AWS-Service Integrationen mit Security Hub CSPM - AWS Security Hub
Überblick über die AWS Serviceintegrationen mit Security Hub CSPMAWS Dienste, die Ergebnisse an Security Hub CSPM sendenAWS Dienste, die Erkenntnisse von Security Hub CSPM erhalten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS-Service Integrationen mit Security Hub CSPM

AWS Security Hub Cloud Security Posture Management (CSPM) unterstützt Integrationen mit mehreren anderen. AWS-Services

Anmerkung

Integrationen sind möglicherweise nicht in allen verfügbar. AWS-Regionen Wenn eine Integration in der aktuellen Region nicht unterstützt wird, wird sie nicht auf der Seite Integrationen angezeigt.

Eine Liste der Integrationen, die in den Regionen China und verfügbar sind AWS GovCloud (US), finden Sie unter Integrationen, die in den Regionen China (Peking) und China (Ningxia) unterstützt werden undIntegrationen, die in den Regionen AWS GovCloud (USA-Ost) und AWS GovCloud (US-West) unterstützt werden.

Sofern unten nicht anders angegeben, werden AWS-Service Integrationen, die Ergebnisse an Security Hub CSPM senden, automatisch aktiviert, nachdem Sie Security Hub CSPM und den anderen Dienst aktiviert haben. Integrationen, die Security Hub CSPM-Ergebnisse erhalten, erfordern möglicherweise zusätzliche Schritte zur Aktivierung. Lesen Sie die Informationen zu den einzelnen Integrationen, um mehr zu erfahren.

Überblick über die AWS Serviceintegrationen mit Security Hub CSPM

Hier finden Sie eine Übersicht über AWS Dienste, die Ergebnisse an Security Hub CSPM senden oder Ergebnisse von Security Hub CSPM empfangen.

Integrierter Service AWS Richtung

AWS Config

Sendet Ergebnisse

AWS Firewall Manager

Sendet Ergebnisse

Amazon GuardDuty

Sendet Ergebnisse

AWS Health

Sendet Ergebnisse

AWS Identity and Access Management Access Analyzer

Sendet Ergebnisse

Amazon Inspector

Sendet Ergebnisse

AWS IoT Device Defender

Sendet Ergebnisse

Amazon Macie

Sendet Ergebnisse

AWS Systems Manager Patchmanager

Sendet Ergebnisse

AWS Audit Manager

Empfängt Ergebnisse

Amazon Q Developer in Chat-Anwendungen

Erhält Ergebnisse

Amazon Detective

Erhält Ergebnisse

Amazon Security Lake

Erhält Ergebnisse

AWS Systems Manager Entdecker und OpsCenter

Empfängt und aktualisiert die Ergebnisse

AWS Trusted Advisor

Erhält Ergebnisse

AWS Dienste, die Ergebnisse an Security Hub CSPM senden

Die folgenden AWS Dienste lassen sich in Security Hub CSPM integrieren, indem sie Ergebnisse an Security Hub CSPM senden. Security Hub CSPM konvertiert die Ergebnisse in das AWS Security Finding Format.

AWS Config (Sendet Ergebnisse)

AWS Config ist ein Service, mit dem Sie die Konfigurationen Ihrer AWS Ressourcen bewerten, prüfen und auswerten können. AWS Config überwacht und zeichnet Ihre AWS Ressourcenkonfigurationen kontinuierlich auf und ermöglicht es Ihnen, die Auswertung der aufgezeichneten Konfigurationen anhand der gewünschten Konfigurationen zu automatisieren.

Wenn Sie die Integration mit verwenden AWS Config, können Sie die Ergebnisse AWS Config verwalteter und benutzerdefinierter Regelauswertungen als Ergebnisse in Security Hub CSPM anzeigen. Diese Ergebnisse können zusammen mit anderen CSPM-Ergebnissen von Security Hub eingesehen werden und bieten so einen umfassenden Überblick über Ihren Sicherheitsstatus.

AWS Config verwendet Amazon EventBridge , um AWS Config Regelauswertungen an Security Hub CSPM zu senden. Security Hub CSPM wandelt die Regelauswertungen in Ergebnisse um, die dem AWS Security Finding Format entsprechen. Security Hub CSPM bereichert die Ergebnisse dann nach bestem Wissen und Gewissen, indem weitere Informationen über die betroffenen Ressourcen abgerufen werden, z. B. den Amazon-Ressourcennamen (ARN), die Ressourcen-Tags und das Erstellungsdatum.

Weitere Informationen zu dieser Integration finden Sie in den folgenden Abschnitten.

Alle Ergebnisse in Security Hub CSPM verwenden das standardmäßige JSON-Format von ASFF. ASFF enthält Details zur Herkunft des Befundes, zur betroffenen Ressource und zum aktuellen Status des Ergebnisses. AWS Config sendet verwaltete und benutzerdefinierte Regelauswertungen an Security Hub CSPM über. EventBridge Security Hub CSPM wandelt die Regelbeurteilungen in Ergebnisse um, die sich an ASFF orientieren, und bereichert die Ergebnisse nach bestem Wissen und Gewissen.

Arten von Ergebnissen, die AWS Config an Security Hub CSPM gesendet werden

AWS Config Sendet nach der Aktivierung der Integration Bewertungen aller AWS Config verwalteten Regeln und benutzerdefinierten Regeln an Security Hub CSPM. Es werden nur Bewertungen gesendet, die nach der Aktivierung von Security Hub CSPM durchgeführt wurden. Nehmen wir zum Beispiel an, dass bei einer AWS Config Regelauswertung fünf Ressourcen ausgefallen sind. Wenn ich danach Security Hub CSPM aktiviere und die Regel dann eine sechste ausgefallene Ressource aufdeckt, wird nur die sechste Ressourcenbewertung an Security Hub CSPM AWS Config gesendet.

Evaluierungen anhand von serviceverknüpften AWS Config Regeln, wie sie beispielsweise zur Durchführung von Prüfungen von Security Hub CSPM-Steuerelementen verwendet werden, sind ausgeschlossen.

AWS Config Ergebnisse an Security Hub CSPM senden

Wenn die Integration aktiviert ist, weist Security Hub CSPM automatisch die Berechtigungen zu, die für den Empfang von Ergebnissen erforderlich sind. AWS Config Security Hub CSPM verwendet service-to-service Level-Berechtigungen, die Ihnen eine sichere Möglichkeit bieten, diese Integration zu aktivieren und Ergebnisse von AWS Config Amazon zu importieren. EventBridge

Latenz für das Senden von Erkenntnissen

Wenn ein neues Ergebnis AWS Config erstellt wird, können Sie das Ergebnis normalerweise innerhalb von fünf Minuten in Security Hub CSPM anzeigen.

Wiederholter Versuch, wenn Security Hub CSPM nicht verfügbar ist

AWS Config sendet die Ergebnisse nach bestem Wissen und Gewissen an Security Hub CSPM. EventBridge Wenn ein Ereignis nicht erfolgreich an Security Hub CSPM übermittelt wurde, wird die Zustellung bis zu 24 Stunden oder 185 Mal EventBridge wiederholt, je nachdem, was zuerst eintritt.

Aktualisierung vorhandener AWS Config Ergebnisse in Security Hub CSPM

Nachdem ein Ergebnis an Security Hub CSPM AWS Config gesendet wurde, kann es Aktualisierungen desselben Ergebnisses an Security Hub CSPM senden, um zusätzliche Beobachtungen der Findungsaktivität widerzuspiegeln. Updates werden nur für Ereignisse gesendet. ComplianceChangeNotification Wenn keine Änderung der Konformität erfolgt, werden keine Updates an Security Hub CSPM gesendet. Security Hub CSPM löscht Ergebnisse 90 Tage nach dem letzten Update oder 90 Tage nach der Erstellung, wenn kein Update erfolgt.

Security Hub CSPM archiviert keine Ergebnisse, die gesendet werden, AWS Config selbst wenn Sie die zugehörige Ressource löschen.

Regionen, in denen Ergebnisse vorliegen AWS Config

AWS Config Die Ergebnisse erfolgen auf regionaler Basis. AWS Config sendet Ergebnisse an Security Hub CSPM in derselben Region oder Regionen, in denen die Ergebnisse auftreten.

Um Ihre AWS Config Ergebnisse anzuzeigen, wählen Sie Findings im Security Hub CSPM-Navigationsbereich aus. Um die Ergebnisse so zu filtern, dass nur AWS Config Ergebnisse angezeigt werden, wählen Sie in der Dropdownliste der Suchleiste die Option Produktname aus. Geben Sie Config ein und wählen Sie Apply aus.

Interpretieren AWS Config von gefundenen Namen in Security Hub CSPM

Security Hub CSPM wandelt AWS Config Regelauswertungen in Ergebnisse um, die dem folgen. AWS Format für Sicherheitssuche (ASFF) AWS Config Regelauswertungen verwenden ein anderes Ereignismuster als ASFF. In der folgenden Tabelle werden die Felder für die AWS Config Regelauswertung ihrem ASFF-Gegenstück zugeordnet, so wie sie in Security Hub CSPM erscheinen.

Findetyp für die Auswertung der Konfigurationsregel ASFF-Ergebnistyp Hartcodierter Wert
Detail. awsAccountId AwsAccountId
Detail. newEvaluationResult. resultRecordedTime CreatedAt
Detail. newEvaluationResult. resultRecordedTime UpdatedAt
ProductArn <region>„arn ::securityhub:<partition>::“ product/aws/config
ProductName „Config“
CompanyName "AWS"
Region „eu-central-1"
configRuleArn GeneratorId, ProductFields
Detail. ConfigRuleARN/finding/hash Id
Detail. configRuleName Titel, ProductFields
Detail. configRuleName Beschreibung „Dieses Ergebnis wurde für eine Änderung der Ressourcenkonformität für die Konfigurationsregel erstellt:${detail.ConfigRuleName}
Konfigurationselement „ARN“ oder von Security Hub CSPM berechneter ARN Ressourcen [i] .id
detail.Ressourcentyp Ressourcen [i] .Type "AwsS3Bucket"
Ressourcen [i] .Partition "aws"
Ressourcen [i] .Region „eu-central-1"
Konfigurationselement „Konfiguration“ Ressourcen [i] .Details
SchemaVersion „2018-10-08"
Schweregrad. Bezeichnung Weitere Informationen finden Sie weiter unten unter „Interpretation des Schweregrads“
Typen ["Software- und Konfigurationsprüfungen"]
Detail. newEvaluationResult. Art der Konformität Konformität. Status „FEHLGESCHLAGEN“, „NOT_AVAILABLE“, „BESTANDEN“ oder „WARNUNG“
Arbeitsablauf.Status „RESOLVED“, wenn ein AWS Config Ergebnis mit dem Wert Compliance.Status auf „PASSED“ generiert wird oder wenn sich der Wert Compliance.Status von „FAILED“ auf „PASSED“ ändert. Andernfalls lautet Workflow.Status „NEW“. Sie können diesen Wert mit der BatchUpdateFindingsAPI-Operation ändern.

Interpretation der Bezeichnung des Schweregrads

Für alle Ergebnisse aus AWS Config Regelauswertungen ist in der ASFF standardmäßig der Schweregrad MITTEL angegeben. Sie können den Schweregrad eines Ergebnisses mit dem BatchUpdateFindingsAPI-Vorgang aktualisieren.

Typischer Befund von AWS Config

Security Hub CSPM wandelt AWS Config Regelauswertungen in Ergebnisse um, die dem ASFF folgen. Im Folgenden finden Sie ein Beispiel für ein typisches Ergebnis aus AWS Config der ASFF.

Anmerkung

Wenn die Beschreibung mehr als 1024 Zeichen umfasst, wird sie auf 1024 Zeichen gekürzt und am Ende steht „(gekürzt)“.

{
	"SchemaVersion": "2018-10-08",
	"Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932",
	"ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config",
	"ProductName": "Config",
	"CompanyName": "AWS",
	"Region": "eu-central-1",
	"GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
	"AwsAccountId": "123456789012",
	"Types": [
		"Software and Configuration Checks"
	],
	"CreatedAt": "2022-04-15T05:00:37.181Z",
	"UpdatedAt": "2022-04-19T21:20:15.056Z",
	"Severity": {
		"Label": "MEDIUM",
		"Normalized": 40
	},
	"Title": "s3-bucket-level-public-access-prohibited-config-integration-demo",
	"Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo",
	"ProductFields": {
		"aws/securityhub/ProductName": "Config",
		"aws/securityhub/CompanyName": "AWS",
		"aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902",
		"aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
		"aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo",
		"aws/config/ConfigComplianceType": "NON_COMPLIANT"
	},
	"Resources": [{
		"Type": "AwsS3Bucket",
		"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
		"Partition": "aws",
		"Region": "eu-central-1",
		"Details": {
			"AwsS3Bucket": {
				"OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c",
				"CreatedAt": "2022-04-15T04:32:53.000Z"
			}
		}
	}],
	"Compliance": {
		"Status": "FAILED"
	},
	"WorkflowState": "NEW",
	"Workflow": {
		"Status": "NEW"
	},
	"RecordState": "ACTIVE",
	"FindingProviderFields": {
		"Severity": {
			"Label": "MEDIUM"
		},
		"Types": [
			"Software and Configuration Checks"
		]
	}
}

Nachdem Sie Security Hub CSPM aktiviert haben, wird diese Integration automatisch aktiviert. AWS Config beginnt sofort, Ergebnisse an Security Hub CSPM zu senden.

Um das Senden von Ergebnissen an Security Hub CSPM zu beenden, können Sie die Security Hub CSPM-Konsole oder die Security Hub CSPM-API verwenden.

Anweisungen zum Stoppen des Flusses von Ergebnissen finden Sie unter. Den Fluss von Erkenntnissen aus einer Security Hub CSPM-Integration ermöglichen

AWS Firewall Manager (Sendet Ergebnisse)

Firewall Manager sendet Ergebnisse an Security Hub CSPM, wenn eine Web Application Firewall (WAF) -Richtlinie für Ressourcen oder eine Web Access Control List (Web ACL) -Regel nicht den Vorschriften entspricht. Firewall Manager sendet auch Erkenntnisse, wenn AWS Shield Advanced Ressourcen nicht geschützt sind oder wenn ein Angriff erkannt wird.

Nachdem Sie Security Hub CSPM aktiviert haben, wird diese Integration automatisch aktiviert. Firewall Manager beginnt sofort, Ergebnisse an Security Hub CSPM zu senden.

Weitere Informationen zur Integration finden Sie auf der Seite Integrationen in der Security Hub CSPM-Konsole.

Weitere Informationen zu Firewall Manager finden Sie im AWS WAF Entwicklerhandbuch.

Amazon GuardDuty (Sendet Ergebnisse)

GuardDuty sendet alle von ihm generierten Befundtypen an Security Hub CSPM. Für einige Befundtypen gelten Voraussetzungen, Aktivierungsanforderungen oder regionale Einschränkungen. Weitere Informationen GuardDuty finden Sie im GuardDuty Amazon-Benutzerhandbuch unter Typen suchen.

Neue Ergebnisse von GuardDuty werden innerhalb von fünf Minuten an Security Hub CSPM gesendet. Aktualisierungen der Ergebnisse werden auf der Grundlage der Einstellung Aktualisierte Ergebnisse für Amazon EventBridge in den GuardDuty Einstellungen gesendet.

Wenn Sie GuardDuty Stichprobenergebnisse mithilfe der GuardDuty Einstellungsseite generieren, empfängt Security Hub CSPM die Probenergebnisse und lässt das Präfix [Sample] im Befundtyp weg. Beispielsweise GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions wird der Suchtyp der Stichprobe in wie Recon:IAMUser/ResourcePermissions in Security Hub CSPM angezeigt.

Nachdem Sie Security Hub CSPM aktiviert haben, wird diese Integration automatisch aktiviert. GuardDuty beginnt sofort, Ergebnisse an Security Hub CSPM zu senden.

Weitere Informationen zur GuardDuty Integration finden Sie unter Integration mit AWS Security Hub Cloud Security Posture Management (CSPM) im GuardDuty Amazon-Benutzerhandbuch.

AWS Health (Sendet Ergebnisse)

AWS Health bietet fortlaufenden Einblick in die Leistung Ihrer Ressourcen und die Verfügbarkeit Ihrer AWS-Services Ressourcen AWS-Konten. Sie können AWS Health Ereignisse verwenden, um zu erfahren, wie sich Änderungen an Diensten und Ressourcen auf Ihre Anwendungen auswirken können, die auf ausgeführt AWS werden.

Die Integration mit verwendet AWS Health nichtBatchImportFindings. AWS Health Verwendet stattdessen service-to-service Ereignisnachrichten, um Ergebnisse an Security Hub CSPM zu senden.

Weitere Informationen zur Integration finden Sie in den folgenden Abschnitten.

In Security Hub CSPM werden Sicherheitsprobleme als Ergebnisse verfolgt. Einige Ergebnisse stammen aus Problemen, die von anderen AWS Diensten oder von Drittanbietern entdeckt wurden. Security Hub CSPM verfügt außerdem über eine Reihe von Regeln, anhand derer Sicherheitsprobleme erkannt und Ergebnisse generiert werden.

Security Hub CSPM bietet Tools zur Verwaltung von Ergebnissen aus all diesen Quellen. Sie können Listen mit Erkenntnissen anzeigen und filtern und Details zu einer Erkenntnis anzeigen. Siehe Überprüfung der Funddetails und des Verlaufs in Security Hub CSPM. Sie können auch den Status einer Untersuchung zu einer Erkenntnis nachverfolgen. Siehe Den Workflow-Status von Ergebnissen in Security Hub CSPM festlegen.

Alle Ergebnisse in Security Hub CSPM verwenden ein Standard-JSON-Format namens. AWS Format für Sicherheitssuche (ASFF) ASFF enthält Einzelheiten zur Ursache des Problems, zu den betroffenen Ressourcen und zum aktuellen Stand der Ergebnisse.

AWS Health ist einer der AWS Dienste, der Ergebnisse an Security Hub CSPM sendet.

Arten von Ergebnissen, die AWS Health an Security Hub CSPM gesendet werden

AWS Health Sendet nach der Aktivierung der Integration Ergebnisse, die eine oder mehrere der aufgelisteten Spezifikationen erfüllen, an Security Hub CSPM. Security Hub CSPM nimmt die Ergebnisse in die auf. AWS Format für Sicherheitssuche (ASFF)

  • Ergebnisse, die einen der folgenden Werte enthalten für: AWS-Service

    • RISK

    • ABUSE

    • ACM

    • CLOUDHSM

    • CLOUDTRAIL

    • CONFIG

    • CONTROLTOWER

    • DETECTIVE

    • EVENTS

    • GUARDDUTY

    • IAM

    • INSPECTOR

    • KMS

    • MACIE

    • SES

    • SECURITYHUB

    • SHIELD

    • SSO

    • COGNITO

    • IOTDEVICEDEFENDER

    • NETWORKFIREWALL

    • ROUTE53

    • WAF

    • FIREWALLMANAGER

    • SECRETSMANAGER

    • BACKUP

    • AUDITMANAGER

    • ARTIFACT

    • CLOUDENDURE

    • CODEGURU

    • ORGANIZATIONS

    • DIRECTORYSERVICE

    • RESOURCEMANAGER

    • CLOUDWATCH

    • DRS

    • INSPECTOR2

    • RESILIENCEHUB

  • Ergebnisse mit den Wörtern securityabuse, oder certificate im AWS Health typeCode Feld

  • Feststellungen, wo sich der AWS Health Dienst befindet risk oder abuse

AWS Health Ergebnisse an Security Hub CSPM senden

Wenn Sie sich dafür entscheiden, Ergebnisse von zu akzeptieren AWS Health, weist Security Hub CSPM automatisch die Berechtigungen zu, die für den Empfang der Ergebnisse von erforderlich sind. AWS Health Security Hub CSPM verwendet service-to-service Level-Berechtigungen, die Ihnen eine sichere und einfache Möglichkeit bieten, diese Integration zu aktivieren und Ergebnisse in Ihrem Namen AWS Health über EventBridge Amazon zu importieren. Wenn Sie „Ergebnisse akzeptieren“ wählen, erteilt Security Hub CSPM die Erlaubnis, Ergebnisse von zu verwenden. AWS Health

Latenz für das Senden von Erkenntnissen

Wenn ein neues Ergebnis AWS Health erstellt wird, wird es normalerweise innerhalb von fünf Minuten an Security Hub CSPM gesendet.

Wiederholter Versuch, wenn Security Hub CSPM nicht verfügbar ist

AWS Health sendet die Ergebnisse nach bestem Wissen und Gewissen an Security Hub CSPM. EventBridge Wenn ein Ereignis nicht erfolgreich an Security Hub CSPM übermittelt wurde, wird EventBridge erneut versucht, das Ereignis für 24 Stunden zu senden.

Aktualisierung vorhandener Ergebnisse in Security Hub CSPM

Nachdem ein Ergebnis an Security Hub CSPM AWS Health gesendet wurde, kann es Updates zu demselben Ergebnis senden, um zusätzliche Beobachtungen der Findungsaktivität an Security Hub CSPM widerzuspiegeln.

Regionen, in denen Ergebnisse vorliegen

AWS Health Sendet bei globalen Ereignissen Ergebnisse an Security Hub CSPM in us-east-1 (AWS Partition), cn-northwest-1 (Partition China) und -1 (Partition). gov-us-west GovCloud AWS Health sendet regionsspezifische Ereignisse an Security Hub CSPM in derselben Region oder Regionen, in denen die Ereignisse auftreten.

Um Ihre AWS Health Ergebnisse in Security Hub CSPM anzuzeigen, wählen Sie im Navigationsbereich Findings aus. Um die Ergebnisse so zu filtern, dass nur AWS Health Ergebnisse angezeigt werden, wählen Sie Health aus dem Feld Produktname aus.

Interpretieren AWS Health von gefundenen Namen in Security Hub CSPM

AWS Health sendet die Ergebnisse mit dem an Security Hub CSPM. AWS Format für Sicherheitssuche (ASFF) AWS Health Die Suche verwendet ein anderes Ereignismuster als das Security Hub CSPM ASFF-Format. In der folgenden Tabelle sind alle Ergebnisfelder mit ihren ASFF-Gegenstücken aufgeführt, so wie sie in Security Hub CSPM erscheinen. AWS Health

Art Health Gesundheitsbefundung ASFF-Ergebnistyp Hartcodierter Wert
Konto AwsAccountId
Detail.StartTime CreatedAt
Detail.EventDescription.Letzte Beschreibung Beschreibung
Detail. eventTypeCode GeneratorId
detail.eventArn (einschließlich Konto) + Hash von detail.StartTime Id
<region>„arn:aws:securityhub:::“ product/aws/health ProductArn
Konto oder resourceId Ressourcen [i] .id
Ressourcen [i] .Type „Andere“
SchemaVersion „2018-10-08"
Schweregrad. Bezeichnung Weitere Informationen finden Sie weiter unten unter „Interpretation des Schweregrads“
Detail „AWS Health -“. eventTypeCode Title
- Typen ["Software- und Konfigurationschecks"]
event.time UpdatedAt
URL des Ereignisses auf der Health Console SourceUrl
Der Schweregrad wird interpretiert

Der Schweregrad im ASFF-Ergebnis wird anhand der folgenden Logik bestimmt:

  • Schweregrad KRITISCH wenn:

    • Das service Feld im AWS Health Ergebnis hat den Wert Risk

    • Das typeCode Feld im AWS Health Ergebnis hat den Wert AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION

    • Das typeCode Feld im AWS Health Ergebnis hat den Wert AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK

    • Das typeCode Feld im AWS Health Ergebnis hat den Wert AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES

    Schweregrad HOCH, wenn:

    • Das service Feld im AWS Health Ergebnis hat den Wert Abuse

    • Das typeCode Feld im AWS Health Befund enthält den Wert SECURITY_NOTIFICATION

    • Das typeCode Feld im AWS Health Befund enthält den Wert ABUSE_DETECTION

    Schweregrad MITTEL, wenn:

    • Das service Feld im Ergebnis ist eines der folgenden:ACM,,,,,,ARTIFACT,AUDITMANAGER,BACKUP,,CLOUDENDURE,CLOUDHSM,CLOUDTRAIL,CLOUDWATCH,,CODEGURGU,COGNITO,CONFIG,CONTROLTOWER,,DETECTIVE,DIRECTORYSERVICE,DRS,EVENTS,,FIREWALLMANAGER,GUARDDUTY,IAM,INSPECTOR,,INSPECTOR2,IOTDEVICEDEFENDER,KMS,MACIE,NETWORKFIREWALL,,ORGANIZATIONS,RESILIENCEHUB,RESOURCEMANAGER,ROUTE53,,SECURITYHUB,SECRETSMANAGER,SES,SHIELD,,SSO, oder WAF

    • Das TypeCode-Feld im AWS Health Ergebnis enthält den Wert CERTIFICATE

    • Das TypeCode-Feld im AWS Health Befund enthält den Wert END_OF_SUPPORT

Typischer Befund von AWS Health

AWS Health sendet Ergebnisse mit dem an Security Hub CSPM. AWS Format für Sicherheitssuche (ASFF) Im Folgenden finden Sie ein Beispiel für ein typisches Ergebnis von. AWS Health

Anmerkung

Wenn die Beschreibung mehr als 1024 Zeichen umfasst, wird sie auf 1024 Zeichen gekürzt und am Ende steht (gekürzt).

{
            "SchemaVersion": "2018-10-08",
            "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health",
            "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS",
            "AwsAccountId": "123456789012",
            "Types": [
                "Software and Configuration Checks"
            ],
            "CreatedAt": "2022-01-07T16:34:04.000Z",
            "UpdatedAt": "2022-01-07T19:17:43.000Z",
            "Severity": {
                "Label": "MEDIUM",
                "Normalized": 40
            },
            "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS",
            "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).",
            "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
            "ProductFields": {
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
                "aws/securityhub/ProductName": "Health",
                "aws/securityhub/CompanyName": "AWS"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com"
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "MEDIUM"
                },
                "Types": [
                    "Software and Configuration Checks"
                ]
            }
        }
    ]
}

Nachdem Sie Security Hub CSPM aktiviert haben, wird diese Integration automatisch aktiviert. AWS Health beginnt sofort, Ergebnisse an Security Hub CSPM zu senden.

Um das Senden von Ergebnissen an Security Hub CSPM zu beenden, können Sie die Security Hub CSPM-Konsole oder die Security Hub CSPM-API verwenden.

Anweisungen zum Stoppen des Flusses von Ergebnissen finden Sie unter. Den Fluss von Erkenntnissen aus einer Security Hub CSPM-Integration ermöglichen

AWS Identity and Access Management Access Analyzer (Sendet Ergebnisse)

Mit IAM Access Analyzer werden alle Ergebnisse an Security Hub CSPM gesendet.

IAM Access Analyzer analysiert anhand von logischer Argumentation ressourcenbasierte Richtlinien, die auf unterstützte Ressourcen in Ihrem Konto angewendet werden. IAM Access Analyzer generiert ein Ergebnis, wenn er eine Richtlinienaussage entdeckt, die einem externen Principal den Zugriff auf eine Ressource in Ihrem Konto ermöglicht.

In IAM Access Analyzer kann nur das Administratorkonto Ergebnisse für Analyzer sehen, die für eine Organisation gelten. Bei Organisationsanalyseprogrammen gibt das AwsAccountId ASFF-Feld die Administratorkonto-ID an. Das ResourceOwnerAccount Feld ProductFields darunter gibt das Konto an, in dem das Ergebnis entdeckt wurde. Wenn Sie Analyzer für jedes Konto einzeln aktivieren, generiert Security Hub CSPM mehrere Ergebnisse, eines, das die Administratorkonto-ID identifiziert, und eines, das die Ressourcenkonto-ID identifiziert.

Weitere Informationen finden Sie unter Integration mit AWS Security Hub Cloud Security Posture Management (CSPM) im IAM-Benutzerhandbuch.

Amazon Inspector (Sendet Ergebnisse)

Amazon Inspector ist ein Schwachstellen-Management-Service, der Ihre AWS Workloads kontinuierlich auf Schwachstellen überprüft. Amazon Inspector erkennt und scannt automatisch EC2 Amazon-Instances und Container-Images, die sich in der Amazon Elastic Container Registry befinden. Der Scan sucht nach Sicherheitslücken in Software und unbeabsichtigter Netzwerkgefährdung.

Nachdem Sie Security Hub CSPM aktiviert haben, wird diese Integration automatisch aktiviert. Amazon Inspector beginnt sofort, alle Ergebnisse, die es generiert, an Security Hub CSPM zu senden.

Weitere Informationen zur Integration finden Sie unter Integration mit AWS Security Hub Cloud Security Posture Management (CSPM) im Amazon Inspector Inspector-Benutzerhandbuch.

Security Hub CSPM kann auch Ergebnisse von Amazon Inspector Classic erhalten. Amazon Inspector Classic sendet Ergebnisse an Security Hub CSPM, die im Rahmen von Bewertungsläufen für alle unterstützten Regelpakete generiert wurden.

Weitere Informationen zur Integration finden Sie unter Integration mit AWS Security Hub Cloud Security Posture Management (CSPM) im Amazon Inspector Classic-Benutzerhandbuch.

Die Ergebnisse für Amazon Inspector und Amazon Inspector Classic verwenden denselben Produkt-ARN. Die Ergebnisse von Amazon Inspector haben den folgenden Eintrag inProductFields:

"aws/inspector/ProductVersion": "2",

AWS IoT Device Defender (Sendet Ergebnisse)

AWS IoT Device Defender ist ein Sicherheitsdienst, der die Konfiguration Ihrer IoT-Geräte überprüft, angeschlossene Geräte überwacht, um ungewöhnliches Verhalten zu erkennen, und zur Minderung von Sicherheitsrisiken beiträgt.

Nachdem Sie AWS IoT Device Defender sowohl als auch Security Hub CSPM aktiviert haben, rufen Sie die Seite Integrationen der Security Hub CSPM-Konsole auf und wählen Sie Ergebnisse akzeptieren für Audit, Detect oder beides aus. AWS IoT Device Defender Audit and Detect beginnt, alle Ergebnisse an Security Hub CSPM zu senden.

AWS IoT Device Defender Audit sendet Prüfzusammenfassungen an Security Hub CSPM, die allgemeine Informationen für einen bestimmten Prüfungstyp und eine bestimmte Prüfungsaufgabe enthalten. AWS IoT Device Defender Detect sendet festgestellte Verstöße für maschinelles Lernen (ML), statistisches und statisches Verhalten an Security Hub CSPM. Audit sendet auch gefundene Updates an Security Hub CSPM.

Weitere Informationen zu dieser Integration finden Sie unter Integration mit AWS Security Hub Cloud Security Posture Management (CSPM) im AWS IoT Entwicklerhandbuch.

Amazon Macie (Sendet Ergebnisse)

Ein Ergebnis von Macie kann darauf hinweisen, dass ein potenzieller Verstoß gegen die Richtlinien vorliegt oder dass sensible Daten, wie z. B. personenbezogene Daten (PII), in Daten enthalten sind, die Ihre Organisation in Amazon S3 speichert.

Nachdem Sie Security Hub CSPM aktiviert haben, beginnt Macie automatisch, Richtlinienergebnisse an Security Hub CSPM zu senden. Sie können die Integration so konfigurieren, dass auch Ergebnisse vertraulicher Daten an Security Hub CSPM gesendet werden.

In Security Hub CSPM wird der Suchtyp für eine Richtlinie oder einen Fund vertraulicher Daten auf einen Wert geändert, der mit ASFF kompatibel ist. Beispielsweise wird der Policy:IAMUser/S3BucketPublic Findungstyp in Macie wie Effects/Data Exposure/Policy:IAMUser-S3BucketPublic in Security Hub CSPM angezeigt.

Macie sendet auch generierte Probenergebnisse an Security Hub CSPM. Bei Stichprobenergebnissen lautet der Name der betroffenen Ressource macie-sample-finding-bucket und der Wert für das Sample Feld lautet. true

Weitere Informationen finden Sie unter Amazon Macie Macie-Integration mit AWS Security Hub Cloud Security Posture Management (CSPM) im Amazon Macie Macie-Benutzerhandbuch.

AWS Systems Manager Patch Manager (Sendet Ergebnisse)

AWS Systems Manager Patch Manager sendet Ergebnisse an Security Hub CSPM, wenn Instances in der Flotte eines Kunden nicht mehr dem Patch-Compliance-Standard entsprechen.

Patch Manager automatisiert das Patchen verwalteter Instances mit sicherheitsrelevanten und anderen Arten von Updates.

Nachdem Sie Security Hub CSPM aktiviert haben, wird diese Integration automatisch aktiviert. Systems Manager Patch Manager beginnt sofort, Ergebnisse an Security Hub CSPM zu senden.

Weitere Informationen zur Verwendung von Patch Manager finden Sie unter AWS Systems Manager Patch Manager im AWS Systems Manager Benutzerhandbuch.

AWS Dienste, die Erkenntnisse von Security Hub CSPM erhalten

Die folgenden AWS Dienste sind in Security Hub CSPM integriert und beziehen Ergebnisse von Security Hub CSPM. Sofern angegeben, kann der integrierte Dienst die Ergebnisse auch aktualisieren. In diesem Fall wird das Auffinden von Updates, die Sie im integrierten Dienst vornehmen, auch in Security Hub CSPM widergespiegelt.

AWS Audit Manager (Erhält Ergebnisse)

AWS Audit Manager erhält Ergebnisse von Security Hub CSPM. Diese Ergebnisse helfen den Benutzern von Audit Manager, sich auf Audits vorzubereiten.

Weitere Informationen zu Audit Manager finden Sie im AWS Audit Manager Manager-Benutzerhandbuch. AWS Security Hub Cloud Security Posture Management (CSPM) -Prüfungen, die von unterstützt werden, AWS Audit Manager listet die Kontrollen auf, für die Security Hub CSPM Ergebnisse an Audit Manager sendet.

Amazon Q Developer in Chat-Anwendungen (erhält Ergebnisse)

Amazon Q Developer in Chat-Anwendungen ist ein interaktiver Agent, der Ihnen hilft, Ihre AWS Ressourcen in Ihren Slack-Kanälen und Amazon Chime Chime-Chatrooms zu überwachen und mit ihnen zu interagieren.

Amazon Q Developer in Chat-Anwendungen erhält Ergebnisse von Security Hub CSPM.

Weitere Informationen zur Integration von Amazon Q Developer in Chat-Anwendungen mit Security Hub CSPM finden Sie in der Übersicht über die Security Hub CSPM-Integration im Administratorhandbuch für Amazon Q Developer in Chat-Anwendungen.

Amazon Detective (erhält Ergebnisse)

Detective sammelt automatisch Protokolldaten aus Ihren AWS Ressourcen und nutzt maschinelles Lernen, statistische Analysen und Graphentheorie, um Sie bei der Visualisierung und Durchführung schnellerer und effizienterer Sicherheitsuntersuchungen zu unterstützen.

Die Security Hub CSPM-Integration mit Detective ermöglicht es Ihnen, von GuardDuty Amazon-Ergebnissen in Security Hub CSPM zu Detective zu wechseln. Anschließend können Sie die Detective-Tools und Visualisierungen verwenden, um sie zu untersuchen. Für die Integration ist keine zusätzliche Konfiguration in Security Hub CSPM oder Detective erforderlich.

Für Ergebnisse, die von anderen stammen AWS-Services, enthält der Bereich mit den Ergebnisdetails auf der Security Hub CSPM-Konsole den Unterabschnitt Investigate in Detective. Dieser Unterabschnitt enthält einen Link zu Detective, über den Sie das Sicherheitsproblem, das durch den Befund gemeldet wurde, weiter untersuchen können. Sie können in Detective auch ein Verhaltensdiagramm erstellen, das auf den Ergebnissen des Security Hub CSPM basiert, um effektivere Untersuchungen durchzuführen. Weitere Informationen finden Sie in den AWS Sicherheitsergebnissen im Amazon Detective Administration Guide.

Wenn die regionsübergreifende Aggregation aktiviert ist und Sie von der Aggregationsregion aus wechseln, wird Detective in der Region geöffnet, aus der das Ergebnis stammt.

Wenn ein Link nicht funktioniert, finden Sie Hinweise zur Fehlerbehebung unter Troubleshooting the Pivot.

Amazon Security Lake (erhält Ergebnisse)

Security Lake ist ein vollständig verwalteter Sicherheits-Data-Lake-Service. Sie können Security Lake verwenden, um Sicherheitsdaten aus Cloud-, lokalen und benutzerdefinierten Quellen automatisch in einem Data Lake zu zentralisieren, der in Ihrem Konto gespeichert ist. Abonnenten können Daten aus Security Lake für Ermittlungs- und Analysezwecke nutzen.

Um diese Integration zu aktivieren, müssen Sie beide Dienste aktivieren und Security Hub CSPM als Quelle in der Security Lake-Konsole, der Security Lake-API oder hinzufügen. AWS CLI Sobald Sie diese Schritte abgeschlossen haben, beginnt Security Hub CSPM, alle Ergebnisse an Security Lake zu senden.

Security Lake normalisiert die CSPM-Ergebnisse von Security Hub automatisch und konvertiert sie in ein standardisiertes Open-Source-Schema namens Open Cybersecurity Schema Framework (OCSF). In Security Lake können Sie einen oder mehrere Abonnenten hinzufügen, um die CSPM-Ergebnisse von Security Hub zu nutzen.

Weitere Informationen zu dieser Integration, einschließlich Anweisungen zum Hinzufügen von Security Hub CSPM als Quelle und zum Erstellen von Abonnenten, finden Sie unter Integration mit AWS Security Hub Cloud Security Posture Management (CSPM) im Amazon Security Lake-Benutzerhandbuch.

AWS Systems Manager Explorer und OpsCenter (Empfängt und aktualisiert Ergebnisse)

AWS Systems Manager Erkunden und OpsCenter empfangen Sie Ergebnisse von Security Hub CSPM und aktualisieren Sie diese Ergebnisse in Security Hub CSPM.

Explorer bietet Ihnen ein anpassbares Dashboard, das wichtige Einblicke und Analysen zum Betriebsstatus und zur Leistung Ihrer Umgebung bietet. AWS

OpsCenter bietet Ihnen einen zentralen Ort, an dem Sie betriebliche Arbeitsaufgaben anzeigen, untersuchen und lösen können.

Weitere Informationen zu Explorer und OpsCenter finden Sie unter Operations Management im AWS Systems Manager Benutzerhandbuch.

AWS Trusted Advisor (Erhält Ergebnisse)

Trusted Advisor stützt sich auf bewährte Verfahren, die bei der Betreuung von Hunderttausenden von AWS Kunden gelernt wurden. Trusted Advisor untersucht Ihre AWS Umgebung und gibt dann Empfehlungen, wenn Möglichkeiten bestehen, Geld zu sparen, die Systemverfügbarkeit und -leistung zu verbessern oder Sicherheitslücken zu schließen.

Wenn Sie Trusted Advisor sowohl als auch Security Hub CSPM aktivieren, wird die Integration automatisch aktualisiert.

Security Hub CSPM sendet die Ergebnisse seiner AWS Foundational Security Best Practices-Prüfungen an. Trusted Advisor

Weitere Informationen zur Security Hub CSPM-Integration mit Trusted Advisor finden Sie unter Anzeigen von AWS Security Hub Cloud Security Posture Management (CSPM) -Steuerelementen AWS Trusted Advisor im AWS Support-Benutzerhandbuch.