AWS安全中心

AWS Security Hub数据导入行为

请注意,AWS Security Hub只有在部署此集成后才能从InsightVM导入新的评估数据。在部署集成之前存在的历史数据将不会被导入。

Amazon Web Services (AWS) Security Hub与Rapid7 InsightVM集成。配置此集成以利用以下好处:

  • 在AWS环境和InsightVM控制台中查看和管理Rapid7收集的安全发现
  • 快速确定高优先级,获得解决这些问题的指导,响应问题,并在单个地方确定关键的安全趋势

定价模型

在预览期间,AWS Security Hub暂时免费,可以无限制地访问所有功能。有关更多定价细节,请参阅AWS Security Hub的定价计划

在开始之前

请确认您同时满足AWS Security Hub和InsightVM的要求。

AWS订阅

由于AWS安全中心从AWS服务收集安全调查结果,您必须订阅以下至少一项服务:

  • 亚马逊GuardDuty
  • 亚马逊检查员
  • 亚马逊马西埃

AWS帐户需要

如果您没有上述任一AWS服务的帐户,则无法访问AWS安全中心。

AWS安全集线器支持区域

为了使集成工作,必须在与InsightVM实例相同的AWS支持区域中启用AWS安全Hub。检查这个列表确认AWS安全中心可用性。

InsightVM集成需求

确认您符合AWS要求后,请确保您符合以下任一项InsightVM要求:

  • AWS上部署了Agent 2.1及以上版本
  • 您使用AWS Discovery Connection v2(控制台版本v6.5.43或更高版本,于11/28/18发布)

启用和设置AWS安全中心

确认您符合AWS安全中心要求后,访问您的免费AWS安全中心预览并按照说明通过Security Hub控制台的提供商页面选择进入InsightVM。你也可以参考建立AWS安全中心在用户指南中。

在InsightVM中启用AWS Security Hub

启用AWS Security Hub后,就可以在InsightVM中启用集成了。注意,一次只能有一个与InsightVM关联的安全Hub实例。

  1. 在InsightVM控制台中,单击管理在左侧导航栏。
  1. 在“Asset Data”下,导航到“AWS Security Hub”,单击添加
  2. 向右滑动切换以启用AWS安全集线器。
  3. 点击保存
  4. 关闭的面板。

开始使用AWS安全中心

访问AWS Security Hub资源了解更多信息:

这篇文章将参考AWS安全集线器用户指南

概念和术语

为了充分利用AWS Security Hub,学习以下关键概念是很有帮助的:

  • 发现—AWS安全Hub收集的安全问题。它可以被AWS或第三方服务发现,比如Rapid7。
  • 洞察力—由聚合语句和可选过滤器定义的一组相关发现。洞察力确定高优先级的项目。
  • 标准-基于安全行业和AWS最佳实践的一组预定义规则,用于衡量遵从性。

欲了解更多信息,请参阅AWS安全集线器术语和概念

在AWS安全中心工作

有几种方法可以查看和确定安全性问题的优先级。Security Hub仪表板显示按严重性优先级排列的洞察力的快照。您还可以构建并指定包含AWS和合作伙伴见解的“我的收藏”见解组。

在安全Hub中查看InsightVM数据

设置AWS安全Hub并在安全控制台中启用InsightVM后,配置安全Hub以显示查看结果。要做到这一点,请遵循以下步骤:

  1. 登录AWS安全中心。
  2. 点击发现在左侧导航栏。
  3. 在搜索框中输入公司名称等于“Rapid7”
  4. 点击应用

完成此过程后,您可以查看InsightVM的结果。Security Hub提供以下信息:

  • 总结页面是一个仪表板,它提供安全集线器中的发现的高级概述和可视化。
  • 调查Page列出了洞察力,这是一组发现的聚合。您可以通过添加查询过滤您的发现,并可以按照严重性、标题、状态或“最后一次见到”对补救工作进行优先级排序。
  • 单击单个搜索结果会在新窗格中显示更多细节。

使用托管和自定义洞察力

AWS Security Hub提供可管理的见解,这些见解是不可编辑或可删除的模板,可帮助您识别安全风险。如果您需要创建一个独特于AWS环境和使用的模板,请创建一个自定义的洞察。有关更多信息,请参见对AWS安全中心的洞察请参阅《用户指南》。

管理安全中心调查结果

要帮助您管理安全中心的发现结果,您可以应用筛选器对它们进行优先排序、组织或存档。有关更多信息,请参见AWS安全中心的发现请参阅《用户指南》。

在AWS安全中心管理AWS帐户

您可以邀请并启用多个帐户到AWS安全中心。当其他帐户接受您的邀请时,您的AWS安全中心将成为主帐户。关联帐户成为成员帐户。有关更多信息,请参见在AWS安全中心管理AWS帐户请参阅《用户指南》。

禁用AWS安全中心

要禁用AWS安全集线器,您需要从以下两处删除连接:

  • InsightVM
  • AWS安全中心

禁用InsightVM

您可以在InsightVM控制台禁用或删除安全集线器。按照以下步骤禁用:

  1. 在InsightVM控制台中,单击管理在左侧导航栏。
  1. 在“资产数据”下,单击AWS安全中心
  2. 点击编辑
  3. 向左滑动切换以禁用AWS安全集线器。
  4. 点击保存
  5. 关闭的面板。

要删除安全中心,请执行以下步骤:

  1. 按照上面的步骤1 - 2。
  2. 点击删除
  3. 关闭的面板。

禁用AWS安全中心

关闭“InsightVM”后,请关闭“AWS Security Hub”。您可以在Security Hub控制台中或使用DisableSecurityHubAPI的操作。

重要的是要注意,如果禁用Security Hub,您现有的发现、见解和配置将永久丢失。这包括您的主帐户及其关联帐户。要保留此信息的记录,您可以在禁用安全集线器之前保存。有关更多信息,请参见禁用AWS安全中心请参阅《用户指南》。

AWS安全中心支持

如果您在安全中心中没有看到任何发现,并且您已经满足以下条件,请联系Rapid7支持

  • 在AWS安全Hub中启用了InsightVM调查结果
  • 在AWS中部署代理
  • 在InsightVM控制台中启用AWS Security Hub

有关任何其他AWS安全集线器问题,请联系AWS