Hub à Security Lake, vous devez activer les deux services et ajouter les résultats du Security Hub en tant que source dans Security Lake.

Console

  1. Ouvrez la console Security Lake à l'adressehttps://console.aws.amazon.com/securitylake/.

  2. Dans le panneau de navigation, choisissez Sources.

  3. Sélectionnez Security Hub.

  4. Sélectionnez Enable (Activer).

  5. Sélectionnez les régions dans lesquelles vous souhaitez commencer à recevoir les résultats de Security Hub. Security Lake recevra les résultats du Security Hub provenant de tous les comptes des régions sélectionnées.

  6. Sélectionnez Enable (Activer).

API

  1. Exécutez CreateAwsLogSource.

  2. PourawsSourceType, fournissezSH_FINDINGS.

  3. (Facultatif) Indiquez les régionsComptes AWS et dans lesquelles vous souhaitez activer Security Hub en tant que source. Si cela n'est pas spécifié, Security Lake recevra les résultats du Security Hub pour tous les comptes et toutes les régions.

Note

Si vous appliquez cette demande d'API à une région dans laquelle vous n'avez pas activé Security Lake, vous recevrez un message d'erreur. Vous pouvez résoudre l'erreur en activant Security Lake dans cette région ou en utilisant leREGIONS paramètre pour spécifier uniquement les régions dans lesquelles vous avez activé Security Lake.

AWS CLI

  1. Exécutez la commande create-aws-log-source.

  2. Poursource-type, fournissezSH_FINDINGS.

  3. (Facultatif) Indiquez les régionsComptes AWS et dans lesquelles vous souhaitez activer Security Hub en tant que source. Si cela n'est pas spécifié, Security Lake recevra les résultats du Security Hub pour tous les comptes et toutes les régions. L'exemple suivant lance la collecte des résultats du Security Hub pour tous les comptes et toutes les régions.

    
aws securitylake create-aws-log-source --input-order SOURCE_TYPE --enable-single-dimension SH_FINDINGS
Note

Si vous appliquez cette commande à une région dans laquelle vous n'avez pas activé Security Lake, vous recevrez un message d'erreur. Vous pouvez résoudre l'erreur en activant Security Lake dans cette région ou en utilisant leREGIONS paramètre pour spécifier uniquement les régions dans lesquelles vous avez activé Security Lake.

Arrêter l'envoi des résultats de Security Hub dans Security Lake

Pour ne plus recevoir les résultats de Security Hub, vous pouvez utiliser la console Security Hub, l'API Security Hub ouAWS CLI.

Voir Désactivation et activation du flux de résultats à partir d'une intégration (console) ou Désactivation du flux de résultats d'une intégration (API Security Hub, CLI AWS) dans le Guide deAWS Security Hub l'utilisateur.