AWS安全中心
AWS Security Hub数据导入行为
请注意,AWS Security Hub只有在部署此集成后才能从InsightVM导入新的评估数据。在部署集成之前存在的历史数据将不会被导入。
Amazon Web Services (AWS) Security Hub与Rapid7 InsightVM集成。配置此集成以利用以下好处:
- 在AWS环境和InsightVM控制台中查看和管理Rapid7收集的安全发现
- 快速确定高优先级,获得解决这些问题的指导,响应问题,并在单个地方确定关键的安全趋势
定价模型
在预览期间,AWS Security Hub暂时免费,可以无限制地访问所有功能。有关更多定价细节,请参阅AWS Security Hub的定价计划.
在开始之前
请确认您同时满足AWS Security Hub和InsightVM的要求。
AWS订阅
由于AWS安全中心从AWS服务收集安全调查结果,您必须订阅以下至少一项服务:
- 亚马逊GuardDuty
- 亚马逊检查员
- 亚马逊马西埃
AWS帐户需要
如果您没有上述任一AWS服务的帐户,则无法访问AWS安全中心。
AWS安全集线器支持区域
为了使集成工作,必须在与InsightVM实例相同的AWS支持区域中启用AWS安全Hub。检查这个列表确认AWS安全中心可用性。
InsightVM集成需求
确认您符合AWS要求后,请确保您符合以下任一项InsightVM要求:
- AWS上部署了Agent 2.1及以上版本
- 您使用AWS Discovery Connection v2(控制台版本v6.5.43或更高版本,于11/28/18发布)
启用和设置AWS安全中心
确认您符合AWS安全中心要求后,访问您的免费AWS安全中心预览并按照说明通过Security Hub控制台的提供商页面选择进入InsightVM。你也可以参考建立AWS安全中心在用户指南中。
在InsightVM中启用AWS Security Hub
启用AWS Security Hub后,就可以在InsightVM中启用集成了。注意,一次只能有一个与InsightVM关联的安全Hub实例。
- 在InsightVM控制台中,单击管理在左侧导航栏。
- 在“Asset Data”下,导航到“AWS Security Hub”,单击添加.
- 向右滑动切换以启用AWS安全集线器。
- 点击保存.
- 关闭的面板。
开始使用AWS安全中心
访问AWS Security Hub资源了解更多信息:
这篇文章将参考AWS安全集线器用户指南.
概念和术语
为了充分利用AWS Security Hub,学习以下关键概念是很有帮助的:
- 发现—AWS安全Hub收集的安全问题。它可以被AWS或第三方服务发现,比如Rapid7。
- 洞察力—由聚合语句和可选过滤器定义的一组相关发现。洞察力确定高优先级的项目。
- 标准-基于安全行业和AWS最佳实践的一组预定义规则,用于衡量遵从性。
欲了解更多信息,请参阅AWS安全集线器术语和概念.
在AWS安全中心工作
有几种方法可以查看和确定安全性问题的优先级。Security Hub仪表板显示按严重性优先级排列的洞察力的快照。您还可以构建并指定包含AWS和合作伙伴见解的“我的收藏”见解组。
在安全Hub中查看InsightVM数据
设置AWS安全Hub并在安全控制台中启用InsightVM后,配置安全Hub以显示查看结果。要做到这一点,请遵循以下步骤:
- 登录AWS安全中心。
- 点击发现在左侧导航栏。
- 在搜索框中输入
公司名称等于“Rapid7”
. - 点击应用.
完成此过程后,您可以查看InsightVM的结果。Security Hub提供以下信息:
- 的总结页面是一个仪表板,它提供安全集线器中的发现的高级概述和可视化。
- 的调查Page列出了洞察力,这是一组发现的聚合。您可以通过添加查询过滤您的发现,并可以按照严重性、标题、状态或“最后一次见到”对补救工作进行优先级排序。
- 单击单个搜索结果会在新窗格中显示更多细节。
使用托管和自定义洞察力
AWS Security Hub提供可管理的见解,这些见解是不可编辑或可删除的模板,可帮助您识别安全风险。如果您需要创建一个独特于AWS环境和使用的模板,请创建一个自定义的洞察。有关更多信息,请参见对AWS安全中心的洞察请参阅《用户指南》。
管理安全中心调查结果
要帮助您管理安全中心的发现结果,您可以应用筛选器对它们进行优先排序、组织或存档。有关更多信息,请参见AWS安全中心的发现请参阅《用户指南》。
在AWS安全中心管理AWS帐户
您可以邀请并启用多个帐户到AWS安全中心。当其他帐户接受您的邀请时,您的AWS安全中心将成为主帐户。关联帐户成为成员帐户。有关更多信息,请参见在AWS安全中心管理AWS帐户请参阅《用户指南》。
禁用AWS安全中心
要禁用AWS安全集线器,您需要从以下两处删除连接:
- InsightVM
- AWS安全中心
禁用InsightVM
您可以在InsightVM控制台禁用或删除安全集线器。按照以下步骤禁用:
- 在InsightVM控制台中,单击管理在左侧导航栏。
- 在“资产数据”下,单击AWS安全中心.
- 点击编辑.
- 向左滑动切换以禁用AWS安全集线器。
- 点击保存.
- 关闭的面板。
要删除安全中心,请执行以下步骤:
- 按照上面的步骤1 - 2。
- 点击删除.
- 关闭的面板。
禁用AWS安全中心
关闭“InsightVM”后,请关闭“AWS Security Hub”。您可以在Security Hub控制台中或使用DisableSecurityHub
API的操作。
重要的是要注意,如果禁用Security Hub,您现有的发现、见解和配置将永久丢失。这包括您的主帐户及其关联帐户。要保留此信息的记录,您可以在禁用安全集线器之前保存。有关更多信息,请参见禁用AWS安全中心请参阅《用户指南》。
AWS安全中心支持
如果您在安全中心中没有看到任何发现,并且您已经满足以下条件,请联系Rapid7支持:
- 在AWS安全Hub中启用了InsightVM调查结果
- 在AWS中部署代理
- 在InsightVM控制台中启用AWS Security Hub
有关任何其他AWS安全集线器问题,请联系AWS.