Integrando o Security Hub com produtos personalizados

Além das descobertas geradas por AWS serviços integrados e produtos de terceiros, o AWS Security Hub pode consumir descobertas geradas por outros produtos de segurança personalizados.

Você pode enviar essas descobertas para o Security Hub usando a BatchImportFindingsoperação do Security HubAPI.

Ao configurar a integração personalizada, use as diretrizes e as listas de verificação fornecidas no Guia de integração de parceiros do Security Hub.

Requisitos e recomendações para integrações personalizadas de produtos

Antes de poder invocar a BatchImportFindingsAPIoperação com sucesso, você deve habilitar o Security Hub.

Você também deve fornecer detalhes de localização do produto personalizado usando AWS Formato de descoberta de segurança (ASFF) o. Analise os seguintes requisitos e recomendações para integrações personalizadas de produtos:

Configurando o produto ARN

Quando você ativa o Security Hub, um produto padrão Amazon Resource Name (ARN) para o Security Hub é gerado em sua conta atual.

Este produto ARN tem o seguinte formato:arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default. Por exemplo, arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default.

Use esse produto ARN como o valor do ProductArnatributo ao invocar a BatchImportFindings API operação.

Definindo os nomes da empresa e do produto

Você pode usar o BatchImportFindings para definir um nome de empresa e um nome de produto preferidos para a integração personalizada que está enviando descobertas para o Security Hub.

Seus nomes especificados substituem o nome da empresa e o nome do produto pré-configurados, chamados de nome pessoal e nome padrão, respectivamente, e aparecem no console do Security Hub e no JSON de cada descoberta. Consulte BatchImportFindings para encontrar fornecedores.

Definindo a descoberta IDs

Você deve fornecer, gerenciar e incrementar sua própria descoberta usando IDs o Idatributo.

Cada nova descoberta deve ter um ID de descoberta exclusivo. Se o produto personalizado enviar várias descobertas com o mesmo ID de descoberta, o Security Hub processará somente a primeira descoberta.

Definir o ID da conta

Você deve especificar seu próprio ID de conta, usando o atributo AwsAccountId.

Definir as datas de criação e atualização

Você deve fornecer seus próprios carimbos de data/hora para os atributos CreatedAt e UpdatedAt.

Atualizar descobertas de produtos personalizados

Além de enviar novas descobertas de produtos personalizados, você também pode usar a BatchImportFindingsAPIoperação para atualizar descobertas existentes de produtos personalizados.

Para atualizar descobertas existentes, use o ID da descoberta existente (pelo atributo Id). Reenvie a descoberta completa com as informações apropriadas atualizadas na solicitação, incluindo um time stamp UpdatedAt modificado.

Integrações personalizadas de exemplo

Você pode usar o seguinte exemplo de integrações personalizadas de produtos como guia para criar suas próprias soluções personalizadas:

Enviando descobertas de verificações do Chef InSpec para o Security Hub

Você pode criar um AWS CloudFormation modelo que executa uma verificação de Chef InSpec conformidade e, em seguida, envia as descobertas para o Security Hub.

Para mais detalhes, consulte o Monitoramento contínuo de conformidade com o Chef InSpec e o AWS Security Hub.

Enviando vulnerabilidades de contêiner detectadas pelo Trivy ao Security Hub

Você pode criar um AWS CloudFormation modelo usado AquaSecurity Trivy para escanear contêineres em busca de vulnerabilidades e, em seguida, enviar essas descobertas de vulnerabilidade para o Security Hub.

Para obter mais detalhes, consulte Como criar um pipeline de CI/CD para verificação de vulnerabilidades de contêineres com o AWS Security Trivy Hub.