本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 Security Hub 与定制产品集成
除了集成 AWS 服务和第三方产品生成的调查结果外,Sec AWS urity Hub 还可以使用其他定制安全产品生成的调查结果。
您可以使用 Security Hub 的BatchImportFindings
操作将这些发现发送到 Security Hub API。
设置自定义集成时,请使用《Security Hub 合作伙伴集成指南》中提供的指南和清单。
定制产品集成的要求和建议
必须先启用 Security Hub,然后才能成功调用该BatchImportFindings
API操作。
您还必须使用提供定制产品的查找详情AWS 安全调查结果格式 (ASFF)。查看以下定制产品集成的要求和建议:
- 设置产品 ARN
-
启用 Security Hub 后,将在您的当前账户中生成 Security Hub 的默认产品 Amazon 资源名称 (ARN)。
该产品ARN采用以下格式:
arn:aws:securityhub:
. 例如,<region>
:<account-id>
:product/<account-id>
/defaultarn:aws:securityhub:us-west-2:123456789012:product/123456789012/default
。调用
BatchImportFindings
API操作时,使用此产品ARN作为ProductArn
属性的值。 - 设置公司名称和产品名称
-
您可以使用
BatchImportFindings
为将调查发现发送到 Security Hub 的自定义集成设置首选公司名称和产品名称。您指定的名称将替换预先配置的公司名称和产品名称(分别称为个人名称和默认名称),并显示在 Security Hub 控制台和每个查找结果中。JSON请参阅 BatchImportFindings 用于寻找提供者。
- 设定调查结果 IDs
-
您必须使用
Id
属性提供、管理和增加自己的调查结果IDs。每个新发现都应有一个唯一的发现 ID。如果定制产品发送了多个具有相同查找 ID 的搜索结果,则 Security Hub 仅处理第一个查找结果。
- 设置账户 ID
-
您必须使用
AwsAccountId
属性指定您自己的账户 ID。 - 设置创建日期和更新日期
更新来自自定义产品的结果
除了发送来自定制产品的新调查结果外,您还可以使用该BatchImportFindings
API操作来更新来自自定义产品的现有调查结果。
要更新现有结果,请使用现有结果 ID(通过 Id
属性)。使用请求中更新的相应信息(包括修改后的 UpdatedAt
时间戳)重新发送完整的结果。
示例自定义集成
您可以使用以下自定义产品集成示例作为指南,创建自己的自定义解决方案:
- 将 Chef InSpec 扫描结果发送到 Security Hub
-
您可以创建一个 AWS CloudFormation 模板来运行Chef InSpec合规性扫描,然后将结果发送到 Security Hub。
有关更多详细信息,请参阅《使用 Chef InSpec 和 AWS Security Hub 进行持续合规性监控》
。 - 将 Trivy 检测到的容器漏洞发送到 Security Hub
-
您可以创建一个用于扫描容器中是否存在漏洞的 AWS CloudFormation 模板,然后将这些漏洞发现发送到 Security Hub。AquaSecurity Trivy
有关更多详细信息,请参阅如何使用Trivy和 Sec AWS urity Hub 构建用于容器漏洞扫描的 CI/CD 管道
。