Habilitación del flujo de resultados desde una integración del CSPM de Security Hub - AWS Security Hub

Habilitación del flujo de resultados desde una integración del CSPM de Security Hub

En la página Integraciones de la consola del CSPM de AWS Security Hub, puede ver los pasos necesarios para habilitar cada integración.

Para la mayoría de las integraciones con otros Servicios de AWS, el único paso requerido para habilitar la integración es habilitar el otro servicio. La información de integración incluye un enlace a la página principal del otro servicio. Cuando habilita el otro servicio, se crea y aplica automáticamente un permiso a nivel de recurso que permite al CSPM de Security Hub recibir resultados desde ese servicio.

Para las integraciones de productos de terceros, es posible que tenga que comprar la integración en AWS Marketplace y, a continuación, configurar la integración. La información de integración proporciona enlaces para completar estas tareas.

Si hay más de una versión de un producto disponible en AWS Marketplace, seleccione la versión a la que desee suscribirse y, a continuación, elija Continuar con la suscripción. Por ejemplo, algunos productos ofrecen una versión estándar y una versión AWS GovCloud (US).

Cuando se habilita una integración de productos, se asocia automáticamente una política de recursos a la suscripción del producto. Esta política de recursos define los permisos que el CSPM de Security Hub necesita para recibir resultados de ese producto.

Una vez que haya completado los pasos preliminares para habilitar una integración, puede deshabilitar y volver a habilitar el flujo de resultados desde esa integración. En la página Integraciones, para las integraciones que envíen resultados, el campo Estado indica si está actualmente aceptando resultados.

Security Hub CSPM console
Para deshabilitar y habilitar el flujo de resultados desde una integración (consola)

  1. Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación del CSPM de Security Hub, seleccione Integraciones.

  3. En el caso de las integraciones que envían resultados, la información de Estado indica si el CSPM de Security Hub actualmente acepta resultados a partir de esa integración.

  4. Seleccione Aceptar los resultados.

Security Hub CSPM API

Utilice la operación EnableImportFindingsForProduct. Si utiliza la AWS CLI, ejecute el comando enable-import-findings-for-product. Para permitir que Security Hub reciba resultados desde una integración, necesita el ARN del producto. Para obtener los ARN de las integraciones disponibles, utilice la operación DescribeProducts. Si utiliza la AWS CLI, ejecute describe-products.

Por ejemplo, el siguiente comando de la AWS CLI habilita al CSPM de Security Hub para recibir resultados de la integración con CrowdStrike Falcon. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub enable-import-findings-for product --product-arn "arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"