Integração do Amazon Inspector com AWS Security Hub CSPM - Amazon Inspector
Visualizando as descobertas do Amazon Inspector em AWS Security Hub CSPMAtivando e configurando a integração do Amazon Inspector com o Security Hub CSPMAtivando o Amazon Inspector a partir do Security Hub CSPM usando a política da organizaçãoDesabilitar o fluxo de descobertas em uma integraçãoVisualizando controles de segurança para o Amazon Inspector no Security Hub CSPM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Integração do Amazon Inspector com AWS Security Hub CSPM

O Security Hub CSPM fornece uma visão abrangente do seu estado de segurança em. AWS Isso ajuda você a verificar seu ambiente quanto aos padrões e às práticas recomendadas do setor de segurança. O Security Hub CSPM coleta dados de segurança de AWS contas, serviços e produtos compatíveis. Use essas informações para analisar tendências de segurança e identificar os problemas de segurança. Quando você ativa a integração do Amazon Inspector com o CSPM do Security Hub, o Amazon Inspector pode enviar descobertas para o CSPM do Security Hub, e o Security Hub CSPM pode analisar essas descobertas como parte de sua postura de segurança.

O Security Hub CSPM rastreia problemas de segurança como descobertas. Algumas descobertas podem ser resultado de problemas de segurança detectados em outros AWS serviços ou produtos de terceiros. O Security Hub CSPM usa um conjunto de regras para detectar problemas de segurança e gerar descobertas, além de fornecer ferramentas para que você possa gerenciá-las. O Security Hub CSPM arquiva as descobertas do Amazon Inspector depois que as descobertas são fechadas no Amazon Inspector. Você também pode visualizar um histórico de descobertas e detalhes das descobertas, bem como acompanhar o status de uma investigação sobre uma descoberta.

O Security Hub CSPM processa as descobertas no AWS Security Finding Format (ASFF). Esse formato inclui detalhes como identificadores exclusivos, níveis de gravidade, recursos afetados, orientação de correção, status do fluxo de trabalho e informações contextuais.

nota

As descobertas de segurança geradas pelo Segurança de Código do Amazon Inspector não estão disponíveis para essa integração. No entanto, você pode acessar essas descobertas específicas no console do Amazon Inspector e por meio da API do Amazon Inspector.

Visualizando as descobertas do Amazon Inspector em AWS Security Hub CSPM

Você pode ver as descobertas do Amazon Inspector Classic e do Amazon Inspector no Security Hub CSPM.

nota

Para filtrar somente as descobertas do Amazon Inspector, adicione "aws/inspector/ProductVersion": "2" à barra de filtro. Esse filtro exclui as descobertas do Amazon Inspector Classic do painel CSPM do Security Hub.

Exemplo de descoberta do Amazon Inspector 

{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:inspector2:us-east-1:123456789012:finding/FINDING_ID",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
  "ProductName": "Inspector",
  "CompanyName": "Amazon",
  "Region": "us-east-1",
  "GeneratorId": "AWSInspector",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
  ],
  "FirstObservedAt": "2023-01-31T20:25:38Z",
  "LastObservedAt": "2023-05-04T18:18:43Z",
  "CreatedAt": "2023-01-31T20:25:38Z",
  "UpdatedAt": "2023-05-04T18:18:43Z",
  "Severity": {
    "Label": "HIGH",
    "Normalized": 70
  },
  "Title": "CVE-2022-34918 - kernel",
  "Description": "An issue was discovered in the Linux kernel through 5.18.9. A type confusion bug in nft_set_elem_init (leading to a buffer overflow) could be used by a local attacker to escalate privileges, a different vulnerability than CVE-2022-32250. (The attacker can obtain root access, but must start with an unprivileged user namespace to obtain CAP_NET_ADMIN access.) This can be fixed in nft_setelem_parse_data in net/netfilter/nf_tables_api.c.",
  "Remediation": {
    "Recommendation": {
      "Text": "Remediation is available. Please refer to the Fixed version in the vulnerability details section above. For detailed remediation guidance for each of the affected packages, refer to the vulnerabilities section of the detailed finding JSON."
    }
  },
  "ProductFields": {
    "aws/inspector/FindingStatus": "ACTIVE",
    "aws/inspector/inspectorScore": "7.8",
    "aws/inspector/resources/1/resourceDetails/awsEc2InstanceDetails/platform": "AMAZON_LINUX_2",
    "aws/inspector/ProductVersion": "2",
    "aws/inspector/instanceId": "i-0f1ed287081bdf0fb",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/inspector/arn:aws:inspector2:us-east-1:123456789012:finding/FINDING_ID",
    "aws/securityhub/ProductName": "Inspector",
    "aws/securityhub/CompanyName": "Amazon"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "arn:aws:ec2:us-east-1:123456789012:i-0f1ed287081bdf0fb",
      "Partition": "aws",
      "Region": "us-east-1",
      "Tags": {
        "Patch Group": "SSM",
        "Name": "High-SEv-Test"
      },
      "Details": {
        "AwsEc2Instance": {
          "Type": "t2.micro",
          "ImageId": "ami-0cff7528ff583bf9a",
          "IpV4Addresses": [
            "52.87.229.97",
            "172.31.57.162"
          ],
          "KeyName": "ACloudGuru",
          "IamInstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/AmazonSSMRoleForInstancesQuickSetup",
          "VpcId": "vpc-a0c2d7c7",
          "SubnetId": "subnet-9c934cb1",
          "LaunchedAt": "2022-07-26T21:49:46Z"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "Vulnerabilities": [
    {
      "Id": "CVE-2022-34918",
      "VulnerablePackages": [
        {
          "Name": "kernel",
          "Version": "5.10.118",
          "Epoch": "0",
          "Release": "111.515.amzn2",
          "Architecture": "X86_64",
          "PackageManager": "OS",
          "FixedInVersion": "0:5.10.130-118.517.amzn2",
          "Remediation": "yum update kernel"
        }
      ],
      "Cvss": [
        {
          "Version": "2.0",
          "BaseScore": 7.2,
          "BaseVector": "AV:L/AC:L/Au:N/C:C/I:C/A:C",
          "Source": "NVD"
        },
        {
          "Version": "3.1",
          "BaseScore": 7.8,
          "BaseVector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H",
          "Source": "NVD"
        },
        {
          "Version": "3.1",
          "BaseScore": 7.8,
          "BaseVector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H",
          "Source": "NVD",
          "Adjustments": []
        }
      ],
      "Vendor": {
        "Name": "NVD",
        "Url": "https://nvd.nist.gov/vuln/detail/CVE-2022-34918",
        "VendorSeverity": "HIGH",
        "VendorCreatedAt": "2022-07-04T21:15:00Z",
        "VendorUpdatedAt": "2022-10-26T17:05:00Z"
      },
      "ReferenceUrls": [
        "https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/?id=7e6bc1f6cabcd30aba0b11219d8e01b952eacbb6",
        "https://lore.kernel.org/netfilter-devel/cd9428b6-7ffb-dd22-d949-d86f4869f452@randorisec.fr/T/",
        "https://www.debian.org/security/2022/dsa-5191"
      ],
      "FixAvailable": "YES"
    }
  ],
  "FindingProviderFields": {
    "Severity": {
      "Label": "HIGH"
    },
    "Types": [
      "Software and Configuration Checks/Vulnerabilities/CVE"
    ]
  },
  "ProcessedAt": "2023-05-05T20:28:38.822Z"
}

Ativando e configurando a integração do Amazon Inspector com o Security Hub CSPM

Você pode ativar a integração com AWS Security Hub CSPM o Amazon Inspector ativando o CSPM do Security Hub. Depois de habilitar o Security Hub CSPM, a integração AWS Security Hub CSPM com o Amazon Inspector é ativada automaticamente e o Amazon Inspector começa a enviar todas as suas descobertas para o Security Hub CSPM usando AWS o Security Finding Format (ASFF).

Ativando o Amazon Inspector a partir do Security Hub CSPM usando a política da organização

Você pode gerenciar a ativação do Amazon Inspector em toda a sua organização usando as políticas do AWS Organizations diretamente do console CSPM do Security Hub. Essa abordagem centralizada permite que você habilite o Amazon Inspector escaneie várias contas simultaneamente por meio do gerenciamento de políticas em nível organizacional.

Para obter instruções detalhadas sobre como gerenciar a ativação do Amazon Inspector por meio do CSPM do Security Hub usando políticas da organização, consulte Gerenciando contas de administrador delegado para o Security Hub CSPM no Guia do Usuário.AWS Security Hub CSPM

Desabilitar o fluxo de descobertas em uma integração

Para impedir que o Amazon Inspector envie descobertas para o Security Hub CSPM, você pode usar o console ou a API do Security Hub CSPM e... AWS CLI

Visualizando controles de segurança para o Amazon Inspector no Security Hub CSPM

O Security Hub CSPM analisa as descobertas de produtos compatíveis AWS e de terceiros e executa verificações de segurança automatizadas e contínuas em relação às regras para gerar suas próprias descobertas. As regras são representadas pelos controles de segurança, que ajudam a determinar se os requisitos de um padrão estão sendo atendidos.

O Amazon Inspector usa controles de segurança para verificar se os recursos do Amazon Inspector estão ou devem ser habilitados. Esses recursos incluem o seguinte:

  • EC2 Digitalização da Amazon

  • Escaneamento do Amazon ECR

  • Verificação padrão do Lambda

  • Escaneamento de código do Lambda

Para ter mais informações, consulte Controles do Amazon Inspector no Guia do usuário do AWS Security Hub CSPM .