AWS 서비스 Security Hub CSPM과의 통합 - AWS Security Hub
Security Hub CSPM과의 AWS 서비스 통합 개요AWS Security Hub CSPM으로 조사 결과를 보내는 서비스AWS Security Hub CSPM에서 조사 결과를 수신하는 서비스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 서비스 Security Hub CSPM과의 통합

AWS Security Hub Cloud Security Posture Management(CSPM)는 여러 다른 와의 통합을 지원합니다 AWS 서비스.

참고

통합을 사용하지 못할 수도 있습니다 AWS 리전. 현재 리전에서 지원되지 않는 통합은 통합 페이지에 표시되지 않습니다.

중국 리전 및에서 사용할 수 있는 통합 목록은 중국(베이징) 및 중국(닝샤) 리전에서 지원되는 통합 및 섹션을 AWS GovCloud (US)참조하세요in AWS GovCloud(미국 동부) 및 AWS GovCloud(미국 서부) 리전에서 지원되는 통합.

아래에 명시되지 않는 한, Security Hub CSPM 및 다른 서비스를 활성화하면 Security Hub CSPM으로 조사 결과를 전송하는 AWS 서비스 통합이 자동으로 활성화됩니다. Security Hub CSPM 조사 결과를 수신하는 통합에는 활성화를 위한 추가 단계가 필요할 수 있습니다. 더 자세히 알아보려면 각 통합에 대한 정보를 검토하세요.

Security Hub CSPM과의 AWS 서비스 통합 개요

다음은 Security Hub CSPM으로 조사 결과를 보내거나 Security Hub CSPM에서 조사 결과를 수신하는 AWS 서비스에 대한 개요입니다.

통합 AWS 서비스 Direction

AWS Config

조사 결과를 전송합니다

AWS Firewall Manager

조사 결과를 전송합니다

Amazon GuardDuty

조사 결과를 전송합니다

AWS Health

조사 결과를 전송합니다

AWS Identity and Access Management Access Analyzer

조사 결과를 전송합니다

Amazon Inspector

조사 결과를 전송합니다

AWS IoT Device Defender

조사 결과를 전송합니다

Amazon Macie

조사 결과를 전송합니다

AWS Systems Manager 패치 관리자

조사 결과를 전송합니다

AWS Audit Manager

조사 결과를 수신합니다

채팅 애플리케이션의 Amazon Q Developer

조사 결과를 수신합니다

Amazon Detective

조사 결과를 수신합니다

Amazon Security Lake

조사 결과를 수신합니다

AWS Systems Manager Explorer 및 OpsCenter

조사 결과 수령 및 업데이트

AWS Trusted Advisor

조사 결과를 수신합니다

AWS Security Hub CSPM으로 조사 결과를 보내는 서비스

다음 AWS 서비스는 조사 결과를 Security Hub CSPM으로 전송하여 Security Hub CSPM과 통합됩니다. Security Hub CSPM은 조사 결과를 AWS Security Finding 형식으로 변환합니다.

AWS Config (조사 결과 전송)

AWS Config 는 AWS 리소스의 구성을 평가, 감사 및 평가할 수 있는 서비스입니다.는 AWS 리소스 구성을 AWS Config 지속적으로 모니터링 및 기록하고 원하는 구성에 대해 기록된 구성의 평가를 자동화할 수 있습니다.

와의 통합을 사용하면 Security Hub CSPM에서 관리형 및 사용자 지정 규칙 평가 결과를 AWS Config 조사 결과로 볼 AWS Config수 있습니다. 이러한 조사 결과는 다른 Security Hub CSPM 조사 결과와 함께 볼 수 있으므로 보안 태세에 대한 포괄적인 개요를 제공합니다.

AWS Config 는 Amazon EventBridge를 사용하여 AWS Config 규칙 평가를 Security Hub CSPM으로 전송합니다. Security Hub CSPM은 규칙 평가를 AWS Security Finding 형식을 따르는 조사 결과로 변환합니다. 그런 다음 Security Hub CSPM은 Amazon 리소스 이름(ARN), 리소스 태그, 생성 날짜 등 영향을 받는 리소스에 대한 자세한 정보를 얻어 최대한 조사 결과를 보강합니다.

이 통합에 대한 자세한 내용은 다음 섹션을 참조하세요.

Security Hub CSPM의 모든 결과는 표준 JSON 형식의 ASFF를 사용합니다. ASFF에는 결과의 출처, 영향을 받는 리소스 및 결과의 현재 상태에 대한 세부 정보가 포함됩니다.는 EventBridge를 통해 관리형 및 사용자 지정 규칙 평가를 Security Hub CSPM으로 AWS Config 보냅니다. Security Hub CSPM은 규칙 평가를 ASFF를 따르는 조사 결과로 변환하고 최대한 조사 결과를 보강합니다.

가 Security Hub CSPM으로 AWS Config 보내는 조사 결과 유형

통합이 활성화되면는 모든 AWS Config 관리형 규칙 및 사용자 지정 규칙에 대한 평가를 Security Hub CSPM으로 AWS Config 전송합니다. Security Hub CSPM이 활성화된 후 수행된 평가만 전송됩니다. 예를 들어 AWS Config 규칙 평가에서 실패한 리소스가 5개 있다고 가정해 보겠습니다. 그런 다음 Security Hub CSPM을 활성화하면 규칙에서 여섯 번째 실패한 리소스를 공개하고는 여섯 번째 리소스 평가만 Security Hub CSPM으로 AWS Config 전송합니다.

Security Hub CSPM 제어에서 검사를 실행하는 데 사용되는 규칙과 같은 서비스 연결 AWS Config 규칙의 평가는 제외됩니다.

Security Hub CSPM으로 AWS Config 조사 결과 전송

통합이 활성화되면 Security Hub CSPM은 결과를 수신하는 데 필요한 권한을 자동으로 할당합니다 AWS Config. Security Hub CSPM은이 통합을 활성화하고 Amazon EventBridge를 AWS Config 통해에서 결과를 가져올 수 있는 안전한 방법을 제공하는 service-to-service 수준 권한을 사용합니다.

조사 결과 전송 지연 시간

에서 새 결과를 AWS Config 생성할 때 일반적으로 5분 이내에 Security Hub CSPM에서 결과를 볼 수 있습니다.

Security Hub CSPM을 사용할 수 없는 경우 재시도

AWS Config 는 EventBridge를 통해 최대한 결과를 Security Hub CSPM에 전송합니다. 이벤트가 Security Hub CSPM으로 성공적으로 전송되지 않으면 EventBridge는 최대 24시간 또는 185회 중 먼저 도래하는 시간 동안 전송을 재시도합니다.

Security Hub CSPM에서 기존 AWS Config 조사 결과 업데이트

가 Security Hub CSPM에 조사 결과를 AWS Config 전송한 후 동일한 조사 결과에 대한 업데이트를 Security Hub CSPM에 전송하여 조사 결과에 대한 추가 관찰 결과를 반영할 수 있습니다. 업데이트는 ComplianceChangeNotification 이벤트에 대해서만 전송됩니다. 규정 준수 변경이 발생하지 않으면 업데이트가 Security Hub CSPM으로 전송되지 않습니다. Security Hub CSPM은 최신 업데이트 후 90일 또는 업데이트가 발생하지 않는 경우 생성 후 90일 시점에 조사 결과를 삭제합니다.

Security Hub CSPM은 연결된 리소스를 삭제 AWS Config 하더라도에서 전송된 조사 결과를 보관하지 않습니다.

AWS Config 조사 결과가 존재하는 리전

AWS Config 조사 결과는 리전별로 발생합니다.는 조사 결과가 발생한 동일한 리전 또는 리전의 Security Hub CSPM에 조사 결과를 AWS Config 전송합니다.

AWS Config 조사 결과를 보려면 Security Hub CSPM 탐색 창에서 조사 결과를 선택합니다. 조사 결과를 필터링하여 AWS Config 조사 결과만 표시하려면 검색 창 드롭다운에서 제품 이름을 선택합니다. 구성을 입력하고 적용을 선택합니다.

Security Hub CSPM에서 AWS Config 결과 이름 해석

Security Hub CSPM은 AWS Config 규칙 평가를를 따르는 조사 결과로 변환합니다AWS Security Finding 형식(ASFF). AWS Config 규칙 평가는 ASFF와 다른 이벤트 패턴을 사용합니다. 다음 표에서는 AWS Config 규칙 평가 필드를 Security Hub CSPM에 표시된 ASFF 필드와 매핑합니다.

구성 규칙 평가 조사 결과 유형 ASFF 조사 결과 유형 하드코딩된 값
detail.awsAccountId AwsAccountId
detail.newEvaluationResult.resultRecordedTime CreatedAt
detail.newEvaluationResult.resultRecordedTime UpdatedAt
ProductArn "arn:<partition>:securityhub:<region>::product/aws/config"
ProductName "Config"
CompanyName "AWS"
Region "eu-central-1"
configRuleArn GeneratorId, ProductFields
detail.ConfigRuleARN/finding/hash Id
detail.configRuleName Title, ProductFields
detail.configRuleName 설명 ‘이 조사 결과는 구성 규칙(${detail.ConfigRuleName})의 리소스 규정 준수 변경을 위해 작성되었습니다.’
구성 항목 "ARN" 또는 Security Hub CSPM 계산 ARN Resources[i].id
detail.resourceType Resources[i].Type "AwsS3Bucket"
Resources[i].Partition "aws"
Resources[i].Region "eu-central-1"
구성 항목 "configuration" Resources[i].Details
SchemaVersion "2018-10-08"
Severity.Label 아래 ‘심각도 레이블 해석’ 참조
유형 ["소프트웨어 및 구성 점검"]
detail.newEvaluationResult.complianceType Compliance.Status "실패함", "사용할 수 없음", "통과함" 또는 "경고"
Workflow.Status Compliance.Status가 "PASSED"로 생성되거나 Compliance.Status AWS Config 가 "FAILED"에서 "PASSED"로 변경되는 경우 "RESOLVED". 그렇지 않은 경우에는 Workflow.Status가 ‘새로운’이 됩니다. BatchUpdateFinds API 작업을 사용하여 이 값을 변경할 수 있습니다.

심각도 레이블 해석

AWS Config 규칙 평가의 모든 결과에는 ASFF의 기본 심각도 레이블이 MEDIUM입니다. BatchUpdateFindings API 작업을 통해 조사 결과의 심각도 레이블을 업데이트할 수 있습니다.

의 일반적인 결과 AWS Config

Security Hub CSPM은 AWS Config 규칙 평가를 ASFF를 따르는 조사 결과로 변환합니다. 다음은 ASFF에서 AWS Config 의 일반적인 조사 결과의 예입니다.

참고

설명이 1024자를 초과하면 1024자에서 잘리고 끝에 ‘(잘림)’이라고 표시됩니다.

{
	"SchemaVersion": "2018-10-08",
	"Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932",
	"ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config",
	"ProductName": "Config",
	"CompanyName": "AWS",
	"Region": "eu-central-1",
	"GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
	"AwsAccountId": "123456789012",
	"Types": [
		"Software and Configuration Checks"
	],
	"CreatedAt": "2022-04-15T05:00:37.181Z",
	"UpdatedAt": "2022-04-19T21:20:15.056Z",
	"Severity": {
		"Label": "MEDIUM",
		"Normalized": 40
	},
	"Title": "s3-bucket-level-public-access-prohibited-config-integration-demo",
	"Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo",
	"ProductFields": {
		"aws/securityhub/ProductName": "Config",
		"aws/securityhub/CompanyName": "AWS",
		"aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902",
		"aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq",
		"aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo",
		"aws/config/ConfigComplianceType": "NON_COMPLIANT"
	},
	"Resources": [{
		"Type": "AwsS3Bucket",
		"Id": "arn:aws:s3:::amzn-s3-demo-bucket",
		"Partition": "aws",
		"Region": "eu-central-1",
		"Details": {
			"AwsS3Bucket": {
				"OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c",
				"CreatedAt": "2022-04-15T04:32:53.000Z"
			}
		}
	}],
	"Compliance": {
		"Status": "FAILED"
	},
	"WorkflowState": "NEW",
	"Workflow": {
		"Status": "NEW"
	},
	"RecordState": "ACTIVE",
	"FindingProviderFields": {
		"Severity": {
			"Label": "MEDIUM"
		},
		"Types": [
			"Software and Configuration Checks"
		]
	}
}

Security Hub CSPM을 활성화하면이 통합이 자동으로 활성화됩니다. AWS Config 즉시 Security Hub CSPM으로 조사 결과를 보내기 시작합니다.

Security Hub CSPM으로 조사 결과 전송을 중지하려면 Security Hub CSPM 콘솔 또는 Security Hub CSPM API를 사용할 수 있습니다.

조사 결과의 흐름을 중지하는 방법에 대한 지침은 Security Hub CSPM 통합의 결과 흐름 활성화 섹션을 참조하세요.

AWS Firewall Manager (조사 결과 전송)

Firewall Manager는 리소스에 대한 웹 애플리케이션 방화벽(WAF) 정책 또는 웹 ACL(웹 액세스 제어 목록) 규칙이 규정을 준수하지 않는 경우 Security Hub CSPM에 조사 결과를 전송합니다. Firewall Manager는 AWS Shield Advanced 가 리소스를 보호하지 않거나 공격이 식별될 때 조사 결과를 전송합니다.

Security Hub CSPM을 활성화하면이 통합이 자동으로 활성화됩니다. Firewall Manager는 즉시 Security Hub CSPM으로 조사 결과를 보내기 시작합니다.

통합에 대해 자세히 알아보려면 Security Hub CSPM 콘솔에서 통합 페이지를 참조하세요.

Firewall Manager에 대해 자세히 알아보려면 AWS WAF 개발자 안내서를 참조하세요.

Amazon GuardDuty(조사 결과를 전송합니다)

GuardDuty는 생성하는 모든 결과 유형을 Security Hub CSPM으로 전송합니다. 일부 결과 유형에는 사전 조건, 활성화 요구 사항 또는 리전 제한이 있습니다. 자세한 내용은 Amazon GuardDuty 사용 설명서의 GuardDuty 결과 유형을 참조하세요. Amazon GuardDuty

GuardDuty의 새로운 결과는 5분 이내에 Security Hub CSPM으로 전송됩니다. 조사 결과에 대한 업데이트는 GuardDuty 설정에서 Amazon EventBridge에 대해 업데이트된 조사 결과 설정을 기반으로 전송됩니다.

GuardDuty 설정 페이지를 사용하여 GuardDuty 샘플 결과를 생성하면 Security Hub CSPM은 샘플 결과를 수신하고 결과 유형의 접두사를 생략[Sample]합니다. 예를 들어 GuardDuty의 샘플 결과 유형은 Security Hub CSPMRecon:IAMUser/ResourcePermissions[SAMPLE] Recon:IAMUser/ResourcePermissions 로 표시됩니다.

Security Hub CSPM을 활성화하면이 통합이 자동으로 활성화됩니다. GuardDuty는 즉시 Security Hub CSPM으로 조사 결과를 보내기 시작합니다.

GuardDuty 통합에 대한 자세한 내용은 Amazon GuardDuty 사용 설명서AWS Security Hub Cloud Security Posture Management(CSPM)와 통합을 참조하세요.

AWS Health (조사 결과 전송)

AWS Health 는 리소스 성능 및 AWS 서비스 및 가용성에 대한 지속적인 가시성을 제공합니다 AWS 계정. AWS Health 이벤트를 사용하여 서비스 및 리소스 변경이 AWS에서 실행 중인 애플리케이션에 어떤 영향을 미칠 수 있는지 알아볼 수 있습니다.

와의 통합은를 사용하지 AWS Health 않습니다BatchImportFindings. 대신 service-to-service 이벤트 메시징을 AWS Health 사용하여 Security Hub CSPM으로 조사 결과를 보냅니다.

이 통합에 대한 자세한 내용은 다음 섹션을 참조하세요.

Security Hub CSPM에서 보안 문제는 조사 결과로 추적됩니다. 일부 결과는 다른 AWS 서비스 또는 타사 파트너가 감지한 문제에서 비롯됩니다. Security Hub CSPM에는 보안 문제를 감지하고 결과를 생성하는 데 사용하는 규칙 세트도 있습니다.

Security Hub CSPM은 이러한 모든 소스에서 결과를 관리할 수 있는 도구를 제공합니다. 사용자는 조사 결과 목록을 조회하고 필터링할 수 있으며 주어진 조사 결과의 세부 정보를 조회할 수도 있습니다. Security Hub CSPM에서 조사 결과 세부 정보 및 기록 검토 섹션을 참조하세요. 또한 주어진 조사 결과에 대한 조사 상태를 추적할 수도 있습니다. Security Hub CSPM에서 조사 결과의 워크플로 상태 설정을(를) 참조하세요.

Security Hub CSPM의 모든 결과는 라는 표준 JSON 형식을 사용합니다AWS Security Finding 형식(ASFF). ASFF에는 문제의 출처, 영향을 받은 리소스와 조사 결과의 현재 상태 등에 관한 세부 정보가 포함됩니다.

AWS Health 는 Security Hub CSPM에 결과를 보내는 AWS 서비스 중 하나입니다.

가 Security Hub CSPM으로 AWS Health 보내는 조사 결과 유형

통합이 활성화되면는 나열된 사양 중 하나 이상을 충족하는 결과를 Security Hub CSPM으로 AWS Health 보냅니다. Security Hub CSPM은에서 조사 결과를 수집합니다AWS Security Finding 형식(ASFF).

  • 다음 값 중 하나가 포함된 결과 AWS 서비스:

    • RISK

    • ABUSE

    • ACM

    • CLOUDHSM

    • CLOUDTRAIL

    • CONFIG

    • CONTROLTOWER

    • DETECTIVE

    • EVENTS

    • GUARDDUTY

    • IAM

    • INSPECTOR

    • KMS

    • MACIE

    • SES

    • SECURITYHUB

    • SHIELD

    • SSO

    • COGNITO

    • IOTDEVICEDEFENDER

    • NETWORKFIREWALL

    • ROUTE53

    • WAF

    • FIREWALLMANAGER

    • SECRETSMANAGER

    • BACKUP

    • AUDITMANAGER

    • ARTIFACT

    • CLOUDENDURE

    • CODEGURU

    • ORGANIZATIONS

    • DIRECTORYSERVICE

    • RESOURCEMANAGER

    • CLOUDWATCH

    • DRS

    • INSPECTOR2

    • RESILIENCEHUB

  • 필드에 security, abuse또는 단어certificate가 AWS Health typeCode 있는 결과

  • AWS Health 서비스가 risk 또는 인 조사 결과 abuse

Security Hub CSPM으로 AWS Health 조사 결과 전송

조사 결과를 수락하도록 선택하면 AWS Health Security Hub CSPM은 조사 결과를 수신하는 데 필요한 권한을 자동으로 할당합니다 AWS Health. Security Hub CSPM은 service-to-service 수준 권한을 사용합니다. AWS Health EventBridge 결과 수락을 선택하면 Security Hub CSPM에 결과를 사용할 수 있는 권한이 부여됩니다 AWS Health.

조사 결과 전송 지연 시간

가 새 결과를 AWS Health 생성하면 일반적으로 5분 이내에 Security Hub CSPM으로 전송됩니다.

Security Hub CSPM을 사용할 수 없는 경우 재시도

AWS Health 는 EventBridge를 통해 최대한 결과를 Security Hub CSPM에 전송합니다. 이벤트가 Security Hub CSPM으로 성공적으로 전달되지 않으면 EventBridge는 24시간 동안 이벤트 전송을 재시도합니다.

Security Hub CSPM에서 기존 조사 결과 업데이트

가 Security Hub CSPM에 조사 결과를 AWS Health 전송한 후 동일한 조사 결과에 대한 업데이트를 전송하여 조사 결과에 대한 추가 관찰 결과를 Security Hub CSPM에 반영할 수 있습니다.

조사 결과가 존재하는 리전

글로벌 이벤트의 경우는 us-east-1(AWS 파티션), cn-northwest-1(중국 파티션) 및 gov-us-west-1(GovCloud 파티션)의 Security Hub CSPM으로 조사 결과를 AWS Health 전송합니다.는 이벤트가 발생하는 동일한 리전 또는 리전의 Security Hub CSPM으로 리전별 이벤트를 AWS Health 전송합니다.

Security Hub CSPM에서 AWS Health 조사 결과를 보려면 탐색 패널에서 조사 결과를 선택합니다. 조사 결과를 필터링하여 AWS Health 조사 결과만 표시하려면 제품 이름 필드에서 상태를 선택합니다.

Security Hub CSPM에서 AWS Health 결과 이름 해석

AWS Health 는를 사용하여 조사 결과를 Security Hub CSPM으로 전송합니다AWS Security Finding 형식(ASFF). AWS Health 검색은 Security Hub CSPM ASFF 형식과 다른 이벤트 패턴을 사용합니다. 아래 표에는 Security Hub CSPM에 나타나는 ASFF와 일치하는 모든 AWS Health 결과 필드가 자세히 나와 있습니다.

상태 조사 결과 유형 ASFF 조사 결과 유형 하드코딩된 값
account AwsAccountId
detail.startTime CreatedAt
detail.eventDescription.latestDescription 설명
detail.eventTypeCode GeneratorId
detail.eventArn (including account) + hash of detail.startTime Id
"arn:aws:securityhub:<region>::product/aws/health" ProductArn
account 또는 resourceId Resources[i].id
Resources[i].Type ‘기타’
SchemaVersion "2018-10-08"
Severity.Label 아래 ‘심각도 레이블 해석’ 참고
“AWS Health -" detail.eventTypeCode Title
- 유형 ["소프트웨어 및 구성 점검"]
event.time UpdatedAt
Health 콘솔의 이벤트 URL SourceUrl
심각도 레이블 해석

ASFF 조사 결과의 심각도 레이블은 다음 논리를 사용하여 결정됩니다.

  • 심각도 심각인 경우:

    • AWS Health 결과의 service 필드에 값이 있습니다. Risk

    • AWS Health 결과의 typeCode 필드에 값이 있습니다. AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION

    • AWS Health 결과의 typeCode 필드에 값이 있습니다. AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK

    • AWS Health 결과의 typeCode 필드에 값이 있습니다. AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES

    심각도 높음인 경우:

    • AWS Health 결과의 service 필드에 값이 있습니다. Abuse

    • AWS Health 결과의 typeCode 필드에 값이 포함됩니다. SECURITY_NOTIFICATION

    • AWS Health 결과의 typeCode 필드에 값이 포함됩니다. ABUSE_DETECTION

    심각도 중간인 경우:

    • 조사 결과의 service 필드는 ACM, ARTIFACT, AUDITMANAGER, BACKUP,CLOUDENDURE, CLOUDHSM, CLOUDTRAIL, CLOUDWATCH, CODEGURGU, COGNITO, CONFIG, CONTROLTOWER, DETECTIVE, DIRECTORYSERVICE, DRS, EVENTS, FIREWALLMANAGER, GUARDDUTY, IAM, INSPECTOR, INSPECTOR2, IOTDEVICEDEFENDER, KMS, MACIE, NETWORKFIREWALL, ORGANIZATIONS, RESILIENCEHUB, RESOURCEMANAGER, ROUTE53, SECURITYHUB, SECRETSMANAGER, SES, SHIELD, SSO 또는 WAF이 될 수 있습니다.

    • AWS Health 조사 결과의 typeCode 필드는 CERTIFICATE 값을 가집니다.

    • AWS Health 조사 결과의 typeCode 필드는 END_OF_SUPPORT 값을 가집니다.

의 일반적인 결과 AWS Health

AWS Health 는를 사용하여 Security Hub CSPM으로 조사 결과를 전송합니다AWS Security Finding 형식(ASFF). 다음은 일반적인 결과의 예입니다 AWS Health.

참고

설명이 1024자를 초과하면 1024자에서 잘리고 끝에 (잘림) 라고 표시됩니다.

{
            "SchemaVersion": "2018-10-08",
            "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30",
            "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health",
            "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS",
            "AwsAccountId": "123456789012",
            "Types": [
                "Software and Configuration Checks"
            ],
            "CreatedAt": "2022-01-07T16:34:04.000Z",
            "UpdatedAt": "2022-01-07T19:17:43.000Z",
            "Severity": {
                "Label": "MEDIUM",
                "Normalized": 40
            },
            "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS",
            "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).",
            "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
            "ProductFields": {
                "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96",
                "aws/securityhub/ProductName": "Health",
                "aws/securityhub/CompanyName": "AWS"
            },
            "Resources": [
                {
                    "Type": "Other",
                    "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com"
                }
            ],
            "WorkflowState": "NEW",
            "Workflow": {
                "Status": "NEW"
            },
            "RecordState": "ACTIVE",
            "FindingProviderFields": {
                "Severity": {
                    "Label": "MEDIUM"
                },
                "Types": [
                    "Software and Configuration Checks"
                ]
            }
        }
    ]
}

Security Hub CSPM을 활성화하면이 통합이 자동으로 활성화됩니다. AWS Health 즉시 Security Hub CSPM으로 조사 결과를 보내기 시작합니다.

Security Hub CSPM으로 결과 전송을 중지하려면 Security Hub CSPM 콘솔 또는 Security Hub CSPM API를 사용할 수 있습니다.

조사 결과의 흐름을 중지하는 방법에 대한 지침은 Security Hub CSPM 통합의 결과 흐름 활성화 섹션을 참조하세요.

AWS Identity and Access Management Access Analyzer (조사 결과 전송)

IAM Access Analyzer를 사용하면 모든 결과가 Security Hub CSPM으로 전송됩니다.

IAM 액세스 분석기는 논리 기반 추론을 통해 계정에서 지원되는 리소스에 적용되는 리소스 기반 정책을 분석합니다. IAM 액세스 분석기는 외부 보안 주체가 사용자 계정의 리소스에 액세스할 수 있도록 하는 정책 문을 감지할 때 조사 결과를 생성합니다.

IAM Access Analyzer에서는 관리자 계정만 조직에 적용되는 분석기에 대한 조사 결과를 볼 수 있습니다. 조직 분석기의 경우, AwsAccountId ASFF 필드는 관리자 계정 ID를 반영합니다. ProductFields에서 ResourceOwnerAccount 필드는 조사 결과가 발견된 계정을 나타냅니다. 각 계정에 대해 분석기를 개별적으로 활성화하면 Security Hub CSPM은 관리자 계정 ID를 식별하는 결과와 리소스 계정 ID를 식별하는 결과 등 여러 결과를 생성합니다.

자세한 내용은 IAM 사용 설명서AWS Security Hub Cloud Security Posture Management(CSPM)와의 통합을 참조하세요.

Amazon Inspector(조사 결과를 전송함)

Amazon Inspector는 AWS 워크로드에서 취약성을 지속적으로 검사하는 취약성 관리 서비스입니다. Amazon Inspector는 Amazon Elastic 컨테이너 레지스트리에 상주하는 Amazon EC2 인스턴스와 컨테이너 이미지를 자동으로 검색하고 스캔합니다. 이 검사는 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 찾습니다.

Security Hub CSPM을 활성화하면이 통합이 자동으로 활성화됩니다. Amazon Inspector는 생성하는 모든 조사 결과를 Security Hub CSPM으로 즉시 보내기 시작합니다.

통합에 대한 자세한 내용은 Amazon Inspector 사용 설명서AWS Security Hub Cloud Security Posture Management(CSPM)와의 통합을 참조하세요.

Security Hub CSPM은 Amazon Inspector Classic으로부터 조사 결과를 받을 수도 있습니다. Amazon Inspector Classic은 지원되는 모든 규칙 패키지에 대한 평가 실행을 통해 생성된 결과를 Security Hub CSPM으로 전송합니다.

통합에 대한 자세한 내용은 Amazon Inspector Classic 사용 설명서AWS Security Hub Cloud Security Posture Management(CSPM)와의 통합을 참조하세요.

Amazon Inspector 및 Amazon Inspector Classic의 조사 결과는 동일한 제품 ARN을 사용합니다. Amazon Inspector 조사 결과에는 ProductFields에 다음과 같은 항목이 있습니다.

"aws/inspector/ProductVersion": "2",

AWS IoT Device Defender (조사 결과 전송)

AWS IoT Device Defender 는 IoT 디바이스의 구성을 감사하고, 연결된 디바이스를 모니터링하여 비정상적인 동작을 감지하고, 보안 위험을 완화하는 데 도움이 되는 보안 서비스입니다.

AWS IoT Device Defender 및 Security Hub CSPM을 모두 활성화한 후 Security Hub CSPM 콘솔의 통합 페이지를 방문하여 감사, 탐지 또는 둘 다에 대한 조사 결과 수락을 선택합니다. AWS IoT Device Defender 감사 및 탐지는 모든 조사 결과를 Security Hub CSPM으로 보내기 시작합니다.

AWS IoT Device Defender Audit은 특정 감사 검사 유형 및 감사 작업에 대한 일반 정보가 포함된 검사 요약을 Security Hub CSPM으로 전송합니다. AWS IoT Device Defender Detect는 기계 학습(ML), 통계 및 정적 동작에 대한 위반 결과를 Security Hub CSPM으로 전송합니다. 또한 감사는 조사 결과 업데이트를 Security Hub CSPM으로 보냅니다.

이 통합에 대한 자세한 내용은 AWS IoT 개발자 안내서AWS Security Hub Cloud Security Posture Management(CSPM)와의 통합을 참조하세요.

Amazon Macie(조사 결과를 전송합니다)

Macie의 조사 결과는 잠재적 정책 위반 사항이 있거나 조직이 Amazon S3에 저장하는 데이터에 개인 식별 정보(PII)와 같은 민감한 데이터가 있음을 나타낼 수 있습니다.

Security Hub CSPM을 활성화하면 Macie는 자동으로 정책 조사 결과를 Security Hub CSPM으로 보내기 시작합니다. Security Hub CSPM으로 민감한 데이터 조사 결과를 전송하도록 통합을 구성할 수도 있습니다.

Security Hub CSPM에서 정책 또는 민감한 데이터 조사 결과의 조사 결과 유형이 ASFF와 호환되는 값으로 변경됩니다. 예를 들어 Macie의 Policy:IAMUser/S3BucketPublic 결과 유형은 Security Hub CSPMEffects/Data Exposure/Policy:IAMUser-S3BucketPublic에 로 표시됩니다.

또한 Macie는 생성된 샘플 조사 결과를 Security Hub CSPM으로 보냅니다. 샘플 조사 결과의 경우, 영향을 받는 리소스의 이름은 macie-sample-finding-bucket(이)고 Sample 필드의 값은 true입니다.

자세한 내용은 Amazon Macie 사용 설명서의 Amazon Macie와 AWS Security Hub Cloud Security Posture Management(CSPM) 통합을 참조하세요. Amazon Macie

AWS Systems Manager 패치 관리자(조사 결과 전송)

AWS Systems Manager 패치 관리자는 고객의 플릿에 있는 인스턴스가 패치 규정 준수 표준을 준수하지 않을 때 Security Hub CSPM에 조사 결과를 전송합니다.

Patch Manager는 보안 관련 업데이트와 기타 유형의 업데이트를 모두 사용하여 관리형 인스턴스를 패치하는 프로세스를 자동화합니다.

Security Hub CSPM을 활성화하면이 통합이 자동으로 활성화됩니다. Systems Manager Patch Manager는 즉시 Security Hub CSPM으로 조사 결과를 보내기 시작합니다.

패치 관리자 사용에 대한 자세한 내용은AWS Systems Manager 사용자 설명서AWS Systems Manager 패치 관리자를 참조하세요.

AWS Security Hub CSPM에서 조사 결과를 수신하는 서비스

다음 AWS 서비스는 Security Hub CSPM과 통합되며 Security Hub CSPM으로부터 조사 결과를 받습니다. 별도로 명시되어 있는 경우, 통합 서비스는 조사 결과를 업데이트할 수도 있습니다. 이 경우 통합 서비스에서 수행한 결과 업데이트도 Security Hub CSPM에 반영됩니다.

AWS Audit Manager (조사 결과 수신)

AWS Audit Manager 는 Security Hub CSPM에서 조사 결과를 수신합니다. 이러한 조사 결과는 Audit Manager 사용자가 감사를 준비하는 데 도움이 됩니다.

Audit Manager에 대한 자세한 내용은 AWS Audit Manager 사용 설명서를 참조하세요. AWS 에서 지원하는 Security Hub Cloud Security Posture Management(CSPM) 검사 AWS Audit Manager에는 Security Hub CSPM이 Audit Manager에 조사 결과를 보내는 제어가 나열됩니다.

채팅 애플리케이션의 Amazon Q Developer(조사 결과 수신)

채팅 애플리케이션의 Amazon Q Developer는 Slack 채널 및 Amazon Chime 채팅룸의 AWS 리소스를 모니터링하고 상호 작용하는 데 도움이 되는 대화형 에이전트입니다.

채팅 애플리케이션의 Amazon Q Developer는 Security Hub CSPM으로부터 조사 결과를 받습니다.

Security Hub CSPM과 채팅 애플리케이션 통합의 Amazon Q Developer에 대해 자세히 알아보려면 채팅 애플리케이션 관리자 안내서의 Amazon Q Developer에서 Security Hub CSPM 통합 개요를 참조하세요.

Amazon Detective(조사 결과를 수신합니다)

Detective는 AWS 리소스에서 로그 데이터를 자동으로 수집하고 기계 학습, 통계 분석 및 그래프 이론을 사용하여 더 빠르고 효율적인 보안 조사를 시각화하고 수행하는 데 도움이 됩니다.

Security Hub CSPM과 Detective의 통합을 통해 Security Hub CSPM의 Amazon GuardDuty 조사 결과에서 Detective로 피벗할 수 있습니다. 그런 다음 조사 도구와 시각화를 사용하여 이 결과를 조사할 수 있습니다. 통합에는 Security Hub CSPM 또는 Detective의 추가 구성이 필요하지 않습니다.

다른에서 받은 조사 결과의 경우 Security Hub CSPM 콘솔의 AWS 서비스조사 결과 세부 정보 패널에는 Detective에서 조사 하위 섹션이 포함되어 있습니다. 해당 하위 섹션에는 Detective로 연결되는 링크가 포함되어 있으며, 이 링크를 통해 조사 결과에서 보고된 보안 문제를 추가로 조사할 수 있습니다. Security Hub CSPM 조사 결과를 기반으로 Detective에서 동작 그래프를 작성하여 보다 효과적인 조사를 수행할 수도 있습니다. 자세한 내용은 Amazon Detective 관리 설명서AWS 보안 조사 결과를 참조하세요.

교차 리전 집계가 활성화된 경우, 집계 리전에서 피벗하면 조사 결과가 발생한 리전에서 Detective가 열립니다.

링크가 작동하지 않는 경우, 문제 해결 방법은 피벗 문제 해결을 참조하세요.

Amazon Security Lake(조사 결과를 수신합니다)

Security Lake는 완전 관리형 보안 데이터 레이크 서비스입니다. Security Lake는 클라우드, 온프레미스 및 사용자 지정 소스의 보안 데이터를 계정에 저장된 데이터 레이크로 자동 중앙 집중화합니다. 구독자는 조사 및 분석 사용 사례에 Security Lake의 데이터를 사용할 수 있습니다.

이 통합을 활성화하려면 두 서비스를 모두 활성화하고 Security Lake 콘솔, Security Lake API 또는에서 Security Hub CSPM을 소스로 추가해야 합니다 AWS CLI. 이 단계를 완료하면 Security Hub CSPM은 모든 조사 결과를 Security Lake로 보내기 시작합니다.

Security Lake는 Security Hub CSPM 조사 결과를 자동으로 정규화하고 이를 OCSF(Open Cybersecurity Schema Framework)라는 표준화된 오픈 소스 스키마로 변환합니다. Security Lake에서 하나 이상의 구독자를 추가하여 Security Hub CSPM 조사 결과를 사용할 수 있습니다.

Security Hub CSPM을 소스로 추가하고 구독자를 생성하는 방법에 대한 지침을 포함하여이 통합에 대한 자세한 내용은 Amazon AWS Security Lake 사용 설명서의 Security Hub Cloud Security Posture Management(CSPM)와의 통합을 참조하세요.

AWS Systems Manager Explorer 및 OpsCenter(조사 결과 수신 및 업데이트)

AWS Systems Manager Explorer와 OpsCenter는 Security Hub CSPM으로부터 조사 결과를 수신하고 Security Hub CSPM에서 해당 조사 결과를 업데이트합니다.

Explorer는 사용자 지정 가능한 대시보드를 제공하여 사용자의 AWS 환경에 대한 운영 상태 및 성능에 주요 인사이트와 분석을 제공합니다.

OpsCenter는 운영 작업 항목을 보고 조사하고 해결할 수 있는 중앙 위치를 제공합니다.

Explorer 및 OpsCenter에 대한 자세한 내용은 AWS Systems Manager 사용 설명서작업 관리를 참조하세요.

AWS Trusted Advisor (조사 결과 수신)

Trusted Advisor 는 수십만 명의 AWS 고객에게 서비스를 제공하여 학습한 모범 사례를 활용합니다.는 AWS 환경을 Trusted Advisor 검사한 다음 비용 절감, 시스템 가용성 및 성능 개선 또는 보안 격차 해소를 위한 기회가 존재할 때 권장 사항을 제시합니다.

Trusted Advisor 및 Security Hub CSPM을 모두 활성화하면 통합이 자동으로 업데이트됩니다.

Security Hub CSPM은 AWS 기본 보안 모범 사례 검사 결과를 로 전송합니다 Trusted Advisor.

Security Hub CSPM과의 통합에 대한 자세한 내용은 AWS 지원 사용 설명서에서 AWS Security Hub Cloud Security Posture Management(CSPM) 제어 보기를 AWS Trusted Advisor Trusted Advisor참조하세요.