Integraciones de Servicio de AWS con el CSPM de Security Hub
El CSPM de AWS Security Hub admite integraciones con otros Servicios de AWS. Estas integraciones pueden ayudar a obtener una visión global de la seguridad y conformidad en todo su entorno de AWS.
A menos que se indique lo contrario a continuación, las integraciones con Servicio de AWS que envían resultados al CSPM de Security Hub se activan automáticamente después de habilitar el CSPM de Security Hub y el otro servicio. Es posible que se necesite realizar pasos adicionales para habilitar algunas integraciones que reciben resultados del CSPM de Security Hub. Revise la información sobre cada integración para obtener más información.
Algunas integraciones no están disponibles en todas las Regiones de AWS. En la consola del CSPM de Security Hub, una integración no aparece en la página Integraciones si no es compatible en la región actual. Para ver una lista de las integraciones disponibles en las regiones de China y AWS GovCloud (US) Regions, consulte Disponibilidad de las integraciones por región.
Información general sobre las integraciones de servicios de AWS con el CSPM de Security Hub
La siguiente tabla ofrece una descripción general de los servicios de AWS que envían resultados al CSPM de Security Hub o reciben resultados del CSPM de Security Hub.
| Servicio de AWS integrado | Dirección |
|---|---|
|
Envía resultados |
|
|
Envía resultados |
|
|
Envía resultados |
|
|
Envía resultados |
|
|
Envía resultados |
|
|
Envía resultados |
|
|
Envía resultados |
|
|
Envía resultados |
|
|
Envía resultados |
|
|
Envía resultados |
|
|
Recibe resultados |
|
|
Recibe resultados |
|
|
Recibe resultados |
|
|
Recibe resultados |
|
|
Recibe y actualiza resultados |
|
|
Recibe resultados |
Servicios de AWS que envían resultados al CSPM de Security Hub
Los siguientes Servicios de AWS se integran con el CSPM de Security Hub y pueden enviarle resultados. El CSPM de Security Hub convierte los resultados al Formato de resultados de seguridad de AWS.
AWS Config (Envía resultados)
AWS Config es un servicio que le permite evaluar, auditar y analizar las configuraciones de sus recursos de AWS. AWS Config monitorea y registra continuamente las configuraciones de recursos de AWS y le permite automatizar la comparación de las configuraciones registradas con las configuraciones deseadas.
Al usar la integración con AWS Config, puede ver en el CSPM de Security Hub como resultados las evaluaciones de reglas administradas y personalizadas de AWS Config. Estos resultados se pueden ver junto con otros resultados del CSPM de Security Hub, lo que proporciona una visión general completa de la postura de seguridad.
AWS Config utiliza Amazon EventBridge para enviar evaluaciones de reglas de AWS Config al CSPM de Security Hub. El CSPM de Security Hub transforma las evaluaciones de reglas en resultados que adoptan el Formato de resultados de seguridad de AWS. Posteriormente, el CSPM de Security Hub complementa los resultados, según sea posible, con información adicional sobre los recursos afectados, como el nombre de recurso de Amazon (ARN), las etiquetas del recurso y la fecha de creación.
Para obtener más información sobre esta integración, consulte las secciones siguientes.
Todos los resultados en el CSPM de Security Hub usan el formato JSON estándar de ASFF. ASFF incluye detalles sobre el origen del resultado, el recurso afectado y el estado actual del resultado. AWS Config envía evaluaciones de reglas administradas y personalizadas al CSPM de Security Hub a través de EventBridge. El CSPM de Security Hub transforma las evaluaciones de reglas en resultados que siguen el formato ASFF y enriquece los resultados en la medida de lo posible.
Tipos de resultados que AWS Config envía al CSPM de Security Hub
Una vez activada la integración, AWS Config envía evaluaciones de todas las reglas de AWS Config administradas y personalizadas al CSPM de Security Hub. Solo se envían las evaluaciones que se realizaron después de habilitar el CSPM de Security Hub. Por ejemplo, supongamos que la evaluación de una regla de AWS Config revela cinco recursos fallidos. Si habilita el CSPM de Security Hub después de esa evaluación y la regla identifica un sexto recurso con fallas, AWS Config envía únicamente la evaluación de ese sexto recurso al CSPM de Security Hub.
Se excluyen las evaluaciones de reglas de AWS Config vinculadas a un servicio, como aquellas utilizadas para realizar comprobaciones en relación con los controles del CSPM de Security Hub. La excepción son los resultados generados por las reglas vinculadas al servicio que AWS Control Tower crea y administra en AWS Config. Incluir los resultados de estas reglas ayuda a garantizar que los datos de resultados incorporen los resultados de las comprobaciones proactivas realizadas por AWS Control Tower.
Envío de resultados de AWS Config al CSPM de Security Hub
Cuando se activa la integración, el CSPM de Security Hub asigna automáticamente los permisos necesarios para recibir resultados de AWS Config. El CSPM de Security Hub utiliza permisos de nivel servicio a servicio, lo que proporciona un método seguro para activar esta integración e importar resultados desde AWS Config mediante Amazon EventBridge.
Latencia para el envío de resultados
Cuando AWS Config genera un nuevo resultado, normalmente puede verlo en el CSPM de Security Hub en un plazo de cinco minutos.
Reintentos cuando el CSPM de Security Hub no está disponible
AWS Config envía resultados al CSPM de Security Hub en la medida de lo posible a través de EventBridge. Si un evento no se entrega correctamente al CSPM de Security Hub, EventBridge vuelve a intentar la entrega durante un máximo de 24 horas o hasta 185 intentos, lo que ocurra primero.
Actualización de resultados de AWS Config existentes en el CSPM de Security Hub
Después de que AWS Config envía un resultado al CSPM de Security Hub, puede enviar actualizaciones sobre ese mismo resultado para reflejar observaciones adicionales relacionadas con la actividad detectada. Las actualizaciones solo se envían para eventos de ComplianceChangeNotification. Si no se produce ningún cambio relacionado con el cumplimiento, no se envían actualizaciones al CSPM de Security Hub. El CSPM de Security Hub elimina los resultados a los 90 días desde su actualización más reciente o, si no ocurre ninguna actualización, a los 90 días desde su creación.
El CSPM de Security Hub no archiva los resultados que AWS Config envía, incluso si elimina el recurso asociado.
Regiones en las que existen resultados de AWS Config
Los resultados de AWS Config se generan por región. AWS Config envía los resultados al CSPM de Security Hub en la misma región o regiones donde ocurren.
Para visualizar los resultados de AWS Config, elija Resultados en el panel de navegación del CSPM de Security Hub. Para filtrar los resultados y mostrar solo resultados de AWS Config, seleccione Nombre del producto en el menú desplegable de la barra de búsqueda. Introduzca Config y seleccione Aplicar.
Interpretación de los nombres de resultados de AWS Config en el CSPM de Security Hub
El CSPM de Security Hub transforma las evaluaciones de reglas de AWS Config en resultados que siguen el Formato de resultados de seguridad de AWS (ASFF). Las evaluaciones de reglas de AWS Config usan un patrón de eventos diferente en comparación con el ASFF. La siguiente tabla asigna los campos de las evaluaciones de reglas de AWS Config a sus equivalentes en el ASFF tal como aparecen en el CSPM de Security Hub.
| Configuración de tipo de resultado de la evaluación de reglas | Tipo de resultado ASFF | Valor codificado |
|---|---|---|
| detail.awsAccountId | AwsAccountId | |
| detail.newEvaluationResult.resultRecordedTime | CreatedAt | |
| detail.newEvaluationResult.resultRecordedTime | UpdatedAt | |
| ProductArn | “arn:<partition>:securityhub:<region>::product/aws/config” | |
| ProductName | “Config” | |
| CompanyName | "AWS" | |
| Region | “eu-central-1” | |
| configRuleArn | GeneratorId, ProductFields | |
| detail.ConfigRuleARN/finding/hash | Id | |
| detail.configRuleName | Title, ProductFields | |
| detail.configRuleName | Descripción | “Este resultado se crea para un cambio de conformidad del recurso para la regla de configuración: ${detail.ConfigRuleName}“ |
| Elemento de configuración “ARN” o ARN calculado por el CSPM de Security Hub | Resources[i].id | |
| detail.resourceType | Resources[i].Type | "AwsS3Bucket" |
| Resources[i].Partition | "aws" | |
| Resources[i].Region | “eu-central-1” | |
| Elemento de configuración “configuración” | Resources[i].Details | |
| SchemaVersion | “10/08/2018” | |
| Severity.Label | Consultar “Interpretación de la etiqueta de gravedad” a continuación | |
| Tipos | [“Comprobaciones de configuración y software”] | |
| detail.newEvaluationResult.complianceType | Compliance.Status | “NO_APROBADO”, “NO_DISPONIBLE”, “APROBADO” o “ADVERTENCIA” |
| Workflow.Status | “RESUELTO” si se genera un resultado de AWS Config con un Compliance.Status de “APROBADO” o si el Compliance.Status cambia de “NO_APROBADO” a “APROBADO”. De lo contrario, Workflow.Status será “NUEVO”. Puede cambiar este valor con la operación de la API BatchUpdateFindings. |
Interpretación de la etiqueta de gravedad
Todos los resultados de las evaluaciones de reglas de AWS Config tienen una etiqueta de gravedad predeterminada de MEDIA en el ASFF. Puede actualizar la etiqueta de gravedad de un resultado con la operación de la API BatchUpdateFindings.
Resultado típico de AWS Config
El CSPM de Security Hub transforma las evaluaciones de reglas de AWS Config en resultados que siguen el ASFF. El siguiente es un ejemplo de un resultado típico de AWS Config en el ASFF.
nota
Si la descripción contiene más de 1,024 caracteres, se truncará en 1,024 caracteres y al final dirá “(truncada)”.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }
Después de habilitar el CSPM de Security Hub, esta integración se activa automáticamente. AWS Config empieza a enviar resultados al CSPM de Security Hub de inmediato.
Para dejar de enviar resultados al CSPM de Security Hub, puede usar la consola del CSPM de Security Hub o la API del CSPM de Security Hub.
Para obtener instrucciones sobre cómo detener el flujo de resultados, consulte Habilitación del flujo de resultados desde una integración del CSPM de Security Hub.
AWS Firewall Manager (Envía resultados)
Firewall Manager envía resultados al CSPM de Security Hub cuando una política de firewall de aplicaciones web (WAF) para recursos o una regla de lista de control de acceso web (web ACL) no cumple con los requisitos de cumplimiento. Firewall Manager también envía los resultados si los recursos no están protegidos por AWS Shield Advanced o se identifica un ataque.
Después de habilitar el CSPM de Security Hub, esta integración se activa automáticamente. Firewall Manager empieza a enviar resultados al CSPM de Security Hub de inmediato.
Para obtener más información sobre la integración, consulte la página Integraciones en la consola del CSPM de Security Hub.
Para obtener más información sobre Firewall Manager, consulte la Guía para desarrolladores de AWS WAF.
Amazon GuardDuty (Envía resultados)
GuardDuty envía al CSPM de Security Hub todos los tipos de resultados que genera. Algunos tipos de resultados tienen requisitos previos, requisitos de habilitación o limitaciones por región. Para obtener más información, consulte Tipos de resultados de GuardDuty en la Guía del usuario de Amazon GuardDuty.
Los nuevos resultados de GuardDuty se envían al CSPM de Security Hub en un plazo de cinco minutos. Las actualizaciones de los resultados se envían en función de la configuración Resultados actualizados para Amazon EventBridge en los ajustes de GuardDuty.
Cuando genera resultados de ejemplo de GuardDuty desde la página Configuración de GuardDuty, el CSPM de Security Hub recibe esos resultados de ejemplo y omite el prefijo [Sample] en el tipo de resultado. Por ejemplo, el tipo de resultado de ejemplo en GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions se muestra como Recon:IAMUser/ResourcePermissions en el CSPM de Security Hub.
Después de habilitar el CSPM de Security Hub, esta integración se activa automáticamente. GuardDuty comienza a enviar resultados al CSPM de Security Hub de inmediato.
Para obtener más información sobre la integración con GuardDuty, consulte Integración con el CSPM de AWS Security Hub en la Guía del usuario de Amazon GuardDuty.
AWS Health (Envía resultados)
AWS Health proporciona visibilidad continua del rendimiento de sus recursos y de la disponibilidad de sus Servicios de AWS y sus Cuentas de AWS. Puede usar los eventos AWS Health para saber cómo pueden afectar los cambios de servicios y recursos a las aplicaciones que ejecuta en AWS.
La integración con AWS Health no utiliza BatchImportFindings. En su lugar, AWS Health utiliza mensajería de eventos entre servicios para enviar resultados al CSPM de Security Hub.
Para obtener más información sobre la integración, consulte las siguientes secciones.
En el CSPM de Security Hub, se realiza seguimiento de los problemas de seguridad como resultados. Algunos resultados provienen de problemas detectados por otros servicios de AWS o por socios terceros. El CSPM de Security Hub también cuenta con un conjunto de reglas que utiliza para detectar problemas de seguridad y generar resultados.
El CSPM de Security Hub proporciona herramientas para administrar resultados procedentes de todos estos orígenes. Puede ver y filtrar listas de resultados y ver los detalles de una búsqueda. Consulte Revisión de detalles e historial de resultados en el CSPM de Security Hub. También puede realizar un seguimiento del estado de una investigación sobre un resultado. Consulte Configuración del estado del flujo de trabajo de los resultados en el CSPM de Security Hub.
Todos los resultados en el CSPM de Security Hub utilizan un formato JSON estándar denominado Formato de resultados de seguridad de AWS (ASFF). ASFF incluye detalles sobre el origen del problema, los recursos afectados y el estado actual del resultado.
AWS Health es uno de los servicios de AWS que envía resultados al CSPM de Security Hub.
Tipos de resultados que AWS Health envía al CSPM de Security Hub
Una vez habilitada la integración, AWS Health envía al CSPM de Security Hub los resultados que cumplen una o más de las especificaciones indicadas. El CSPM de Security Hub ingiere los resultados en el Formato de resultados de seguridad de AWS (ASFF).
-
Resultados que contienen cualquiera de los siguientes valores para el Servicio de AWS:
-
RISK -
ABUSE -
ACM -
CLOUDHSM -
CLOUDTRAIL -
CONFIG -
CONTROLTOWER -
DETECTIVE -
EVENTS -
GUARDDUTY -
IAM -
INSPECTOR -
KMS -
MACIE -
SES -
SECURITYHUB -
SHIELD -
SSO -
COGNITO -
IOTDEVICEDEFENDER -
NETWORKFIREWALL -
ROUTE53 -
WAF -
FIREWALLMANAGER -
SECRETSMANAGER -
BACKUP -
AUDITMANAGER -
ARTIFACT -
CLOUDENDURE -
CODEGURU -
ORGANIZATIONS -
DIRECTORYSERVICE -
RESOURCEMANAGER -
CLOUDWATCH -
DRS -
INSPECTOR2 -
RESILIENCEHUB
-
-
Resultados con las palabras
security,abuseocertificateen el campotypeCodede AWS Health -
Resultados en los que el servicio AWS Health sea
riskoabuse
Envío de resultados de AWS Health al CSPM de Security Hub
Cuando decide aceptar los resultados de AWS Health, el CSPM de Security Hub asigna automáticamente los permisos necesarios para recibir los resultados de AWS Health. El CSPM de Security Hub utiliza permisos a nivel de servicio que ofrecen una forma segura y sencilla de habilitar esta integración e importar resultados desde AWS Health mediante Amazon EventBridge en su nombre. Al seleccionar Aceptar resultados, otorga al CSPM de Security Hub el permiso para consumir resultados provenientes de AWS Health.
Latencia para el envío de resultados
Cuando AWS Health crea un nuevo resultado, normalmente se envía al CSPM de Security Hub en un plazo de cinco minutos.
Reintentos cuando el CSPM de Security Hub no está disponible
AWS Health envía resultados al CSPM de Security Hub en la medida de lo posible a través de EventBridge. Cuando un evento no se entrega correctamente al CSPM de Security Hub, EventBridge reintenta enviarlo durante 24 horas.
Actualización de resultados existentes en el CSPM de Security Hub
Una vez que AWS Health envía un resultado al CSPM de Security Hub, puede actualizar ese mismo resultado para incorporar observaciones adicionales relacionadas con la actividad detectada.
Regiones en las que existen resultados
En el caso de los eventos globales, AWS Health envía resultados al CSPM de Security Hub en us-east-1 (partición de AWS), cn-northwest-1 (partición de China) y gov-us-west-1 (partición de GovCloud). AWS Health envía los eventos específicos de una región al CSPM de Security Hub en la misma región o en las regiones donde ocurren dichos eventos.
Para ver los resultados de AWS Health en el CSPM de Security Hub, elija Resultados en el panel de navegación. Para filtrar los resultados y mostrar solo resultados de AWS Health, seleccione Estado en el campo Nombre del producto.
Interpretación de los nombres de resultados de AWS Health en el CSPM de Security Hub
AWS Health envía los resultados al CSPM de Security Hub mediante Formato de resultados de seguridad de AWS (ASFF). Los resultados de AWS Health utilizan un patrón de eventos diferente al formato ASFF del CSPM de Security Hub. La siguiente tabla detalla todos los campos de resultados de AWS Health junto con su equivalente en el formato ASFF tal como se muestran en el CSPM de Security Hub.
| Tipo de resultado de Estado | Tipo de resultado ASFF | Valor codificado |
|---|---|---|
| inscrita | AwsAccountId | |
| detail.startTime | CreatedAt | |
| detail.eventDescription.latestDescription | Descripción | |
| detail.eventTypeCode | GeneratorId | |
| detail.eventArn (incluido account) + hash de detail.startTime | Id | |
| “arn:aws:securityhub:<region>::product/aws/health” | ProductArn | |
| account o resourceId | Resources[i].id | |
| Resources[i].Type | “Otros” | |
| SchemaVersion | “10/08/2018” | |
| Severity.Label | Consultar “Interpretación de la etiqueta de gravedad” a continuación | |
| “AWS Health -” detail.eventTypeCode | Título | |
| - | Tipos | [“Comprobaciones de configuración y software”] |
| event.time | UpdatedAt | |
| URL del evento de la consola Estado | SourceUrl |
Interpretación de la etiqueta de gravedad
La etiqueta de gravedad del resultado de ASFF se determina mediante la siguiente lógica:
-
Gravedad CRÍTICA si:
-
El campo
servicedel resultado AWS Health tiene el valorRisk -
El campo
typeCodedel resultado AWS Health tiene el valorAWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION -
El campo
typeCodedel resultado AWS Health tiene el valorAWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK -
El campo
typeCodedel resultado AWS Health tiene el valorAWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES
Gravedad ALTA si:
-
El campo
servicedel resultado AWS Health tiene el valorAbuse -
El campo
typeCodedel resultado AWS Health contiene el valorSECURITY_NOTIFICATION -
El campo
typeCodedel resultado AWS Health contiene el valorABUSE_DETECTION
Gravedad MEDIA si:
-
El campo
servicedel resultado es cualquiera de los siguientes:ACM,ARTIFACT,AUDITMANAGER,BACKUP,CLOUDENDURE,CLOUDHSM,CLOUDTRAIL,CLOUDWATCH,CODEGURGU,COGNITO,CONFIG,CONTROLTOWER,DETECTIVE,DIRECTORYSERVICE,DRS,EVENTS,FIREWALLMANAGER,GUARDDUTY,IAM,INSPECTOR,INSPECTOR2,IOTDEVICEDEFENDER,KMS,MACIE,NETWORKFIREWALL,ORGANIZATIONS,RESILIENCEHUB,RESOURCEMANAGER,ROUTE53,SECURITYHUB,SECRETSMANAGER,SES,SHIELD,SSOoWAF -
El campo typeCode del resultado AWS Health contiene el valor
CERTIFICATE -
El campo typeCode del resultado AWS Health contiene el valor
END_OF_SUPPORT
-
Resultado típico de AWS Health
AWS Health envía resultados al CSPM de Security Hub mediante Formato de resultados de seguridad de AWS (ASFF). El siguiente es un ejemplo de un resultado habitual de AWS Health.
nota
Si la descripción contiene más de 1024 caracteres, se truncará en 1024 caracteres y al final dirá (truncada).
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }
Después de habilitar el CSPM de Security Hub, esta integración se activa automáticamente. AWS Health empieza inmediatamente a enviar resultados al CSPM de Security Hub.
Para dejar de enviar resultados al CSPM de Security Hub, puede usar la consola del CSPM de Security Hub o la API del CSPM de Security Hub.
Para obtener instrucciones sobre cómo detener el flujo de resultados, consulte Habilitación del flujo de resultados desde una integración del CSPM de Security Hub.
AWS Identity and Access Management Access Analyzer (Envía resultados)
Con el Analizador de acceso de IAM, todos los resultados se envían al CSPM de Security Hub.
IAM Access Analyzer utiliza un razonamiento lógico para analizar las políticas basadas en recursos que se aplican a los recursos de la cuenta compatibles. IAM Access Analyzer genera un resultado cuando detecta una declaración de la política que permite que una entidad principal externa pueda acceder a un recurso de la cuenta.
En IAM Access Analyzer, solo la cuenta de administrador puede ver los resultados de los analizadores que se aplican a una organización. En el caso de los analizadores de la organización, el campo AwsAccountId ASFF refleja el ID de la cuenta de administrador. Bajo ProductFields, el campo ResourceOwnerAccount indica la cuenta en la que se descubrió el resultado. Si habilita analizadores de forma individual para cada cuenta, el CSPM de Security Hub genera varios resultados: uno que identifica el ID de la cuenta de administrador y otro que identifica el ID de la cuenta de recursos.
Para obtener más información, consulte Integración con el CSPM de AWS Security Hub en la Guía del usuario de IAM.
Amazon Inspector (Envía resultados)
Amazon Inspector es un servicio de gestión de vulnerabilidades que analiza continuamente sus cargas de trabajo en AWS en busca de vulnerabilidades. Amazon Inspector descubre y escanea automáticamente las instancias e imágenes de contenedor de Amazon EC2 que residen en Amazon Elastic Container Registry. El escaneo busca vulnerabilidades de software y exposición no deseada en la red.
Después de habilitar el CSPM de Security Hub, esta integración se activa automáticamente. Amazon Inspector comienza de inmediato a enviar al CSPM de Security Hub todos los resultados que genera.
Para obtener más información sobre la integración, consulte Integración con el CSPM de AWS Security Hub en la Guía del usuario de Amazon Inspector.
El CSPM de Security Hub también puede recibir resultados de Amazon Inspector Classic. Amazon Inspector Classic envía al CSPM de Security Hub los resultados generados durante las ejecuciones de evaluaciones para todos los paquetes de reglas admitidos.
Para obtener más información sobre la integración, consulte Integración con el CSPM de AWS Security Hub en la Guía del usuario de Amazon Inspector Classic.
Los resultados de Amazon Inspector y Amazon Inspector Classic utilizan el mismo ARN de producto. Los resultados de Amazon Inspector presentan la siguiente entrada en ProductFields:
"aws/inspector/ProductVersion": "2",
nota
Los resultados de seguridad generados por Amazon Inspector Code Security no están disponibles para esta integración. Sin embargo, puede acceder a estos resultados concretos en la consola de Amazon Inspector y a través de la API de Amazon Inspector.
AWS IoT Device Defender (Envía resultados)
AWS IoT Device Defender es un servicio de seguridad que audita la configuración de sus dispositivos de IoT, supervisa los dispositivos conectados para detectar comportamientos anómalos y ayuda a mitigar los riesgos de seguridad.
Después de habilitar ambos AWS IoT Device Defender y el CSPM de Security Hub, visite la página Integraciones de la consola del CSPM de Security Hub
AWS IoT Device Defender Audit envía resúmenes de comprobación al CSPM de Security Hub, los cuales contienen información general para un tipo específico de comprobación de auditoría y una tarea de auditoría. AWS IoT Device Defender Detect envía resultados de infracciones relacionados con comportamientos de machine learning (ML), estadísticos y estáticos al CSPM de Security Hub. Audit también envía actualizaciones de resultados al CSPM de Security Hub.
Para obtener más información sobre esta integración, consulte Integración con el CSPM de AWS Security Hub en la Guía del desarrollador de AWS IoT.
Amazon Macie (Envía resultados)
Amazon Macie es un servicio de seguridad de datos que detecta datos confidenciales mediante el machine learning y la coincidencia de patrones, proporciona visibilidad de los riesgos de seguridad de los datos y permite establecer una protección automatizada contra esos riesgos. Un resultado de Macie puede indicar que existe una posible infracción de políticas o información confidencial en el entorno de datos de Amazon S3.
Después de habilitar el CSPM de Security Hub, Macie comienza automáticamente a enviar resultados de políticas al CSPM de Security Hub. Es posible configurar la integración para que también envíe resultados de información confidencial al CSPM de Security Hub.
En el CSPM de Security Hub, el tipo de resultado para un resultado de políticas o de información confidencial se cambia a un valor compatible con el formato ASFF. Por ejemplo, el tipo de resultado Policy:IAMUser/S3BucketPublic en Macie se muestra como Effects/Data Exposure/Policy:IAMUser-S3BucketPublic en el CSPM de Security Hub.
Macie también envía resultados de ejemplo generados al CSPM de Security Hub. En el caso de los resultados de muestra, el nombre del recurso afectado es macie-sample-finding-bucket y el valor del campo Sample es true.
Para obtener más información, consulte Evaluación de resultados de Macie con Security Hub en la Guía del usuario de Amazon Macie.
Amazon Route 53 Resolver DNS Firewall (envía resultados)
Con Amazon Route 53 Resolver DNS Firewall, es posible filtrar y regular el tráfico DNS saliente de la nube privada virtual (VPC). Esto se logra mediante la creación de colecciones reutilizables de reglas de filtrado en grupos de reglas de DNS Firewall, la asociación de esos grupos de reglas con la VPC y la supervisión de la actividad en los registros y métricas de DNS Firewall. Puede ajustar cómo se comporta DNS Firewall en función de la actividad observada. DNS Firewall es una característica de Route 53 Resolver.
Route 53 Resolver DNS Firewall puede enviar varios tipos de resultados al CSPM de Security Hub:
-
Resultados relacionados con consultas bloqueadas o con alertas en dominios asociados con listas de dominios administradas de AWS; estas son listas de dominios que administra AWS.
-
Resultados relacionados con consultas bloqueadas o con alertas en dominios asociados con una lista de dominios personalizada que defina.
-
Resultados relacionados con consultas bloqueadas o con alertas por DNS Firewall Advanced, una característica de Route 53 Resolver que puede detectar consultas asociadas con amenazas avanzadas de DNS, como algoritmos de generación de dominios (DGA) y túneles DNS.
Después de habilitar el CSPM de Security Hub y Route 53 Resolver DNS Firewall, DNS Firewall comienza automáticamente a enviar al CSPM de Security Hub los resultados de las listas de dominios administradas de AWS y de DNS Firewall Advanced. Para enviar también al CSPM de Security Hub resultados de una lista de dominios personalizada, habilite manualmente la integración en el CSPM de Security Hub.
En el CSPM de Security Hub, todos los resultados de Route 53 Resolver DNS Firewall tienen el siguiente tipo: TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation.
Para obtener más información, consulte Envío de resultados desde Route 53 Resolver DNS Firewall al CSPM de Security Hub en la Guía para desarrolladores de Amazon Route 53.
AWS Systems Manager Patch Manager (Envía resultados)
El Administrador de parches de AWS Systems Manager envía resultados al CSPM de Security Hub cuando las instancias de una flota de un cliente dejan de cumplir su estándar de cumplimiento de parches.
Patch Manager automatiza el proceso de aplicación de parches a instancias administradas con actualizaciones relacionadas con la seguridad y otros tipos de actualizaciones.
Después de habilitar el CSPM de Security Hub, esta integración se activa automáticamente. El Administrador de parches de Systems Manager comienza inmediatamente a enviar resultados al CSPM de Security Hub.
Para obtener más información acerca de cómo utilizar Patch Manager, consulte AWS Systems Manager Patch Manager en la Guía del usuario de AWS Systems Manager.
Servicios de AWS que reciben resultados del CSPM de Security Hub
Los siguientes servicios de AWS están integrados con el CSPM de Security Hub y reciben resultados del CSPM de Security Hub. Cuando se indique lo contrario, el servicio integrado también puede actualizar resultados. En este caso, las actualizaciones de resultados que realice en el servicio integrado también se reflejarán en el CSPM de Security Hub.
AWS Audit Manager (Recibe resultados)
AWS Audit Manager recibe resultados del CSPM de Security Hub. Estos resultados ayudan a los usuarios de Audit Manager a prepararse para las auditorías.
Para obtener más información sobre Audit Manager, consulte la Guía del usuario de AWS Audit Manager. AWS Las comprobaciones del CSPM de Security Hub compatibles con AWS Audit Manager enumeran los controles para los cuales el CSPM de Security Hub envía resultados a Audit Manager.
Amazon Q Developer en aplicaciones de chat (recibe resultados)
Amazon Q Developer en aplicaciones de chat es un agente interactivo que ayuda a supervisar e interactuar con los recursos de AWS en los canales de Slack y salas de chat de Amazon Chime.
Amazon Q Developer en aplicaciones de chat recibe resultados del CSPM de Security Hub.
Para obtener más información sobre la integración de Amazon Q Developer en aplicaciones de chat con el CSPM de Security Hub, consulte la Descripción general de la integración con el CSPM de Security Hub en la Guía del administrador de Amazon Q Developer en aplicaciones de chat.
Amazon Detective (Recibe resultados)
Detective recopila automáticamente los datos de registro de los recursos de AWS y utiliza el machine learning, el análisis estadístico y la teoría de grafos para ayudarle a visualizar y realizar investigaciones de seguridad más rápidas y eficientes.
La integración del CSPM de Security Hub con Detective permite pasar de los resultados de Amazon GuardDuty en el CSPM de Security Hub a Detective. A continuación, puede utilizar las herramientas y visualizaciones de Detective para investigarlos. Esta integración no requiere ninguna configuración adicional en el CSPM de Security Hub ni en Detective.
En el caso de los resultados recibidos de otros Servicios de AWS, el panel de detalles del resultado en la consola del CSPM de Security Hub incluye una subsección Investigar en Detective. Esa subsección contiene un enlace a Detective, donde puede investigar más a fondo el problema de seguridad que indicó el resultado. También puede crear un gráfico de comportamiento en Detective basado en resultados del CSPM de Security Hub para realizar investigaciones más eficaces. Para obtener más información, consulte Resultados de seguridad de AWS en la Guía de administración de Amazon Detective.
Si la agregación entre regiones está habilitada, al pasar de la región de agregación, Detective se abre en la región en la que se originó el resultado.
Si un enlace no funciona, para obtener información sobre la solución de problemas, consulte Solución de problemas del pivot.
Amazon Security Lake (Recibe resultados)
Security Lake es un servicio de lago de datos de seguridad totalmente gestionado. Puede usar Amazon Security Lake para centralizar automáticamente los datos de seguridad de fuentes en la nube, en las instalaciones y personalizadas en un lago de datos almacenado en su cuenta. Los suscriptores pueden consumir datos de Security Lake para casos de uso de investigación y análisis.
Para activar esta integración, debe habilitar ambos servicios y agregar el CSPM de Security Hub como origen en la consola de Security Lake, en la API de Security Lake o en la AWS CLI. Una vez que complete estos pasos, el CSPM de Security Hub empieza a enviar todos los resultados a Security Lake.
Security Lake normaliza automáticamente los resultados del CSPM de Security Hub y los convierte a un esquema de código abierto estandarizado denominado Marco de Esquema de Ciberseguridad Abierto (OCSF). En Security Lake, puede agregar uno o más suscriptores para consumir los resultados del CSPM de Security Hub.
Para obtener más información sobre esta integración, incluidas las instrucciones para agregar el CSPM de Security Hub como origen y para crear suscriptores, consulte Integración con el CSPM de AWS Security Hub en la Guía del usuario de Amazon Security Lake.
AWS Systems Manager Explorer y OpsCenter (Recibe y actualiza resultados)
AWS Systems Manager Explorer y OpsCenter reciben resultados del CSPM de Security Hub y actualizan esos resultados en el CSPM de Security Hub.
Explorer le proporciona un panel personalizable con información y análisis clave sobre el estado y el rendimiento operativos de su entorno de AWS.
OpsCenter le ofrece una ubicación central donde ver, investigar y resolver elementos de trabajo operativos.
Para obtener más información sobre Explorer y OpsCenter, consulte Administración de operaciones en la Guía del usuario de AWS Systems Manager.
AWS Trusted Advisor (Recibe resultados)
Trusted Advisor aprovecha las prácticas recomendadas aprendidas al atender a cientos de miles de clientes de AWS. Trusted Advisor inspecciona su entorno de AWS y ofrece recomendaciones cuando surge la oportunidad de ahorrar dinero, mejorar el rendimiento y la disponibilidad del sistema o ayudar a cerrar deficiencias de seguridad.
Cuando habilita ambos Trusted Advisor y el CSPM de Security Hub, la integración se actualiza automáticamente.
El CSPM de Security Hub envía los resultados de sus comprobaciones de las Prácticas recomendadas de seguridad básica de AWS a Trusted Advisor.
Para obtener más información sobre la integración del CSPM de Security Hub con Trusted Advisor, consulte Visualización de controles del CSPM de AWS Security Hub en AWS Trusted Advisor en la Guía del usuario de AWS Support.
