Utilisation d'intégrations de produits personnalisées pour envoyer les résultats à AWS Security Hub

Outre les résultats générés par les AWS services intégrés et les produits tiers, Security Hub peut utiliser les résultats générés par d'autres produits de sécurité personnalisés.

Vous pouvez envoyer ces résultats à Security Hub manuellement à l'aide de l'opération BatchImportFindingsAPI.

Lors de la configuration de l'intégration personnalisée, utilisez les directives et les listes de contrôle fournies dans le Guide d'intégration des partenaires du Security Hub.

Exigences et recommandations relatives à l'envoi de résultats à partir de produits de sécurité personnalisés

Avant de pouvoir invoquer correctement l'opération BatchImportFindingsd'API, vous devez activer Security Hub.

Vous devez fournir les détails de résultat à l'aide du AWS Format de recherche de sécurité (ASFF). Pour connaître les résultats de votre intégration personnalisée, utilisez les exigences et recommandations suivantes.

Définition de l'ARN du produit

Lorsque vous activez Security Hub, un produit Amazon Resource Name (ARN) par défaut pour Security Hub est généré dans votre compte courant.

Le format de l'ARN de ce produit est le suivant : arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default. Par exemple, arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default.

Utilisez l'ARN de ce produit comme valeur de l'attribut ProductArn lorsque vous appelez l'opération d'API BatchImportFindings.

Définition de l'entreprise et du nom du produit

Vous pouvez l'utiliser BatchImportFindings pour définir un nom de société et un nom de produit préférés pour l'intégration personnalisée qui envoie les résultats à Security Hub.

Les noms que vous avez spécifiés remplacent le nom de l'entreprise et le nom du produit préconfigurés, appelés respectivement nom personnel et nom par défaut, et apparaissent dans la console Security Hub et dans le JSON de chaque recherche. veuillez consulter Utiliser BatchImportFindings pour créer et mettre à jour des résultats.

Définition des ID de résultat

Vous devez fournir, gérer et incrémenter vos propres ID de résultat à l'aide de l'attribut Id.

Chaque nouvelle découverte doit avoir un identifiant de recherche unique. Si le produit personnalisé envoie plusieurs résultats avec le même identifiant de recherche, Security Hub ne traite que le premier résultat.

Définition de l'ID de compte

Vous devez spécifier votre propre ID de compte à l'aide de l'attribut AwsAccountId.

Définition des dates de création et de mise à jour

Vous devez fournir vos propres horodatages pour les attributs CreatedAt et UpdatedAt.

Importation de résultats à partir de produits personnalisés

En plus d'envoyer de nouveaux résultats provenant de produits personnalisés, vous pouvez également utiliser l’opération d’API BatchImportFindings pour mettre à jour les résultats existants provenant de produits personnalisés.

Pour mettre à jour les résultats existants, utilisez l'ID de résultat existant (attribut Id). Renvoyez le résultat complet avec les informations appropriées mises à jour dans la demande, y compris un horodatage UpdatedAt modifié.

Exemples d'intégrations personnalisées

Vous pouvez utiliser l'exemple d'intégration de produits personnalisés suivant comme guide pour créer votre propre solution personnalisée.

Envoi des résultats Chef InSpec des scans à Security Hub

Vous pouvez créer un AWS CloudFormation modèle qui exécute une analyse de Chef InSpec conformité, puis envoie les résultats à Security Hub.

Pour plus de détails, consultez la section Surveillance continue de la conformité avec Chef InSpecAWS Security Hub.

Envoi des vulnérabilités des conteneurs détectées par Trivy Security Hub

Vous pouvez créer un AWS CloudFormation modèle qui permet de scanner AquaSecurity Trivy les conteneurs à la recherche de vulnérabilités, puis d'envoyer ces résultats de vulnérabilité à Security Hub.

Pour plus de détails, consultez Comment créer un pipeline CI/CD pour l'analyse des vulnérabilités des conteneurs avec AWS Security Trivy Hub.