Registro de llamadas a la API CSPM de Security Hub con CloudTrail - AWS Security Hub
Información sobre CSPM de Security Hub en CloudTrailEjemplo: entradas del archivo de registro CSPM de Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registro de llamadas a la API CSPM de Security Hub con CloudTrail

AWS Security Hub Cloud Security Posture Management (CSPM) está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en Security Hub CSPM. CloudTrail captura las llamadas a la API para Security Hub CSPM como eventos. Las llamadas capturadas incluyen llamadas desde la consola CSPM de Security Hub y llamadas de código a las operaciones de la API CSPM de Security Hub. Si crea una ruta, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon S3, incluidos los eventos para Security Hub CSPM. Si no configura una ruta, podrá ver los eventos más recientes en la CloudTrail consola, en el historial de eventos. Con la información que CloudTrail recopila, puede determinar la solicitud que se realizó a Security Hub CSPM, la dirección IP desde la que se realizó la solicitud, quién la hizo, cuándo se realizó y detalles adicionales.

Para obtener más información CloudTrail, incluido cómo configurarlo y habilitarlo, consulte la Guía del AWS CloudTrail usuario.

Información sobre CSPM de Security Hub en CloudTrail

CloudTrail está activado en tu cuenta Cuenta de AWS al crear la cuenta. Cuando se produce una actividad de eventos admitida en Security Hub CSPM, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el historial de eventos. Puede ver, buscar y descargar los últimos eventos de su cuenta. Para obtener más información, consulte Visualización de eventos con el historial de CloudTrail eventos.

Para obtener un registro continuo de los eventos de su cuenta, incluidos los eventos de Security Hub CSPM, cree un registro. Un rastro permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, este se aplica a todas las regiones de AWS . La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para más información, consulte los siguientes temas:

El CSPM de Security Hub admite el registro de todas las acciones de la API CSPM de Security Hub como eventos en los registros. CloudTrail Para ver una lista de las operaciones de CSPM de Security Hub, consulte la referencia de la API de CSPM de Security Hub.

Cuando se registra la actividad de las siguientes acciones CloudTrail, el valor de se establece en. responseElements null Esto garantiza que la información confidencial no se incluya en CloudTrail los registros.

  • BatchImportFindings

  • GetFindings

  • GetInsights

  • GetMembers

  • UpdateFindings

Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente:

  • Si la solicitud se realizó con credenciales de usuario root o AWS Identity and Access Management (IAM)

  • si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado

  • Si la solicitud la realizó otro servicio AWS

Para obtener más información, consulte el elemento userIdentity de CloudTrail .

Ejemplo: entradas del archivo de registro CSPM de Security Hub

Un rastro es una configuración que permite la entrega de eventos como archivos de registro a un bucket de Amazon S3 que especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una solicitud única de cualquier fuente e incluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. CloudTrail Los archivos de registro no son un registro ordenado de las llamadas a la API pública, por lo que no aparecen en ningún orden específico.

En el siguiente ejemplo, se muestra una entrada de CloudTrail registro que demuestra la CreateInsight acción. En este ejemplo, se crea una información llamada Test Insight. Se especifica el atributo ResourceId como el agregador Agrupar por y no se especifican filtros opcionales para esta información. Para obtener más información acerca de las informaciones, consulte Visualización de información en Security Hub CSPM.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAJK6U5DS22IAVUI7BW",
        "arn": "arn:aws:iam::012345678901:user/TestUser",
        "accountId": "012345678901",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "TestUser"
    },
    "eventTime": "2018-11-25T01:02:18Z",
    "eventSource": "securityhub.amazonaws.com",
    "eventName": "CreateInsight",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.251.233.179",
    "userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39",
    "requestParameters": {
        "Filters": {},
        "ResultField": "ResourceId",
        "Name": "Test Insight"
    },
    "responseElements": {
        "InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055"
    },
    "requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066",
    "eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "012345678901"
}