AWS service (Serviço da AWS) integrações com o Security Hub CSPM - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS service (Serviço da AWS) integrações com o Security Hub CSPM

AWS O Security Hub Cloud Security Posture Management (CSPM) suporta integrações com vários outros. Serviços da AWS

nota

As integrações podem não estar disponíveis em todas Regiões da AWS. Se uma integração não for compatível com a região atual, ela não será exibida na página Integrações.

Para obter uma lista das integrações que estão disponíveis nas regiões da China e AWS GovCloud (US), consulte Integrações que são suportadas nas regiões da China (Pequim) e China (Ningxia) e. Integrações que são suportadas nas regiões AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA)

A menos que indicado abaixo, AWS service (Serviço da AWS) as integrações que enviam descobertas para o CSPM do Security Hub são ativadas automaticamente após você habilitar o CSPM do Security Hub e o outro serviço. As integrações que recebem descobertas do CSPM do Security Hub podem exigir etapas adicionais para ativação. Analise as informações sobre cada integração para saber mais.

Visão geral das integrações de AWS serviços com o Security Hub CSPM

Aqui está uma visão geral dos AWS serviços que enviam descobertas para o Security Hub CSPM ou recebem descobertas do Security Hub CSPM.

AWS Serviço integrado Direction

AWS Config

Envia descobertas

AWS Firewall Manager

Envia descobertas

Amazon GuardDuty

Envia descobertas

AWS Health

Envia descobertas

AWS Identity and Access Management Access Analyzer

Envia descobertas

Amazon Inspector

Envia descobertas

AWS IoT Device Defender

Envia descobertas

Amazon Macie

Envia descobertas

AWS Systems Manager Patch Manager

Envia descobertas

AWS Audit Manager

Recebe descobertas

Amazon Q Developer em aplicações de chat

Recebe descobertas

Amazon Detective

Recebe descobertas

Amazon Security Lake

Recebe descobertas

AWS Systems Manager Explorer e OpsCenter

Recebe e atualiza as descobertas

AWS Trusted Advisor

Recebe descobertas

AWS serviços que enviam descobertas para o Security Hub CSPM

Os AWS serviços a seguir se integram ao CSPM do Security Hub enviando descobertas ao CSPM do Security Hub. O Security Hub CSPM converte as descobertas no AWS Security Finding Format.

AWS Config (Envia descobertas)

AWS Config é um serviço que permite avaliar, auditar e avaliar as configurações de seus AWS recursos. AWS Config monitora e registra continuamente suas configurações de AWS recursos e permite automatizar a avaliação das configurações gravadas em relação às configurações desejadas.

Ao usar a integração com AWS Config, você pode ver os resultados das avaliações de regras AWS Config gerenciadas e personalizadas como descobertas no CSPM do Security Hub. Essas descobertas podem ser visualizadas junto com outras descobertas do CSPM do Security Hub, fornecendo uma visão geral abrangente de sua postura de segurança.

AWS Config usa EventBridge a Amazon para enviar avaliações de AWS Config regras para o Security Hub CSPM. O Security Hub CSPM transforma as avaliações de regras em descobertas que seguem o Security Finding Format.AWS Em seguida, o Security Hub CSPM enriquece as descobertas com base no melhor esforço, obtendo mais informações sobre os recursos afetados, como o Amazon Resource Name (ARN), tags de recursos e data de criação.

Para mais informações sobre esta integração, consulte as seções a seguir.

Todas as descobertas no Security Hub CSPM usam o formato JSON padrão do ASFF. O ASFF inclui detalhes sobre a origem da descoberta, o recurso afetado e o status atual da descoberta. AWS Config envia avaliações de regras gerenciadas e personalizadas para o Security Hub CSPM via. EventBridge O Security Hub CSPM transforma as avaliações de regras em descobertas que seguem o ASFF e enriquece as descobertas com base no melhor esforço.

Tipos de descobertas AWS Config enviadas ao CSPM do Security Hub

Depois que a integração for ativada, AWS Config envia avaliações de todas as regras AWS Config gerenciadas e personalizadas para o Security Hub CSPM. Somente as avaliações que foram realizadas após a ativação do CSPM do Security Hub são enviadas. Por exemplo, suponha que uma avaliação de AWS Config regra revele cinco recursos com falha. Se eu habilitar o CSPM do Security Hub depois disso e a regra revelar um sexto recurso com falha, AWS Config enviará somente a sexta avaliação do recurso para o CSPM do Security Hub.

As avaliações de AWS Config regras vinculadas a serviços, como aquelas usadas para executar verificações nos controles CSPM do Security Hub, estão excluídas.

Enviando AWS Config descobertas para o Security Hub CSPM

Quando a integração for ativada, o Security Hub CSPM atribuirá automaticamente as permissões necessárias para receber as descobertas. AWS Config O Security Hub CSPM usa permissões de service-to-service nível que fornecem uma maneira segura de ativar essa integração e importar descobertas via AWS Config Amazon. EventBridge

Latência para enviar descobertas

Quando AWS Config cria uma nova descoberta, geralmente você pode visualizá-la no CSPM do Security Hub em cinco minutos.

Tentando novamente quando o Security Hub CSPM não está disponível

AWS Config envia as descobertas para o CSPM do Security Hub com base no melhor esforço, por meio de. EventBridge Quando um evento não é entregue com sucesso ao CSPM do Security Hub, EventBridge repita a entrega por até 24 horas ou 185 vezes, o que ocorrer primeiro.

Atualizando as AWS Config descobertas existentes no Security Hub CSPM

Depois de AWS Config enviar uma descoberta para o Security Hub CSPM, ele pode enviar atualizações da mesma descoberta para o Security Hub CSPM para refletir observações adicionais da atividade de descoberta. As atualizações são enviadas somente para eventos ComplianceChangeNotification. Se nenhuma alteração de conformidade ocorrer, as atualizações não serão enviadas para o CSPM do Security Hub. O Security Hub CSPM exclui as descobertas 90 dias após a atualização mais recente ou 90 dias após a criação se nenhuma atualização ocorrer.

O Security Hub CSPM não arquiva as descobertas enviadas, AWS Config mesmo que você exclua o recurso associado.

Regiões nas quais existem AWS Config descobertas

AWS Config as descobertas ocorrem em uma base regional. AWS Config envia as descobertas para o Security Hub CSPM na mesma região ou regiões em que as descobertas ocorrem.

Para visualizar suas AWS Config descobertas, escolha Findings no painel de navegação CSPM do Security Hub. Para filtrar as descobertas para exibir somente AWS Config as descobertas, escolha Nome do produto no menu suspenso da barra de pesquisa. Insira Config e escolha Aplicar.

Interpretando nomes de AWS Config busca no CSPM do Security Hub

O Security Hub CSPM transforma avaliações de AWS Config regras em descobertas que seguem o. AWS Formato de descoberta de segurança (ASFF) AWS Config as avaliações de regras usam um padrão de eventos diferente em comparação com o ASFF. A tabela a seguir mapeia os campos de avaliação da AWS Config regra com seus equivalentes do ASFF conforme eles aparecem no CSPM do Security Hub.

Tipo de descoberta da avaliação da regra de configuração Tipo de descoberta do ASFF Valor codificado
detalhe. awsAccountId AwsAccountId
detalhe. newEvaluationResult. resultRecordedTime CreatedAt
detalhe. newEvaluationResult. resultRecordedTime UpdatedAt
ProductArn <partition><region>“arn:: hub de segurança:::” product/aws/config
ProductName “Config”
CompanyName "AWS"
Região “eu-central-1”
configRuleArn GeneratorId, ProductFields
detalhe. ConfigRuleARN/finding/hash Id
detalhe. configRuleName Título, ProductFields
detalhe. configRuleName Descrição “Essa descoberta foi criada para uma alteração de conformidade de recurso para a regra de configuração: ${detail.ConfigRuleName}
Item de configuração “ARN” ou ARN computado CSPM do Security Hub Resources[i].id
detail.resourceType Resources[i].Type "AwsS3Bucket"
Resources[i].Partition "aws"
Resources[i].Region “eu-central-1”
Item de configuração “configuração” Resources[i].Details
SchemaVersion "2018-10-08"
Severity.Label Consulte “Interpretar o rótulo de gravidade” abaixo
Tipos [“Verificações de Software e Configuração”]
detalhe. newEvaluationResult. Tipo de conformidade Compliance.Status "REPROVADO", "NÃO_DISPONÍVEL", "APROVADO", ou "AVISO"
Workflow.Status “RESOLVIDO” se uma AWS Config descoberta for gerada com um status de conformidade de “APROVADO” ou se o status de conformidade mudar de “FALHOU” para “APROVADO”. Caso contrário, o Workflow.Status será “NOVO”. Você pode alterar esse valor com a operação BatchUpdateFindingsda API.

Interpretar o rótulo de gravidade

Todas as descobertas das avaliações de AWS Config regras têm um rótulo de severidade padrão de MEDIUM no ASFF. Você pode atualizar o rótulo de gravidade de uma descoberta com a operação BatchUpdateFindings da API.

Descoberta típica de AWS Config

O Security Hub CSPM transforma avaliações de AWS Config regras em descobertas que seguem o ASFF. A seguir está um exemplo de uma descoberta típica AWS Config do ASFF.

nota

Se a descrição tiver mais de 1024 caracteres, ela será truncada para 1024 caracteres e dirá “(truncada)” ao final.

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }

Depois de habilitar o Security Hub CSPM, essa integração é ativada automaticamente. AWS Config imediatamente começa a enviar descobertas para o Security Hub CSPM.

Para parar de enviar descobertas para o Security Hub CSPM, você pode usar o console CSPM do Security Hub ou a API CSPM do Security Hub.

Para obter instruções para interromper o fluxo de descobertas, consulte Habilitando o fluxo de descobertas de uma integração CSPM do Security Hub.

AWS Firewall Manager (Envia descobertas)

O Firewall Manager envia descobertas para o Security Hub CSPM quando uma política de firewall de aplicativo web (WAF) para recursos ou uma regra de lista de controle de acesso à web (web ACL) não está em conformidade. O Firewall Manager também envia descobertas quando não AWS Shield Advanced está protegendo recursos ou quando um ataque é identificado.

Depois de habilitar o Security Hub CSPM, essa integração é ativada automaticamente. O Firewall Manager começa imediatamente a enviar as descobertas para o CSPM do Security Hub.

Para saber mais sobre a integração, consulte a página Integrações no console CSPM do Security Hub.

Para saber mais sobre o Firewall Manager, consulte Guia do desenvolvedor do AWS WAF .

Amazon GuardDuty (envia descobertas)

GuardDuty envia todos os tipos de descoberta que ele gera para o CSPM do Security Hub. Alguns tipos de descoberta têm pré-requisitos, requisitos de capacitação ou limitações regionais. Para obter mais informações, consulte GuardDuty encontrar tipos no Guia do GuardDuty usuário da Amazon.

As novas descobertas GuardDuty são enviadas ao Security Hub CSPM em cinco minutos. As atualizações das descobertas são enviadas com base na configuração de descobertas atualizadas da Amazon EventBridge nas GuardDuty configurações.

Quando você gera GuardDuty amostras de descobertas usando a página GuardDuty Configurações, o Security Hub CSPM recebe as descobertas de amostra e omite o prefixo [Sample] no tipo de descoberta. Por exemplo, o exemplo de tipo de descoberta em GuardDuty [SAMPLE] Recon:IAMUser/ResourcePermissions é exibido como Recon:IAMUser/ResourcePermissions no CSPM do Security Hub.

Depois de habilitar o Security Hub CSPM, essa integração é ativada automaticamente. GuardDuty imediatamente começa a enviar descobertas para o Security Hub CSPM.

Para obter mais informações sobre a GuardDuty integração, consulte Integração com o AWS Security Hub Cloud Security Posture Management (CSPM) no Guia do usuário da Amazon. GuardDuty

AWS Health (Envia descobertas)

AWS Health fornece visibilidade contínua do desempenho de seus recursos e da disponibilidade de seu Serviços da AWS Contas da AWS e. Você pode usar eventos do AWS Health para saber como as mudanças de serviços e recursos podem afetar seus aplicativos executados no AWS.

A integração com AWS Health não usaBatchImportFindings. Em vez disso, AWS Health usa mensagens de service-to-service eventos para enviar descobertas ao CSPM do Security Hub.

Para mais informações sobre a integração, consulte as seções a seguir.

No Security Hub CSPM, os problemas de segurança são rastreados como descobertas. Algumas descobertas vêm de problemas detectados por outros AWS serviços ou por parceiros terceirizados. O Security Hub CSPM também tem um conjunto de regras que ele usa para detectar problemas de segurança e gerar descobertas.

O Security Hub CSPM fornece ferramentas para gerenciar descobertas de todas essas fontes. Você pode exibir e filtrar listas de descobertas e exibir detalhes de uma descoberta. Consulte Analisando os detalhes e o histórico da descoberta no Security Hub CSPM. Você também pode rastrear o status de uma investigação em uma descoberta. Consulte Definindo o status do fluxo de trabalho das descobertas no Security Hub CSPM.

Todas as descobertas no Security Hub CSPM usam um formato JSON padrão chamado de. AWS Formato de descoberta de segurança (ASFF) O ASFF inclui detalhes sobre a origem do problema, os recursos afetados e o status atual da descoberta.

AWS Health é um dos AWS serviços que envia descobertas para o Security Hub CSPM.

Tipos de descobertas AWS Health enviadas ao CSPM do Security Hub

Depois que a integração for habilitada, AWS Health envia as descobertas que atendem a uma ou mais das especificações listadas para o Security Hub CSPM. O Security Hub CSPM ingere as descobertas no. AWS Formato de descoberta de segurança (ASFF)

  • Descobertas que contêm qualquer um dos seguintes valores para AWS service (Serviço da AWS):

    • RISK

    • ABUSE

    • ACM

    • CLOUDHSM

    • CLOUDTRAIL

    • CONFIG

    • CONTROLTOWER

    • DETECTIVE

    • EVENTS

    • GUARDDUTY

    • IAM

    • INSPECTOR

    • KMS

    • MACIE

    • SES

    • SECURITYHUB

    • SHIELD

    • SSO

    • COGNITO

    • IOTDEVICEDEFENDER

    • NETWORKFIREWALL

    • ROUTE53

    • WAF

    • FIREWALLMANAGER

    • SECRETSMANAGER

    • BACKUP

    • AUDITMANAGER

    • ARTIFACT

    • CLOUDENDURE

    • CODEGURU

    • ORGANIZATIONS

    • DIRECTORYSERVICE

    • RESOURCEMANAGER

    • CLOUDWATCH

    • DRS

    • INSPECTOR2

    • RESILIENCEHUB

  • Descobertas com as palavras securityabuse, ou certificate no AWS Health typeCode campo

  • Descobertas de onde o AWS Health serviço está risk ou abuse

Enviando AWS Health descobertas para o Security Hub CSPM

Quando você optar por aceitar as descobertas do AWS Health, o Security Hub CSPM atribuirá automaticamente as permissões necessárias para receber as descobertas. AWS Health O Security Hub CSPM usa permissões de service-to-service nível que fornecem uma maneira segura e fácil de habilitar essa integração e importar descobertas via AWS Health Amazon EventBridge em seu nome. Escolher Aceitar descobertas concede ao Security Hub CSPM permissão para consumir descobertas de. AWS Health

Latência para enviar descobertas

Quando AWS Health cria uma nova descoberta, ela geralmente é enviada ao CSPM do Security Hub em cinco minutos.

Tentando novamente quando o Security Hub CSPM não está disponível

AWS Health envia as descobertas para o CSPM do Security Hub com base no melhor esforço, por meio de. EventBridge Quando um evento não é entregue com sucesso ao CSPM do Security Hub, EventBridge tenta enviar o evento novamente por 24 horas.

Atualizando as descobertas existentes no Security Hub CSPM

Depois de AWS Health enviar uma descoberta para o CSPM do Security Hub, ele pode enviar atualizações para a mesma descoberta para refletir observações adicionais da atividade de descoberta para o CSPM do Security Hub.

Regiões nas quais existem descobertas

Para eventos globais, AWS Health envia as descobertas para o Security Hub CSPM em us-east-1 (partição AWS ), cn-northwest-1 (partição da China) e -1 (partição). gov-us-west GovCloud AWS Health envia eventos específicos da região para o CSPM do Security Hub na mesma região ou regiões em que os eventos ocorrem.

Para ver suas AWS Health descobertas no Security Hub CSPM, escolha Descobertas no painel de navegação. Para filtrar as descobertas para exibir somente AWS Health as descobertas, escolha Health no campo Nome do produto.

Interpretando nomes de AWS Health busca no CSPM do Security Hub

AWS Health envia as descobertas para o Security Hub CSPM usando o. AWS Formato de descoberta de segurança (ASFF) AWS Health a descoberta usa um padrão de evento diferente em comparação com o formato CSPM ASFF do Security Hub. A tabela abaixo detalha todos os campos de AWS Health descoberta com seus equivalentes do ASFF conforme eles aparecem no CSPM do Security Hub.

Tipo de descoberta de saúde Tipo de descoberta do ASFF Valor codificado
conta AwsAccountId
detail.startTime CreatedAt
detail.eventDescription.latestDescription Descrição
detalhe. eventTypeCode GeneratorId
Detail.eventArn (incluindo account) + hash de detail.startTime Id
<region>“arn: aws: hub de segurança:::” product/aws/health ProductArn
account ou resourceID Resources[i].id
Resources[i].Type “Outros”
SchemaVersion "2018-10-08"
Severity.Label Consulte “Interpretar o rótulo de gravidade” abaixo
Detalhe “AWS Health -”. eventTypeCode Cargo
- Tipos [“Verificações de Software e Configuração”]
event.time UpdatedAt
URL do evento no console de Saúde SourceUrl
Interpretar o rótulo de gravidade

O rótulo de gravidade na descoberta do ASFF é determinado usando a seguinte lógica:

  • Gravidade CRÍTICA se:

    • O service campo na AWS Health descoberta tem o valor Risk

    • O typeCode campo na AWS Health descoberta tem o valor AWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION

    • O typeCode campo na AWS Health descoberta tem o valor AWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK

    • O typeCode campo na AWS Health descoberta tem o valor AWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES

    Gravidade ALTA se:

    • O service campo na AWS Health descoberta tem o valor Abuse

    • O typeCode campo na AWS Health descoberta contém o valor SECURITY_NOTIFICATION

    • O typeCode campo na AWS Health descoberta contém o valor ABUSE_DETECTION

    Gravidade MÉDIA se:

    • O campo service na descoberta for qualquer um dos seguintes: ACM, ARTIFACT, AUDITMANAGER, BACKUP,CLOUDENDURE, CLOUDHSM, CLOUDTRAIL, CLOUDWATCH, CODEGURGU, COGNITO, CONFIG, CONTROLTOWER, DETECTIVE, DIRECTORYSERVICE, DRS, EVENTS, FIREWALLMANAGER, GUARDDUTY, IAM, INSPECTOR, INSPECTOR2, IOTDEVICEDEFENDER, KMS, MACIE, NETWORKFIREWALL, ORGANIZATIONS, RESILIENCEHUB, RESOURCEMANAGER, ROUTE53, SECURITYHUB, SECRETSMANAGER, SES, SHIELD, SSO, or WAF

    • O campo typeCode na descoberta AWS Health contiver o valor de CERTIFICATE

    • O campo typeCode na descoberta AWS Health contiver o valor de END_OF_SUPPORT

Descoberta típica de AWS Health

AWS Health envia descobertas para o Security Hub CSPM usando o. AWS Formato de descoberta de segurança (ASFF) A seguir está um exemplo de uma descoberta típica de AWS Health.

nota

Se a descrição tiver mais de 1024 caracteres, ela será truncada para 1024 caracteres e dirá (truncada) ao final.

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }

Depois de habilitar o Security Hub CSPM, essa integração é ativada automaticamente. AWS Health imediatamente começa a enviar descobertas para o Security Hub CSPM.

Para parar de enviar descobertas para o Security Hub CSPM, você pode usar o console CSPM do Security Hub ou a API CSPM do Security Hub.

Para obter instruções para interromper o fluxo de descobertas, consulte Habilitando o fluxo de descobertas de uma integração CSPM do Security Hub.

AWS Identity and Access Management Access Analyzer (Envia descobertas)

Com o IAM Access Analyzer, todas as descobertas são enviadas ao CSPM do Security Hub.

O IAM Access Analyzer usa raciocínio baseado em lógica para analisar políticas baseadas em recursos aplicadas a recursos compatíveis em sua conta. O IAM Access Analyzer gera uma descoberta quando detecta uma instrução de política que permite que uma entidade principal externa acesse um recurso em sua conta.

No IAM Access Analyzer, apenas a conta do administrador pode ver as descobertas dos analisadores que se aplicam a uma organização. Para analisadores da organização, o campo do ASFF AwsAccountId reflete o ID da conta do administrador. Em ProductFields, o campo ResourceOwnerAccount indica a conta onde a descoberta foi encontrada Se você habilitar analisadores individualmente para cada conta, o Security Hub CSPM gerará várias descobertas, uma que identifica a ID da conta do administrador e outra que identifica a ID da conta do recurso.

Para obter mais informações, consulte Integração com o AWS Security Hub Cloud Security Posture Management (CSPM) no Guia do usuário do IAM.

Amazon Inspector (envia descobertas)

O Amazon Inspector é um serviço de gerenciamento de vulnerabilidade que verifica continuamente suas worloads AWS em busca de vulnerabilidades. O Amazon Inspector descobre e escaneia automaticamente EC2 instâncias da Amazon e imagens de contêineres que residem no Amazon Elastic Container Registry. O escaneamento busca vulnerabilidades de software e exposição não intencional da rede.

Depois de habilitar o Security Hub CSPM, essa integração é ativada automaticamente. O Amazon Inspector começa imediatamente a enviar todas as descobertas geradas para o Security Hub CSPM.

Para obter mais informações sobre a integração, consulte Integração com o AWS Security Hub Cloud Security Posture Management (CSPM) no Guia do usuário do Amazon Inspector.

O Security Hub CSPM também pode receber descobertas do Amazon Inspector Classic. O Amazon Inspector Classic envia descobertas para o CSPM do Security Hub que são geradas por meio de execuções de avaliação para todos os pacotes de regras compatíveis.

Para obter mais informações sobre a integração, consulte Integração com o AWS Security Hub Cloud Security Posture Management (CSPM) no Guia do usuário do Amazon Inspector Classic.

As descobertas do Amazon Inspector e do Amazon Inspector Classic usam o mesmo ARN do produto. As descobertas do Amazon Inspector têm a seguinte entrada em ProductFields:

"aws/inspector/ProductVersion": "2",

AWS IoT Device Defender (Envia descobertas)

AWS IoT Device Defender é um serviço de segurança que audita a configuração de seus dispositivos de IoT, monitora dispositivos conectados para detectar comportamentos anormais e ajuda a reduzir os riscos de segurança.

Depois de habilitar ambos AWS IoT Device Defender e o CSPM do Security Hub, visite a página Integrações do console do Security Hub CSPM e escolha Aceitar descobertas para Auditoria, Detecção ou ambos. AWS IoT Device Defender O Audit and Detect começa a enviar todas as descobertas para o Security Hub CSPM.

AWS IoT Device Defender A auditoria envia resumos de verificação para o Security Hub CSPM, que contêm informações gerais para um tipo específico de verificação de auditoria e tarefa de auditoria. AWS IoT Device Defender O Detect envia descobertas de violações para comportamentos de aprendizado de máquina (ML), estatísticos e estáticos para o Security Hub CSPM. A auditoria também envia atualizações de localização para o CSPM do Security Hub.

Para obter mais informações sobre essa integração, consulte Integração com o AWS Security Hub Cloud Security Posture Management (CSPM) no Guia do AWS IoT desenvolvedor.

Amazon Macie (envia descobertas)

Uma descoberta do Macie pode indicar que há uma possível violação de política ou que dados confidenciais, como informações de identificação pessoal (PII), estão presentes nos dados que sua organização armazena no Amazon S3.

Depois de habilitar o CSPM do Security Hub, o Macie começa automaticamente a enviar as descobertas da política para o CSPM do Security Hub. Você pode configurar a integração para também enviar descobertas de dados confidenciais para o CSPM do Security Hub.

No Security Hub CSPM, o tipo de descoberta de uma política ou descoberta de dados confidenciais é alterado para um valor compatível com o ASFF. Por exemplo, o tipo de Policy:IAMUser/S3BucketPublic descoberta no Macie é exibido como Effects/Data Exposure/Policy:IAMUser-S3BucketPublic no CSPM do Security Hub.

O Macie também envia amostras de descobertas geradas para o Security Hub CSPM. Para exemplos de descobertas, o nome do recurso afetado é macie-sample-finding-bucket e o valor do campo Sample étrue.

Para obter mais informações, consulte a integração do Amazon Macie com o AWS Security Hub Cloud Security Posture Management (CSPM) no Guia do usuário do Amazon Macie.

AWS Systems Manager Gerenciador de patches (envia descobertas)

AWS Systems Manager O Patch Manager envia as descobertas ao CSPM do Security Hub quando as instâncias da frota de um cliente não estão em conformidade com o padrão de conformidade de patches.

O Patch Manager automatiza o processo de aplicação de patches em instâncias gerenciadas com atualizações relacionadas à segurança e outros tipos de atualizações.

Depois de habilitar o Security Hub CSPM, essa integração é ativada automaticamente. O Systems Manager Patch Manager começa imediatamente a enviar as descobertas para o Security Hub CSPM.

Para obter mais informações sobre como usar o Patch Manager, consulte Patch Manager do AWS Systems Manager no AWS Systems Manager Guia do usuário.

AWS serviços que recebem descobertas do Security Hub CSPM

Os AWS serviços a seguir são integrados ao Security Hub CSPM e recebem descobertas do Security Hub CSPM. Onde observado, o serviço integrado também pode atualizar as descobertas. Nesse caso, encontrar atualizações feitas no serviço integrado também será refletido no CSPM do Security Hub.

AWS Audit Manager (Recebe descobertas)

AWS Audit Manager recebe descobertas do Security Hub CSPM. Essas descobertas ajudam os usuários do Audit Manager a se preparar para as auditorias.

Para saber mais sobre o Audit Manager, consulte o Guia do usuário do AWS Audit Manager.AWS As verificações do Security Hub Cloud Security Posture Management (CSPM) suportadas por AWS Audit Manager listam os controles para os quais o CSPM do Security Hub envia as descobertas ao Audit Manager.

Amazon Q Developer em aplicativos de bate-papo (recebe descobertas)

O Amazon Q Developer em aplicativos de bate-papo é um agente interativo que ajuda você a monitorar e interagir com seus AWS recursos nos canais do Slack e nas salas de bate-papo do Amazon Chime.

O Amazon Q Developer em aplicativos de bate-papo recebe descobertas do Security Hub CSPM.

Para saber mais sobre a integração do Amazon Q Developer em aplicativos de bate-papo com o CSPM do Security Hub, consulte a visão geral da integração do CSPM do Security Hub no Guia do administrador do Amazon Q Developer em aplicativos de bate-papo.

Amazon Detective (recebe descobertas)

Detective coleta automaticamente dados de registro de seus AWS recursos e usa aprendizado de máquina, análise estatística e teoria dos gráficos para ajudá-lo a visualizar e conduzir investigações de segurança mais rápidas e eficientes.

A integração do Security Hub CSPM com o Detective permite que você passe das descobertas da Amazon no GuardDuty Security Hub CSPM para o Detective. Você pode então usar as ferramentas e visualizações do Detective para investigá-las. A integração não requer nenhuma configuração adicional no Security Hub CSPM ou no Detective.

Para descobertas recebidas de outros Serviços da AWS, o painel de detalhes da descoberta no console CSPM do Security Hub inclui uma subseção Investigue em Detective. Essa subseção contém um link para o Detective, onde você pode investigar mais detalhadamente o problema de segurança que a descoberta sinalizou. Você também pode criar um gráfico de comportamento no Detective com base nas descobertas do CSPM do Security Hub para conduzir investigações mais eficazes. Para obter mais informações, consulte descobertas de segurança do AWS no Guia de administração do Amazon Detective.

Se a agregação entre regiões for ativada, quando você sair da região de agregação, o Detective será aberto na região de origem da descoberta.

Se um link não funcionar, para obter orientações de solução de problemas, consulte Solução de problemas de alternância.

Amazon Security Lake (recebe descobertas)

O Security Lake é um serviço de data lake de segurança totalmente gerenciado. O Security Lake pode ser usado para centralizar automaticamente dados de segurança da nuvem, on-premises e fontes personalizadas em um data lake armazenado em sua conta. Os assinantes podem consumir dados do Security Lake para casos de uso investigativos e analíticos.

Para ativar essa integração, você deve habilitar os dois serviços e adicionar o Security Hub CSPM como fonte no console do Security Lake, na API do Security Lake ou. AWS CLI Depois de concluir essas etapas, o Security Hub CSPM começa a enviar todas as descobertas para o Security Lake.

O Security Lake normaliza automaticamente as descobertas do CSPM do Security Hub e as converte em um esquema padronizado de código aberto chamado Open Cybersecurity Schema Framework (OCSF). No Security Lake, você pode adicionar um ou mais assinantes para consumir as descobertas do CSPM do Security Hub.

Para obter mais informações sobre essa integração, incluindo instruções sobre como adicionar o CSPM do Security Hub como fonte e criar assinantes, consulte Integração com o AWS Security Hub Cloud Security Posture Management (CSPM) no Guia do usuário do Amazon Security Lake.

AWS Systems Manager Explorer e OpsCenter (recebe e atualiza as descobertas)

AWS Systems Manager Explore e OpsCenter receba descobertas do Security Hub CSPM e atualize essas descobertas no Security Hub CSPM.

O Explorer traz um painel personalizável, fornecendo informações e análises importantes sobre a integridade operacional e o desempenho do seu ambiente AWS .

OpsCenter fornece um local central para visualizar, investigar e resolver itens de trabalho operacionais.

Para obter mais informações sobre o Explorer e OpsCenter, consulte Gerenciamento de operações no Guia AWS Systems Manager do Usuário.

AWS Trusted Advisor (Recebe descobertas)

Trusted Advisor baseia-se nas melhores práticas aprendidas ao atender centenas de milhares de AWS clientes. Trusted Advisor inspeciona seu AWS ambiente e, em seguida, faz recomendações quando existem oportunidades para economizar dinheiro, melhorar a disponibilidade e o desempenho do sistema ou ajudar a fechar lacunas de segurança.

Quando você ativa o CSPM do Security Hub Trusted Advisor e o Security Hub, a integração é atualizada automaticamente.

O Security Hub CSPM envia os resultados de suas AWS verificações de melhores práticas de segurança básica para. Trusted Advisor

Para obter mais informações sobre a integração do CSPM do Security Hub com Trusted Advisor, consulte Visualizando os controles do AWS Security Hub Cloud Security Posture Management (CSPM) no AWS Trusted Advisor Support User Guide.AWS