Visualización de las conclusiones de Amazon Inspector en AWS Security HubActivación y configuración de la integraciónDetener la publicación de los hallazgos en AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Integración de Amazon Inspector con AWS Security Hub

AWS Security Hub proporciona una visión completa del estado de su seguridad AWS y le ayuda a comprobar su entorno según los estándares y las mejores prácticas del sector de la seguridad. Security Hub recopila datos de seguridad de AWS cuentas, servicios y productos compatibles. Puede utilizar la información que proporciona Security Hub para analizar sus tendencias de seguridad e identificar los problemas de seguridad más prioritarios. Al activar la integración, puede enviar las conclusiones de Amazon Inspector a Security Hub, y Security Hub puede incluir estas conclusiones en su análisis de su postura de seguridad.

Security Hub rastrea los problemas de seguridad como resultados. Algunos de estos hallazgos pueden deberse a problemas detectados por otros AWS servicios o productos de terceros. Security Hub utiliza un conjunto de reglas para detectar problemas de seguridad y generar conclusiones. Security Hub proporciona herramientas que le ayudan a gestionar los hallazgos. Puede ver y filtrar las listas de hallazgos y ver los detalles de los hallazgos, así como realizar un seguimiento del estado de la investigación sobre un hallazgo.

Los resultados de Security Hub utilizan un formato JSON estándar denominado AWS Security Finding Format (ASFF). El ASFF incluye detalles sobre el origen del problema, los recursos afectados y el estado actual de los hallazgos.

Security Hub archiva las conclusiones de Amazon Inspector una vez archivadas en Amazon Inspector.

Visualización de los resultados de Amazon Inspector en AWS Security Hub

Los resultados de Amazon Inspector Classic y de la nueva versión de Amazon Inspector están disponibles en el mismo panel de Security Hub. Ahora bien, si desea filtrar los resultados de la nueva versión de Amazon Inspector, añada "aws/inspector/ProductVersion": "2" a la barra de filtros. Al añadir este filtro, se excluyen los resultados de Amazon Inspector Classic del panel de Security Hub.

Ejemplo de resultado de Amazon Inspector

{
  "SchemaVersion": "2018-10-08",
  "Id": "arn:aws:inspector2:us-east-1:123456789012:finding/FINDING_ID",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/inspector",
  "ProductName": "Inspector",
  "CompanyName": "Amazon",
  "Region": "us-east-1",
  "GeneratorId": "AWSInspector",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Checks/Vulnerabilities/CVE"
  ],
  "FirstObservedAt": "2023-01-31T20:25:38Z",
  "LastObservedAt": "2023-05-04T18:18:43Z",
  "CreatedAt": "2023-01-31T20:25:38Z",
  "UpdatedAt": "2023-05-04T18:18:43Z",
  "Severity": {
    "Label": "HIGH",
    "Normalized": 70
  },
  "Title": "CVE-2022-34918 - kernel",
  "Description": "An issue was discovered in the Linux kernel through 5.18.9. A type confusion bug in nft_set_elem_init (leading to a buffer overflow) could be used by a local attacker to escalate privileges, a different vulnerability than CVE-2022-32250. (The attacker can obtain root access, but must start with an unprivileged user namespace to obtain CAP_NET_ADMIN access.) This can be fixed in nft_setelem_parse_data in net/netfilter/nf_tables_api.c.",
  "Remediation": {
    "Recommendation": {
      "Text": "Remediation is available. Please refer to the Fixed version in the vulnerability details section above. For detailed remediation guidance for each of the affected packages, refer to the vulnerabilities section of the detailed finding JSON."
    }
  },
  "ProductFields": {
    "aws/inspector/FindingStatus": "ACTIVE",
    "aws/inspector/inspectorScore": "7.8",
    "aws/inspector/resources/1/resourceDetails/awsEc2InstanceDetails/platform": "AMAZON_LINUX_2",
    "aws/inspector/ProductVersion": "2",
    "aws/inspector/instanceId": "i-0f1ed287081bdf0fb",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/inspector/arn:aws:inspector2:us-east-1:123456789012:finding/FINDING_ID",
    "aws/securityhub/ProductName": "Inspector",
    "aws/securityhub/CompanyName": "Amazon"
  },
  "Resources": [
    {
      "Type": "AwsEc2Instance",
      "Id": "arn:aws:ec2:us-east-1:123456789012:i-0f1ed287081bdf0fb",
      "Partition": "aws",
      "Region": "us-east-1",
      "Tags": {
        "Patch Group": "SSM",
        "Name": "High-SEv-Test"
      },
      "Details": {
        "AwsEc2Instance": {
          "Type": "t2.micro",
          "ImageId": "ami-0cff7528ff583bf9a",
          "IpV4Addresses": [
            "52.87.229.97",
            "172.31.57.162"
          ],
          "KeyName": "ACloudGuru",
          "IamInstanceProfileArn": "arn:aws:iam::123456789012:instance-profile/AmazonSSMRoleForInstancesQuickSetup",
          "VpcId": "vpc-a0c2d7c7",
          "SubnetId": "subnet-9c934cb1",
          "LaunchedAt": "2022-07-26T21:49:46Z"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "Vulnerabilities": [
    {
      "Id": "CVE-2022-34918",
      "VulnerablePackages": [
        {
          "Name": "kernel",
          "Version": "5.10.118",
          "Epoch": "0",
          "Release": "111.515.amzn2",
          "Architecture": "X86_64",
          "PackageManager": "OS",
          "FixedInVersion": "0:5.10.130-118.517.amzn2",
          "Remediation": "yum update kernel"
        }
      ],
      "Cvss": [
        {
          "Version": "2.0",
          "BaseScore": 7.2,
          "BaseVector": "AV:L/AC:L/Au:N/C:C/I:C/A:C",
          "Source": "NVD"
        },
        {
          "Version": "3.1",
          "BaseScore": 7.8,
          "BaseVector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H",
          "Source": "NVD"
        },
        {
          "Version": "3.1",
          "BaseScore": 7.8,
          "BaseVector": "CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H",
          "Source": "NVD",
          "Adjustments": []
        }
      ],
      "Vendor": {
        "Name": "NVD",
        "Url": "https://nvd.nist.gov/vuln/detail/CVE-2022-34918",
        "VendorSeverity": "HIGH",
        "VendorCreatedAt": "2022-07-04T21:15:00Z",
        "VendorUpdatedAt": "2022-10-26T17:05:00Z"
      },
      "ReferenceUrls": [
        "https://git.kernel.org/pub/scm/linux/kernel/git/netdev/net.git/commit/?id=7e6bc1f6cabcd30aba0b11219d8e01b952eacbb6",
        "https://lore.kernel.org/netfilter-devel/cd9428b6-7ffb-dd22-d949-d86f4869f452@randorisec.fr/T/",
        "https://www.debian.org/security/2022/dsa-5191"
      ],
      "FixAvailable": "YES"
    }
  ],
  "FindingProviderFields": {
    "Severity": {
      "Label": "HIGH"
    },
    "Types": [
      "Software and Configuration Checks/Vulnerabilities/CVE"
    ]
  },
  "ProcessedAt": "2023-05-05T20:28:38.822Z"
}

Activación y configuración de la integración

Para utilizar la integración de Amazon Inspector con AWS Security Hub, debes activar Security Hub. Para obtener información sobre cómo activar Security Hub, consulte Configuración de Security Hub en la Guía del usuario de AWS Security Hub .

Una vez Amazon Inspector y Security Hub estén activados, la integración se activa automáticamente y Amazon Inspector comienza a enviar los resultados a Security Hub. Amazon Inspector envía todos los resultados que genera a Security Hub en formato AWS Security Finding Format (ASFF).

Impedir la publicación de los resultados a AWS Security Hub

Cómo dejar de enviar resultados

Para dejar de enviar resultados a Security Hub, puede usar la consola de Security Hub o la API.

Consulte Desactivación y activación del flujo de resultados desde una integración (consola) o Desactivación del flujo de resultados desde una integración (API de Security Hub, AWS CLI) en la Guía del usuario de AWS Security Hub .