Security Hub CSPM とカスタム製品の統合

Security Hub CSPM を有効にすると、Security Hub CSPM 用のデフォルトの製品 Amazon リソースネーム (ARN) が現在のアカウントで生成されます。

この製品 ARN の形式は、arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default です。例えば、arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default。

BatchImportFindings API オペレーションを呼び出すときに、この製品 ARN を ProductArn 属性の値として使用します。

BatchImportFindings を使用して、Security Hub CSPM に検出結果を送信するカスタム統合の優先会社名と製品名を設定します。

事前設定された会社名と製品名 (個人名とデフォルト名) のそれぞれが指定した名前で置き換えられ、Security Hub CSPM コンソールと各結果の JSON に表示されます。「検出結果プロバイダーの BatchImportFindings」を参照してください。

Id 属性を使用して、独自の結果の ID を提供、管理、および増分する必要があります。

それぞれの新しい検出結果には、一意の検出結果 ID が必要です。カスタム製品が同じ検出結果 ID で複数の検出結果を送信する場合、Security Hub CSPM は最初の検出結果のみを処理します。

AwsAccountId 属性を使用して、自分のアカウント ID を指定する必要があります。

CreatedAt および UpdatedAt 属性に独自のタイムスタンプを渡す必要があります。

Chef InSpec コンプライアンススキャンを実行する CloudFormation テンプレート を作成して Security Hub CSPM に検出結果を送信することができます。

詳細については、「Continuous compliance monitoring with Chef InSpec and AWS Security Hub CSPM」を参照してください。

AquaSecurity Trivy を使用する CloudFormation テンプレートを作成して、コンテナの脆弱性をスキャンし、これらの脆弱性の検出結果を Security Hub CSPM に送信することができます。

詳細については、「How to build a CI/CD pipeline for container vulnerability scanning with Trivy andAWS Security Hub CSPM」を参照してください。