将 Security Hub CSPM 与自定义产品集成
除了由集成的 AWS 服务和第三方产品生成的调查发现以外,AWS Security Hub CSPM 还可以使用由其他自定义安全产品生成的调查发现。
您可以使用 Security Hub CSPM API 的 BatchImportFindings 操作将这些调查发现发送到 Security Hub CSPM。您可以使用相同的操作来更新自定义产品中已发送到 Security Hub CSPM 的调查发现。
设置自定义集成时,请使用《Security Hub CSPM 合作伙伴集成指南》中提供的指南和清单。
自定义产品集成的要求和建议
在成功调用 BatchImportFindings API 操作之前,您必须启用 Security Hub CSPM。
您还必须使用 AWS安全调查发现格式 (ASFF) 提供自定义产品的调查发现详细信息。查看自定义产品集成的以下要求和建议:
- 设置产品 ARN
-
启用 Security Hub CSPM 时,会在当前账户中为 Security Hub CSPM 生成默认产品 Amazon 资源名称 (ARN)。
该产品 ARN 具有以下格式:
arn:aws:securityhub:。例如<region>:<account-id>:product/<account-id>/defaultarn:aws:securityhub:us-west-2:123456789012:product/123456789012/default。调用
BatchImportFindingsAPI 操作时,请使用此产品 ARN 作为ProductArn属性的值。 - 设置公司名称和产品名称
-
您可以使用
BatchImportFindings为将调查发现发送到 Security Hub CSPM 的自定义集成设置首选公司名称和产品名称。您指定的名称将替换预先配置的公司名称和产品名称(分别称为个人名称和默认名称),并显示在 Security Hub CSPM 控制台和每个调查发现的 JSON 中。请参阅面向调查发现提供者的 BatchImportFindings。
- 设置结果 ID
-
您必须使用
Id属性提供、管理和增加您自己的结果 ID。每个新调查发现应具有唯一的调查发现 ID。如果自定义产品发送了多个具有相同调查发现 ID 的调查发现,则 Security Hub CSPM 仅会处理第一个调查发现。
- 设置账户 ID
-
您必须使用
AwsAccountId属性指定您自己的账户 ID。 - 设置创建日期和更新日期
更新来自自定义产品的结果
除了从自定义产品发送新结果以外,您还可以使用 BatchImportFindings API 操作更新来自自定义产品的现有结果。
要更新现有结果,请使用现有结果 ID(通过 Id 属性)。使用请求中更新的相应信息(包括修改后的 UpdatedAt 时间戳)重新发送完整的结果。
示例自定义集成
您可以使用以下示例自定义产品集成作为指南来创建您自己的自定义解决方案:
- 将 Chef InSpec 扫描的调查发现发送到 Security Hub CSPM
-
您可以创建一个 CloudFormation 模板来运行 Chef InSpec 合规性扫描,然后将调查发现发送到 Security Hub CSPM。
有关更多详细信息,请参阅 Continuous compliance monitoring with Chef InSpec and AWS Security Hub CSPM
。 - 将 Trivy 检测到的容器漏洞发送到 Security Hub CSPM
-
您可以创建一个使用 AquaSecurity Trivy 扫描容器是否存在漏洞的 CloudFormation 模板,然后将这些漏洞调查发现发送到 Security Hub CSPM。
有关更多详细信息,请参阅 How to build a CI/CD pipeline for container vulnerability scanning with Trivy andAWS Security Hub CSPM
。
