Integrações de AWS service (Serviço da AWS) com o CSPM do Security Hub
O CSPM do AWS Security Hub oferece suporte a integrações com vários outros Serviços da AWS. Essas integrações podem ajudar você a obter uma visão abrangente da segurança e da conformidade em todo o seu ambiente da AWS.
A menos que indicado em contrário abaixo, as integrações de AWS service (Serviço da AWS) que enviam descobertas ao CSPM do Security Hub são ativadas automaticamente depois que você habilita o CSPM do Security Hub e o outro serviço. As integrações que recebem as descobertas do CSPM do Security Hub podem exigir etapas adicionais para ativação. Analise as informações sobre cada integração para saber mais.
Algumas integrações não estão disponíveis em todas as Regiões da AWS. No console do CSPM do Security Hub, uma integração não será exibida na página Integrações caso não haja suporte para ela na região atual. Para obter uma lista das integrações que estão disponíveis nas regiões da China e AWS GovCloud (US) Regions, consulte Disponibilidade de integrações por região.
Visão geral das integrações de serviços da AWS com o CSPM do Security Hub
A tabela a seguir fornece uma visão geral dos serviços da AWS que enviam descobertas para o CSPM do Security Hub ou recebem descobertas do CSPM do Security Hub.
| Serviço AWS integrado | Direction |
|---|---|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Envia descobertas |
|
|
Recebe descobertas |
|
|
Recebe descobertas |
|
|
Recebe descobertas |
|
|
Recebe descobertas |
|
|
Recebe e atualiza as descobertas |
|
|
Recebe descobertas |
Serviços da AWS que enviam descobertas ao CSPM do Security Hub
Os Serviços da AWS a seguir são integrados e podem enviar descobertas ao CSPM do Security Hub. O CSPM do Security Hub converte as descobertas para o Formato de descoberta de segurança da AWS.
AWS Config (Envia descobertas)
O AWS Config é um serviço que permite analisar, auditar e avaliar as configurações dos seus recursos AWS. O AWS Config monitora e registra continuamente suas configurações de recursos AWS e permite automatizar a avaliação de configurações registradas em relação às configurações desejadas.
Ao usar a integração com o AWS Config, é possível ver os resultados das avaliações de regras gerenciadas e personalizadas do AWS Config como descobertas no CSPM do Security Hub. Essas descobertas podem ser visualizadas com outras descobertas do CSPM do Security Hub, fornecendo uma visão geral abrangente de sua postura de segurança.
O AWS Config usa o Amazon EventBridge para enviar avaliações de regras do AWS Config ao CSPM do Security Hub. O CSPM do Security Hub transforma as avaliações de regras em descobertas que seguem o Formato de descoberta de segurança da AWS. Em seguida, o CSPM do Security Hub enriquece as descobertas o máximo possível, obtendo mais informações sobre os recursos afetados, como o nome do recurso da Amazon (ARN), as tags de recursos e a data de criação.
Para mais informações sobre esta integração, consulte as seções a seguir.
Todas as descobertas no CSPM do Security Hub usam o formato padrão JSON do ASFF. O ASFF inclui detalhes sobre a origem da descoberta, o recurso afetado e o status atual da descoberta. o AWS Config envia avaliações de regras gerenciadas e personalizadas para o CSPM do Security Hub através do EventBridge. O CSPM do Security Hub transforma as avaliações de regras em descobertas que seguem o ASFF e enriquece as descobertas com base no melhor esforço.
Tipos de descobertas que o AWS Config envia ao CSPM do Security Hub
Depois que a integração é ativada, o AWS Config envia avaliações de todas as regras gerenciadas e personalizadas do AWS Config para o CSPM do Security Hub. Apenas as avaliações realizadas após a habilitação do CSPM do Security Hub são enviadas. Por exemplo, suponha que uma avaliação de regra do AWS Config revele cinco recursos reprovados. Se você habilitar o CSPM do Security Hub depois dessa avaliação e a regra revelar um sexto recurso com falha, o AWS Config enviará apenas a sexta avaliação do recurso para o CSPM do Security Hub.
As avaliações de regras vinculadas ao serviço do AWS Config, como as usadas para executar verificações nos controles do CSPM do Security Hub, são excluídas. A exceção são as descobertas geradas por regras vinculadas a serviços que o AWS Control Tower cria e gerencia no AWS Config. Incluir descobertas nessas regras ajuda a garantir que seus dados de descobertas incluam os resultados das verificações proativas realizadas pelo AWS Control Tower.
Envio de descobertas do AWS Config ao CSPM do Security Hub
Quando a integração for ativada, o CSPM do Security Hub atribuirá automaticamente as permissões necessárias para receber as descobertas do AWS Config. O CSPM do Security Hub usa permissões de nível de serviço para serviço que oferecem uma maneira segura de ativar essa integração e importar descobertas do AWS Config via Amazon EventBridge.
Latência para enviar descobertas
Quando o AWS Config cria uma nova descoberta, geralmente é possível visualizá-la no CSPM do Security Hub em cinco minutos.
Nova tentativa quando o CSPM do Security Hub não está disponível
O AWS Config envia descobertas para o CSPM do Security Hub com base no melhor esforço por meio do EventBridge. Quando um evento não é entregue com sucesso ao CSPM do Security Hub, o EventBridge repete a entrega por até 24 horas ou 185 vezes, o que ocorrer primeiro.
Atualização das descobertas existentes do AWS Config no CSPM do Security Hub
Depois que AWS Config envia uma descoberta ao CSPM do Security Hub, ele pode enviar atualizações para a mesma descoberta ao CSPM do Security Hub para refletir observações adicionais da atividade da descoberta. As atualizações são enviadas somente para eventos ComplianceChangeNotification. Se nenhuma alteração de conformidade ocorrer, as atualizações não serão enviadas para o CSPM do Security Hub. O CSPM do Security Hub exclui as descobertas 90 dias após a atualização mais recente ou 90 dias após a criação, se nenhuma atualização ocorrer.
O CSPM do Security Hub não arquiva as descobertas enviadas do AWS Config, mesmo que você exclua o recurso associado.
Regiões nas quais existem descobertas AWS Config
As descobertas do AWS Config ocorrem em uma base regional. O AWS Config envia as descobertas para o CSPM do Security Hub na mesma região ou regiões em que as descobertas ocorrem.
Para visualizar suas descobertas do AWS Config, escolha Descobertas no painel de navegação do CSPM do Security Hub. Para filtrar as descobertas para exibir somente as descobertas do AWS Config, escolha Nome do produto no menu suspenso da barra de pesquisa. Insira Config e escolha Aplicar.
Interpretação de nomes de descobertas do AWS Config no CSPM do Security Hub
O CSPM do Security Hub transforma as avaliações de regras do AWS Config em descobertas que seguem o Formato de descoberta de segurança da AWS (ASFF). As avaliações de regras do AWS Config usam um padrão de eventos diferente em comparação com o ASFF. A tabela a seguir mapeia os campos de avaliação da regra AWS Config com o equivalente do ASFF, conforme aparecem no CSPM do Security Hub.
| Tipo de descoberta da avaliação da regra de configuração | Tipo de descoberta do ASFF | Valor codificado |
|---|---|---|
| detail.awsAccountId | AwsAccountId | |
| detail.newEvaluationResult.resultRecordedTime | CreatedAt | |
| detail.newEvaluationResult.resultRecordedTime | UpdatedAt | |
| ProductArn | "arn:<partition>:securityhub:<region>::product/aws/config" | |
| ProductName | “Config” | |
| CompanyName | "AWS" | |
| Region | “eu-central-1” | |
| configRuleArn | GeneratorId, ProductFields | |
| detail.ConfigRuleARN/finding/hash | Id | |
| detail.configRuleName | Title, ProductFields | |
| detail.configRuleName | Descrição | “Essa descoberta foi criada para uma alteração de conformidade de recurso para a regra de configuração: ${detail.ConfigRuleName}” |
| Item de configuração “ARN” ou ARN computado do CSPM do Security Hub | Resources[i].id | |
| detail.resourceType | Resources[i].Type | "AwsS3Bucket" |
| Resources[i].Partition | "aws" | |
| Resources[i].Region | “eu-central-1” | |
| Item de configuração “configuração” | Resources[i].Details | |
| SchemaVersion | "2018-10-08" | |
| Severity.Label | Consulte “Interpretar o rótulo de gravidade” abaixo | |
| Tipos | [“Verificações de Software e Configuração”] | |
| detail.newEvaluationResult.complianceType | Compliance.Status | "REPROVADO", "NÃO_DISPONÍVEL", "APROVADO", ou "AVISO" |
| Workflow.Status | “RESOLVIDO” se uma descoberta AWS Config for gerada com um Compliance.Status de “APROVADO” ou se o Compliance.Status mudar de “REPROVADO” para “APROVADO”. Caso contrário, o Workflow.Status será “NOVO”. É possível alterar esse valor com a operação da API BatchUpdateFindings. |
Interpretar o rótulo de gravidade
Todas as descobertas das avaliações de regras AWS Config têm um rótulo de gravidade padrão de MÉDIO no ASFF. É possível atualizar o rótulo de gravidade de uma descoberta com a operação BatchUpdateFindings da API.
Descoberta típica do AWS Config
O CSPM do Security Hub transforma as avaliações de regras do AWS Config em descobertas que seguem o ASFF. A seguir, um exemplo de uma descoberta típica do ASFF AWS Config.
nota
Se a descrição tiver mais de 1,024 caracteres, ela será truncada para 1,024 caracteres e dirá “(truncada)” ao final.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/45g070df80cb50b68fa6a43594kc6fda1e517932", "ProductArn": "arn:aws:securityhub:eu-central-1::product/aws/config", "ProductName": "Config", "CompanyName": "AWS", "Region": "eu-central-1", "GeneratorId": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-04-15T05:00:37.181Z", "UpdatedAt": "2022-04-19T21:20:15.056Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "s3-bucket-level-public-access-prohibited-config-integration-demo", "Description": "This finding is created for a resource compliance change for config rule: s3-bucket-level-public-access-prohibited-config-integration-demo", "ProductFields": { "aws/securityhub/ProductName": "Config", "aws/securityhub/CompanyName": "AWS", "aws/securityhub/FindingId": "arn:aws:securityhub:eu-central-1::product/aws/config/arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq/finding/46f070df80cd50b68fa6a43594dc5fda1e517902", "aws/config/ConfigRuleArn": "arn:aws:config:eu-central-1:123456789012:config-rule/config-rule-mburzq", "aws/config/ConfigRuleName": "s3-bucket-level-public-access-prohibited-config-integration-demo", "aws/config/ConfigComplianceType": "NON_COMPLIANT" }, "Resources": [{ "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Partition": "aws", "Region": "eu-central-1", "Details": { "AwsS3Bucket": { "OwnerId": "4edbba300f1caa608fba2aad2c8fcfe30c32ca32777f64451eec4fb2a0f10d8c", "CreatedAt": "2022-04-15T04:32:53.000Z" } } }], "Compliance": { "Status": "FAILED" }, "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } }
Depois de habilitar o CSPM do Security Hub, essa integração é ativada automaticamente. O AWS Config começa imediatamente a enviar descobertas ao CSPM do Security Hub.
Para interromper o envio de descobertas ao CSPM do Security Hub, é possível usar o console ou a API do CSPM do Security Hub.
Para obter instruções para interromper o fluxo de descobertas, consulte Habilitação do fluxo de descobertas de uma integração do CSPM do Security Hub..
AWS Firewall Manager (Envia descobertas)
O Firewall Manager envia descobertas para o CSPM do Security Hub quando uma política de firewall de aplicação da Web (WAF) para recursos ou uma regra de lista de controle de acesso da Web (ACL da Web) não está em conformidade. O Firewall Manager também envia descobertas quando AWS Shield Advanced não está protegendo recursos ou quando um ataque é identificado.
Depois de habilitar o CSPM do Security Hub, essa integração será ativada automaticamente. O Firewall Manager começa imediatamente a enviar descobertas ao CSPM do Security Hub.
Para saber mais sobre a integração, veja a página Integrações no console do CSPM do Security Hub.
Para saber mais sobre o Firewall Manager, consulte Guia do desenvolvedor do AWS WAF.
Amazon GuardDuty (envia descobertas)
O GuardDuty envia todos os tipos de descobertas que gera para o CSPM do Security Hub. Alguns tipos de descoberta têm pré-requisitos, requisitos de habilitação ou limitações regionais. Para obter mais informações, consulte Tipos de descobertas do GuardDuty no Guia do usuário do Amazon GuardDuty.
As novas descobertas do GuardDuty são enviadas ao CSPM do Security Hub em cinco minutos. As atualizações para descobertas são enviadas com base na configuração Atualizar descobertas configuradas para o Amazon EventBridge nas configurações do GuardDuty.
Quando você gera amostras de descobertas do GuardDuty usando a página Configurações do GuardDuty, o CSPM do Security Hub recebe as descobertas de amostra e omite o prefixo [Sample] no tipo de descoberta. Por exemplo, a amostra do tipo de descoberta no [SAMPLE] Recon:IAMUser/ResourcePermissions do GuardDuty é exibida como Recon:IAMUser/ResourcePermissions no CSPM do Security Hub.
Depois de habilitar o CSPM do Security Hub, essa integração será ativada automaticamente. O GuardDuty começa imediatamente a enviar descobertas ao CSPM do Security Hub.
Para obter mais informações sobre a integração do GuardDuty, consulte Integração com o CSPM do AWS Security Hub no Guia do usuário do Amazon GuardDuty.
AWS Health (Envia descobertas)
O AWS Health fornece visibilidade contínua da performance dos recursos e da disponibilidade dos Serviços da AWS e Contas da AWS. É possível usar eventos do AWS Health para saber como as mudanças de serviços e recursos podem afetar seus aplicativos executados no AWS.
A integração com AWS Health não usa BatchImportFindings. Em vez disso, o AWS Health usa mensagens de eventos de serviço para serviço para enviar descobertas para o CSPM do Security Hub.
Para mais informações sobre a integração, consulte as seções a seguir.
No CSPM do Security Hub, os problemas de segurança são rastreados como descobertas. Algumas descobertas provêm de problemas que são detectados por outros produtos da AWS ou por parceiros terceirizados. O CSPM do Security Hub também tem um conjunto de regras que ele usa para detectar problemas de segurança e gerar descobertas.
O CSPM do Security Hub fornece ferramentas para gerenciar descobertas em todas essas origens. É possível exibir e filtrar listas de descobertas e exibir detalhes de uma descoberta. Consulte Análise de detalhes e históricos de descobertas no CSPM do Security Hub. Também é possível rastrear o status de uma investigação em uma descoberta. Consulte Definição do status do fluxo de trabalho das descobertas no CSPM do Security Hub.
Todas as descobertas no CSPM do Security Hub usam um formato JSON padrão chamado Formato de descoberta de segurança da AWS (ASFF). O ASFF inclui detalhes sobre a origem do problema, os recursos afetados e o status atual da descoberta.
O AWS Health é um dos serviços da AWS que enviam descobertas ao CSPM do Security Hub.
Tipos de descobertas que o AWS Health envia ao CSPM do Security Hub
Depois que a integração é habilitada, o AWS Health enviará as descobertas que atendam a uma ou mais das especificações listadas ao CSPM do Security Hub. O CSPM do Security Hub ingere as descobertas no Formato de descoberta de segurança da AWS (ASFF).
-
Descobertas que contêm algum dos seguintes valores para AWS service (Serviço da AWS):
-
RISK -
ABUSE -
ACM -
CLOUDHSM -
CLOUDTRAIL -
CONFIG -
CONTROLTOWER -
DETECTIVE -
EVENTS -
GUARDDUTY -
IAM -
INSPECTOR -
KMS -
MACIE -
SES -
SECURITYHUB -
SHIELD -
SSO -
COGNITO -
IOTDEVICEDEFENDER -
NETWORKFIREWALL -
ROUTE53 -
WAF -
FIREWALLMANAGER -
SECRETSMANAGER -
BACKUP -
AUDITMANAGER -
ARTIFACT -
CLOUDENDURE -
CODEGURU -
ORGANIZATIONS -
DIRECTORYSERVICE -
RESOURCEMANAGER -
CLOUDWATCH -
DRS -
INSPECTOR2 -
RESILIENCEHUB
-
-
Descobertas com as palavras
security,abuseoucertificateno campotypeCodedo AWS Health -
Descobertas em que o serviço AWS Health é
riskouabuse
Envio de descobertas do AWS Health ao CSPM do Security Hub
Quando você optar por aceitar as descobertas do AWS Health, o CSPM do Security Hub atribuirá automaticamente as permissões necessárias para receber as descobertas do AWS Health. O CSPM do Security Hub usa permissões de nível de serviço para serviço que oferecem uma maneira fácil e segura de ativar essa integração e importar descobertas do AWS Health via Amazon EventBridge em seu nome. Escolher Aceitar descobertas concede ao CSPM do Security Hub permissão para consumir descobertas do AWS Health.
Latência para enviar descobertas
Quando o AWS Health cria uma nova descoberta, ela geralmente é enviada ao CSPM do Security Hub em cinco minutos.
Nova tentativa quando o CSPM do Security Hub não está disponível
O AWS Health envia descobertas para o CSPM do Security Hub com base no melhor esforço por meio do EventBridge. Quando um evento não é entregue com êxito ao CSPM do Security Hub, o EventBridge tenta novamente enviar o evento por 24 horas.
Atualização das descobertas existentes no CSPM do Security Hub
Depois que AWS Health envia uma descoberta ao CSPM do Security Hub, ele pode enviar atualizações para a mesma descoberta ao CSPM do Security Hub para refletir observações adicionais da atividade da descoberta.
Regiões nas quais existem descobertas
Para eventos globais, o AWS Health envia as descobertas para o CSPM do Security Hub em us-east-1 (partição AWS), cn-northwest-1 (partição da China) e gov-us-west-1 (partição GovCloud). O AWS Health envia eventos específicos da região para o CSPM do Security Hub na mesma região ou regiões em que os eventos ocorrem.
Para visualizar suas descobertas do AWS Health no CSPM do Security Hub, escolha Descobertas no painel de navegação. Para filtrar as descobertas para exibir somente as descobertas AWS Health, escolha Saúde no campo Nome do produto.
Interpretação de nomes de descobertas do AWS Health no CSPM do Security Hub
O AWS Health envia as descobertas para o CSPM do Security Hub usando o Formato de descoberta de segurança da AWS (ASFF). A descoberta AWS Health usa um padrão de evento diferente em comparação com o formato ASFF do CSPM do Security Hub. A tabela abaixo detalha todos os tipos de descoberta do AWS Health com seus equivalentes do ASFF conforme aparecem no CSPM do Security Hub.
| Tipo de descoberta de saúde | Tipo de descoberta do ASFF | Valor codificado |
|---|---|---|
| conta | AwsAccountId | |
| detail.startTime | CreatedAt | |
| detail.eventDescription.latestDescription | Descrição | |
| detail.eventTypeCode | GeneratorId | |
| Detail.eventArn (incluindo account) + hash de detail.startTime | Id | |
| "arn:aws:securityhub:<region>::product/aws/health" | ProductArn | |
| account ou resourceID | Resources[i].id | |
| Resources[i].Type | “Outros” | |
| SchemaVersion | "2018-10-08" | |
| Severity.Label | Consulte “Interpretar o rótulo de gravidade” abaixo | |
| “AWS Health -" detail.eventTypeCode | Cargo | |
| - | Tipos | [“Verificações de Software e Configuração”] |
| event.time | UpdatedAt | |
| URL do evento no console de Saúde | SourceUrl |
Interpretar o rótulo de gravidade
O rótulo de gravidade na descoberta do ASFF é determinado usando a seguinte lógica:
-
Gravidade CRÍTICA se:
-
O campo
servicena descoberta AWS Health tiver o valor deRisk -
O campo
typeCodena descoberta AWS Health tiver o valor deAWS_S3_OPEN_ACCESS_BUCKET_NOTIFICATION -
O campo
typeCodena descoberta AWS Health tiver o valor deAWS_SHIELD_INTERNET_TRAFFIC_LIMITATIONS_PLACED_IN_RESPONSE_TO_DDOS_ATTACK -
O campo
typeCodena descoberta AWS Health tiver o valor deAWS_SHIELD_IS_RESPONDING_TO_A_DDOS_ATTACK_AGAINST_YOUR_AWS_RESOURCES
Gravidade ALTA se:
-
O campo
servicena descoberta AWS Health tiver o valor deAbuse -
O campo
typeCodena descoberta AWS Health contiver o valor deSECURITY_NOTIFICATION -
O campo
typeCodena descoberta AWS Health contiver o valor deABUSE_DETECTION
Gravidade MÉDIA se:
-
O campo
servicena descoberta for qualquer um dos seguintes:ACM,ARTIFACT,AUDITMANAGER,BACKUP,CLOUDENDURE,CLOUDHSM,CLOUDTRAIL,CLOUDWATCH,CODEGURGU,COGNITO,CONFIG,CONTROLTOWER,DETECTIVE,DIRECTORYSERVICE,DRS,EVENTS,FIREWALLMANAGER,GUARDDUTY,IAM,INSPECTOR,INSPECTOR2,IOTDEVICEDEFENDER,KMS,MACIE,NETWORKFIREWALL,ORGANIZATIONS,RESILIENCEHUB,RESOURCEMANAGER,ROUTE53,SECURITYHUB,SECRETSMANAGER,SES,SHIELD,SSO, orWAF -
O campo typeCode na descoberta AWS Health contiver o valor de
CERTIFICATE -
O campo typeCode na descoberta AWS Health contiver o valor de
END_OF_SUPPORT
-
Descoberta típica do AWS Health
O AWS Health envia descobertas ao CSPM do Security Hub usando o Formato de descoberta de segurança da AWS (ASFF). O exemplo a seguir é de uma descoberta típica do AWS Health.
nota
Se a descrição tiver mais de 1024 caracteres, ela será truncada para 1024 caracteres e dirá (truncada) ao final.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:health:us-east-1:123456789012:event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96/101F7FBAEFC663977DA09CFF56A29236602834D2D361E6A8CA5140BFB3A69B30", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/health", "GeneratorId": "AWS_SES_CMF_PENDING_TO_SUCCESS", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Checks" ], "CreatedAt": "2022-01-07T16:34:04.000Z", "UpdatedAt": "2022-01-07T19:17:43.000Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "AWS Health - AWS_SES_CMF_PENDING_TO_SUCCESS", "Description": "Congratulations! Amazon SES has successfully detected the MX record required to use 4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com as a custom MAIL FROM domain for verified identity cmf.pinpoint.sysmon-iad.adzel.com in AWS Region US East (N. Virginia).\\n\\nYou can now use this MAIL FROM domain with cmf.pinpoint.sysmon-iad.adzel.com and any other verified identity that is configured to use it. For information about how to configure a verified identity to use a custom MAIL FROM domain, see http://docs.aws.amazon.com/ses/latest/DeveloperGuide/mail-from-set.html .\\n\\nPlease note that this email only applies to AWS Region US East (N. Virginia).", "SourceUrl": "https://phd.aws.amazon.com/phd/home#/event-log?eventID=arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "ProductFields": { "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/health/arn:aws:health:us-east-1::event/SES/AWS_SES_CMF_PENDING_TO_SUCCESS/AWS_SES_CMF_PENDING_TO_SUCCESS_303388638044_33fe2115-8dad-40ce-b533-78e29f49de96", "aws/securityhub/ProductName": "Health", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "Other", "Id": "4557227d-9257-4e49-8d5b-18a99ced4be9.cmf.pinpoint.sysmon-iad.adzel.com" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Software and Configuration Checks" ] } } ] }
Depois de habilitar o CSPM do Security Hub, essa integração será ativada automaticamente. O AWS Health começa imediatamente a enviar descobertas ao CSPM do Security Hub.
Para interromper o envio de descobertas ao CSPM do Security Hub, é possível usar o console ou a API do CSPM do Security Hub.
Para obter instruções para interromper o fluxo de descobertas, consulte Habilitação do fluxo de descobertas de uma integração do CSPM do Security Hub..
AWS Identity and Access Management Access Analyzer (Envia descobertas)
Com o IAM Access Analyzer, todas as descobertas são enviadas ao CSPM do Security Hub.
O IAM Access Analyzer usa raciocínio baseado em lógica para analisar políticas baseadas em recursos aplicadas a recursos compatíveis em sua conta. O IAM Access Analyzer gera uma descoberta quando detecta uma instrução de política que permite que uma entidade principal externa acesse um recurso em sua conta.
No IAM Access Analyzer, apenas a conta do administrador pode ver as descobertas dos analisadores que se aplicam a uma organização. Para analisadores da organização, o campo do ASFF AwsAccountId reflete o ID da conta do administrador. Em ProductFields, o campo ResourceOwnerAccount indica a conta onde a descoberta foi encontrada Se você habilitar analisadores individualmente para cada conta, o CSPM do Security Hub gerará várias descobertas, uma que identifica o ID da conta do administrador e outra que identifica o ID da conta do recurso.
Para obter mais informações, consulte Integração com o CSPM do AWS Security Hub no Guia do usuário do IAM.
Amazon Inspector (envia descobertas)
O Amazon Inspector é um serviço de gerenciamento de vulnerabilidade que verifica continuamente suas worloads AWS em busca de vulnerabilidades. O Amazon Inspector descobre e escaneia automaticamente instâncias do Amazon EC2 e imagens de contêiner que residem no Amazon Elastic Container Registry. O escaneamento busca vulnerabilidades de software e exposição não intencional da rede.
Depois de habilitar o CSPM do Security Hub, essa integração será ativada automaticamente. O Amazon Inspector começa imediatamente a enviar todas as descobertas geradas para o CSPM do Security Hub.
Para obter mais informações sobre a integração, consulte Integração com o CSPM do AWS Security Hub no Guia do usuário do Amazon Inspector.
O CSPM do Security Hub também pode receber descobertas do Amazon Inspector Classic. O Amazon Inspector Classic envia descobertas ao CSPM do Security Hub que são geradas por meio de execuções de avaliações para todos os pacotes de regras com suporte.
Para obter mais informações sobre a integração, consulte Integração com o CSPM do AWS Security Hub no Guia do usuário do Amazon Inspector Classic.
As descobertas do Amazon Inspector e do Amazon Inspector Classic usam o mesmo ARN do produto. As descobertas do Amazon Inspector têm a seguinte entrada em ProductFields:
"aws/inspector/ProductVersion": "2",
nota
As descobertas de segurança geradas por Segurança de Código do Amazon Inspector não estão disponíveis para essa integração. No entanto, você pode acessar essas descobertas específicas no console do Amazon Inspector e por meio da API do Amazon Inspector.
AWS IoT Device Defender (Envia descobertas)
O AWS IoT Device Defender é um serviço de segurança que audita a configuração dos seus dispositivos IoT, monitora dispositivos conectados para detectar comportamentos anormais e ajuda a mitigar riscos de segurança.
Depois de habilitar o AWS IoT Device Defender e o CSPM do Security Hub, acesse a página Integrações do console do CSPM do Security Hub
Auditar AWS IoT Device Defender envia resumos de verificações para o CSPM do Security Hub, que contêm informações gerais para um tipo específico de verificação de auditoria e tarefa de auditoria. AWS IoT Device Defender Detectar envia descobertas de violações de comportamentos de machine learning (ML), estatísticos e comportamentos estáticos para o CSPM do Security Hub. Auditar também envia atualizações de descoberta para o CSPM do Security Hub.
Para obter mais informações sobre a integração, consulte Integração com o CSPM do AWS Security Hub no Guia do desenvolvedor do AWS IoT.
Amazon Macie (envia descobertas)
O Amazon Macie é um serviço de segurança de dados que descobre dados sigilosos usando machine learning e correspondência de padrões, fornece visibilidade dos riscos de segurança de dados e permite proteção automatizada contra esses riscos. Uma descoberta do Macie pode indicar que existe uma possível violação de política ou dados sensíveis em seu patrimônio de dados do Amazon S3.
Depois do CSPM do Security Hub ser habilitado, o Macie começará automaticamente a enviar as descobertas da política para o CSPM do Security Hub. A integração pode ser configurada para também enviar descobertas de dados sensíveis ao CSPM do Security Hub.
No CSPM do Security Hub, o tipo de descoberta de uma política ou de dados sensíveis é alterado para um valor compatível com o ASFF. Por exemplo, o tipo de descoberta Policy:IAMUser/S3BucketPublic no Macie é exibido como Effects/Data Exposure/Policy:IAMUser-S3BucketPublic no CSPM do Security Hub.
O Macie também envia descobertas de amostras geradas pelo CSPM do Security Hub. Para exemplos de descobertas, o nome do recurso afetado é macie-sample-finding-bucket e o valor do campo Sample étrue.
Para obter mais informações, consulte Avaliação das descobertas do Macie com o Security Hub no Guia do usuário do Amazon Macie.
Firewall de DNS do Amazon Route 53 Resolver (envia descobertas)
Com o Firewall de DNS do Amazon Route 53 Resolver, é possível filtrar e regular o tráfego de DNS de saída para a nuvem privada virtual (VPC). Você faz isso criando coleções reutilizáveis de regras de filtragem em grupos de regras do Firewall de DNS, associando os grupos de regras à sua VPC e, em seguida, monitorando a atividade em logs e métricas do Firewall de DNS. Com base na atividade, é possível ajustar o comportamento do Firewall de DNS. O Firewall de DNS é um atributo do Route 53 Resolver.
O firewall de DNS do Route 53 Resolver pode enviar vários tipos de descobertas para o CSPM do Security Hub:
-
Descobertas relacionadas a consultas bloqueadas ou com alertas para domínios associados às Listas de domínios gerenciados da AWS, que são listas de domínios que a AWS gerencia.
-
Descobertas relacionadas a consultas bloqueadas ou com alertas para domínios associados a uma lista de domínios personalizada que você define.
-
Descobertas relacionadas a consultas bloqueadas ou com alertas pelo firewall de DNS avançado, que é um atributo do Route 53 Resolver que pode detectar consultas associadas a ameaças avançadas de DNS, como algoritmos de geração de domínio (DGAs) e tunelamento de DNS.
Depois de habilitar o CSPM do Security Hub e o firewall de DNS do Route 53 Resolver, o firewall de DNS começará automaticamente a enviar as descobertas de Listas de domínios gerenciados da AWS e do firewall de DNS avançado para o CSPM do Security Hub. Para também enviar descobertas de uma lista de domínios personalizada ao CSPM do Security Hub, habilite manualmente a integração no CSPM do Security Hub.
No CSPM do Security Hub, todas as descobertas do firewall de DNS do Route 53 Resolver têm o tipo a seguir: TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation.
Para obter mais informações, consulte Envio de descobertas do firewall de DNS do Route 53 Resolver ao Security Hub no Guia do desenvolvedor do Amazon Route 53.
Patcjh Manager do AWS Systems Manager (envia descobertas)
O Gerenciador de Patches do AWS Systems Manager envia as descobertas ao CSPM do Security Hub quando as instâncias da frota de um cliente não estão em conformidade com seu padrão de conformidade de patches.
O Patch Manager automatiza o processo de instâncias de patch gerenciadas com atualizações relacionadas à segurança e outros tipos de atualizações.
Depois de habilitar o CSPM do Security Hub, essa integração será ativada automaticamente. O Gerenciador de Patches do Systems Manager começa imediatamente a enviar descobertas ao CSPM do Security Hub.
Para obter mais informações sobre como usar o Patch Manager, consulte Patch Manager do AWS Systems Manager no AWS Systems Manager Guia do usuário.
Serviços da AWS que recebem descobertas do CSPM do Security Hub
Os serviços da AWS a seguir se integram ao CSPM do Security Hub e recebem descobertas do CSPM do Security Hub. Onde observado, o serviço integrado também pode atualizar as descobertas. Nesse caso, as atualizações de descoberta feitas no serviço integrado também serão refletidas no CSPM do Security Hub.
AWS Audit Manager (Recebe descobertas)
O AWS Audit Manager recebe as descobertas do CSPM do Security Hub. Essas descobertas ajudam os usuários do Audit Manager a se preparar para as auditorias.
Para saber mais sobre o Audit Manager, consulte o Guia do usuário do Audit Manager do AWS. AWS As Verificações do CSPM do Security Hub com suporte no AWS Audit Manager listam os controles para os quais o CSPM do Security Hub envia as descobertas ao Audit Manager.
Amazon Q Developer em aplicações de chat (recebe descobertas)
O Amazon Q Developer em aplicações de chat é um agente interativo que ajuda você a monitorar e interagir com seus recursos da AWS nos canais do Slack e nas salas de bate-papo do Amazon Chime.
Amazon Q Developer em aplicações de chat recebe descobertas do CSPM do Security Hub.
Para saber mais sobre a integração do Amazon Q Developer em aplicações de chat com o CSPM do Security Hub, consulte a visão geral da integração do CSPM do Security Hub no Guia do administrador do Amazon Q Developer em aplicações de chat.
Amazon Detective (recebe descobertas)
O Detective coleta automaticamente dados de log de seus recursos AWS e usa machine learning, análise estatística e teoria de gráficos para ajudar você a visualizar e conduzir investigações de segurança mais rápidas e eficientes.
A integração do CSPM do Security Hub com o Detective permite que você passe das descobertas do Amazon GuardDuty no CSPM do Security Hub para o Detective. É possível então usar as ferramentas e visualizações do Detective para investigá-las. A integração não requer nenhuma configuração adicional no CSPM do Security Hub ou no Detective.
Para descobertas recebidas de outros Serviços da AWS, o painel de detalhes da descoberta no console do CSPM do Security Hub inclui uma subseção Investigar no Detective. Essa subseção contém um link para o Detective, onde você pode investigar mais detalhadamente o problema de segurança que a descoberta sinalizou. Também é possível criar um gráfico de comportamento no Detective com base nas descobertas do CSPM do Security Hub para conduzir investigações mais eficazes. Para obter mais informações, consulte descobertas de segurança do AWS no Guia de administração do Amazon Detective.
Se a agregação entre regiões for ativada, quando você sair da região de agregação, o Detective será aberto na região inicial da descoberta.
Se um link não funcionar, para obter orientações de solução de problemas, consulte Solução de problemas de alternância.
Amazon Security Lake (recebe descobertas)
O Security Lake é um serviço de data lake de segurança totalmente gerenciado. O Security Lake pode ser usado para centralizar automaticamente dados de segurança da nuvem, on-premises e fontes personalizadas em um data lake armazenado em sua conta. Os assinantes podem consumir dados do Security Lake para casos de uso investigativos e analíticos.
Para ativar essa integração, é necessário habilitar ambos os serviços e adicionar o CSPM do Security Hub como fonte no console do Security Lake, na API do Security Lake ou na AWS CLI. Depois de executar essas etapas, o CSPM do Security Hub começará a enviar todas as descobertas para o Security Lake.
O Security Lake normaliza automaticamente as descobertas do CSPM do Security Hub e as converte em um esquema padronizado de código aberto chamado Open Cybersecurity Schema Framework (OCSF). No Security Lake, é possível adicionar um ou mais assinantes para consumir as descobertas do CSPM do Security Hub.
Para obter mais informações sobre essa integração, incluindo instruções sobre como adicionar o CSPM do Security Hub como origem e criar assinantes, consulte Integração com o CSPM do AWS Security Hub no Guia do usuário do Amazon Security Lake.
AWS Systems Manager Explorer e OpsCenter (recebem e atualiza as descobertas)
O AWS Systems Manager Explorer e o OpsCenter recebem descobertas do CSPM do Security Hub e atualizam essas descobertas no CSPM do Security Hub.
O Explorer traz um painel personalizável, fornecendo informações e análises importantes sobre a integridade operacional e a performance do seu ambiente AWS.
O OpsCenter fornece um local central para visualizar, investigar e solucionar itens de trabalho operacional.
Para obter mais informações sobre o Explorer e o OpsCenter, consulte Gerenciamento de operações no AWS Systems Manager Guia do usuário.
AWS Trusted Advisor (Recebe descobertas)
O Trusted Advisor conta com as práticas recomendadas aprendidas com o atendimento a centenas de milhões de clientes da AWS. O Trusted Advisor inspeciona seu ambiente da AWS e faz recomendações quando há oportunidades para economizar dinheiro, melhorar a performance e a disponibilidade do sistema e ajuda a corrigir falhas de segurança.
Quando você habilita tanto o Trusted Advisor quanto o Security Hub, a integração é atualizada automaticamente.
O CSPM do Security Hub envia os resultados de suas verificações de Práticas Recomendadas de Segurança Básica da AWS para o Trusted Advisor.
Para obter mais informações sobre a integração do CSPM do Security Hub com o Trusted Advisor, consulte Visualização dos controles do CSPM do AWS Security Hub no AWS Trusted Advisor no Guia de suporte ao usuário do AWS.
