Integração do Amazon Inspector com AWS Security Hub - Amazon Inspector

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Integração do Amazon Inspector com AWS Security Hub

O Security Hub fornece uma visão abrangente do seu estado de segurança em AWS. Isso ajuda você a verificar seu ambiente em relação aos padrões e às melhores práticas do setor de segurança. O Security Hub coleta dados de segurança de AWS contas, serviços e produtos compatíveis. Você pode usar essas informações para analisar tendências de segurança e identificar problemas de segurança. Quando você ativa a integração do Amazon Inspector com o Security Hub, o Amazon Inspector pode enviar descobertas para o Security Hub, e o Security Hub pode analisar essas descobertas como parte de sua postura de segurança.

O Security Hub acompanha os problemas de segurança como descobertas. Algumas descobertas podem ser resultado de problemas de segurança detectados em outros AWS serviços ou produtos de terceiros. O Security Hub usa um conjunto de regras para detectar problemas de segurança e gerar descobertas, além de fornecer ferramentas para que você possa gerenciá-las. O Security Hub arquiva as descobertas do Amazon Inspector assim que as descobertas forem encerradas no Amazon Inspector. Você também pode visualizar um histórico de descobertas e detalhes das descobertas, bem como acompanhar o status de uma investigação sobre uma descoberta.

O Security Hub processa as descobertas no AWS Security Finding Format (ASFF). Esse formato inclui detalhes como identificadores exclusivos, níveis de gravidade, recursos afetados, orientação de remediação, status do fluxo de trabalho e informações contextuais.

nota

As descobertas de segurança geradas pelo Amazon Inspector Code Security não estão disponíveis para essa integração. No entanto, você pode acessar essas descobertas específicas no console do Amazon Inspector e por meio da API do Amazon Inspector.

Visualizando as descobertas do Amazon Inspector em AWS Security Hub

Você pode visualizar as descobertas do Amazon Inspector Classic e do Amazon Inspector no Security Hub.

nota

Para filtrar somente as descobertas do Amazon Inspector, adicione "aws/inspector/ProductVersion": "2" à barra de filtro. Esse filtro exclui as descobertas do Amazon Inspector Classic do painel do Security Hub.

Exemplo de descoberta do Amazon Inspector

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:inspector2:us-east-1:123456789012:finding/FINDING_ID", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector", "ProductName": "Inspector", "CompanyName": "Amazon", "Region": "us-east-1", "GeneratorId": "AWSInspector", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ], "FirstObservedAt": "2023-01-31T20:25:38Z", "LastObservedAt": "2023-05-04T18:18:43Z", "CreatedAt": "2023-01-31T20:25:38Z", "UpdatedAt": "2023-05-04T18:18:43Z", "Severity": { "Label": "HIGH", "Normalized": 70 }, "Title": "CVE-2022-34918 - kernel", "Description": "An issue was discovered in the Linux kernel through 5.18.9. A type confusion bug in nft_set_elem_init (leading to a buffer overflow) could be used by a local attacker to escalate privileges, a different vulnerability than CVE-2022-32250. (The attacker can obtain root access, but must start with an unprivileged user namespace to obtain CAP_NET_ADMIN access.) This can be fixed in nft_setelem_parse_data in net/netfilter/nf_tables_api.c.", "Remediation": { "Recommendation": { "Text": "Remediation is available. Please refer to the Fixed version in the vulnerability details section above. For detailed remediation guidance for each of the affected packages, refer to the vulnerabilities section of the detailed finding JSON." } }, "ProductFields": { "aws/inspector/FindingStatus": "ACTIVE", "aws/inspector/inspectorScore": "7.8", "aws/inspector/resources/1/resourceDetails/awsEc2InstanceDetails/platform": "AMAZON_LINUX_2", "aws/inspector/ProductVersion": "2", "aws/inspector/instanceId": "i-0f1ed287081bdf0fb", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/inspector/arn:aws:inspector2:us-east-1:123456789012:finding/FINDING_ID", "aws/securityhub/ProductName": "Inspector", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-east-1:123456789012:i-0f1ed287081bdf0fb", "Partition": "aws", "Region": "us-east-1", "Tags": { "Patch Group": "SSM", "Name": "High-SEv-Test" }, "Details": { "AwsEc2Instance": { "Type": "t2.micro", "ImageId": "ami-0cff7528ff583bf9a", "IpV4Addresses": [ "52.87.229.97", "172.31.57.162" ], "KeyName": "ACloudGuru", "IamInstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/AmazonSSMRoleForInstancesQuickSetup", "VpcId": "vpc-a0c2d7c7", "SubnetId": "subnet-9c934cb1", "LaunchedAt": "2022-07-26T21:49:46Z" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "Vulnerabilities": [ { "Id": "CVE-2022-34918", "VulnerablePackages": [ { "Name": "kernel", "Version": "5.10.118", "Epoch": "0", "Release": "111.515.amzn2", "Architecture": "X86_64", "PackageManager": "OS", "FixedInVersion": "0:5.10.130-118.517.amzn2", "Remediation": "yum update kernel" } ], "Cvss": [ { "Version": "2.0", "BaseScore": 7.2, "BaseVector": "AV:L/AC:L/Au:N/C:C/I:C/A:C", "Source": "NVD" }, { "Version": "3.1", "BaseScore": 7.8, "BaseVector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H", "Source": "NVD" }, { "Version": "3.1", "BaseScore": 7.8, "BaseVector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H", "Source": "NVD", "Adjustments": [] } ], "Vendor": { "Name": "NVD", "Url": "https://nvd.nist.gov/vuln/detail/CVE-2022-34918", "VendorSeverity": "HIGH", "VendorCreatedAt": "2022-07-04T21:15:00Z", "VendorUpdatedAt": "2022-10-26T17:05:00Z" }, "ReferenceUrls": [ "https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/?id=7e6bc1f6cabcd30aba0b11219d8e01b952eacbb6", "https://lore.kernel.org/netfilter-devel/cd9428b6-7ffb-dd22-d949-d86f4869f452@randorisec.fr/T/", "https://www.debian.org/security/2022/dsa-5191" ], "FixAvailable": "YES" } ], "FindingProviderFields": { "Severity": { "Label": "HIGH" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "ProcessedAt": "2023-05-05T20:28:38.822Z" }

Ativar e configurar a integração do Amazon Inspector com o Security Hub

Você pode ativar a integração com o Amazon Inspector AWS Security Hub ativando o Security Hub. Depois de habilitar o Security Hub, a integração com o Amazon Inspector AWS Security Hub é ativada automaticamente e o Amazon Inspector começa a enviar todas as suas descobertas para o Security Hub usando AWS o Security Finding Format (ASFF).

Desabilitar o fluxo de descobertas em uma integração

Para impedir que o Amazon Inspector envie descobertas para o Security Hub, você pode usar o console ou a API do Security Hub e... AWS CLI

Visualizar controles de segurança do Amazon Inspector no Security Hub

O Security Hub analisa as descobertas de produtos compatíveis AWS e de terceiros e executa verificações de segurança automatizadas e contínuas em relação às regras para gerar suas próprias descobertas. As regras são representadas pelos controles de segurança, que ajudam a determinar se os requisitos de um padrão estão sendo atendidos.

O Amazon Inspector usa controles de segurança para verificar se os recursos do Amazon Inspector estão ou devem ser habilitados. Esses recursos incluem o seguinte:

  • EC2 Digitalização da Amazon

  • Escaneamento do Amazon ECR

  • Escaneamento padrão do Lambda

  • Escaneamento de código do Lambda

Para ter mais informações, consulte Controles do Amazon Inspector no Guia do usuário do AWS Security Hub .