Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Service AWSintégrations avec AWS Security Hub
AWSSecurity Hub prend en charge les intégrations avec plusieurs autresServices AWS.
Note
Certaines intégrations ne sont disponibles que dans certains Régions AWS cas.
Si une intégration n'est pas prise en charge dans une région spécifique, elle n'est pas répertoriée sur la page Intégrations de la console Security Hub.
Pour plus d'informations, consultez Intégrations prises en charge en Chine (Pékin) et en Chine (Ningxia) et Intégrations prises en charge dans AWS GovCloud (USA Est) et AWS GovCloud (USA Ouest).
Sauf indication contraire ci-dessous, Service AWS les intégrations qui envoient des résultats à Security Hub sont automatiquement activées une fois que vous avez activé Security Hub. Les intégrations qui reçoivent les résultats du Security Hub peuvent nécessiter des étapes supplémentaires pour être activées. Consultez les informations relatives à chaque intégration pour en savoir plus.
Vue d'ensemble des intégrations de AWS services avec Security Hub
Voici un aperçu des AWS services qui envoient des résultats à Security Hub ou reçoivent des résultats de Security Hub.
| AWSService intégré | Direction |
|---|---|
|
Envoie les résultats |
|
|
Envoie les résultats |
|
|
Envoie les résultats |
|
|
Envoie les résultats |
|
|
Envoie les résultats |
|
|
Envoie les résultats |
|
|
Envoie les résultats |
|
|
Envoie les résultats |
|
|
Envoie les résultats |
|
|
Reçoit les résultats |
|
|
Reçoit les résultats |
|
|
Reçoit les résultats |
|
|
Reçoit les résultats |
|
|
Reçoit et met à jour les résultats |
|
|
Reçoit les résultats |
AWSservices qui envoient les résultats à Security Hub
Les AWS services suivants s'intègrent à Security Hub en envoyant les résultats à Security Hub. Security Hub transforme les résultats dans le format AWS Security Finding.
AWS Config(Envoie les résultats)
AWS Configest un service qui vous permet d'évaluer, d'auditer et d'évaluer les configurations de vos AWS ressources. AWS Configsurveille et enregistre en permanence les configurations de vos AWS ressources et vous permet d'automatiser l'évaluation des configurations enregistrées par rapport aux configurations souhaitées.
En utilisant l'intégration avecAWS Config, vous pouvez consulter les résultats des évaluations de règles AWS Config gérées et personnalisées sous forme de conclusions dans Security Hub. Ces résultats peuvent être consultés conjointement avec d'autres résultats du Security Hub, fournissant ainsi une vue d'ensemble complète de votre niveau de sécurité.
AWS Configutilise Amazon EventBridge pour envoyer des évaluations de AWS Config règles à Security Hub. Security Hub transforme les évaluations des règles en résultats conformes au format AWS Security Finding. Security Hub enrichit ensuite les résultats de son mieux en obtenant plus d'informations sur les ressources concernées, telles que le nom de la ressource Amazon (ARN) et la date de création. Les balises de ressources utilisées dans les évaluations des AWS Config règles ne sont pas incluses dans les résultats du Security Hub.
Pour plus d'informations sur cette intégration, consultez les sections suivantes.
Tous les résultats de Security Hub utilisent le format JSON standard d'ASFF. L'ASFF inclut des détails sur l'origine de la découverte, la ressource affectée et l'état actuel de la découverte. AWS Configenvoie des évaluations de règles gérées et personnalisées à Security Hub via EventBridge. Security Hub transforme les évaluations des règles en résultats conformes à l'ASFF et enrichit les résultats dans la mesure du possible.
Types de résultats AWS Config envoyés à Security Hub
Une fois l'intégration activée, AWS Config envoie les évaluations de toutes les règles AWS Config gérées et des règles personnalisées à Security Hub. Seules les évaluations issues de AWS Configrègles liées aux services, telles que celles utilisées pour vérifier les contrôles de sécurité, sont exclues.
Envoi AWS Config des résultats à Security Hub
Lorsque l'intégration est activée, Security Hub attribue automatiquement les autorisations nécessaires pour recevoir les résultatsAWS Config. Security Hub utilise des autorisations de service-to-service niveau qui vous permettent d'activer cette intégration en toute sécurité et d'importer les résultats AWS Config depuis Amazon EventBridge.
Latence pour l'envoi des résultats
Lorsque vous AWS Config créez un nouveau résultat, vous pouvez généralement le consulter dans Security Hub dans un délai de cinq minutes.
Réessayer lorsque Security Hub n'est pas disponible
AWS Configenvoie les résultats à Security Hub dans la mesure du possible via EventBridge. Lorsqu'un événement n'est pas transmis avec succès à Security Hub, EventBridge réessayez de le diffuser pendant 24 heures ou 185 fois, selon la première éventualité.
Mise à jour des AWS Config résultats existants dans Security Hub
Après avoir AWS Config envoyé un résultat à Security Hub, celui-ci peut envoyer des mises à jour du même résultat à Security Hub afin de refléter des observations supplémentaires concernant l'activité de recherche. Les mises à jour ne sont envoyées que pour les ComplianceChangeNotification événements. Si aucun changement de conformité ne se produit, les mises à jour ne sont pas envoyées à Security Hub. Security Hub supprime les résultats 90 jours après la dernière mise à jour ou 90 jours après leur création si aucune mise à jour n'a lieu.
Régions dans lesquelles AWS Config des résultats existent
AWS Configles résultats sont établis sur une base régionale. AWS Configenvoie les résultats à Security Hub dans la ou les mêmes régions où ils ont été découverts.
Pour consulter vos AWS Config résultats, choisissez Findings dans le volet de navigation du Security Hub. Pour filtrer les résultats afin de n'afficher que AWS Config les résultats, sélectionnez Nom du produit dans le menu déroulant de la barre de recherche. Entrez Config, puis choisissez Appliquer.
Interprétation AWS Config de la recherche de noms dans Security Hub
Security Hub transforme les évaluations des AWS Config règles en résultats conformes auxAWS Format de recherche de sécurité (ASFF). AWS Configles évaluations de règles utilisent un modèle d'événements différent de celui d'ASFF. Le tableau suivant met en correspondance les champs d'évaluation des AWS Config règles avec leur équivalent ASFF tels qu'ils apparaissent dans Security Hub.
| Type de recherche d'évaluation des règles de configuration | Type de résultat ASFF | Valeur codée en dur |
|---|---|---|
| détail. awsAccountId | AwsAccountId | |
| détail. newEvaluationResult. resultRecordedTime | CreatedAt | |
| détail. newEvaluationResult. resultRecordedTime | UpdatedAt | |
| ProductArn | <region>« arn ::securityhub : : <partition>:product/aws/config » | |
| ProductName | « Config » | |
| CompanyName | "AWS" | |
| Région | « eu-central-1 » | |
| configRuleArn | GeneratorId, ProductFields | |
| détail. ConfigRuleARN/Trouver/Hash | Id | |
| détail. configRuleName | Titre, ProductFields | |
| détail. configRuleName | Description | « Cette constatation est créée pour une modification de conformité des ressources pour la règle de configuration : ${detail.ConfigRuleName} » |
| Élément de configuration « ARN » ou ARN calculé par Security Hub | Ressources [i] .id | |
| Détail.Type de ressource | Ressources [i] .Type | "AwsS3Bucket" |
| Ressources [i] .Partition | "aws" | |
| Ressources [i] .Region | « eu-central-1 » | |
| Élément de configuration « configuration » | Ressources [i] .Détails | |
| SchemaVersion | « 2018-10-08 » | |
| Sévérité. Label | Voir « Interprétation de l'étiquette de gravité » ci-dessous | |
| Types | ["Vérifications du logiciel et de la configuration"] | |
| détail. newEvaluationResult. Type de conformité | État de conformité | « ECHEC », « NOT_AVAILABLE », « PASSÉ » ou « AVERTISSEMENT » |
| État du flux de travail | « RÉSOLU » si un AWS Config résultat est généré avec un statut de conformité « RÉUSSI » ou si le statut de conformité passe de « ÉCHEC » à « PASSÉ ». Dans le cas contraire, Workflow.Status sera « NOUVEAU ». Vous pouvez modifier cette valeur à l'aide de l'opération BatchUpdateFindingsAPI. |
Interprétation du label de gravité
Tous les résultats des évaluations des AWS Config règles ont une étiquette de gravité par défaut de MEDIUM dans l'ASFF. Vous pouvez mettre à jour l'étiquette de gravité d'une constatation à l'aide de l'opération d'BatchUpdateFindingsAPI.
Résultats types de AWS Config
Security Hub transforme les évaluations des AWS Config règles en résultats conformes à l'ASFF. Voici un exemple de résultat typique tiré de AWS Config l'ASFF.
Note
Si la description comporte plus de 1024 caractères, elle sera tronquée à 1024 caractères et indiquera « (tronqué) » à la fin.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::config-integration-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }
Une fois que vous avez activé Security Hub, cette intégration est automatiquement activée. AWS Configcommence immédiatement à envoyer les résultats à Security Hub.
Pour arrêter d'envoyer des résultats à Security Hub, vous pouvez utiliser la console Security Hub, l'API Security Hub ou leAWS CLI.
Voir Désactivation et activation du flux de résultats d'une intégration (console) ou Désactivation du flux de résultats d'une intégration (API Security Hub,AWS CLI).
AWS Firewall Manager(Envoie les résultats)
Firewall Manager envoie les résultats à Security Hub lorsqu'une politique de pare-feu d'application Web (WAF) pour les ressources ou une règle de liste de contrôle d'accès Web (ACL Web) n'est pas conforme. Firewall Manager envoie également des résultats lorsqu'AWS Shield Advancedil ne protège pas les ressources ou lorsqu'une attaque est identifiée.
Une fois que vous avez activé Security Hub, cette intégration est automatiquement activée. Firewall Manager commence immédiatement à envoyer ses résultats à Security Hub.
Pour en savoir plus sur l'intégration, consultez la page Intégrations de la console Security Hub.
Pour en savoir plus sur Firewall Manager, consultez le manuel du AWS WAF développeur.
Amazon GuardDuty (envoie les résultats)
GuardDuty envoie tous les résultats qu'il génère à Security Hub.
Les nouvelles découvertes GuardDuty sont envoyées à Security Hub dans les cinq minutes. Les mises à jour des résultats sont envoyées en fonction du paramètre Résultats mis à jour pour Amazon EventBridge dans GuardDuty les paramètres.
Lorsque vous générez des GuardDuty échantillons de résultats à l'aide de la page GuardDuty Paramètres, Security Hub reçoit les résultats des échantillons et omet le préfixe [Sample] dans le type de recherche. Par exemple, le type de recherche d'échantillon GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions est affiché comme Recon:IAMUser/ResourcePermissions dans Security Hub.
Une fois que vous avez activé Security Hub, cette intégration est automatiquement activée. GuardDuty commence immédiatement à envoyer les résultats à Security Hub.
Pour plus d'informations sur l' GuardDuty intégration, consultez Integration with AWS Security Hub dans le guide de GuardDuty l'utilisateur Amazon.
AWS Health(Envoie les résultats)
AWS Healthfournit une visibilité continue sur les performances de vos ressources et sur la disponibilité de vos AWS services et comptes. Vous pouvez utiliser AWS Health les événements pour découvrir comment les modifications des services et des ressources peuvent affecter les applications qui s'exécutent surAWS.
L'intégration avec AWS Health n'utilise pasBatchImportFindings. AWS HealthUtilise plutôt la messagerie service-to-service événementielle pour envoyer les résultats à Security Hub.
Pour plus d'informations sur l'intégration, consultez les sections suivantes.
Dans Security Hub, les problèmes de sécurité sont suivis en tant que résultats. Certains résultats proviennent de problèmes qui sont détectés par d'autres services AWS ou par des partenaires tiers. Security Hub utilise également un ensemble de règles pour détecter les problèmes de sécurité et générer des résultats.
Security Hub fournit des outils permettant de gérer les résultats provenant de toutes ces sources. Vous pouvez afficher et filtrer les listes de résultats et afficher les informations sur un résultat. Consultez Afficher les listes de recherche et les détails dans AWS Security Hub. Vous pouvez également suivre le statut d'une analyse dans un résultat. Consultez Prendre des mesures sur la base des conclusions de AWS Security Hub.
Tous les résultats de Security Hub utilisent un format JSON standard appeléAWS Format de recherche de sécurité (ASFF). L'ASFF inclut des détails sur la source du problème, les ressources concernées et l'état actuel de la découverte.
AWS Healthest l'un des AWS services qui envoie les résultats à Security Hub.
Types de résultats AWS Health envoyés à Security Hub
Une fois l'intégration activée, AWS Health envoie tous les résultats liés à la sécurité qu'elle génère à Security Hub. Les résultats sont envoyés à Security Hub à l'aide duAWS Format de recherche de sécurité (ASFF). Les résultats liés à la sécurité sont définis comme suit :
-
Toute découverte associée à un service AWS de sécurité
-
Toute recherche avec les mots
securityabuse, oucertificatedans le AWS Health TypeCode -
Toute découverte de l'endroit où se trouve le AWS Health service
riskouabuse
Envoi AWS Health des résultats à Security Hub
Lorsque vous choisissez d'accepter les résultats deAWS Health, Security Hub attribue automatiquement les autorisations nécessaires pour recevoir les résultatsAWS Health. Security Hub utilise des autorisations de service-to-service niveau qui vous permettent d'activer facilement et en toute sécurité cette intégration et d'importer des résultats AWS Health depuis Amazon EventBridge en votre nom. Si vous sélectionnez Accepter les résultats, Security Hub autorise Security Hub à consulter les résultats provenant deAWS Health.
Latence pour l'envoi des résultats
Lors AWS Health de la création d'un nouveau résultat, il est généralement envoyé à Security Hub dans les cinq minutes.
Réessayer lorsque Security Hub n'est pas disponible
AWS Healthenvoie les résultats à Security Hub dans la mesure du possible via EventBridge. Lorsqu'un événement n'est pas transmis avec succès à Security Hub, EventBridge réessayez de l'envoyer pendant 24 heures.
Mise à jour des résultats existants dans Security Hub
Après avoir AWS Health envoyé un résultat à Security Hub, celui-ci peut envoyer des mises à jour du même résultat afin de refléter des observations supplémentaires concernant l'activité de recherche à Security Hub.
Régions dans lesquelles des résultats existent
Pour les événements mondiaux, AWS Health envoie les résultats à Security Hub dans us-east-1 (AWSpartition), cn-northwest-1 (partition chinoise) et -1 (partition). gov-us-west GovCloud AWS Healthenvoie des événements spécifiques à une région au Security Hub de la ou des régions où les événements se produisent.
Pour consulter vos AWS Health résultats dans Security Hub, choisissez Findings dans le panneau de navigation. Pour filtrer les résultats afin de n'afficher que AWS Health les résultats, choisissez Health dans le champ Nom du produit.
Interprétation AWS Health de la recherche de noms dans Security Hub
AWS Healthenvoie les résultats à Security Hub à l'aide duAWS Format de recherche de sécurité (ASFF). AWS Healthla recherche utilise un modèle d'événement différent de celui du format Security Hub ASFF. Le tableau ci-dessous détaille tous les champs de AWS Health recherche avec leur équivalent ASFF tels qu'ils apparaissent dans Security Hub.
| Type de diagnostic de santé | Type de résultat ASFF | Valeur codée en dur |
|---|---|---|
| compte | AwsAccountId | |
| Détail.Heure de début | CreatedAt | |
| Détail.Description de l'événement.Dernière description | Description | |
| détail. eventTypeCode | GeneratorId | |
| Detail.EventArn (compte inclus) + hachage de Detail.startTime | Id | |
| <region>« arn:aws:securityhub : : :product/aws/health » | ProductArn | |
| compte ou ResourceID | Ressources [i] .id | |
| Ressources [i] .Type | « Autre » | |
| SchemaVersion | « 2018-10-08 » | |
| Sévérité. Label | Voir « Interprétation de l'étiquette de gravité » ci-dessous | |
| « AWS Health - » détail. eventTypeCode | Title | |
| - | Types | ["Vérifications du logiciel et de la configuration"] |
| événement.heure | UpdatedAt | |
| URL de l'événement sur la console Health | SourceUrl |
Interprétation du label de gravité
L'étiquette de gravité figurant dans le résultat de l'ASFF est déterminée selon la logique suivante :
-
Gravité CRITIQUE si :
-
Le
servicechamp de la AWS Health recherche contient la valeurRisk -
Le
typeCodechamp de la AWS Health recherche contient la valeurAWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION -
Le
typeCodechamp de la AWS Health recherche contient la valeurAWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK -
Le
typeCodechamp de la AWS Health recherche contient la valeurAWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES
Sévérité ÉLEVÉE si :
-
Le
servicechamp de la AWS Health recherche contient la valeurAbuse -
Le
typeCodechamp de la AWS Health recherche contient la valeurSECURITY_NOTIFICATION -
Le
typeCodechamp de la AWS Health recherche contient la valeurABUSE_DETECTION
Sévérité MOYENNE si :
-
Le
servicechamp de la recherche est l'un des suivants :ACM,ARTIFACT,AUDITMANAGER,BACKUP,CLOUDENDURE,CLOUDHSM,CLOUDTRAIL,CLOUDWATCH,CODEGURGU,COGNITO,CONFIG,CONTROLTOWERDETECTIVE,DIRECTORYSERVICE,DRS,EVENTS,FIREWALLMANAGER,GUARDDUTY,IAM,INSPECTOR,INSPECTOR2,IOTDEVICEDEFENDER,KMS,MACIE,NETWORKFIREWALL,ORGANIZATIONS,RESILIENCEHUB,RESOURCEMANAGER,ROUTE53,SECURITYHUB,SECRETSMANAGER,SES,SHIELD,SSO, ouWAF -
Le champ TypeCode de la AWS Health recherche contient la valeur
CERTIFICATE -
Le champ TypeCode de la AWS Health recherche contient la valeur
END_OF_SUPPORT
-
Résultats types de AWS Health
AWS Healthenvoie les résultats à Security Hub à l'aide duAWS Format de recherche de sécurité (ASFF). Voici un exemple de résultat typique tiré deAWS Health.
Note
Si la description comporte plus de 1024 caractères, elle sera tronquée à 1024 caractères et indiquera (tronqué) à la fin.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }
Une fois que vous avez activé Security Hub, cette intégration est automatiquement activée. AWS Healthcommence immédiatement à envoyer les résultats à Security Hub.
Pour arrêter d'envoyer des résultats à Security Hub, vous pouvez utiliser la console Security Hub, l'API Security Hub ouAWS CLI.
Voir Désactivation et activation du flux de résultats d'une intégration (console) ou Désactivation du flux de résultats d'une intégration (API Security Hub,AWS CLI).
AWS Identity and Access Management Access Analyzer(Envoie les résultats)
Avec IAM Access Analyzer, tous les résultats sont envoyés à Security Hub.
IAM Access Analyzer utilise un raisonnement basé sur la logique pour analyser les politiques basées sur les ressources appliquées aux ressources prises en charge dans votre compte. IAM Access Analyzer génère une constatation lorsqu'il détecte une déclaration de politique permettant à un principal externe d'accéder à une ressource de votre compte.
Dans IAM Access Analyzer, seul le compte administrateur peut consulter les résultats des analyseurs qui s'appliquent à une organisation. Pour les analyseurs d'organisation, le champ AwsAccountId ASFF reflète l'ID du compte administrateur. En dessousProductFields, le ResourceOwnerAccount champ indique le compte dans lequel la découverte a été découverte. Si vous activez les analyseurs individuellement pour chaque compte, Security Hub génère plusieurs résultats, l'un identifiant le compte administrateur et l'autre identifiant le compte ressource.
Pour plus d'informations, consultez la section Integration with AWS Security Hub dans le guide de l'utilisateur IAM.
Amazon Inspector (envoie les résultats)
Amazon Inspector est un service de gestion des vulnérabilités qui analyse en permanence vos AWS charges de travail pour détecter les vulnérabilités. Amazon Inspector découvre et analyse automatiquement les instances Amazon EC2 et les images de conteneurs qui se trouvent dans le registre Amazon Elastic Container Registry. L'analyse recherche les vulnérabilités logicielles et les expositions involontaires au réseau.
Une fois que vous avez activé Security Hub, cette intégration est automatiquement activée. Amazon Inspector commence immédiatement à envoyer tous les résultats qu'il génère à Security Hub.
Pour plus d'informations sur l'intégration, consultez Integration with AWS Security Hub dans le guide de l'utilisateur d'Amazon Inspector.
Security Hub peut également recevoir les résultats d'Amazon Inspector Classic. Amazon Inspector Classic envoie les résultats à Security Hub qui sont générés par le biais d'évaluations pour tous les packages de règles pris en charge.
Pour plus d'informations sur l'intégration, consultez Integration with AWS Security Hub dans le guide de l'utilisateur Amazon Inspector Classic.
Les résultats pour Amazon Inspector et Amazon Inspector Classic utilisent le même ARN du produit. Les résultats d'Amazon Inspector contiennent l'entrée suivante dans ProductFields :
"aws/inspector/ProductVersion": "2",
AWS IoT Device Defender(Envoie les résultats)
AWS IoT Device Defenderest un service de sécurité qui audite la configuration de vos appareils IoT, surveille les appareils connectés pour détecter les comportements anormaux et contribue à atténuer les risques de sécurité.
Après avoir activé les deux AWS IoT Device Defender options et Security Hub, rendez-vous sur la page Intégrations de la console Security Hub
AWS IoT Device DefenderL'audit envoie des résumés de contrôle à Security Hub, qui contiennent des informations générales relatives à un type de contrôle d'audit et à une tâche d'audit spécifiques. AWS IoT Device Defender Detect envoie les résultats des violations relatives à l'apprentissage automatique (ML), aux statistiques et aux comportements statiques à Security Hub. L'audit envoie également les mises à jour de recherche à Security Hub.
Pour plus d'informations sur cette intégration, consultez la section Integration with AWS Security Hub dans le manuel du AWS IoT développeur.
Amazon Macie (envoie les résultats)
Une découverte de Macie peut indiquer qu'il existe une violation potentielle de la politique ou que des données sensibles, telles que des informations personnelles identifiables (PII), sont présentes dans les données que votre organisation stocke sur Amazon S3.
Une fois que vous avez activé Security Hub, Macie commence automatiquement à envoyer les résultats des politiques à Security Hub. Vous pouvez configurer l'intégration pour envoyer également les résultats de données sensibles à Security Hub.
Dans Security Hub, le type de recherche d'une politique ou d'une recherche de données sensibles est remplacé par une valeur compatible avec ASFF. Par exemple, le type de Policy:IAMUser/S3BucketPublic recherche dans Macie est affiché comme Effects/Data Exposure/Policy:IAMUser-S3BucketPublic dans Security Hub.
Macie envoie également les résultats des échantillons générés à Security Hub. Pour les résultats d'échantillonnage, le nom de la ressource affectée est macie-sample-finding-bucket et la valeur du Sample champ esttrue.
Pour plus d'informations, consultez la section Intégration d'Amazon Macie à AWS Security Hub dans le guide de l'utilisateur d'Amazon Macie.
AWS Systems ManagerGestionnaire de correctifs (envoie les résultats)
AWS Systems ManagerPatch Manager envoie les résultats à Security Hub lorsque les instances du parc d'un client ne sont pas conformes à sa norme de conformité aux correctifs.
Patch Manager automatise le processus d'application des correctifs aux instances gérées avec des mises à jour liées à la sécurité et d'autres types de mises à jour.
Une fois que vous avez activé Security Hub, cette intégration est automatiquement activée. Systems Manager Patch Manager commence immédiatement à envoyer ses résultats à Security Hub.
Pour plus d'informations sur l'utilisation du gestionnaire de correctifs, consultez la section Gestionnaire de AWS Systems Manager correctifs dans le guide de AWS Systems Manager l'utilisateur.
AWSservices recevant les résultats de Security Hub
Les AWS services suivants sont intégrés à Security Hub et reçoivent les résultats de Security Hub. Lorsque cela est indiqué, le service intégré peut également mettre à jour les résultats. Dans ce cas, la recherche des mises à jour que vous apportez dans le service intégré sera également reflétée dans Security Hub.
AWS Audit Manager(Reçoit les résultats)
AWS Audit Managerreçoit les résultats de Security Hub. Ces résultats aident les utilisateurs d'Audit Manager à se préparer aux audits.
Pour en savoir plus sur Audit Manager, consultez le guide de l'utilisateur d'AWSAudit Manager. AWS Les contrôles pris en charge par Security Hub AWS Audit Manager répertorient les contrôles pour lesquels Security Hub envoie les résultats à Audit Manager.
AWS Chatbot(Reçoit les résultats)
AWS Chatbotest un agent interactif qui vous aide à surveiller et à interagir avec vos AWS ressources sur vos chaînes Slack et les forums de discussion Amazon Chime.
AWS Chatbotreçoit les résultats de Security Hub.
Pour en savoir plus sur l'AWS Chatbotintégration avec Security Hub, consultez la présentation de l'intégration de Security Hub dans le guide de l'AWS Chatbotadministrateur.
Amazon Detective (reçoit les résultats)
Detective collecte automatiquement les données des journaux à partir de vos AWS ressources et utilise l'apprentissage automatique, l'analyse statistique et la théorie des graphes pour vous aider à visualiser et à mener des enquêtes de sécurité plus rapides et plus efficaces.
L'intégration de Security Hub à Detective vous permet de passer des GuardDuty résultats d'Amazon dans Security Hub à Detective. Vous pouvez ensuite utiliser les outils Detective et les visualisations pour les étudier. L'intégration ne nécessite aucune configuration supplémentaire dans Security Hub ou Detective.
Pour les résultats provenant d'autres utilisateursServices AWS, le panneau de détails des recherches de la console Security Hub inclut une sous-section Investigate in Detective. Cette sous-section contient un lien vers Detective où vous pouvez étudier plus en détail le problème de sécurité signalé par le résultat. Vous pouvez également créer un graphe de comportement dans Detective sur la base des résultats de Security Hub afin de mener des enquêtes plus efficaces. Pour plus d'informations, consultez les résultats AWS de sécurité dans le guide d'administration Amazon Detective.
Si l'agrégation entre régions est activée, lorsque vous quittez la région d'agrégation, Detective s'ouvre dans la région d'où provient le résultat.
Si un lien ne fonctionne pas et que vous souhaitez accéder à des conseils de dépannage, veuillez consulter la page relative au dépannage.
Amazon Security Lake (reçoit les résultats)
Security Lake est un service de lac de données de sécurité entièrement géré. Vous pouvez utiliser Security Lake pour centraliser automatiquement les données de sécurité provenant de sources cloud, locales et personnalisées dans un lac de données stocké dans votre compte. Les abonnés peuvent utiliser les données de Security Lake à des fins d'investigation et d'analyse.
Pour activer cette intégration, vous devez activer les deux services et ajouter Security Hub en tant que source dans la console Security Lake, l'API Security Lake ouAWS CLI. Une fois ces étapes terminées, Security Hub commence à envoyer tous les résultats à Security Lake.
Security Lake normalise automatiquement les résultats de Security Hub et les convertit en un schéma open source standardisé appelé Open Cybersecurity Schema Framework (OCSF). Dans Security Lake, vous pouvez ajouter un ou plusieurs abonnés pour consulter les résultats du Security Hub.
Pour plus d'informations sur cette intégration, notamment les instructions relatives à l'ajout de Security Hub en tant que source et à la création d'abonnés, consultez Integration with AWS Security Hub dans le guide de l'utilisateur d'Amazon Security Lake.
AWS Systems ManagerExplorer et OpsCenter (reçoit et met à jour les résultats)
AWS Systems ManagerExplorez et OpsCenter recevez les résultats de Security Hub, puis mettez-les à jour dans Security Hub.
Explorer vous fournit un tableau de bord personnalisable, fournissant des informations et des analyses clés sur la santé opérationnelle et les performances de votre AWS environnement.
OpsCenter vous fournit un emplacement central pour visualiser, étudier et résoudre les éléments de travail opérationnels.
Pour plus d'informations sur Explorer et OpsCenter voir Gestion des opérations dans le Guide de AWS Systems Manager l'utilisateur.
AWS Trusted Advisor(Reçoit les résultats)
Trusted Advisor tire profit des bonnes pratiques acquises à travers la satisfaction de centaines de milliers de clients AWS. Trusted Advisor examine votre environnement AWS, puis effectue des recommandations lorsqu'il est possible de faire des économies, d'améliorer la disponibilité et les performances du système, ou de remédier à des failles de sécurité.
Lorsque vous activez à la fois Security Hub Trusted Advisor et Security Hub, l'intégration est automatiquement mise à jour.
Security Hub envoie les résultats de ses vérifications des meilleures pratiques de sécurité AWS fondamentales àTrusted Advisor.
Pour plus d'informations sur l'intégration de Security Hub avec Security HubTrusted Advisor, consultez la section Visualisation des contrôles AWS Security Hub AWS Trusted Advisor dans le Guide de l'utilisateur du AWS Support.
