将 Security Hub 与定制产品集成

除了集成 AWS 服务和第三方产品生成的调查结果外，Sec AWS urity Hub 还可以使用其他定制安全产品生成的调查结果。

您可以使用 Security Hub 的BatchImportFindings操作将这些发现发送到 Security Hub API。

设置自定义集成时，请使用《Security Hub 合作伙伴集成指南》中提供的指南和清单。

定制产品集成的要求和建议

必须先启用 Security Hub，然后才能成功调用该BatchImportFindingsAPI操作。

您还必须使用提供定制产品的查找详情AWS 安全调查结果格式 (ASFF)。查看以下定制产品集成的要求和建议：

设置产品 ARN

启用 Security Hub 后，将在您的当前账户中生成 Security Hub 的默认产品 Amazon 资源名称 (ARN)。

该产品ARN采用以下格式:arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default. 例如，arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default。

调用BatchImportFindingsAPI操作时，使用此产品ARN作为ProductArn属性的值。

设置公司名称和产品名称

您可以使用 BatchImportFindings 为将调查发现发送到 Security Hub 的自定义集成设置首选公司名称和产品名称。

您指定的名称将替换预先配置的公司名称和产品名称（分别称为个人名称和默认名称），并显示在 Security Hub 控制台和每个查找结果中。JSON请参阅 BatchImportFindings 用于寻找提供者。

设定调查结果 IDs

您必须使用Id属性提供、管理和增加自己的调查结果IDs。

每个新发现都应有一个唯一的发现 ID。如果定制产品发送了多个具有相同查找 ID 的搜索结果，则 Security Hub 仅处理第一个查找结果。

设置账户 ID

您必须使用 AwsAccountId 属性指定您自己的账户 ID。

设置创建日期和更新日期

您必须为 CreatedAt 和 UpdatedAt 属性提供您自己的时间戳。

更新来自自定义产品的结果

除了发送来自定制产品的新调查结果外，您还可以使用该BatchImportFindingsAPI操作来更新来自自定义产品的现有调查结果。

要更新现有结果，请使用现有结果 ID（通过 Id 属性）。使用请求中更新的相应信息（包括修改后的 UpdatedAt 时间戳）重新发送完整的结果。

示例自定义集成

您可以使用以下自定义产品集成示例作为指南，创建自己的自定义解决方案：

将 Chef InSpec 扫描结果发送到 Security Hub

您可以创建一个 AWS CloudFormation 模板来运行Chef InSpec合规性扫描，然后将结果发送到 Security Hub。

有关更多详细信息，请参阅《使用 Chef InSpec 和 AWS Security Hub 进行持续合规性监控》。

将 Trivy 检测到的容器漏洞发送到 Security Hub

您可以创建一个用于扫描容器中是否存在漏洞的 AWS CloudFormation 模板，然后将这些漏洞发现发送到 Security Hub。AquaSecurity Trivy

有关更多详细信息，请参阅如何使用Trivy和 Sec AWS urity Hub 构建用于容器漏洞扫描的 CI/CD 管道。