As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS service (Serviço da AWS) integrações com o AWS Security Hub
AWS O Security Hub oferece suporte a integrações com vários outros Serviços da AWS.
nota
Algumas integrações só estão disponíveis em select Regiões da AWS.
Se uma integração não for compatível em uma região específica, ela não estará listada na página Integrações do console do Security Hub.
Para obter mais informações, consulte Integrações com suporte na China (Pequim) e na China (Ningxia) e Integrações que são suportadas em AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA).
A menos que indicado abaixo, AWS service (Serviço da AWS) as integrações que enviam descobertas para o Security Hub são ativadas automaticamente após a ativação do Security Hub. As integrações que recebem as descobertas do Security Hub podem exigir etapas adicionais para ativação. Analise as informações sobre cada integração para saber mais.
Visão geral das integrações AWS de serviços com o Security Hub
Aqui está uma visão geral dos AWS serviços que enviam descobertas para o Security Hub ou recebem descobertas do Security Hub.
| AWS Serviço integrado | Direction |
|---|---|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Recebe descobertas |
|
|
Recebe descobertas |
|
|
Recebe descobertas |
|
|
Recebe descobertas |
|
|
Recebe e atualiza as descobertas |
|
|
Recebe descobertas |
AWS serviços que enviam descobertas para o Security Hub
Os AWS serviços a seguir se integram ao Security Hub enviando descobertas para o Security Hub. O Security Hub transforma as descobertas para o AWS Formato do Security Finding.
AWS Config (Envia descobertas)
AWS Config é um serviço que permite avaliar, auditar e avaliar as configurações de seus AWS recursos. AWS Config monitora e registra continuamente suas configurações de AWS recursos e permite automatizar a avaliação das configurações gravadas em relação às configurações desejadas.
Ao usar a integração com AWS Config, você pode ver os resultados das avaliações de regras AWS Config gerenciadas e personalizadas como descobertas no Security Hub. Essas descobertas podem ser visualizadas com outras descobertas do Security Hub, fornecendo uma visão geral abrangente de sua postura de segurança.
AWS Config usa EventBridge a Amazon para enviar avaliações de AWS Config regras ao Security Hub. O Security Hub transforma as avaliações de regras em descobertas que seguem o Formato do Security Finding AWS. Em seguida, o Security Hub enriquece as descobertas com base no melhor esforço, obtendo mais informações sobre os recursos afetados, como o nome do recurso da Amazon (ARN) e a data de criação. As tags de recursos nas avaliações de AWS Config regras não estão incluídas nas descobertas do Security Hub.
Para mais informações sobre esta integração, consulte as seções a seguir.
Todas as descobertas no Security Hub usam o formato padrão JSON do ASFF. O ASFF inclui detalhes sobre a origem da descoberta, o recurso afetado e o status atual da descoberta. AWS Config envia avaliações de regras gerenciadas e personalizadas para o Security Hub via EventBridge. O Security Hub transforma as avaliações de regras em descobertas que seguem o ASFF e enriquece as descobertas com base no melhor esforço.
Tipos de descobertas que são AWS Config enviadas ao Security Hub
Depois que a integração é ativada, AWS Config envia avaliações de todas as regras AWS Config gerenciadas e personalizadas para o Security Hub. Somente avaliações de AWS Config regras vinculadas a serviços, como aquelas usadas para executar verificações nos controles de segurança, são excluídas.
Enviando AWS Config descobertas para o Security Hub
Quando a integração for ativada, o Security Hub atribuirá automaticamente as permissões necessárias para receber as descobertas AWS Config. O Security Hub usa permissões de service-to-service nível que fornecem uma maneira segura de ativar essa integração e importar descobertas AWS Config via Amazon EventBridge.
Latência para enviar descobertas
Quando AWS Config cria uma nova descoberta, geralmente você pode visualizá-la no Security Hub em cinco minutos.
Tentar novamente quando o Security Hub não estiver disponível
AWS Config envia as descobertas para o Security Hub com base no melhor esforço, por meio de EventBridge. Quando um evento não é entregue com sucesso ao Security Hub, EventBridge repita a entrega por até 24 horas ou 185 vezes, o que ocorrer primeiro.
Atualizando as AWS Config descobertas existentes no Security Hub
Depois de AWS Config enviar uma descoberta para o Security Hub, ele pode enviar atualizações da mesma descoberta para o Security Hub para refletir observações adicionais da atividade de descoberta. As atualizações são enviadas somente para eventos ComplianceChangeNotification. Se nenhuma alteração de conformidade ocorrer, as atualizações não serão enviadas para o Security Hub. O Security Hub exclui as descobertas 90 dias após a atualização mais recente ou 90 dias após a criação, se nenhuma atualização ocorrer.
O Security Hub não arquiva as descobertas enviadas, AWS Config mesmo que você exclua o recurso associado.
Regiões nas quais existem AWS Config descobertas
AWS Config as descobertas ocorrem em uma base regional. AWS Config envia as descobertas para o Security Hub na mesma região ou regiões em que as descobertas ocorrem.
Para ver suas AWS Config descobertas, escolha Descobertas no painel de navegação do Security Hub. Para filtrar as descobertas para exibir somente AWS Config as descobertas, escolha Nome do produto no menu suspenso da barra de pesquisa. Insira Config e escolha Aplicar.
Interpretando AWS Config encontrar nomes no Security Hub
O Security Hub transforma avaliações de AWS Config regras em descobertas que seguem o. AWS Formato de descoberta de segurança (ASFF) AWS Config as avaliações de regras usam um padrão de eventos diferente em comparação com o ASFF. A tabela a seguir mapeia os campos de avaliação da AWS Config regra com seus equivalentes do ASFF conforme eles aparecem no Security Hub.
| Tipo de descoberta da avaliação da regra de configuração | Tipo de descoberta do ASFF | Valor codificado |
|---|---|---|
| detalhe. awsAccountId | AwsAccountId | |
| detalhe. newEvaluationResult. resultRecordedTime | CreatedAt | |
| detalhe. newEvaluationResult. resultRecordedTime | UpdatedAt | |
| ProductArn | "arn:<partition>:securityhub:<region>::product/aws/config" | |
| ProductName | “Config” | |
| CompanyName | "AWS" | |
| Região | “eu-central-1” | |
| configRuleArn | GeneratorId, ProductFields | |
| detalhe. ConfigRuleARN/Descoberta/Hash | Id | |
| detalhe. configRuleName | Título, ProductFields | |
| detalhe. configRuleName | Descrição | “Essa descoberta foi criada para uma alteração de conformidade de recurso para a regra de configuração: ${detail.ConfigRuleName}” |
| Item de configuração “ARN” ou ARN computado do Security Hub | Resources[i].id | |
| detail.resourceType | Resources[i].Type | "AwsS3Bucket" |
| Resources[i].Partition | "aws" | |
| Resources[i].Region | “eu-central-1” | |
| Item de configuração “configuração” | Resources[i].Details | |
| SchemaVersion | "2018-10-08" | |
| Severity.Label | Consulte “Interpretar o rótulo de gravidade” abaixo | |
| Tipos | [“Verificações de Software e Configuração”] | |
| detalhe. newEvaluationResult. Tipo de conformidade | Compliance.Status | "REPROVADO", "NÃO_DISPONÍVEL", "APROVADO", ou "AVISO" |
| Workflow.Status | “RESOLVIDO” se uma AWS Config descoberta for gerada com um status de conformidade de “APROVADO” ou se o status de conformidade mudar de “FALHOU” para “APROVADO”. Caso contrário, o Workflow.Status será “NOVO”. Você pode alterar esse valor com a operação BatchUpdateFindingsda API. |
Interpretar o rótulo de gravidade
Todas as descobertas das avaliações de AWS Config regras têm um rótulo de severidade padrão de MEDIUM no ASFF. Você pode atualizar o rótulo de gravidade de uma descoberta com a operação BatchUpdateFindings da API.
Descoberta típica de AWS Config
O Security Hub transforma avaliações de AWS Config regras em descobertas que seguem o ASFF. A seguir está um exemplo de uma descoberta típica AWS Config do ASFF.
nota
Se a descrição tiver mais de 1024 caracteres, ela será truncada para 1024 caracteres e dirá “(truncada)” ao final.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::config-integration-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }
Depois de habilitar o Security Hub, essa integração é ativada automaticamente. AWS Config imediatamente começa a enviar as descobertas para o Security Hub.
Para interromper o envio de descobertas ao Security Hub, você pode usar o console do Security Hub, a API do Security Hub ou o AWS CLI.
Consulte Desabilitar e habilitar o fluxo de descobertas em uma integração (console) ou Desabilitando o fluxo de descobertas de uma integração (API do Security Hub) AWS CLI.
AWS Firewall Manager (Envia descobertas)
O Firewall Manager envia descobertas para o Security Hub quando uma política de firewall de aplicativo Web (WAF) para recursos ou uma regra de lista de controle de acesso da web (ACL da Web) não está em conformidade. O Firewall Manager também envia descobertas quando não AWS Shield Advanced está protegendo recursos ou quando um ataque é identificado.
Depois de habilitar o Security Hub, essa integração é ativada automaticamente. O Firewall Manager começa imediatamente a enviar descobertas ao Security Hub.
Para saber mais sobre integração, veja a página Integrações no console do Security Hub.
Para saber mais sobre o Firewall Manager, consulte Guia do desenvolvedor do AWS WAF .
Amazon GuardDuty (envia descobertas)
GuardDuty envia todas as descobertas geradas para o Security Hub.
As novas descobertas GuardDuty são enviadas ao Security Hub em cinco minutos. As atualizações das descobertas são enviadas com base na configuração de descobertas atualizadas da Amazon EventBridge nas GuardDuty configurações.
Quando você gera GuardDuty amostras de descobertas usando a página GuardDuty Configurações, o Security Hub recebe as descobertas de amostra e omite o prefixo [Sample] no tipo de descoberta. Por exemplo, o tipo de descoberta de amostra em GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions é exibido como Recon:IAMUser/ResourcePermissions no Security Hub.
Depois de habilitar o Security Hub, essa integração é ativada automaticamente. GuardDuty imediatamente começa a enviar as descobertas para o Security Hub.
Para obter mais informações sobre a GuardDuty integração, consulte Integração com o AWS Security Hub no Guia GuardDuty do usuário da Amazon.
AWS Health (Envia descobertas)
AWS Health fornece visibilidade contínua do desempenho de seus recursos e da disponibilidade de seus AWS serviços e contas. Você pode usar eventos do AWS Health para saber como as mudanças de serviços e recursos podem afetar seus aplicativos executados no AWS.
A integração com AWS Health não usaBatchImportFindings. Em vez disso, AWS Health usa mensagens de service-to-service eventos para enviar descobertas ao Security Hub.
Para mais informações sobre a integração, consulte as seções a seguir.
No Security Hub, os problemas de segurança são rastreados como descobertas. Algumas descobertas vêm de problemas detectados por outros AWS serviços ou por parceiros terceirizados. O Security Hub também tem um conjunto de regras que ele usa para detectar problemas de segurança e gerar descobertas.
O Security Hub fornece ferramentas para gerenciar descobertas em todas essas fontes. Você pode exibir e filtrar listas de descobertas e exibir detalhes de uma descoberta. Consulte Gerenciando e revisando detalhes e histórico de busca. Você também pode rastrear o status de uma investigação em uma descoberta. Consulte Tomando medidas com base nas descobertas em AWS Security Hub.
Todas as descobertas no Security Hub usam um formato padrão JSON chamado AWS Formato de descoberta de segurança (ASFF). O ASFF inclui detalhes sobre a origem do problema, os recursos afetados e o status atual da descoberta.
AWS Health é um dos AWS serviços que envia descobertas para o Security Hub.
Tipos de descobertas que são AWS Health enviadas ao Security Hub
Depois que a integração estiver habilitada, AWS Health envia todas as descobertas relacionadas à segurança geradas para o Security Hub. As descobertas são enviadas para o Security Hub usando o AWS Formato de descoberta de segurança (ASFF). As descobertas relacionadas à segurança são definidas da seguinte forma:
-
Qualquer descoberta associada a um serviço AWS de segurança
-
Qualquer descoberta com as palavras
security,abuse, oucertificateno AWS Health TypeCode -
Qualquer descoberta de onde está o AWS Health serviço
riskouabuse
Enviando AWS Health descobertas para o Security Hub
Quando você optar por aceitar as descobertas AWS Health, o Security Hub atribuirá automaticamente as permissões necessárias para receber as descobertas AWS Health. O Security Hub usa permissões de service-to-service nível que fornecem uma maneira fácil e segura de habilitar essa integração e importar descobertas AWS Health via Amazon EventBridge em seu nome. Escolher Aceitar descobertas concede ao Security Hub permissão para consumir descobertas de AWS Health.
Latência para enviar descobertas
Quando AWS Health cria uma nova descoberta, ela geralmente é enviada ao Security Hub em cinco minutos.
Tentar novamente quando o Security Hub não estiver disponível
AWS Health envia as descobertas para o Security Hub com base no melhor esforço, por meio de EventBridge. Quando um evento não é entregue com sucesso ao Security Hub, EventBridge tente enviar o evento novamente por 24 horas.
Atualizar as descobertas do existentes no Security Hub
Depois de AWS Health enviar uma descoberta para o Security Hub, ele pode enviar atualizações para a mesma descoberta para refletir observações adicionais da atividade de descoberta para o Security Hub.
Regiões nas quais existem descobertas
Para eventos globais, AWS Health envia as descobertas para o Security Hub em us-east-1 AWS (partição), cn-northwest-1 (partição da China) e -1 (partição). gov-us-west GovCloud AWS Health envia eventos específicos da região para o Security Hub na mesma região ou regiões em que os eventos ocorrem.
Para ver suas AWS Health descobertas no Security Hub, escolha Descobertas no painel de navegação. Para filtrar as descobertas para exibir somente AWS Health as descobertas, escolha Health no campo Nome do produto.
Interpretando AWS Health encontrar nomes no Security Hub
AWS Health envia as descobertas para o Security Hub usando AWS Formato de descoberta de segurança (ASFF) o. AWS Health a descoberta usa um padrão de evento diferente em comparação com o formato ASFF do Security Hub. A tabela abaixo detalha todos os campos de AWS Health descoberta com seus equivalentes do ASFF conforme eles aparecem no Security Hub.
| Tipo de descoberta de saúde | Tipo de descoberta do ASFF | Valor codificado |
|---|---|---|
| conta | AwsAccountId | |
| detail.startTime | CreatedAt | |
| detail.eventDescription.latestDescription | Descrição | |
| detalhe. eventTypeCode | GeneratorId | |
| Detail.eventArn (incluindo account) + hash de detail.startTime | Id | |
| "arn:aws:securityhub:<region>::product/aws/health" | ProductArn | |
| account ou resourceID | Resources[i].id | |
| Resources[i].Type | “Outros” | |
| SchemaVersion | "2018-10-08" | |
| Severity.Label | Consulte “Interpretar o rótulo de gravidade” abaixo | |
| Detalhe “AWS Health -”. eventTypeCode | Cargo | |
| - | Tipos | [“Verificações de Software e Configuração”] |
| event.time | UpdatedAt | |
| URL do evento no console de Saúde | SourceUrl |
Interpretar o rótulo de gravidade
O rótulo de gravidade na descoberta do ASFF é determinado usando a seguinte lógica:
-
Gravidade CRÍTICA se:
-
O
servicecampo na AWS Health descoberta tem o valorRisk -
O
typeCodecampo na AWS Health descoberta tem o valorAWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION -
O
typeCodecampo na AWS Health descoberta tem o valorAWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK -
O
typeCodecampo na AWS Health descoberta tem o valorAWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES
Gravidade ALTA se:
-
O
servicecampo na AWS Health descoberta tem o valorAbuse -
O
typeCodecampo na AWS Health descoberta contém o valorSECURITY_NOTIFICATION -
O
typeCodecampo na AWS Health descoberta contém o valorABUSE_DETECTION
Gravidade MÉDIA se:
-
O campo
servicena descoberta for qualquer um dos seguintes:ACM,ARTIFACT,AUDITMANAGER,BACKUP,CLOUDENDURE,CLOUDHSM,CLOUDTRAIL,CLOUDWATCH,CODEGURGU,COGNITO,CONFIG,CONTROLTOWER,DETECTIVE,DIRECTORYSERVICE,DRS,EVENTS,FIREWALLMANAGER,GUARDDUTY,IAM,INSPECTOR,INSPECTOR2,IOTDEVICEDEFENDER,KMS,MACIE,NETWORKFIREWALL,ORGANIZATIONS,RESILIENCEHUB,RESOURCEMANAGER,ROUTE53,SECURITYHUB,SECRETSMANAGER,SES,SHIELD,SSO, orWAF -
O campo typeCode na descoberta AWS Health contiver o valor de
CERTIFICATE -
O campo typeCode na descoberta AWS Health contiver o valor de
END_OF_SUPPORT
-
Descoberta típica de AWS Health
AWS Health envia as descobertas para o Security Hub usando AWS Formato de descoberta de segurança (ASFF) o. A seguir está um exemplo de uma descoberta típica de AWS Health.
nota
Se a descrição tiver mais de 1024 caracteres, ela será truncada para 1024 caracteres e dirá (truncada) ao final.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }
Depois de habilitar o Security Hub, essa integração é ativada automaticamente. AWS Health imediatamente começa a enviar as descobertas para o Security Hub.
Para parar de enviar descobertas para o Security Hub, você pode usar o console do Security Hub, a API do Security Hub ou AWS CLI.
Consulte Desabilitar e habilitar o fluxo de descobertas em uma integração (console) ou Desabilitando o fluxo de descobertas de uma integração (API do Security Hub) AWS CLI.
AWS Identity and Access Management Access Analyzer (Envia descobertas)
Com o IAM Access Analyzer, todas as descobertas são enviadas para o Security Hub.
O IAM Access Analyzer usa raciocínio baseado em lógica para analisar políticas baseadas em recursos aplicadas a recursos compatíveis em sua conta. O IAM Access Analyzer gera uma descoberta quando detecta uma instrução de política que permite que uma entidade principal externa acesse um recurso em sua conta.
No IAM Access Analyzer, apenas a conta do administrador pode ver as descobertas dos analisadores que se aplicam a uma organização. Para analisadores da organização, o campo do ASFF AwsAccountId reflete o ID da conta do administrador. Em ProductFields, o campo ResourceOwnerAccount indica a conta onde a descoberta foi encontrada Se você habilitar analisadores individualmente para cada conta, o Security Hub gerará várias descobertas, uma que identifica a ID da conta do administrador e outra que identifica a ID da conta do recurso.
Para obter mais informações, consulte Integração com o Security Hub do AWS no Guia do usuário do IAM.
Amazon Inspector (envia descobertas)
O Amazon Inspector é um serviço de gerenciamento de vulnerabilidade que verifica continuamente suas worloads AWS em busca de vulnerabilidades. O Amazon Inspector descobre e escaneia automaticamente instâncias do Amazon EC2 e imagens de contêiner que residem no Amazon Elastic Container Registry. O escaneamento busca vulnerabilidades de software e exposição não intencional da rede.
Depois de habilitar o Security Hub, essa integração é ativada automaticamente. O Amazon Inspector começa imediatamente a enviar todas as descobertas geradas para o Security Hub.
Para obter mais informações sobre a integração, consulte Integração com o AWS Security Hub no Guia do Usuário do Amazon Inspector.
O Security Hub também pode receber descobertas do Amazon Inspector Classic. O Amazon Inspector Classic envia descobertas ao Security Hub que são geradas por meio de execuções de avaliação para todos os pacotes de regras compatíveis.
Para obter mais informações sobre a integração, consulte Integração com o AWS Security Hub no Guia do usuário do Amazon Inspector Classic.
As descobertas do Amazon Inspector e do Amazon Inspector Classic usam o mesmo ARN do produto. As descobertas do Amazon Inspector têm a seguinte entrada em ProductFields:
"aws/inspector/ProductVersion": "2",
AWS IoT Device Defender (Envia descobertas)
AWS IoT Device Defender é um serviço de segurança que audita a configuração de seus dispositivos de IoT, monitora dispositivos conectados para detectar comportamentos anormais e ajuda a reduzir os riscos de segurança.
Depois de ativar o Security Hub AWS IoT Device Defender e o Security Hub, visite a página Integrações do console do Security Hub
AWS IoT Device Defender A auditoria envia resumos de verificação para o Security Hub, que contêm informações gerais para um tipo específico de verificação de auditoria e tarefa de auditoria. AWS IoT Device Defender O Detect envia descobertas de violações para comportamentos de aprendizado de máquina (ML), estatísticos e estáticos para o Security Hub. Auditar também envia atualizações de descoberta para o Security Hub.
Para obter mais informações sobre essa integração, consulte Integração com o AWS Security Hub no Guia do AWS IoT desenvolvedor.
Amazon Macie (envia descobertas)
Uma descoberta do Macie pode indicar que há uma possível violação de política ou que dados confidenciais, como informações de identificação pessoal (PII), estão presentes nos dados que sua organização armazena no Amazon S3.
Depois de o Security Hub ser habilitado, o Macie começa automaticamente a enviar as descobertas da política para o Security Hub. A integração com o Macie pode ser configurada para também enviar descobertas de dados confidenciais ao Security Hub.
No Security Hub, o tipo de descoberta de uma política ou de dados confidenciais é alterado para um valor compatível com o ASFF. Por exemplo, o tipo de descoberta no Macie do Policy:IAMUser/S3BucketPublic é exibido como no Security Hub Effects/Data Exposure/Policy:IAMUser-S3BucketPublic.
O Macie também envia descobertas de amostras geradas pelo Security Hub. Para exemplos de descobertas, o nome do recurso afetado é macie-sample-finding-bucket e o valor do campo Sample étrue.
Para obter mais informações, consulte Integração do Amazon Macie com o AWS Security Hub no Guia do usuário do Amazon Macie.
AWS Systems Manager Gerenciador de patches (envia descobertas)
AWS Systems Manager O Patch Manager envia as descobertas para o Security Hub quando as instâncias da frota de um cliente não estão em conformidade com o padrão de conformidade de patches.
O Patch Manager automatiza o processo de instâncias de patch gerenciadas com atualizações relacionadas à segurança e outros tipos de atualizações.
Depois de habilitar o Security Hub, essa integração é ativada automaticamente. O Systems Manager Patch Manage começa imediatamente a enviar descobertas ao Security Hub.
Para obter mais informações sobre como usar o Patch Manager, consulte Patch Manager do AWS Systems Manager no AWS Systems Manager Guia do usuário.
AWS serviços que recebem descobertas do Security Hub
Os AWS serviços a seguir são integrados ao Security Hub e recebem descobertas do Security Hub. Onde observado, o serviço integrado também pode atualizar as descobertas. Nesse caso, as atualizações de descoberta feitas no serviço integrado também serão refletidas no Security Hub.
AWS Audit Manager (Recebe descobertas)
AWS Audit Manager recebe descobertas do Security Hub. Essas descobertas ajudam os usuários do Audit Manager a se preparar para as auditorias.
Para saber mais sobre o Audit Manager, consulte o Guia do usuário do AWS Audit Manager. AWS As verificações do Security Hub compatíveis com AWS Audit Manager listam os controles para os quais o Security Hub envia as descobertas ao Audit Manager.
AWS Chatbot (Recebe descobertas)
AWS Chatbot é um agente interativo que ajuda você a monitorar e interagir com seus AWS recursos nos canais do Slack e nas salas de bate-papo do Amazon Chime.
AWS Chatbot recebe descobertas do Security Hub.
Para saber mais sobre a AWS Chatbot integração com o Security Hub, consulte a visão geral da integração com o Security Hub no Guia AWS Chatbot do Administrador.
Amazon Detective (recebe descobertas)
Detective coleta automaticamente dados de registro de seus AWS recursos e usa aprendizado de máquina, análise estatística e teoria dos gráficos para ajudá-lo a visualizar e conduzir investigações de segurança mais rápidas e eficientes.
A integração do Security Hub com o Detective permite que você passe das descobertas da GuardDuty Amazon no Security Hub para o Detective. Você pode então usar as ferramentas e visualizações do Detective para investigá-las. A integração não requer nenhuma configuração adicional no Security Hub ou Detective.
Para descobertas recebidas de outros Serviços da AWS, o painel de detalhes da descoberta no console do Security Hub inclui uma subseção Investigue em Detective. Essa subseção contém um link para o Detective, onde você pode investigar mais detalhadamente o problema de segurança que a descoberta sinalizou. Você também pode criar um gráfico de comportamento no Detective com base nas descobertas do Security Hub para conduzir investigações mais eficazes. Para obter mais informações, consulte descobertas de segurança do AWS no Guia de administração do Amazon Detective.
Se a agregação entre regiões for ativada, quando você sair da região de agregação, o Detective será aberto na região de origem da descoberta.
Se um link não funcionar, para obter orientações de solução de problemas, consulte Solução de problemas de alternância.
Amazon Security Lake (recebe descobertas)
O Security Lake é um serviço de data lake de segurança totalmente gerenciado. O Security Lake pode ser usado para centralizar automaticamente dados de segurança da nuvem, on-premises e fontes personalizadas em um data lake armazenado em sua conta. Os assinantes podem consumir dados do Security Lake para casos de uso investigativos e analíticos.
Para ativar essa integração, você deve habilitar os dois serviços e adicionar o Security Hub como fonte no console do Security Lake, na API do Security Lake ou AWS CLI. Depois de executar essas etapas, o Security Hub começa a enviar todas as descobertas para o Security Lake.
O Security Lake normaliza automaticamente as descobertas do Security Hub e as converte em um esquema padronizado de código aberto chamado Open Cybersecurity Schema Framework (OCSF). No Security Lake, você pode adicionar um ou mais assinantes para consumir as descobertas do Security Hub.
Para obter mais informações sobre essa integração, incluindo instruções sobre como adicionar o Security Hub como fonte e criar assinantes, consulte Integração com o AWS Security Hub no Guia do usuário do Amazon Security Lake.
AWS Systems Manager Explorer e OpsCenter (recebe e atualiza as descobertas)
AWS Systems Manager Explore e OpsCenter receba descobertas do Security Hub e atualize essas descobertas no Security Hub.
O Explorer traz um painel personalizável, fornecendo informações e análises importantes sobre a integridade operacional e o desempenho do seu ambiente AWS .
OpsCenter fornece um local central para visualizar, investigar e resolver itens de trabalho operacionais.
Para obter mais informações sobre o Explorer e OpsCenter, consulte Gerenciamento de operações no Guia AWS Systems Manager do Usuário.
AWS Trusted Advisor (Recebe descobertas)
Trusted Advisor baseia-se nas melhores práticas aprendidas ao atender centenas de milhares de AWS clientes. Trusted Advisor inspeciona seu AWS ambiente e, em seguida, faz recomendações quando existem oportunidades para economizar dinheiro, melhorar a disponibilidade e o desempenho do sistema ou ajudar a fechar lacunas de segurança.
Quando você ativa o Security Hub Trusted Advisor e o Security Hub, a integração é atualizada automaticamente.
O Security Hub envia os resultados de suas AWS verificações de melhores práticas de segurança básica para Trusted Advisor.
Para obter mais informações sobre a integração do Security Hub com Trusted Advisor, consulte Visualizando os controles do AWS Security Hub AWS Trusted Advisor no AWS Support User Guide.
