我想使用 AWS Security Hub 监控我的 AWS 环境中的安全问题。
简短描述
Security Hub 为您提供了安全状况的详细视图,并有助于根据安全标准和最佳实践检查您的环境。
Security Hub 的优势包括:
- 减少了收集调查结果并确定其优先级的工作量
- 根据最佳实践和标准自动进行安全检查
- 跨账户和提供商调查结果的统一视图
- 能够自动修复调查结果
- 支持与 Amazon EventBridge 集成。
有关更多信息,请参阅
AWS Security Hub 的益处。
解决方法
要自动修复特定调查结果,您可以定义在收到调查结果时要执行的自定义操作。
按照以下说明创建自定义操作、定义 EventBridge 规则并发送调查结果。
创建自定义操作
如果您尚未执行此操作,请在 AWS Config 中启动配置记录器。
1. 打开 Security Hub 控制台,然后依次选择 Settings(设置)和 Custom actions(自定义操作)。
2. 选择 Create custom action(创建自定义操作)。
3. 输入 Action name(操作名称)和 Description(描述)。
4. 对于 Custom action ID(自定义操作 ID),输入唯一的 ID,然后选择 Create custom action(创建自定义操作)。
5. 在 Custom action ARN(自定义操作 ARN)中,记下 ARN。
在 EventBridge 中定义规则
如果您尚未执行此操作,请创建一个 Amazon Simple Notification Service(Amazon SNS)主题。
1. 在与 Security Hub 相同的 AWS 区域中打开 EventBridge 控制台,展开 Events(事件),然后选择 Rules(规则)。
2. 选择创建规则。
3. 输入 Rule name(规则名称)和 Description(描述)。
4. 从 Event bus(事件总线)下拉菜单中,选择 default(默认)或 custom(自定义)总线。
5. 确保打开 Enable the rule on the selected event bus(在选定事件总线上启用规则)开关。
6. 对于 Rule type(规则类型),选择 Rule with an event pattern(包含事件模式的规则),然后选择 Next(下一步)。
7. 对于 Event source(事件源),选择 AWS 事件或 EventBridge 合作伙伴事件。
8. 在 Event pattern(事件模式)中,选择以下内容:
对于 Event source(事件源),选择 AWS 服务。
对于 AWS 服务,选择 Security Hub。
对于 Event type(事件类型),依次选择 Security Hub Findings - Custom Action(Security Hub 调查结果 - 自定义操作)、Specific custom action ARN(s)(特定自定义操作 ARN)和 Next(下一步)。
9. 选择 Select a target(选择目标)下拉菜单,选择您的目标类型,然后依次选择 Next(下一步)、 Next(下一步)、Create rule(创建规则)。
有关更多信息,请参阅 Amazon EventBridge 事件模式。
将调查结果发送到 EventBridge
1. 打开 Security Hub 控制台,然后选择 Findings(调查结果)。
2. 按照说明将调查结果发送到 EventBridge。
注意:
- 您最多可以创建 50 个自定义操作。
- 如果您创建了跨区域聚合并管理来自聚合区域的调查结果,请在该区域中创建自定义操作。
有关更多信息,请参阅 AWS Security Hub 中的调查结果。
相关信息
Security Hub 的工作原理
AWS Security Hub 终端节点和配额