Ich möchte den AWS Security Hub verwenden, um Sicherheitsprobleme in meiner AWS-Umgebung zu überwachen.
Kurzbeschreibung
Security Hub bietet Ihnen einen detaillierten Überblick über Ihren Sicherheitsstatus und hilft dabei, Ihre Umgebung anhand von Sicherheitsstandards und bewährter Methoden zu überprüfen.
Zu den Vorteilen von Security Hub gehören:
- Reduzierter Aufwand für das Sammeln und Priorisieren von Ergebnissen
- Automatische Sicherheitsüberprüfungen anhand von bewährten Methoden und Standards
- Konsolidierte Ansicht der Ergebnisse über Konten und Anbieter hinweg
- Fähigkeit, die Behebung von Ergebnissen zu automatisieren
- Unterstützt die Integration mit Amazon EventBridge.
Weitere Informationen finden Sie unter
Vorteile von AWS Security Hub.
Lösung
Um die Behebung bestimmter Ergebnisse zu automatisieren, können Sie benutzerdefinierte Aktionen definieren, die beim Empfang eines Ergebnisses ausgeführt werden.
Folgen Sie diesen Anweisungen, um eine benutzerdefinierte Aktion zu erstellen, eine EventBridge-Regel zu definieren und Ergebnisse zu senden.
Erstellen Sie eine benutzerdefinierte Aktion
Starten Sie den Konfigurationsrekorder in AWS Config, falls Sie dies noch nicht getan haben.
1. Öffnen Sie die Security Hub-Konsole, wählen Sie Einstellungen und anschließend Benutzerdefinierte Aktionen aus.
2. Wählen Sie Benutzerdefinierte Aktion erstellen.
- Geben Sie einen Aktionsnamen und eine Beschreibung ein.
4. Geben Sie für Benutzerdefinierte Aktions-ID eine eindeutige ID ein, und wählen Sie dann Benutzerdefinierte Aktion erstellen aus.
5. Notieren Sie sich im ARN für benutzerdefinierte Aktionen den ARN.
Definieren Sie eine Regel in EventBridge
Erstellen Sie ein Amazon Simple Notification Service (Amazon SNS)-Thema, falls Sie dies noch nicht getan haben.
1. Öffnen Sie die EventBridge-Konsole in derselben AWS-Region wie Security Hub, erweitern Sie Ereignisse und wählen Sie dann Regeln aus.
2. Wählen Sie Regel erstellen aus.
3. Geben Sie einen Regelnamen und eine Beschreibung ein.
4. Wählen Sie im Dropdown-Menü Ereignisbus entweder den Standard- oder den benutzerdefinierten Bus aus.
5. Stellen Sie sicher, dass der Schalter Regel auf dem ausgewählten Ereignisbus aktivieren aktiviert ist.
6. Wählen Sie für Regeltyp die Option Regel mit Ereignismuster aus, und wählen Sie dann Weiter.
7. Wählen Sie als Ereignisquelle AWS-Ereignisse oder EventBridge-Partnerereignisse aus.
8. Wählen Sie unter Ereignismuster Folgendes aus:
Wählen Sie als Ereignisquelle AWS-Services aus.
Wählen Sie als AWS-Service Security Hub aus.
Wählen Sie als Ereignistyp Security-Hub-Ergebnisse – Benutzerdefinierte Aktion aus, und wählen Sie ARN(s) für spezifische benutzerdefinierte Aktionen aus, und klicken Sie dann auf Weiter.
9. Wählen Sie das Dropdown-Menü Ein Ziel auswählen aus, wählen Sie Ihren Zieltyp aus, wählen Sie Weiter, Weiter und dann Regel erstellen aus.
Weitere Informationen finden Sie unter Amazon EventBridge-Ereignismuster.
Ergebnisse an EventBridge senden
1. Öffnen Sie die Security Hub-Konsole und wählen Sie dann Ergebnisse aus.
2. Folgen Sie den Anweisungen, um Ergebnisse an EventBridge zu senden.
Hinweis:
- Sie können bis zu 50 benutzerdefinierte Aktionen erstellen.
- Wenn Sie eine regionsübergreifende Aggregation erstellt haben und die Suche aus der Aggregationsregion verwalten, erstellen Sie benutzerdefinierte Aktionen in dieser Region.
Weitere Informationen finden Sie unter Ergebnisse im AWS Security Hub.
Relevante Informationen
Funktionsprinzip von Security Hub
AWS Security Hub-Endpunkte und Kontingente