Integración del CSPM de Security Hub con productos personalizados - AWS Security Hub
Requisitos y recomendaciones para las integraciones de productos personalizadosActualización de los resultados de los productos personalizadosIntegraciones personalizadas de ejemplo

Integración del CSPM de Security Hub con productos personalizados

Además de los resultados generados por los servicios integrados de AWS y por productos de terceros, el CSPM de AWS Security Hub puede consumir resultados generados por otros productos de seguridad personalizados.

Puede enviar estos resultados al CSPM de Security Hub mediante la operación BatchImportFindings de la API del CSPM de Security Hub. Puede usar la misma operación para actualizar resultados provenientes de productos personalizados que ya envió al CSPM de Security Hub.

Al configurar la integración personalizada, utilice las directrices y listas de verificación incluidas en la Guía de integración para socios del CSPM de Security Hub.

Requisitos y recomendaciones para las integraciones de productos personalizados

Antes de poder invocar correctamente la operación de la API BatchImportFindings, debe habilitar el CSPM de Security Hub.

También debe proporcionar detalles sobre los resultados del producto personalizado con el Formato de resultados de seguridad de AWS (ASFF). Revise los siguientes requisitos y recomendaciones para las integraciones de productos personalizados:

Configuración del ARN del producto

Cuando habilita el CSPM de Security Hub, se genera un nombre de recurso de Amazon (ARN) predeterminado para el CSPM de Security Hub en la cuenta actual.

Este ARN del producto tiene el siguiente formato: arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default. Por ejemplo, arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default.

Utilice este ARN del producto como el valor para el atributo ProductArn al invocar la operación de la API BatchImportFindings.

Configuración de los nombres de la empresa y los productos

Puede usar BatchImportFindings para establecer un nombre de empresa preferido y un nombre de producto preferido para la integración personalizada que envía resultados al CSPM de Security Hub.

Los nombres que especifique reemplazan el nombre de empresa y el nombre de producto preconfigurados, denominados nombre personal y nombre predeterminado, respectivamente; y aparecen en la consola del CSPM de Security Hub y en el JSON de cada resultado. Consulte BatchImportFindings para proveedores de resultados.

Configuración de los ID de resultados

Debe proporcionar, administrar e incrementar sus propios ID de resultados, utilizando el atributo Id.

Cada nuevo resultado debería tener un ID de resultado único. Si el producto personalizado envía varios resultados con el mismo ID de resultado, el CSPM de Security Hub procesa únicamente el primer resultado.

Establecer el ID de cuenta

Debe especificar su propio ID de cuenta, utilizando el atributo AwsAccountId.

Establecer las fechas creadas en y actualizadas en las fechas

Debe proporcionar sus propias marcas de tiempo para los atributos CreatedAt y UpdatedAt.

Actualización de los resultados de los productos personalizados

Además de enviar los nuevos resultados de los productos personalizados, también puede utilizar la operación de la API BatchImportFindings para actualizar los resultados existentes de los productos personalizados.

Para actualizar los resultados existentes, utilice el ID del resultado existente (a través del atributo Id). Vuelva a enviar el resultado completo con la información adecuada actualizada en la solicitud, incluida una marca de tiempo UpdatedAt modificada.

Integraciones personalizadas de ejemplo

Puede utilizar los siguientes ejemplos de integraciones de productos personalizados como guía para crear su propia solución personalizada:

Envío de resultados provenientes de análisis de Chef InSpec al CSPM de Security Hub

Puede crear una plantilla de CloudFormation que ejecuta un análisis de cumplimiento de Chef InSpec y luego envía los resultados al CSPM de Security Hub.

Para obtener más detalles, consulte Supervisión continua de cumplimiento con Chef InSpec y AWS en el CSPM de Security Hub.

Envío al CSPM de Security Hub de vulnerabilidades en contenedores detectadas por Trivy

Puede crear una plantilla de CloudFormation que usa AquaSecurity Trivy para analizar contenedores en busca de vulnerabilidades y luego envía esos resultados de vulnerabilidades al CSPM de Security Hub.

Para obtener más detalles, consulte Cómo crear una canalización CI/CD para el análisis de vulnerabilidades en contenedores con Trivy y AWS en el CSPM de Security Hub.