Integração do CSPM do Security Hub com produtos personalizados - AWS Security Hub
Requisitos e recomendações para integrações de produtos personalizadosAtualizar descobertas de produtos personalizadosIntegrações personalizadas de exemplo

Integração do CSPM do Security Hub com produtos personalizados

Além das descobertas geradas pelos serviços integrados da AWS e produtos de terceiros, o CSPM do AWS Security Hub também pode consumir descobertas geradas por outros produtos de segurança personalizados.

É possível enviar essas descobertas ao CSPM do Security Hub usando a operação BatchImportFindings da API do CSPM do Security Hub. É possível usar a mesma operação para atualizar as descobertas de produtos personalizados que você já enviou para o CSPM do Security Hub.

Ao configurar a integração personalizada, use as diretrizes e as listas de verificação fornecidas no Guia de integração de parceiros do CSPM do Security Hub.

Requisitos e recomendações para integrações de produtos personalizados

Antes de invocar a operação BatchImportFindings da API, é necessário habilitar o CSPM do Security Hub.

Você também deve fornecer detalhes da descoberta para o produto personalizado usando o Formato de descoberta de segurança da AWS (ASFF). Revise os seguintes requisitos e recomendações para integrações de produtos personalizados:

Configurar o ARN do produto

Quando você habilita o CSPM do Security Hub, um nome do recurso da Amazon (ARN) do produto padrão para o CSPM do Security Hub é gerado em sua conta atual.

Esse ARN do produto tem o seguinte formato: arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default. Por exemplo, arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default.

Use esse ARN do produto como o valor para o atributo ProductArn ao chamar a operação da API BatchImportFindings.

Definir os nomes da empresa e do produto

É possível usar o BatchImportFindings para definir um nome de empresa e um nome de produto preferidos para a integração personalizada que está enviando descobertas para o CSPM do Security Hub.

Seus nomes especificados substituem o nome da empresa e o nome do produto pré-configurados, chamados de nome pessoal e nome padrão, respectivamente, e aparecem no console do CSPM do Security Hub e no JSON de cada descoberta. Consulte BatchImportFindings para provedores de descobertas.

Definir os IDs de descoberta

É necessário fornecer, gerenciar e incrementar seus próprios IDs de descoberta, usando o atributo Id.

Cada nova descoberta deve ter um ID de descoberta exclusivo. Se o produto personalizado enviar várias descobertas com o mesmo ID de descoberta, o CSPM do Security Hub processará somente a primeira descoberta.

Definir o ID da conta

É necessário especificar seu próprio ID de conta, usando o atributo AwsAccountId.

Definir as datas de criação e atualização

É necessário fornecer seus próprios carimbos de data/hora para os atributos CreatedAt e UpdatedAt.

Atualizar descobertas de produtos personalizados

Além de enviar novas descobertas de produtos personalizados, também é possível usar a operação de API BatchImportFindings para atualizar descobertas existentes de produtos personalizados.

Para atualizar descobertas existentes, use o ID da descoberta existente (pelo atributo Id). Reenvie a descoberta completa com as informações apropriadas atualizadas na solicitação, incluindo um time stamp UpdatedAt modificado.

Integrações personalizadas de exemplo

É possível usar as seguintes integrações de produtos personalizados como um guia para criar sua própria solução personalizada:

Envio de descobertas de verificações do Chef InSpec ao CSPM do Security Hub

É possível criar um modelo de CloudFormation que execute uma verificação de conformidade Chef InSpec e, em seguida, envie as descobertas ao Security Hub.

Para obter mais detalhes, consulte o Monitoramento contínuo de conformidade com o Chef InSpec e o CSPM do AWS Security Hub.

Envio de vulnerabilidades de contêiner detectadas pelo Trivy ao CSPM do Security Hub

É possível criar um modelo do CloudFormation que utilize AquaSecurity Trivy para verificar contêineres em busca de vulnerabilidades e, em seguida, enviar essas descobertas de vulnerabilidade para o CSPM do Security Hub.

Para obter mais detalhes, consulte Como criar um pipeline de CI/CD para verificação de vulnerabilidades de contêineres com o Trivy e o CSPM do AWS Security Hub.