AWS安全枢纽

AWS安全枢纽是您在与AWS一起使用的各种服务中查看安全状态的中心位置。InsightConnect AWS Security Hub插件允许您摄取AWS调查结果数据并更好地监控AWS安全功能和状态。

要在InsightConnect中使用AWS Security Hub插件,您必须在AWS控制台中设置依赖项,然后在InsightConnect中配置触发器或操作。设置每个项目确保AWS数据从AWS到InsightConnect的每个部分正确传递。

在AWS控制台中设置安全集线器依赖项

要通过AWS安全中心向InsightConnect发送数据,您需要在AWS控制台中完成以下任务:

  1. 启用AWS安全中心
  2. 配置AWS标识和访问管理服务链接角色
  3. 在AWS安全集线器中创建自定义操作
  4. 创建一个AWS云信息堆栈
  5. 在AWS控制台中找到您的SQS URL

启用AWS安全中心

AWS安全中心是AWS预览功能。在AWS中配置其他部件之前,您需要启用它。

为您的AWS帐户启用安全集线器:

  1. 登录Web浏览器中的AWS控制台。
  2. 点击服务左上角的按钮打开AWS服务的菜单。
  3. 开始在搜索栏中键入“安全性”或查找“安全性、标识和法规遵从性”类别。选择安全枢纽选项。
  4. 找到提供免费试用Security Hub选项的卡。单击提供的链接。
  5. 出现提示时,请查看AWS安全集线器的服务权限。权限需要设置为“允许”。
  6. 点击启用AWS安全中心右下角的按钮。

有关启用AWS安全中心的更多帮助,请访问AWS文档:https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html#securityHub-Enable.

配置AWS标识和访问管理服务链接角色

启用安全集线器后,您可以在将正确的数据发送到InsightConnect之前,开始配置需要彼此通信的AWS的不同部分。首先在AWS身份和访问管理(IAM)中创建新角色。

要配置AWS IAM服务链接角色:

  1. 从AWS控制台导航到IAM服务。它位于“安全,身份和合规性”类别下。
  2. 点击用户选项卡在左侧导航面板中,然后单击添加用户左上角的按钮。
  3. 输入用户的名称,然后选择“程序化访问”AWS访问类型。点击蓝色下一步:权限按钮在页面的右下角。
  4. 从出现的权限设置选项中,单击直接附加现有保单卡片
  5. 如果您已经为AWS简单队列服务(SQS)有现有的策略设置,请选择它。如果您没有,请创建新的策略这些说明
  6. 点击下一篇:标签在右下方。您可以将标记字段留空或添加标签作为最适合您的组织,然后单击下一篇:评论
  7. 点击创建用户添加AWS IAM角色。

访问密钥ID和秘密访问密钥将为您的新用户填充。将这些键保存到密码管理器或您可以检索它们的某个位置。在InsightConnect中配置插件时,您将需要它们。

为AWS SQS创建一个新策略

您必须为AWS IAM角色为AWS SQS进行策略集。如果您已没有,请按照以下步骤创建一个新的步骤,然后继续执行指令的步骤6,以配置AWS IAM服务链接角色。

要创建新策略:

  1. 点击创建政策前三个权限选项下的按钮。2..在“服务”设置下,搜索并选择SQS.
  2. 在“操作”设置下,选中“框”,然后扩展选项,并选中复选框以获取*deletemessage。
  3. 关闭“操作”设置下拉列表并查看这些设置。您应该有五个“读取”设置和一个“写入”设置。
  4. 在“资源”设置下,选中队列设置的“任意”框。然后单击审查政策在右下方。
  5. 为策略指定名称和简要说明,然后单击创建政策在右下方。7.返回AWS IAM管理控制台并选择此新策略。

在AWS安全集线器中创建自定义操作

当工作流调用Security Hub插件时,Security Hub自定义操作将在AWS中执行流程。您需要将CloudFormation堆栈链接到自定义操作,因此首先创建自定义操作到自定义操作的ARN。

要创建自定义操作:

  1. 转到AWS控制台设置,然后单击自定义操作标签。
  2. 点击创建自定义操作右上角的按钮。
  3. 在出现的“配置”面板中,为Action.Click提供名称,描述和自定义操作ID好的当你完成的时候。
  4. 复制“自定义操作ARN”以获取新自定义操作。创建AWS CloudFormation Stack时,您将需要它。

创建一个AWS云信息堆栈

创建自定义操作后,您需要根据我们提供的模板创建AWS CloudFormation堆栈。这允许您通过AWS CloudWatch将AWS安全集线器事件路由到AWS SQS。一旦事件在SQS中使用,可以转发到InsightConnect。

设置AWS CloudFormation Stack:

  1. 转到AWS控制台中的CloudFormation堆栈控制台。您可以在“管理和治理”类别下找到它,或者在下面的搜索栏中键入“CloudFormation”服务
  2. 点击创建堆栈按钮。
  3. 在“指定模板”部分中,选择上传模板文件,并上载这个文件。点击下一个
  4. 提供堆栈的名称。
  5. 将以下JSON模板复制并粘贴到“参数”部分下的“EventPatternsparameter”字段中,并更换<自定义操作ARN>与你早先复制的ARN。
          

           EventPatternsParameter的JSON模板

            
           

          

           

            

             1

            {
           

           

            

             2

            “资源”:[
           

           

            

             3.

            
           

           

            

             4.

            ],
           

           

            

             5.

            “来源”:[
           

           

            

             6.

            “aws.securityhub”
           

           

            

             7.

            ]
           

           

            

             8.

            }
  1. 提供事件规则的描述。它应该有助于您记住,此事件用于AWS简单的队列服务(AWS SQS)来使用InsightConnect。
  2. 为队列创建一个名称。您需要队列名称来查找您的AWS SQS URL以配置InsightConnect中的插件。8.点击下一个*按钮,直到你看到创建堆栈按钮。点击创建堆栈完成。

找到SQS URL

在配置InsightConnect中的插件之前,您需要查找和复制组织的AWS SQS URL。在AWS CloudFormation中创建所需的堆栈后,AWS SQS URL将可用。

要查找您的AWS SQS URL,请执行以下操作:

  1. 登录AWS控制台,然后导航到SWD控制台。
  2. 在队列列表中,查找先前创建的AWS CloudFormation堆栈的队列名称。
  3. 复制此队列的SQS URL。

在InsightConnect中配置AWS安全集线器触发器

导入插件在InsightConnect中,您可以在工作流中使用AWS安全集线器插件触发器。

您需要:

  1. 创建,设置并激活新的工作流以摄取AWS SQS数据。
  2. 使用AWS安全集线器触发测试工作流程。

要在InsightConnect中构建初始AWS安全中心工作流,请执行以下操作:

  1. 创建一个新的工作流程然后点击AWS安全枢纽当提示您创建触发器时。您将在触发器选择菜单的“来自插件”部分下找到AWS Security Hub。然后单击继续>
  2. 从可用的AWS安全集线器触发器,单击获取SQS消息。点击继续
  3. 使用您在创建IAM角色时收到的Access键ID和秘密访问密钥创建或添加连接。
  4. 选择一个健康的Orchestrator来运行插件操作,然后单击继续
  5. 使用以下必填字段和任何要配置的可选字段配置触发器。6.现在,请命名触发器获取SQS消息。您可以在测试后稍后重命名其工作流程已成功接收SQS数据。
  6. 粘贴从AWS控制台中复制的AWS SQS URL进入“队列URL”字段。您可以配置其他字段,也可以将它们设置为默认值。点击继续关闭触发配置面板。
  7. 触发器以时间间隔检查SQS队列。为“间隔”字段提供间隔长度以秒为单位。
  8. 点击+图标,并添加新的[工件步骤](文档:工件步骤)。在工件配置面板中,检查“输出格式”是否正确Markdown卡,然后写下将显示AWS SQS事件信息的Markdown。您可以通过更改触发器和变量名称来遵循此示例模板来匹配您的配置:
         

          红宝石

           
          

         

          

           

            1

           ### 行动
          

          

           

            2

           
          

          

           

            3.

           行动名称{{[获取SQS消息][securityhubevent][细节][actionName]}}
          

          

           

            4.

           动作描述{{[获取SQS消息][securityhubevent][细节][动作描述]}}
          

          

           

            5.

           
          

          

           

            6.

           {{#各[获取SQS消息][securityhubevent][细节][发现]}}
          

          

           

            7.

           描述{{描述}}
          

          

           

            8.

           {{/每个}}

此模板将帮助您测试AWS安全集线器配置正常工作。

  1. 激活工作流。

测试您的AWS安全中心工作流

使用AWS安全集线器触发构建和激活工作流程后,您需要将数据发送到AWS安全集线器控制台中的SQS,以检查工作流程是否正确摄取数据。

要测试工作流程:

  1. 导航到AWS安全集线器控制台,然后选择发现从导航面板。有关在AWS Security Hub中使用“调查结果”的更多信息,请访问AWS的文档https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html
  2. 单击查找复选框将该查找的数据发送到您的工作流。
  3. 选择选定的“查找”,请单击“行动右上角的下拉按钮,然后单击发送到SQS.
  4. 现在重新登录InsightConnect并导航到闭上工作第页。找到您的AWS Security Hub工作流的已完成作业,然后单击伪影选项卡以查看工件是否按预期显示信息。
  5. 如果您看到预期的SQS数据,您的AWS Security Hub触发器将正常工作,您可以根据需要继续添加到您的工作流中。

成功测试AWS安全集线器工作流程使用测试工件后,如果需要,可以更改伪影内容以及触发名称。

在InsightConnect中配置AWS安全集线器操作步骤

导入插件在AWS中的InsightConnect和配置Security Hub中,您可以在工作流中使用AWS Security Hub插件操作。

要在InsightConnect中使用AWS Security Hub Plugin,请将插件配置为工作流中的任何其他操作,具有新的凭据集。确保这些凭据(AWS IAM访问密钥ID和秘密访问密钥)可以访问AWS安全集线器。