As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS service (Serviço da AWS)integrações com o Security Hub CSPM
AWSO Security Hub CSPM suporta integrações com vários outros. Serviços da AWS Essas integrações podem ajudar você a obter uma visão abrangente da segurança e da conformidade em todo o seu ambiente da AWS.
Salvo indicação em contrário abaixo, AWS service (Serviço da AWS) as integrações que enviam descobertas para o CSPM do Security Hub são ativadas automaticamente após você habilitar o CSPM do Security Hub e o outro serviço. As integrações que recebem as descobertas do CSPM do Security Hub podem exigir etapas adicionais para ativação. Analise as informações sobre cada integração para saber mais.
Algumas integrações não estão disponíveis em todasRegiões da AWS. No console do CSPM do Security Hub, uma integração não será exibida na página Integrações caso não haja suporte para ela na região atual. Para obter uma lista das integrações que estão disponíveis nas regiões da ChinaAWS GovCloud (US) Regions, consulteDisponibilidade de integrações por região.
Visão geral das integrações de AWS serviços com o Security Hub CSPM
A tabela a seguir fornece uma visão geral dos AWS serviços que enviam descobertas para o Security Hub CSPM ou recebem descobertas do Security Hub CSPM.
| AWSServiço integrado | Direction |
|---|---|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Recebe descobertas |
|
|
Recebe descobertas |
|
|
Recebe descobertas |
|
|
Recebe descobertas |
|
|
Recebe e atualiza as descobertas |
|
|
Recebe descobertas |
Serviços da AWSque enviam descobertas para o Security Hub CSPM
Os itens a seguir Serviços da AWS se integram e podem enviar descobertas para o CSPM do Security Hub. O CSPM do Security Hub converte as descobertas para o Formato de descoberta de segurança da AWS.
AWS Config(Envia descobertas)
AWS Configé um serviço que permite avaliar, auditar e avaliar as configurações de seus AWS recursos. AWS Configmonitora e registra continuamente suas configurações de AWS recursos e permite automatizar a avaliação das configurações gravadas em relação às configurações desejadas.
Ao usar a integração comAWS Config, você pode ver os resultados das avaliações de regras AWS Config gerenciadas e personalizadas como descobertas no CSPM do Security Hub. Essas descobertas podem ser visualizadas com outras descobertas do CSPM do Security Hub, fornecendo uma visão geral abrangente de sua postura de segurança.
AWS Configusa EventBridge a Amazon para enviar avaliações de AWS Config regras para o Security Hub CSPM. O CSPM do Security Hub transforma as avaliações de regras em descobertas que seguem o Formato de descoberta de segurança da AWS. Em seguida, o CSPM do Security Hub enriquece as descobertas o máximo possível, obtendo mais informações sobre os recursos afetados, como o nome do recurso da Amazon (ARN), as tags de recursos e a data de criação.
Para mais informações sobre esta integração, consulte as seções a seguir.
Todas as descobertas no CSPM do Security Hub usam o formato padrão JSON do ASFF. O ASFF inclui detalhes sobre a origem da descoberta, o recurso afetado e o status atual da descoberta. AWS Configenvia avaliações de regras gerenciadas e personalizadas para o CSPM do Security Hub por meio de. EventBridge O CSPM do Security Hub transforma as avaliações de regras em descobertas que seguem o ASFF e enriquece as descobertas com base no melhor esforço.
Tipos de descobertas que o AWS Config envia ao CSPM do Security Hub
Depois que a integração for ativada, AWS Config envia avaliações de todas as regras AWS Config gerenciadas e personalizadas para o Security Hub CSPM. Apenas as avaliações realizadas após a habilitação do CSPM do Security Hub são enviadas. Por exemplo, suponha que uma avaliação de regra do AWS Config revele cinco recursos reprovados. Se você habilitar o CSPM do Security Hub depois dessa avaliação e a regra revelar um sexto recurso com falha, o AWS Config enviará apenas a sexta avaliação do recurso para o CSPM do Security Hub.
As avaliações de AWS Configregras vinculadas a serviços, como aquelas usadas para executar verificações dos controles CSPM do Security Hub, estão excluídas. A exceção são as descobertas geradas por regras vinculadas a serviços que AWS Control Tower criam e gerenciam em. AWS Config Incluir descobertas nessas regras ajuda a garantir que seus dados de descobertas incluam os resultados das verificações proativas realizadas porAWS Control Tower.
Envio de descobertas do AWS Config ao CSPM do Security Hub
Quando a integração for ativada, o CSPM do Security Hub atribuirá automaticamente as permissões necessárias para receber as descobertas do AWS Config. O Security Hub CSPM usa permissões de service-to-service nível que fornecem uma maneira segura de ativar essa integração e importar descobertas via AWS Config Amazon. EventBridge
Latência para enviar descobertas
Quando AWS Config cria uma nova descoberta, geralmente você pode visualizá-la no CSPM do Security Hub em cinco minutos.
Nova tentativa quando o CSPM do Security Hub não está disponível
AWS Configenvia as descobertas para o CSPM do Security Hub com base no melhor esforço, por meio de. EventBridge Quando um evento não é entregue com sucesso ao CSPM do Security Hub, EventBridge repita a entrega por até 24 horas ou 185 vezes, o que ocorrer primeiro.
Atualizando as AWS Config descobertas existentes no Security Hub CSPM
Depois de AWS Config enviar uma descoberta para o Security Hub CSPM, ele pode enviar atualizações da mesma descoberta para o Security Hub CSPM para refletir observações adicionais da atividade de descoberta. As atualizações são enviadas somente para eventos ComplianceChangeNotification. Se nenhuma alteração de conformidade ocorrer, as atualizações não serão enviadas para o CSPM do Security Hub. O CSPM do Security Hub exclui as descobertas 90 dias após a atualização mais recente ou 90 dias após a criação, se nenhuma atualização ocorrer.
O Security Hub CSPM não arquiva as descobertas enviadas, AWS Config mesmo que você exclua o recurso associado.
Regiões nas quais existem descobertas AWS Config
AWS Configas descobertas ocorrem em uma base regional. AWS Configenvia as descobertas para o Security Hub CSPM na mesma região ou regiões em que as descobertas ocorrem.
Para visualizar suas AWS Config descobertas, escolha Findings no painel de navegação CSPM do Security Hub. Para filtrar as descobertas para exibir somente AWS Config as descobertas, escolha Nome do produto no menu suspenso da barra de pesquisa. Insira Config e escolha Aplicar.
Interpretando nomes de AWS Config busca no CSPM do Security Hub
O Security Hub CSPM transforma as avaliações de AWS Config regras em descobertas que seguem o. AWSFormato de descoberta de segurança (ASFF) AWS Configas avaliações de regras usam um padrão de eventos diferente em comparação com o ASFF. A tabela a seguir mapeia os campos de avaliação da regra AWS Config com o equivalente do ASFF, conforme aparecem no CSPM do Security Hub.
| Tipo de descoberta da avaliação da regra de configuração | Tipo de descoberta do ASFF | Valor codificado |
|---|---|---|
| detalhe. awsAccountId | AwsAccountId | |
| detalhe. newEvaluationResult. resultRecordedTime | CreatedAt | |
| detalhe. newEvaluationResult. resultRecordedTime | UpdatedAt | |
| ProductArn | <partition><region>“arn:: hub de segurança:::” product/aws/config | |
| ProductName | “Config” | |
| CompanyName | "AWS" | |
| Região | “eu-central-1” | |
| configRuleArn | GeneratorId, ProductFields | |
| detalhe. ConfigRuleARN/finding/hash | Id | |
| detalhe. configRuleName | Título, ProductFields | |
| detalhe. configRuleName | Description | “Essa descoberta foi criada para uma alteração de conformidade de recurso para a regra de configuração: ${detail.ConfigRuleName}” |
| Item de configuração “ARN” ou ARN computado do CSPM do Security Hub | Resources[i].id | |
| detail.resourceType | Resources[i].Type | "AwsS3Bucket" |
| Resources[i].Partition | "aws" | |
| Resources[i].Region | “eu-central-1” | |
| Item de configuração “configuração” | Resources[i].Details | |
| SchemaVersion | "2018-10-08" | |
| Severity.Label | Consulte “Interpretar o rótulo de gravidade” abaixo | |
| Tipos | [“Verificações de Software e Configuração”] | |
| detalhe. newEvaluationResult. Tipo de conformidade | Compliance.Status | "REPROVADO", "NÃO_DISPONÍVEL", "APROVADO", ou "AVISO" |
| Workflow.Status | “RESOLVIDO” se uma AWS Config descoberta for gerada com um status de conformidade de “APROVADO” ou se o status de conformidade mudar de “FALHOU” para “APROVADO”. Caso contrário, o Workflow.Status será “NOVO”. Você pode alterar esse valor com a operação BatchUpdateFindingsda API. |
Interpretar o rótulo de gravidade
Todas as descobertas das avaliações de AWS Config regras têm um rótulo de severidade padrão de MEDIUM no ASFF. É possível atualizar o rótulo de gravidade de uma descoberta com a operação BatchUpdateFindings da API.
Descoberta típica de AWS Config
O Security Hub CSPM transforma avaliações de AWS Config regras em descobertas que seguem o ASFF. A seguir está um exemplo de uma descoberta típica AWS Config do ASFF.
nota
Se a descrição tiver mais de 1.024 caracteres, ela será truncada para 1.024 caracteres e dirá “(truncada)” no final.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }
Depois de habilitar o CSPM do Security Hub, essa integração é ativada automaticamente. O AWS Config começa imediatamente a enviar descobertas ao CSPM do Security Hub.
Para interromper o envio de descobertas ao CSPM do Security Hub, é possível usar o console ou a API do CSPM do Security Hub.
Para obter instruções para interromper o fluxo de descobertas, consulte Habilitação do fluxo de descobertas de uma integração do CSPM do Security Hub..
AWS Firewall Manager(Envia descobertas)
O Firewall Manager envia descobertas para o CSPM do Security Hub quando uma política de firewall de aplicação da Web (WAF) para recursos ou uma regra de lista de controle de acesso da Web (ACL da Web) não está em conformidade. O Firewall Manager também envia descobertas quando não AWS Shield Advanced está protegendo recursos ou quando um ataque é identificado.
Depois de habilitar o CSPM do Security Hub, essa integração será ativada automaticamente. O Firewall Manager começa imediatamente a enviar descobertas ao CSPM do Security Hub.
Para saber mais sobre a integração, veja a página Integrações no console do CSPM do Security Hub.
Para saber mais sobre o Firewall Manager, consulte Guia do desenvolvedor do AWS WAF.
Amazon GuardDuty (envia descobertas)
GuardDuty envia todos os tipos de descoberta que ele gera para o CSPM do Security Hub. Alguns tipos de descoberta têm pré-requisitos, requisitos de habilitação ou limitações regionais. Para obter mais informações, consulte GuardDuty encontrar tipos no Guia do GuardDuty usuário da Amazon.
As novas descobertas GuardDuty são enviadas ao Security Hub CSPM em cinco minutos. As atualizações das descobertas são enviadas com base na configuração de descobertas atualizadas da Amazon EventBridge nas GuardDuty configurações.
Quando você gera GuardDuty amostras de descobertas usando a página GuardDuty Configurações, o Security Hub CSPM recebe as descobertas de amostra e omite o prefixo [Sample] no tipo de descoberta. Por exemplo, o exemplo de tipo de descoberta em GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions é exibido como Recon:IAMUser/ResourcePermissions no CSPM do Security Hub.
Depois de habilitar o CSPM do Security Hub, essa integração será ativada automaticamente. O GuardDuty começa imediatamente a enviar descobertas ao CSPM do Security Hub.
Para obter mais informações sobre a GuardDuty integração, consulte Integração com o AWS Security Hub CSPM no Guia do usuário da Amazon GuardDuty .
AWS Health(Envia descobertas)
AWS Healthfornece visibilidade contínua do desempenho de seus recursos e da disponibilidade de seu Serviços da AWS Contas da AWS e. É possível usar eventos do AWS Health para saber como as mudanças de serviços e recursos podem afetar seus aplicativos executados no AWS.
A integração com AWS Health não usaBatchImportFindings. Em vez disso, AWS Health usa mensagens de service-to-service eventos para enviar descobertas ao CSPM do Security Hub.
Para mais informações sobre a integração, consulte as seções a seguir.
No CSPM do Security Hub, os problemas de segurança são rastreados como descobertas. Algumas descobertas vêm de problemas detectados por outros AWS serviços ou por parceiros terceirizados. O CSPM do Security Hub também tem um conjunto de regras que ele usa para detectar problemas de segurança e gerar descobertas.
O CSPM do Security Hub fornece ferramentas para gerenciar descobertas em todas essas origens. É possível exibir e filtrar listas de descobertas e exibir detalhes de uma descoberta. Consulte Análise de detalhes e históricos de descobertas no CSPM do Security Hub. Também é possível rastrear o status de uma investigação em uma descoberta. Consulte Definição do status do fluxo de trabalho das descobertas no CSPM do Security Hub.
Todas as descobertas no CSPM do Security Hub usam um formato JSON padrão chamado AWSFormato de descoberta de segurança (ASFF). O ASFF inclui detalhes sobre a origem do problema, os recursos afetados e o status atual da descoberta.
AWS Healthé um dos AWS serviços que envia descobertas para o Security Hub CSPM.
Tipos de descobertas que o AWS Health envia ao CSPM do Security Hub
Depois que a integração for habilitada, AWS Health envia as descobertas que atendem a uma ou mais das especificações listadas para o Security Hub CSPM. O CSPM do Security Hub ingere as descobertas no AWSFormato de descoberta de segurança (ASFF).
-
Descobertas que contêm algum dos seguintes valores para AWS service (Serviço da AWS):
-
RISK -
ABUSE -
ACM -
CLOUDHSM -
CLOUDTRAIL -
CONFIG -
CONTROLTOWER -
DETECTIVE -
EVENTS -
GUARDDUTY -
IAM -
INSPECTOR -
KMS -
MACIE -
SES -
SECURITYHUB -
SHIELD -
SSO -
COGNITO -
IOTDEVICEDEFENDER -
NETWORKFIREWALL -
ROUTE53 -
WAF -
FIREWALLMANAGER -
SECRETSMANAGER -
BACKUP -
AUDITMANAGER -
ARTIFACT -
CLOUDENDURE -
CODEGURU -
ORGANIZATIONS -
DIRECTORYSERVICE -
RESOURCEMANAGER -
CLOUDWATCH -
DRS -
INSPECTOR2 -
RESILIENCEHUB
-
-
Descobertas com as palavras
securityabuse, oucertificateno AWS HealthtypeCodecampo -
Descobertas de onde o AWS Health serviço está
riskouabuse
Envio de descobertas do AWS Health ao CSPM do Security Hub
Quando você optar por aceitar as descobertas doAWS Health, o Security Hub CSPM atribuirá automaticamente as permissões necessárias para receber as descobertas. AWS Health O Security Hub CSPM usa permissões de service-to-service nível que fornecem uma maneira segura e fácil de habilitar essa integração e importar descobertas via AWS Health Amazon EventBridge em seu nome. Escolher Aceitar descobertas concede ao CSPM do Security Hub permissão para consumir descobertas do AWS Health.
Latência para enviar descobertas
Quando AWS Health cria uma nova descoberta, ela geralmente é enviada ao CSPM do Security Hub em cinco minutos.
Nova tentativa quando o CSPM do Security Hub não está disponível
AWS Healthenvia as descobertas para o CSPM do Security Hub com base no melhor esforço, por meio de. EventBridge Quando um evento não é entregue com sucesso ao CSPM do Security Hub, EventBridge tenta enviar o evento novamente por 24 horas.
Atualização das descobertas existentes no CSPM do Security Hub
Depois de AWS Health enviar uma descoberta para o CSPM do Security Hub, ele pode enviar atualizações para a mesma descoberta para refletir observações adicionais da atividade de descoberta para o CSPM do Security Hub.
Regiões nas quais existem descobertas
Para eventos globais, AWS Health envia as descobertas para o Security Hub CSPM em us-east-1 (partiçãoAWS), cn-northwest-1 (partição da China) e -1 (partição). gov-us-west GovCloud AWS Healthenvia eventos específicos da região para o CSPM do Security Hub na mesma região ou regiões em que os eventos ocorrem.
Para ver suas AWS Health descobertas no Security Hub CSPM, escolha Descobertas no painel de navegação. Para filtrar as descobertas para exibir somente AWS Health as descobertas, escolha Health no campo Nome do produto.
Interpretando nomes de AWS Health busca no CSPM do Security Hub
AWS Healthenvia as descobertas para o Security Hub CSPM usando o. AWSFormato de descoberta de segurança (ASFF) AWS Healtha descoberta usa um padrão de evento diferente em comparação com o formato CSPM ASFF do Security Hub. A tabela abaixo detalha todos os campos de AWS Health descoberta com seus equivalentes do ASFF conforme eles aparecem no CSPM do Security Hub.
| Tipo de descoberta de saúde | Tipo de descoberta do ASFF | Valor codificado |
|---|---|---|
| account | AwsAccountId | |
| detail.startTime | CreatedAt | |
| detail.eventDescription.latestDescription | Description | |
| detalhe. eventTypeCode | GeneratorId | |
| Detail.eventArn (incluindo account) + hash de detail.startTime | Id | |
| <region>“arn: aws: hub de segurança:::” product/aws/health | ProductArn | |
| account ou resourceID | Resources[i].id | |
| Resources[i].Type | “Outros” | |
| SchemaVersion | "2018-10-08" | |
| Severity.Label | Consulte “Interpretar o rótulo de gravidade” abaixo | |
| Detalhe “AWS Health-”. eventTypeCode | Título | |
| - | Tipos | [“Verificações de Software e Configuração”] |
| event.time | UpdatedAt | |
| URL do evento no console de Saúde | SourceUrl |
Interpretar o rótulo de gravidade
O rótulo de gravidade na descoberta do ASFF é determinado usando a seguinte lógica:
-
Gravidade CRÍTICA se:
-
O campo
servicena descoberta AWS Health tiver o valor deRisk -
O campo
typeCodena descoberta AWS Health tiver o valor deAWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION -
O campo
typeCodena descoberta AWS Health tiver o valor deAWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK -
O campo
typeCodena descoberta AWS Health tiver o valor deAWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES
Gravidade ALTA se:
-
O campo
servicena descoberta AWS Health tiver o valor deAbuse -
O campo
typeCodena descoberta AWS Health contiver o valor deSECURITY_NOTIFICATION -
O campo
typeCodena descoberta AWS Health contiver o valor deABUSE_DETECTION
Gravidade MÉDIA se:
-
O campo
servicena descoberta for qualquer um dos seguintes:ACM,ARTIFACT,AUDITMANAGER,BACKUP,CLOUDENDURE,CLOUDHSM,CLOUDTRAIL,CLOUDWATCH,CODEGURGU,COGNITO,CONFIG,CONTROLTOWER,DETECTIVE,DIRECTORYSERVICE,DRS,EVENTS,FIREWALLMANAGER,GUARDDUTY,IAM,INSPECTOR,INSPECTOR2,IOTDEVICEDEFENDER,KMS,MACIE,NETWORKFIREWALL,ORGANIZATIONS,RESILIENCEHUB,RESOURCEMANAGER,ROUTE53,SECURITYHUB,SECRETSMANAGER,SES,SHIELD,SSO, orWAF -
O campo typeCode na descoberta AWS Health contiver o valor de
CERTIFICATE -
O campo typeCode na descoberta AWS Health contiver o valor de
END_OF_SUPPORT
-
Descoberta típica de AWS Health
AWS Healthenvia as descobertas para o Security Hub CSPM usando o. AWSFormato de descoberta de segurança (ASFF) A seguir está um exemplo de uma descoberta típica deAWS Health.
nota
Se a descrição tiver mais de 1024 caracteres, ela será truncada para 1024 caracteres e dirá (truncada) ao final.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com inAWSRegion US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies toAWSRegion US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }
Depois de habilitar o CSPM do Security Hub, essa integração será ativada automaticamente. O AWS Health começa imediatamente a enviar descobertas ao CSPM do Security Hub.
Para interromper o envio de descobertas ao CSPM do Security Hub, é possível usar o console ou a API do CSPM do Security Hub.
Para obter instruções para interromper o fluxo de descobertas, consulte Habilitação do fluxo de descobertas de uma integração do CSPM do Security Hub..
AWS Identity and Access Management Access Analyzer(Envia descobertas)
Com o IAM Access Analyzer, todas as descobertas são enviadas ao CSPM do Security Hub.
O IAM Access Analyzer usa raciocínio baseado em lógica para analisar políticas baseadas em recursos aplicadas a recursos compatíveis em sua conta. O IAM Access Analyzer gera uma descoberta quando detecta uma instrução de política que permite que uma entidade principal externa acesse um recurso em sua conta.
No IAM Access Analyzer, apenas a conta do administrador pode ver as descobertas dos analisadores que se aplicam a uma organização. Para analisadores da organização, o campo do ASFF AwsAccountId reflete o ID da conta do administrador. Em ProductFields, o campo ResourceOwnerAccount indica a conta onde a descoberta foi encontrada Se você habilitar analisadores individualmente para cada conta, o CSPM do Security Hub gerará várias descobertas, uma que identifica o ID da conta do administrador e outra que identifica o ID da conta do recurso.
Para obter mais informações, consulte Integração com o CSPM do AWS Security Hub no Guia do usuário do IAM.
Amazon Inspector (envia descobertas)
O Amazon Inspector é um serviço de gerenciamento de vulnerabilidade que verifica continuamente suas worloads AWS em busca de vulnerabilidades. O Amazon Inspector descobre e escaneia automaticamente EC2 instâncias da Amazon e imagens de contêineres que residem no Amazon Elastic Container Registry. O escaneamento busca vulnerabilidades de software e exposição não intencional da rede.
Depois de habilitar o CSPM do Security Hub, essa integração será ativada automaticamente. O Amazon Inspector começa imediatamente a enviar todas as descobertas geradas para o CSPM do Security Hub.
Para obter mais informações sobre a integração, consulte Integração com o CSPM do AWS Security Hub no Guia do usuário do Amazon Inspector.
O CSPM do Security Hub também pode receber descobertas do Amazon Inspector Classic. O Amazon Inspector Classic envia descobertas ao CSPM do Security Hub que são geradas por meio de execuções de avaliações para todos os pacotes de regras com suporte.
Para obter mais informações sobre a integração, consulte Integração com o AWS Security Hub CSPM no Guia do usuário do Amazon Inspector Classic.
As descobertas do Amazon Inspector e do Amazon Inspector Classic usam o mesmo ARN do produto. As descobertas do Amazon Inspector têm a seguinte entrada em ProductFields:
"aws/inspector/ProductVersion": "2",
nota
As descobertas de segurança geradas por Segurança de Código do Amazon Inspector não estão disponíveis para essa integração. No entanto, você pode acessar essas descobertas específicas no console do Amazon Inspector e por meio da API do Amazon Inspector.
AWS IoT Device Defender(Envia descobertas)
AWS IoT Device Defenderé um serviço de segurança que audita a configuração de seus dispositivos de IoT, monitora dispositivos conectados para detectar comportamentos anormais e ajuda a reduzir os riscos de segurança.
Depois de habilitar ambos AWS IoT Device Defender e o CSPM do Security Hub, visite a página Integrações do console do Security Hub CSPM
AWS IoT Device DefenderA auditoria envia resumos de verificação para o Security Hub CSPM, que contêm informações gerais para um tipo específico de verificação de auditoria e tarefa de auditoria. AWS IoT Device DefenderO Detect envia descobertas de violações para comportamentos de aprendizado de máquina (ML), estatísticos e estáticos para o Security Hub CSPM. Auditar também envia atualizações de descoberta para o CSPM do Security Hub.
Para obter mais informações sobre a integração, consulte Integração com o CSPM do AWS Security Hub no Guia do desenvolvedor do AWS IoT.
Amazon Macie (envia descobertas)
O Amazon Macie é um serviço de segurança de dados que descobre dados sigilosos usando machine learning e correspondência de padrões, fornece visibilidade dos riscos de segurança de dados e permite proteção automatizada contra esses riscos. Uma descoberta do Macie pode indicar que existe uma possível violação de política ou dados sensíveis em seu patrimônio de dados do Amazon S3.
Depois do CSPM do Security Hub ser habilitado, o Macie começará automaticamente a enviar as descobertas da política para o CSPM do Security Hub. A integração pode ser configurada para também enviar descobertas de dados sensíveis ao CSPM do Security Hub.
No CSPM do Security Hub, o tipo de descoberta de uma política ou de dados sensíveis é alterado para um valor compatível com o ASFF. Por exemplo, o tipo de descoberta Policy:IAMUser/S3BucketPublic no Macie é exibido como Effects/Data Exposure/Policy:IAMUser-S3BucketPublic no CSPM do Security Hub.
O Macie também envia descobertas de amostras geradas pelo CSPM do Security Hub. Para exemplos de descobertas, o nome do recurso afetado é macie-sample-finding-bucket e o valor do campo Sample étrue.
Para obter mais informações, consulte Avaliação das descobertas do Macie com o Security Hub no Guia do usuário do Amazon Macie.
Amazon Route 53 ResolverFirewall DNS (envia descobertas)
Com o Amazon Route 53 Resolver DNS Firewall, você pode filtrar e regular o tráfego DNS de saída para sua nuvem privada virtual (VPC). Você faz isso criando coleções reutilizáveis de regras de filtragem em grupos de regras do Firewall de DNS, associando os grupos de regras à sua VPC e, em seguida, monitorando a atividade em logs e métricas do Firewall de DNS. Com base na atividade, é possível ajustar o comportamento do Firewall de DNS. O Firewall de DNS é um atributo do Route 53 Resolver.
O firewall de DNS do Route 53 Resolver pode enviar vários tipos de descobertas para o CSPM do Security Hub:
-
Descobertas relacionadas a consultas bloqueadas ou alertadas para domínios associados às listas de domínios AWS gerenciados, que são listas de domínios gerenciadas. AWS
-
Descobertas relacionadas a consultas bloqueadas ou com alertas para domínios associados a uma lista de domínios personalizada que você define.
-
Descobertas relacionadas a consultas bloqueadas ou alertadas pelo DNS Firewall Advanced, que é um recurso do Route 53 Resolver que pode detectar consultas associadas a ameaças avançadas de DNS, como algoritmos de geração de domínio () DGAs e tunelamento de DNS.
Depois de habilitar o Security Hub CSPM e o Route 53 Resolver DNS Firewall, o DNS Firewall começa automaticamente a enviar as descobertas de AWS Managed Domain Lists e DNS Firewall Advanced para o Security Hub CSPM. Para também enviar descobertas de uma lista de domínios personalizada ao CSPM do Security Hub, habilite manualmente a integração no CSPM do Security Hub.
No CSPM do Security Hub, todas as descobertas do firewall de DNS do Route 53 Resolver têm o tipo a seguir: TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation.
Para obter mais informações, consulte Envio de descobertas do firewall de DNS do Route 53 Resolver ao Security Hub no Guia do desenvolvedor do Amazon Route 53.
AWS Systems ManagerGerenciador de patches (envia descobertas)
AWS Systems ManagerO Patch Manager envia as descobertas ao CSPM do Security Hub quando as instâncias da frota de um cliente não estão em conformidade com o padrão de conformidade de patches.
O Patch Manager automatiza o processo de aplicação de patches em instâncias gerenciadas com atualizações relacionadas à segurança e outros tipos de atualizações.
Depois de habilitar o CSPM do Security Hub, essa integração será ativada automaticamente. O Gerenciador de Patches do Systems Manager começa imediatamente a enviar descobertas ao CSPM do Security Hub.
Para obter mais informações sobre como usar o Patch Manager, consulte Patch Manager do AWS Systems Manager no AWS Systems Manager Guia do usuário.
AWSserviços que recebem descobertas do Security Hub CSPM
Os AWS serviços a seguir são integrados ao Security Hub CSPM e recebem descobertas do Security Hub CSPM. Onde observado, o serviço integrado também pode atualizar as descobertas. Nesse caso, as atualizações de descoberta feitas no serviço integrado também serão refletidas no CSPM do Security Hub.
AWS Audit Manager(Recebe descobertas)
AWS Audit Managerrecebe descobertas do Security Hub CSPM. Essas descobertas ajudam os usuários do Audit Manager a se preparar para as auditorias.
Para saber mais sobre o Audit Manager, consulte o Guia do usuário do AWS Audit Manager. As AWSVerificações do CSPM do Security Hub com suporte no AWS Audit Manager listam os controles para os quais o CSPM do Security Hub envia as descobertas ao Audit Manager.
Amazon Q Developer em aplicações de chat (recebe descobertas)
O Amazon Q Developer em aplicações de chat é um agente interativo que ajuda você a monitorar e interagir com seus recursos da AWS nos canais do Slack e nas salas de bate-papo do Amazon Chime.
Amazon Q Developer em aplicações de chat recebe descobertas do CSPM do Security Hub.
Para saber mais sobre a integração do Amazon Q Developer em aplicações de chat com o CSPM do Security Hub, consulte a visão geral da integração do CSPM do Security Hub no Guia do administrador do Amazon Q Developer em aplicações de chat.
Amazon Detective (recebe descobertas)
Detective coleta automaticamente dados de registro de seus AWS recursos e usa aprendizado de máquina, análise estatística e teoria dos gráficos para ajudá-lo a visualizar e conduzir investigações de segurança mais rápidas e eficientes.
A integração do Security Hub CSPM com o Detective permite que você passe das descobertas da Amazon no GuardDuty Security Hub CSPM para o Detective. É possível então usar as ferramentas e visualizações do Detective para investigá-las. A integração não requer nenhuma configuração adicional no CSPM do Security Hub ou no Detective.
Para descobertas recebidas de outrosServiços da AWS, o painel de detalhes da descoberta no console CSPM do Security Hub inclui uma subseção Investigue em Detective. Essa subseção contém um link para o Detective, onde você pode investigar mais detalhadamente o problema de segurança que a descoberta sinalizou. Também é possível criar um gráfico de comportamento no Detective com base nas descobertas do CSPM do Security Hub para conduzir investigações mais eficazes. Para obter mais informações, consulte descobertas de segurança do AWS no Guia de administração do Amazon Detective.
Se a agregação entre regiões for ativada, quando você sair da região de agregação, o Detective será aberto na região inicial da descoberta.
Se um link não funcionar, para obter orientações de solução de problemas, consulte Solução de problemas de alternância.
Amazon Security Lake (recebe descobertas)
O Security Lake é um serviço de data lake de segurança totalmente gerenciado. O Security Lake pode ser usado para centralizar automaticamente dados de segurança da nuvem, on-premises e fontes personalizadas em um data lake armazenado em sua conta. Os assinantes podem consumir dados do Security Lake para casos de uso investigativos e analíticos.
Para ativar essa integração, você deve habilitar os dois serviços e adicionar o Security Hub CSPM como fonte no console do Security Lake, na API do Security Lake ou. AWS CLI Depois de executar essas etapas, o CSPM do Security Hub começará a enviar todas as descobertas para o Security Lake.
O Security Lake normaliza automaticamente as descobertas do CSPM do Security Hub e as converte em um esquema padronizado de código aberto chamado Open Cybersecurity Schema Framework (OCSF). No Security Lake, é possível adicionar um ou mais assinantes para consumir as descobertas do CSPM do Security Hub.
Para obter mais informações sobre essa integração, incluindo instruções sobre como adicionar o CSPM do Security Hub como fonte e criar assinantes, consulte Integração com o CSPM do AWS Security Hub no Guia do usuário do Amazon Security Lake.
AWS Systems ManagerExplorer e OpsCenter (recebe e atualiza as descobertas)
AWS Systems ManagerExplore e OpsCenter receba descobertas do Security Hub CSPM e atualize essas descobertas no Security Hub CSPM.
O Explorer traz um painel personalizável, fornecendo informações e análises importantes sobre a integridade operacional e a performance do seu ambiente AWS.
OpsCenter fornece um local central para visualizar, investigar e resolver itens de trabalho operacionais.
Para obter mais informações sobre o Explorer e OpsCenter, consulte Gerenciamento de operações no Guia AWS Systems Manager do Usuário.
AWS Trusted Advisor(Recebe descobertas)
Trusted Advisorbaseia-se nas melhores práticas aprendidas ao atender centenas de milhares de AWS clientes. Trusted Advisorinspeciona seu AWS ambiente e, em seguida, faz recomendações quando existem oportunidades para economizar dinheiro, melhorar a disponibilidade e o desempenho do sistema ou ajudar a fechar lacunas de segurança.
Quando você ativa o CSPM do Security Hub Trusted Advisor e o Security Hub, a integração é atualizada automaticamente.
O Security Hub CSPM envia os resultados de suas AWS verificações de melhores práticas de segurança básica para. Trusted Advisor
Para obter mais informações sobre a integração do CSPM do Security Hub comTrusted Advisor, consulte Visualizando os controles do CSPM do AWS Security Hub no Support AWS User AWS Trusted Advisor Guide.
