Service AWS intégrations avec Security Hub CSPM - AWS Security Hub
Vue d'ensemble des intégrations de AWS services avec Security Hub CSPMAWS services qui envoient les résultats à Security Hub CSPMAWS services recevant les résultats de Security Hub CSPM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Service AWS intégrations avec Security Hub CSPM

AWS Security Hub Cloud Security Posture Management (CSPM) prend en charge les intégrations avec plusieurs autres solutions. Services AWS

Note

Il est possible que les intégrations ne soient pas toutes Régions AWS disponibles. Si une intégration n'est pas prise en charge dans la région actuelle, elle n'apparaît pas sur la page Intégrations.

Pour obtenir la liste des intégrations disponibles dans les régions de Chine AWS GovCloud (US), voir Intégrations prises en charge dans les régions de Chine (Pékin) et de Chine (Ningxia) etIntégrations prises en charge dans les régions AWS GovCloud (USA Est) et AWS GovCloud (USA Ouest).

Sauf indication contraire ci-dessous, Service AWS les intégrations qui envoient des résultats à Security Hub CSPM sont automatiquement activées une fois que vous avez activé Security Hub CSPM et l'autre service. Les intégrations qui reçoivent les résultats du Security Hub CSPM peuvent nécessiter des étapes supplémentaires pour être activées. Consultez les informations relatives à chaque intégration pour en savoir plus.

Vue d'ensemble des intégrations de AWS services avec Security Hub CSPM

Voici un aperçu des AWS services qui envoient des résultats à Security Hub CSPM ou reçoivent des résultats de Security Hub CSPM.

AWS Service intégré Direction

AWS Config

Envoie les résultats

AWS Firewall Manager

Envoie les résultats

Amazon GuardDuty

Envoie les résultats

AWS Health

Envoie les résultats

AWS Identity and Access Management Access Analyzer

Envoie les résultats

Amazon Inspector

Envoie les résultats

AWS IoT Device Defender

Envoie les résultats

Amazon Macie

Envoie les résultats

AWS Systems Manager Gestionnaire de correctifs

Envoie les résultats

AWS Audit Manager

Reçoit les résultats

Amazon Q Developer dans les applications de chat

Reçoit les résultats

Amazon Detective

Reçoit les résultats

Amazon Security Lake

Reçoit les résultats

AWS Systems Manager Explorateur et OpsCenter

Reçoit et met à jour les résultats

AWS Trusted Advisor

Reçoit les résultats

AWS services qui envoient les résultats à Security Hub CSPM

Les AWS services suivants s'intègrent à Security Hub CSPM en envoyant les résultats à Security Hub CSPM. Security Hub CSPM convertit les résultats au format AWS Security Finding.

AWS Config (Envoie les résultats)

AWS Config est un service qui vous permet d'évaluer, d'auditer et d'évaluer les configurations de vos AWS ressources. AWS Config surveille et enregistre en permanence les configurations de vos AWS ressources et vous permet d'automatiser l'évaluation des configurations enregistrées par rapport aux configurations souhaitées.

En utilisant l'intégration avec AWS Config, vous pouvez consulter les résultats des évaluations de règles AWS Config gérées et personnalisées sous forme de conclusions dans Security Hub CSPM. Ces résultats peuvent être consultés conjointement avec d'autres résultats du Security Hub CSPM, fournissant ainsi une vue d'ensemble complète de votre posture en matière de sécurité.

AWS Config utilise Amazon EventBridge pour envoyer des évaluations de AWS Config règles à Security Hub CSPM. Security Hub CSPM transforme les évaluations des règles en résultats conformes au format AWS Security Finding. Security Hub CSPM enrichit ensuite les résultats de son mieux en obtenant plus d'informations sur les ressources concernées, telles que le nom de la ressource Amazon (ARN), les balises de ressource et la date de création.

Pour plus d'informations sur cette intégration, consultez les sections suivantes.

Tous les résultats du Security Hub CSPM utilisent le format JSON standard d'ASFF. L'ASFF inclut des détails sur l'origine de la découverte, la ressource affectée et l'état actuel de la découverte. AWS Config envoie des évaluations de règles gérées et personnalisées à Security Hub CSPM via. EventBridge Security Hub CSPM transforme les évaluations des règles en résultats conformes à l'ASFF et enrichit les résultats dans la mesure du possible.

Types de résultats AWS Config envoyés au Security Hub CSPM

Une fois l'intégration activée, AWS Config envoie les évaluations de toutes les règles AWS Config gérées et des règles personnalisées à Security Hub CSPM. Seules les évaluations effectuées après l'activation de Security Hub CSPM sont envoyées. Supposons, par exemple, qu'une évaluation des AWS Config règles révèle cinq ressources défaillantes. Si j'active Security Hub CSPM par la suite, et que la règle révèle ensuite une sixième ressource défaillante, seule la sixième évaluation AWS Config de ressource est envoyée au Security Hub CSPM.

Les évaluations issues de AWS Config règles liées aux services, telles que celles utilisées pour exécuter des contrôles sur les contrôles CSPM du Security Hub, sont exclues.

Envoi AWS Config des résultats à Security Hub CSPM

Lorsque l'intégration est activée, Security Hub CSPM attribue automatiquement les autorisations nécessaires pour recevoir les résultats. AWS Config Security Hub CSPM utilise des autorisations de service-to-service niveau qui vous permettent d'activer cette intégration en toute sécurité et d'importer les résultats depuis AWS Config Amazon. EventBridge

Latence pour l'envoi des résultats

Lorsque vous AWS Config créez un nouveau résultat, vous pouvez généralement le consulter dans Security Hub CSPM dans un délai de cinq minutes.

Réessayer lorsque Security Hub CSPM n'est pas disponible

AWS Config envoie les résultats au Security Hub CSPM dans la mesure du possible via. EventBridge Lorsqu'un événement n'est pas transmis avec succès à Security Hub CSPM, EventBridge réessayez de le transmettre pendant 24 heures ou 185 fois, selon la première éventualité.

Mise à jour des AWS Config résultats existants dans Security Hub CSPM

Après avoir AWS Config envoyé un résultat à Security Hub CSPM, celui-ci peut envoyer des mises à jour du même résultat à Security Hub CSPM afin de refléter des observations supplémentaires concernant l'activité de recherche. Les mises à jour ne sont envoyées que pour les ComplianceChangeNotification événements. Si aucun changement de conformité ne se produit, les mises à jour ne sont pas envoyées au Security Hub CSPM. Security Hub CSPM supprime les résultats 90 jours après la dernière mise à jour ou 90 jours après leur création si aucune mise à jour n'a lieu.

Security Hub CSPM n'archive pas les résultats envoyés depuis, AWS Config même si vous supprimez la ressource associée.

Régions dans lesquelles AWS Config des résultats existent

AWS Config les résultats sont établis sur une base régionale. AWS Config envoie les résultats au Security Hub CSPM dans la ou les mêmes régions que celles où les résultats ont été trouvés.

Pour consulter vos AWS Config résultats, choisissez Findings dans le volet de navigation du Security Hub CSPM. Pour filtrer les résultats afin de n'afficher que AWS Config les résultats, sélectionnez Nom du produit dans le menu déroulant de la barre de recherche. Entrez Config, puis choisissez Appliquer.

Interprétation AWS Config de la recherche de noms dans Security Hub CSPM

Security Hub CSPM transforme les évaluations des AWS Config règles en résultats conformes aux. AWS Format de recherche de sécurité (ASFF) AWS Config les évaluations de règles utilisent un modèle d'événements différent de celui d'ASFF. Le tableau suivant met en correspondance les champs d'évaluation des AWS Config règles avec leur équivalent ASFF tels qu'ils apparaissent dans Security Hub CSPM.

Type de recherche d'évaluation des règles de configuration Type de résultat ASFF Valeur codée en dur
détail. awsAccountId AwsAccountId
détail. newEvaluationResult. resultRecordedTime CreatedAt
détail. newEvaluationResult. resultRecordedTime UpdatedAt
ProductArn <region>« arn ::securityhub : <partition>: : » product/aws/config
ProductName « Config »
CompanyName "AWS"
Région « eu-central-1 »
configRuleArn GeneratorId, ProductFields
détail. ConfigRuleARN/finding/hash Id
détail. configRuleName Titre, ProductFields
détail. configRuleName Description « Cette constatation est créée pour une modification de conformité des ressources pour la règle de configuration : ${detail.ConfigRuleName} »
Élément de configuration « ARN » ou ARN calculé par Security Hub CSPM Ressources [i] .id
Détail.Type de ressource Ressources [i] .Type "AwsS3Bucket"
Ressources [i] .Partition "aws"
Ressources [i] .Region « eu-central-1 »
Élément de configuration « configuration » Ressources [i] .Détails
SchemaVersion « 2018-10-08 »
Sévérité. Label Voir « Interprétation de l'étiquette de gravité » ci-dessous
Types ["Vérifications du logiciel et de la configuration"]
détail. newEvaluationResult. Type de conformité État de conformité « ECHEC », « NOT_AVAILABLE », « PASSÉ » ou « AVERTISSEMENT »
État du flux de travail « RÉSOLU » si un AWS Config résultat est généré avec un statut de conformité « RÉUSSI » ou si le statut de conformité passe de « ÉCHEC » à « PASSÉ ». Sinon, Workflow.Status sera « NOUVEAU ». Vous pouvez modifier cette valeur à l'aide de l'opération BatchUpdateFindingsAPI.

Interprétation du label de gravité

Tous les résultats des évaluations des AWS Config règles ont une étiquette de gravité par défaut de MEDIUM dans l'ASFF. Vous pouvez mettre à jour l'étiquette de gravité d'une constatation à l'aide de l'opération d'BatchUpdateFindingsAPI.

Constatation typique tirée de AWS Config

Security Hub CSPM transforme les évaluations des AWS Config règles en résultats conformes à l'ASFF. Voici un exemple de résultat typique tiré de AWS Config l'ASFF.

Note

Si la description comporte plus de 1024 caractères, elle sera tronquée à 1024 caractères et indiquera « (tronqué) » à la fin.

{
	"SchemaVersion": "2018-10-08",
	"Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932",
	"ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config",
	"ProductName": "Config",
	"CompanyName": "AWS",
	"Region": "eu-central-1",
	"GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
	"AwsAccountId": "123456789012",
	"Types": [
		"Software and Configuration Checks"
	],
	"CreatedAt": "2022-04-15T05:00:37.181Z",
	"UpdatedAt": "2022-04-19T21:20:15.056Z",
	"Severity": {
		"Label": "MEDIUM",
		"Normalized": 40
	},
	"Title": "s3-bucket-level-public-access-prohibited-config-integration-demo",
	"Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo",
	"ProductFields": {
		"aws/securityhub/ProductName": "Config",
		"aws/securityhub/CompanyName": "AWS",
		"aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902",
		"aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
		"aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo",
		"aws/config/ConfigComplianceType": "NON_COMPLIANT"
	},
	"Resources": [{
		"Type": "AwsS3Bucket",
		"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
		"Partition": "aws",
		"Region": "eu-central-1",
		"Details": {
			"AwsS3Bucket": {
				"OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c",
				"CreatedAt": "2022-04-15T04:32:53.000Z"
			}
		}
	}],
	"Compliance": {
		"Status": "FAILED"
	},
	"WorkflowState": "NEW",
	"Workflow": {
		"Status": "NEW"
	},
	"RecordState": "ACTIVE",
	"FindingProviderFields": {
		"Severity": {
			"Label": "MEDIUM"
		},
		"Types": [
			"Software and Configuration Checks"
		]
	}
}

Une fois que vous avez activé Security Hub CSPM, cette intégration est automatiquement activée. AWS Config commence immédiatement à envoyer les résultats à Security Hub CSPM.

Pour arrêter d'envoyer des résultats à Security Hub CSPM, vous pouvez utiliser la console Security Hub CSPM ou l'API Security Hub CSPM.

Pour obtenir des instructions sur la manière d'arrêter le flux de résultats, voirPermettre le flux de résultats à partir d'une intégration CSPM avec Security Hub.

AWS Firewall Manager (Envoie les résultats)

Firewall Manager envoie les résultats au Security Hub CSPM lorsqu'une politique de pare-feu d'application Web (WAF) pour les ressources ou une règle de liste de contrôle d'accès Web (ACL Web) n'est pas conforme. Firewall Manager envoie également des résultats lorsqu' AWS Shield Advanced il ne protège pas les ressources ou lorsqu'une attaque est identifiée.

Une fois que vous avez activé Security Hub CSPM, cette intégration est automatiquement activée. Firewall Manager commence immédiatement à envoyer ses résultats à Security Hub CSPM.

Pour en savoir plus sur l'intégration, consultez la page Intégrations de la console Security Hub CSPM.

Pour en savoir plus sur Firewall Manager, consultez le manuel du AWS WAF développeur.

Amazon GuardDuty (envoie les résultats)

GuardDuty envoie tous les types de recherche qu'il génère à Security Hub CSPM. Certains types de recherche sont soumis à des prérequis, à des exigences d'activation ou à des limites régionales. Pour plus d'informations, consultez la section GuardDuty recherche de types dans le guide de GuardDuty l'utilisateur Amazon.

Les nouvelles découvertes GuardDuty sont envoyées au Security Hub CSPM dans les cinq minutes. Les mises à jour des résultats sont envoyées en fonction du paramètre Résultats mis à jour pour Amazon EventBridge dans GuardDuty les paramètres.

Lorsque vous générez des GuardDuty échantillons de résultats à l'aide de la page GuardDuty Paramètres, Security Hub CSPM reçoit les échantillons de résultats et omet le préfixe [Sample] dans le type de recherche. Par exemple, le type de recherche d'échantillon GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions est affiché comme Recon:IAMUser/ResourcePermissions dans Security Hub CSPM.

Une fois que vous avez activé Security Hub CSPM, cette intégration est automatiquement activée. GuardDuty commence immédiatement à envoyer les résultats à Security Hub CSPM.

Pour plus d'informations sur l' GuardDuty intégration, consultez Integrating with AWS Security Hub Cloud Security Posture Management (CSPM) dans le guide de GuardDuty l'utilisateur Amazon.

AWS Health (Envoie les résultats)

AWS Health fournit une visibilité continue sur les performances de vos ressources et sur la disponibilité de vos Services AWS terres Comptes AWS. Vous pouvez utiliser AWS Health les événements pour découvrir comment les modifications des services et des ressources peuvent affecter les applications qui s'exécutent sur AWS.

L'intégration avec AWS Health n'utilise pasBatchImportFindings. AWS Health Utilise plutôt la messagerie service-to-service événementielle pour envoyer les résultats au Security Hub CSPM.

Pour plus d'informations sur l'intégration, consultez les sections suivantes.

Dans Security Hub CSPM, les problèmes de sécurité sont suivis en tant que résultats. Certains résultats proviennent de problèmes détectés par d'autres AWS services ou par des partenaires tiers. Security Hub CSPM dispose également d'un ensemble de règles qu'il utilise pour détecter les problèmes de sécurité et générer des résultats.

Security Hub CSPM fournit des outils pour gérer les résultats provenant de toutes ces sources. Vous pouvez afficher et filtrer les listes de résultats et afficher les informations sur un résultat. Consultez Révision des informations et de l'historique des recherches dans Security Hub CSPM. Vous pouvez également suivre le statut d'une analyse dans un résultat. Consultez Configuration de l'état des résultats du flux de travail dans Security Hub CSPM.

Tous les résultats du Security Hub CSPM utilisent un format JSON standard appelé. AWS Format de recherche de sécurité (ASFF) L'ASFF inclut des détails sur la source du problème, les ressources concernées et l'état actuel de la découverte.

AWS Health est l'un des AWS services qui envoie les résultats au Security Hub CSPM.

Types de résultats AWS Health envoyés au Security Hub CSPM

Une fois l'intégration activée, AWS Health envoie les résultats répondant à une ou plusieurs des spécifications répertoriées à Security Hub CSPM. Security Hub CSPM ingère les résultats du. AWS Format de recherche de sécurité (ASFF)

  • Résultats contenant l'une des valeurs suivantes pour Service AWS :

    • RISK

    • ABUSE

    • ACM

    • CLOUDHSM

    • CLOUDTRAIL

    • CONFIG

    • CONTROLTOWER

    • DETECTIVE

    • EVENTS

    • GUARDDUTY

    • IAM

    • INSPECTOR

    • KMS

    • MACIE

    • SES

    • SECURITYHUB

    • SHIELD

    • SSO

    • COGNITO

    • IOTDEVICEDEFENDER

    • NETWORKFIREWALL

    • ROUTE53

    • WAF

    • FIREWALLMANAGER

    • SECRETSMANAGER

    • BACKUP

    • AUDITMANAGER

    • ARTIFACT

    • CLOUDENDURE

    • CODEGURU

    • ORGANIZATIONS

    • DIRECTORYSERVICE

    • RESOURCEMANAGER

    • CLOUDWATCH

    • DRS

    • INSPECTOR2

    • RESILIENCEHUB

  • Résultats obtenus avec les mots securityabuse, ou certificate AWS Health typeCode sur le terrain

  • Résultats indiquant où se trouve le AWS Health service risk ou abuse

Envoi AWS Health des résultats à Security Hub CSPM

Lorsque vous choisissez d'accepter les résultats de AWS Health, Security Hub CSPM attribue automatiquement les autorisations nécessaires pour recevoir les résultats. AWS Health Security Hub CSPM utilise des autorisations de service-to-service niveau qui vous permettent d'activer facilement et en toute sécurité cette intégration et d'importer des résultats depuis AWS Health Amazon en votre EventBridge nom. Si vous sélectionnez Accepter les résultats, Security Hub CSPM est autorisé à consulter les résultats provenant de. AWS Health

Latence pour l'envoi des résultats

Lors de AWS Health la création d'une nouvelle découverte, elle est généralement envoyée au Security Hub CSPM dans les cinq minutes.

Réessayer lorsque Security Hub CSPM n'est pas disponible

AWS Health envoie les résultats au Security Hub CSPM dans la mesure du possible via. EventBridge Lorsqu'un événement n'est pas transmis avec succès à Security Hub CSPM, EventBridge réessaie de l'envoyer pendant 24 heures.

Mise à jour des résultats existants dans Security Hub CSPM

Après avoir AWS Health envoyé un résultat à Security Hub CSPM, celui-ci peut envoyer des mises à jour du même résultat afin de refléter des observations supplémentaires concernant l'activité de recherche au Security Hub CSPM.

Régions dans lesquelles des résultats existent

Pour les événements internationaux, AWS Health envoie les résultats au Security Hub CSPM dans us-east-1 (partition AWS ), cn-northwest-1 (partition Chine) et -1 (partition). gov-us-west GovCloud AWS Health envoie des événements spécifiques à une région au Security Hub CSPM de la région ou des régions où les événements se produisent.

Pour consulter vos AWS Health résultats dans Security Hub CSPM, choisissez Findings dans le panneau de navigation. Pour filtrer les résultats afin de n'afficher que AWS Health les résultats, choisissez Health dans le champ Nom du produit.

Interprétation AWS Health de la recherche de noms dans Security Hub CSPM

AWS Health envoie les résultats à Security Hub CSPM à l'aide du. AWS Format de recherche de sécurité (ASFF) AWS Health la recherche utilise un modèle d'événement différent de celui du format Security Hub CSPM ASFF. Le tableau ci-dessous détaille tous les champs de AWS Health recherche avec leur équivalent ASFF tels qu'ils apparaissent dans Security Hub CSPM.

Type de diagnostic de santé Type de résultat ASFF Valeur codée en dur
compte AwsAccountId
Détail.Heure de début CreatedAt
Détail.Description de l'événement.Dernière description Description
détail. eventTypeCode GeneratorId
Detail.EventArn (compte inclus) + hachage de Detail.startTime Id
<region>« arn:aws:securityhub : : : » product/aws/health ProductArn
compte ou ResourceID Ressources [i] .id
Ressources [i] .Type « Autre »
SchemaVersion « 2018-10-08 »
Sévérité. Label Voir « Interprétation de l'étiquette de gravité » ci-dessous
« AWS Health  - » détail. eventTypeCode Title
- Types ["Vérifications du logiciel et de la configuration"]
événement.heure UpdatedAt
URL de l'événement sur la console Health SourceUrl
Interprétation du label de gravité

L'étiquette de gravité figurant dans le résultat de l'ASFF est déterminée selon la logique suivante :

  • Gravité CRITIQUE si :

    • Le service champ de la AWS Health recherche contient la valeur Risk

    • Le typeCode champ de la AWS Health recherche contient la valeur AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION

    • Le typeCode champ de la AWS Health recherche contient la valeur AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK

    • Le typeCode champ de la AWS Health recherche contient la valeur AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES

    Sévérité ÉLEVÉE si :

    • Le service champ de la AWS Health recherche contient la valeur Abuse

    • Le typeCode champ de la AWS Health recherche contient la valeur SECURITY_NOTIFICATION

    • Le typeCode champ de la AWS Health recherche contient la valeur ABUSE_DETECTION

    Sévérité MOYENNE si :

    • Le service champ de la recherche est l'un des suivants :ACM,ARTIFACT,AUDITMANAGER,BACKUP,CLOUDENDURE,CLOUDHSM,CLOUDTRAIL,CLOUDWATCH,CODEGURGU,COGNITO,CONFIG, CONTROLTOWERDETECTIVE,DIRECTORYSERVICE,DRS,EVENTS,FIREWALLMANAGER,GUARDDUTY,IAM,INSPECTOR,INSPECTOR2,IOTDEVICEDEFENDER,KMS,MACIE,NETWORKFIREWALL,ORGANIZATIONS,RESILIENCEHUB,RESOURCEMANAGER,ROUTE53,SECURITYHUB,SECRETSMANAGER,SES,SHIELD,SSO, ou WAF

    • Le champ TypeCode de la AWS Health recherche contient la valeur CERTIFICATE

    • Le champ TypeCode de la AWS Health recherche contient la valeur END_OF_SUPPORT

Constatation typique tirée de AWS Health

AWS Health envoie les résultats au Security Hub CSPM à l'aide du. AWS Format de recherche de sécurité (ASFF) Voici un exemple de résultat typique tiré de AWS Health.

Note

Si la description comporte plus de 1024 caractères, elle sera tronquée à 1024 caractères et indiquera (tronqué) à la fin.

{
            "SchemaVersion": "2018-10-08",
            "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health",
            "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS",
            "AwsAccountId": "123456789012",
            "Types": [
                "Software and Configuration Checks"
            ],
            "CreatedAt": "2022-01-07T16:34:04.000Z",
            "UpdatedAt": "2022-01-07T19:17:43.000Z",
            "Severity": {
                "Label": "MEDIUM",
                "Normalized": 40
            },
            "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS",
            "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).",
            "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
            "ProductFields": {
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
                "aws/securityhub/ProductName": "Health",
                "aws/securityhub/CompanyName": "AWS"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com"
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "MEDIUM"
                },
                "Types": [
                    "Software and Configuration Checks"
                ]
            }
        }
    ]
}

Une fois que vous avez activé Security Hub CSPM, cette intégration est automatiquement activée. AWS Health commence immédiatement à envoyer les résultats à Security Hub CSPM.

Pour arrêter d'envoyer des résultats à Security Hub CSPM, vous pouvez utiliser la console Security Hub CSPM ou l'API Security Hub CSPM.

Pour obtenir des instructions sur la manière d'arrêter le flux de résultats, voirPermettre le flux de résultats à partir d'une intégration CSPM avec Security Hub.

AWS Identity and Access Management Access Analyzer (Envoie les résultats)

Avec IAM Access Analyzer, tous les résultats sont envoyés au Security Hub CSPM.

IAM Access Analyzer utilise un raisonnement basé sur la logique pour analyser les politiques basées sur les ressources appliquées aux ressources prises en charge dans votre compte. IAM Access Analyzer génère une constatation lorsqu'il détecte une déclaration de politique permettant à un principal externe d'accéder à une ressource de votre compte.

Dans IAM Access Analyzer, seul le compte administrateur peut consulter les résultats des analyseurs qui s'appliquent à une organisation. Pour les analyseurs d'organisation, le champ AwsAccountId ASFF reflète l'ID du compte administrateur. En dessousProductFields, le ResourceOwnerAccount champ indique le compte dans lequel la découverte a été découverte. Si vous activez les analyseurs individuellement pour chaque compte, Security Hub CSPM génère plusieurs résultats, l'un identifiant le compte administrateur et l'autre identifiant le compte ressource.

Pour plus d'informations, consultez la section Intégration avec AWS Security Hub Cloud Security Posture Management (CSPM) dans le guide de l'utilisateur IAM.

Amazon Inspector (envoie les résultats)

Amazon Inspector est un service de gestion des vulnérabilités qui analyse en permanence vos AWS charges de travail pour détecter les vulnérabilités. Amazon Inspector découvre et analyse automatiquement les EC2 instances Amazon et les images de conteneurs qui se trouvent dans le registre Amazon Elastic Container Registry. L'analyse recherche les vulnérabilités logicielles et les expositions involontaires au réseau.

Une fois que vous avez activé Security Hub CSPM, cette intégration est automatiquement activée. Amazon Inspector commence immédiatement à envoyer tous les résultats qu'il génère à Security Hub CSPM.

Pour plus d'informations sur l'intégration, consultez Integration with AWS Security Hub Cloud Security Posture Management (CSPM) dans le guide de l'utilisateur d'Amazon Inspector.

Security Hub CSPM peut également recevoir les résultats d'Amazon Inspector Classic. Amazon Inspector Classic envoie les résultats au Security Hub CSPM, qui sont générés par des tests d'évaluation pour tous les packages de règles pris en charge.

Pour plus d'informations sur l'intégration, consultez Integration with AWS Security Hub Cloud Security Posture Management (CSPM) dans le guide de l'utilisateur Amazon Inspector Classic.

Les résultats pour Amazon Inspector et Amazon Inspector Classic utilisent le même ARN du produit. Les résultats d'Amazon Inspector contiennent l'entrée suivante dans ProductFields :

"aws/inspector/ProductVersion": "2",

AWS IoT Device Defender (Envoie les résultats)

AWS IoT Device Defender est un service de sécurité qui audite la configuration de vos appareils IoT, surveille les appareils connectés pour détecter les comportements anormaux et contribue à atténuer les risques de sécurité.

Après avoir activé à la fois AWS IoT Device Defender Security Hub CSPM, rendez-vous sur la page Intégrations de la console Security Hub CSPM et choisissez Accepter les résultats pour Audit, Detect ou les deux. AWS IoT Device Defender Audit and Detect commence à envoyer tous les résultats au Security Hub CSPM.

AWS IoT Device Defender L'audit envoie des résumés de contrôle à Security Hub CSPM, qui contiennent des informations générales relatives à un type de contrôle d'audit et à une tâche d'audit spécifiques. AWS IoT Device Defender Detect envoie les résultats des violations relatives à l'apprentissage automatique (ML), aux statistiques et aux comportements statiques à Security Hub CSPM. L'audit envoie également les mises à jour de recherche à Security Hub CSPM.

Pour plus d'informations sur cette intégration, consultez Integration with AWS Security Hub Cloud Security Posture Management (CSPM) dans le manuel du AWS IoT développeur.

Amazon Macie (envoie les résultats)

Une découverte de Macie peut indiquer qu'il existe une violation potentielle de la politique ou que des données sensibles, telles que des informations personnelles identifiables (PII), sont présentes dans les données que votre organisation stocke sur Amazon S3.

Une fois que vous avez activé Security Hub CSPM, Macie commence automatiquement à envoyer les résultats des politiques au Security Hub CSPM. Vous pouvez configurer l'intégration pour envoyer également les résultats de données sensibles à Security Hub CSPM.

Dans Security Hub CSPM, le type de recherche d'une politique ou d'une recherche de données sensibles est remplacé par une valeur compatible avec ASFF. Par exemple, le type de Policy:IAMUser/S3BucketPublic recherche dans Macie est affiché comme Effects/Data Exposure/Policy:IAMUser-S3BucketPublic dans Security Hub CSPM.

Macie envoie également des exemples de résultats générés à Security Hub CSPM. Pour les résultats d'échantillonnage, le nom de la ressource affectée est macie-sample-finding-bucket et la valeur du Sample champ esttrue.

Pour plus d'informations, consultez la section Intégration d'Amazon Macie à AWS Security Hub Cloud Security Posture Management (CSPM) dans le guide de l'utilisateur d'Amazon Macie.

AWS Systems Manager Gestionnaire de correctifs (envoie les résultats)

AWS Systems Manager Patch Manager envoie les résultats à Security Hub CSPM lorsque les instances du parc d'un client ne sont pas conformes à sa norme de conformité aux correctifs.

Le Gestionnaire de correctifs automatise le processus d’application des correctifs de sécurité et d’autres types de mise à jour sur les instances gérées.

Une fois que vous avez activé Security Hub CSPM, cette intégration est automatiquement activée. Systems Manager Patch Manager commence immédiatement à envoyer ses résultats à Security Hub CSPM.

Pour plus d'informations sur l'utilisation du gestionnaire de correctifs, consultez la section Gestionnaire de AWS Systems Manager correctifs dans le guide de AWS Systems Manager l'utilisateur.

AWS services recevant les résultats de Security Hub CSPM

Les AWS services suivants sont intégrés à Security Hub CSPM et reçoivent les résultats de Security Hub CSPM. Lorsque cela est indiqué, le service intégré peut également mettre à jour les résultats. Dans ce cas, la recherche des mises à jour que vous apportez dans le service intégré sera également reflétée dans Security Hub CSPM.

AWS Audit Manager (Reçoit les résultats)

AWS Audit Manager reçoit les résultats du Security Hub CSPM. Ces résultats aident les utilisateurs d'Audit Manager à se préparer aux audits.

Pour en savoir plus sur Audit Manager, consultez le guide de l'utilisateur d'AWS Audit Manager.AWS Les contrôles de Security Hub Cloud Security Posture Management (CSPM) pris en charge par des AWS Audit Manager listes répertorient les contrôles pour lesquels Security Hub CSPM envoie des résultats à Audit Manager.

Développeur Amazon Q dans les applications de chat (reçoit les résultats)

Amazon Q Developer dans les applications de chat est un agent interactif qui vous aide à surveiller et à interagir avec vos AWS ressources sur vos canaux Slack et les forums de discussion Amazon Chime.

Le développeur d'applications de chat Amazon Q reçoit les conclusions du Security Hub CSPM.

Pour en savoir plus sur l'intégration d'Amazon Q Developer dans les applications de chat à Security Hub CSPM, consultez la présentation de l'intégration de Security Hub CSPM dans le guide de l'administrateur d'Amazon Q Developer dans les applications de chat.

Amazon Detective (reçoit les résultats)

Detective collecte automatiquement les données des journaux à partir de vos AWS ressources et utilise l'apprentissage automatique, l'analyse statistique et la théorie des graphes pour vous aider à visualiser et à mener des enquêtes de sécurité plus rapides et plus efficaces.

L'intégration de Security Hub CSPM à Detective vous permet de passer des GuardDuty résultats d'Amazon dans Security Hub CSPM à Detective. Vous pouvez ensuite utiliser les outils Detective et les visualisations pour les étudier. L'intégration ne nécessite aucune configuration supplémentaire dans Security Hub CSPM ou Detective.

Pour les résultats reçus d'autres utilisateurs Services AWS, le panneau de détails des résultats de la console Security Hub CSPM inclut une sous-section Investigate in Detective. Cette sous-section contient un lien vers Detective où vous pouvez étudier plus en détail le problème de sécurité signalé par le résultat. Vous pouvez également créer un graphe de comportement dans Detective sur la base des résultats du Security Hub CSPM afin de mener des enquêtes plus efficaces. Pour plus d'informations, consultez les résultats AWS de sécurité dans le guide d'administration Amazon Detective.

Si l'agrégation entre régions est activée, lorsque vous quittez la région d'agrégation, Detective s'ouvre dans la région d'où provient le résultat.

Si un lien ne fonctionne pas et que vous souhaitez accéder à des conseils de dépannage, veuillez consulter la page relative au dépannage.

Amazon Security Lake (reçoit les résultats)

Security Lake est un service de lac de données de sécurité entièrement géré. Vous pouvez utiliser Security Lake pour centraliser automatiquement les données de sécurité provenant de sources cloud, locales et personnalisées dans un lac de données stocké dans votre compte. Les abonnés peuvent utiliser les données de Security Lake à des fins d'investigation et d'analyse.

Pour activer cette intégration, vous devez activer les deux services et ajouter Security Hub CSPM en tant que source dans la console Security Lake, l'API Security Lake ou. AWS CLI Une fois ces étapes terminées, Security Hub CSPM commence à envoyer tous les résultats à Security Lake.

Security Lake normalise automatiquement les résultats du Security Hub CSPM et les convertit en un schéma open source standardisé appelé Open Cybersecurity Schema Framework (OCSF). Dans Security Lake, vous pouvez ajouter un ou plusieurs abonnés pour consulter les résultats du Security Hub CSPM.

Pour plus d'informations sur cette intégration, notamment les instructions relatives à l'ajout de Security Hub CSPM en tant que source et à la création d'abonnés, consultez Integration with AWS Security Hub Cloud Security Posture Management (CSPM) dans le guide de l'utilisateur d'Amazon Security Lake.

AWS Systems Manager Explorer et OpsCenter (reçoit et met à jour les résultats)

AWS Systems Manager Explorez et OpsCenter recevez les résultats de Security Hub CSPM, puis mettez-les à jour dans Security Hub CSPM.

Explorer vous fournit un tableau de bord personnalisable, fournissant des informations et des analyses clés sur la santé opérationnelle et les performances de votre AWS environnement.

OpsCenter vous fournit un emplacement central pour visualiser, étudier et résoudre les éléments de travail opérationnels.

Pour plus d'informations sur Explorer et OpsCenter voir Gestion des opérations dans le Guide de AWS Systems Manager l'utilisateur.

AWS Trusted Advisor (Reçoit les résultats)

Trusted Advisor s'appuie sur les meilleures pratiques apprises en servant des centaines de milliers de AWS clients. Trusted Advisor inspecte votre AWS environnement, puis émet des recommandations lorsque des opportunités se présentent pour économiser de l'argent, améliorer la disponibilité et les performances du système ou contribuer à combler les failles de sécurité.

Lorsque vous activez à la fois Security Hub CSPM Trusted Advisor et Security Hub, l'intégration est automatiquement mise à jour.

Security Hub CSPM envoie les résultats de ses vérifications des meilleures pratiques de sécurité AWS fondamentales à. Trusted Advisor

Pour plus d'informations sur l'intégration de Security Hub CSPM avec Security Hub Trusted Advisor, consultez la section Visualisation des contrôles CSPM (Viewing AWS Security Hub Cloud Security Posture Management) dans AWS Trusted Advisor le Guide de l'utilisateur de Support AWS .