AWS安全中心

AWS安全中心是一个中心位置,供您在AWS中使用的各种服务中查看安全状态。InsightConnect AWS安全中心插件允许您接收AWS调查结果数据,并更好地监控您的AWS安全功能和状态。

要在InsightConnect中使用AWS Security Hub插件,必须在AWS控制台中设置依赖项,然后在InsightConnect中配置触发器或操作。设置每个项目可确保AWS数据从AWS的每个部分正确传递到InsightConnect。

在AWS控制台中设置安全中心依赖项

要将数据发送到InsightConnect通过AWS安全集线器,您需要在AWS控制台中完成以下任务:

  1. 启用AWS安全集线器
  2. 配置AWS标识和访问管理服务链接角色
  3. 在AWS安全中心中创建自定义操作
  4. 创建AWS CloudFormation堆栈
  5. 在AWS控制台中找到您的SQS URL

启用AWS安全集线器

AWS Security Hub是AWS预览功能。在配置AWS中的其他部分之前,您需要启用它。

要为您的AWS帐户启用安全中心,请执行以下操作:

  1. 在web浏览器中登录到AWS控制台。
  2. 点击服务按钮打开AWS服务的菜单。
  3. 在搜索栏中开始键入“安全性”或查找“安全性,身份和合规性”类别。选择安全中心选项。
  4. 找到一张卡,该卡提供可免费尝试安全集线器的选项。单击提供的链接。
  5. 出现提示时,请检查您对AWS Security Hub的服务权限。权限需要设置为“允许”
  6. 点击启用AWS安全集线器右下角的按钮。

有关启用AWS Security Hub的更多帮助,请访问AWS文档:https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html#securityhub-enable

配置AWS标识和访问管理服务链接角色

启用安全Hub后,您可以开始配置AWS的不同部分,这些部分需要相互通信,然后才能将正确的数据发送到InsightConnect。首先在AWS身份和访问管理(IAM)中创建一个新角色。

要配置AWS IAM服务链接角色:

  1. 从AWS控制台导航到IAM服务。它位于“安全、身份和法规遵从性”类别下。
  2. 点击使用者选项卡,然后单击添加用户按钮的左上角。
  3. 为用户输入一个名称,并选择“程序化访问”AWS访问类型。点击蓝色下一个:权限按钮位于页面右下角。
  4. 从出现的权限设置选项中,单击直接附上现有策略卡片。
  5. 如果已经为AWS简单队列服务(SQS)设置了现有策略,请选择它。如果没有,请使用创建新策略这些说明
  6. 点击下一步:标签在右下角。您可以将标记字段留空,或者添加最适合您的组织的标记,然后单击下一个:审查
  7. 点击创建用户添加AWS IAM角色。

将为新用户填充访问键ID和秘密访问键。将这些密钥保存到密码管理器或您可以检索它们的地方。当您在InsightConnect中配置插件时,您将需要它们。

为AWS SQS创建一个新策略

必须为AWS IAM角色的AWS SQS设置策略。如果您还没有,请按照以下步骤创建一个新的,然后按照说明中的步骤6配置AWS IAM服务链接角色。

要创建新策略,请执行以下操作:

  1. 点击一下创建政策按钮下三个权限选项。2 ..在“服务”设置下,搜索并选择SQS
  2. 在“动作”设置下,选中,然后展开选项并选中* *DeleteMessage。
  3. 关闭“操作”设置下拉列表并查看这些设置。您应该有五个“读取”设置和一个“写入”设置。
  4. 在“资源”设置下,检查队列设置的“任何”框。然后点击审查政策在右下角。
  5. 给出策略名称和简要说明,然后单击创建政策在右下角。7.返回到AWS IAM Management Console并选择此新策略。

在AWS安全中心中创建自定义操作

安全集线器自定义操作将在工作流调用安全集线器插件时执行AWS中的进程。您需要将CloudFormation Stack链接到自定义操作,因此首先创建自定义操作到自定义操作的ARN。

要创建自定义操作,请执行以下操作:

  1. 转到AWS控制台设置,然后单击自定义操作标签。
  2. 点击创建自定义操作按钮在右上角。
  3. 在出现的配置面板中,为操作提供名称、描述和自定义操作ID。点击好吧当你完成的时候。
  4. 复制“自定义操作ARN”以获取新自定义操作。创建AWS CloudFormation Stack时,您将需要它。

创建AWS CloudFormation堆栈

创建自定义操作后,需要根据我们提供的模板创建AWS CloudFormation堆栈。这允许您通过AWS CloudWatch将AWS安全中心事件路由到AWS SQS。事件在SQS中可用后,可以转发给InsightConnect。

要设置AWS云信息堆栈,请执行以下操作:

  1. 转到AWS控制台中的CloudFormation Stack控制台。您可以在“管理与治理”类别下或搜索栏中的“CloudFormation”(CloudFormation)找到它服务
  2. 点击创建堆栈按钮。
  3. 在“指定模板”部分中,选择上载模板文件,上传这个文件. 点击下一个
  4. 提供堆栈的名称。
  5. 将以下JSON模板复制并粘贴到“参数”部分下的“EventPatternsParameter”字段中,然后替换<自定义动作攻击>使用您先前复制的ARN。
          

           Evertpatternsparameter的JSON模板

            
           

          

           

            

             1.

            {
           

           

            

             2.

            “资源”: [
           

           

            

             3.

            “<自定义动作ARN>”
           

           

            

             4.

            ],
           

           

            

             5.

            “来源”: [
           

           

            

             6.

            “aws.securityhub”
           

           

            

             7.

            ]
           

           

            

             8.

            }
  1. 提供事件规则的描述。它应该会帮助你记住,这个事件是AWS简单队列服务(AWS SQS)与InsightConnect工作。
  2. 为队列创建一个名称。您需要队列名称来查找您的AWS SQS URL以配置InsightConnect中的插件。8.点击下一个*按钮,直到你看到创建堆栈按钮点击创建堆栈结束。

定位SQS URL

在InsightConnect中配置插件之前,您需要找到并复制您的组织的AWS SQS URL。AWS SQS URL将在您在AWS CloudFormation中创建所需的堆栈后可用。

要找到AWS SQS URL:

  1. 登录AWS控制台,然后导航到SWD控制台。
  2. 在队列列表中,查找您之前创建的AWS CloudFormation堆栈的队列名称。
  3. 复制此队列的SQS URL。

在InsightConnect中配置AWS安全集线器触发器

导入插件在InsightConnect中,您可以在工作流中使用AWS Security Hub插件触发器。

您需要:

  1. 创建、设置和激活新工作流以接收AWS SQS数据。
  2. 使用AWS安全集线器触发器测试工作流。

要在InsightConnect中构建初始AWS安全集线器工作流程:

  1. 创建新的工作流点击AWS安全中心提示创建触发器时。您将在“从”触发选择菜单的“来自Plugin”部分下找到AWS安全集线器。然后点击继续>
  2. 从可用的AWS Security Hub触发器中单击获取SQS消息. 点击继续
  3. 使用您在创建IAM角色时收到的Access键ID和秘密访问密钥创建或添加连接。
  4. 选择运行插件操作的健康编排器,然后单击继续
  5. 使用以下必填字段配置触发器,以及您想要配置的任何可选字段。6 ..现在,命名触发器获取SQS消息.您可以在测试工作流成功接收SQS数据之后重新命名它。
  6. 将之前从AWS控制台复制的AWS SQS URL粘贴到“队列URL”字段。您可以配置其他字段,或者暂时将它们设置为默认值。点击继续关闭触发器配置面板。
  7. 触发器按一定的时间间隔检查SQS队列。为“interval”字段提供以秒为单位的间隔长度。
  8. 点击一下+工作流构建器中的图标,并添加新的[工件步骤](Doc:Artifact-Step]。在“工件配置”面板中,检查“输出格式”是减价牌,然后写入Markdown,它将显示AWS SQS事件信息。你可以通过改变触发器和变量的名称来匹配你的配置来遵循这个样例模板:
         

          ruby

           
          

         

          

           

            1.

           # # #行动
          

          

           

            2.

           
          

          

           

            3.

           动作名称:{{[获取SQS消息][SecurityHubEvent.][细节][ActionName.]}}
          

          

           

            4.

           行动描述:{{[获取SQS消息][SecurityHubEvent.][细节][ActionDescription.]}}
          

          

           

            5.

           
          

          

           

            6.

           {{#每个[获取SQS消息][SecurityHubEvent.][细节][发现]}}
          

          

           

            7.

           描述:{{描述}}
          

          

           

            8.

           {{/每一个}}

此模板将帮助您测试AWS安全集线器配置是否正常工作。

  1. 激活工作流程。

测试您的AWS安全集线器工作流程

使用AWS Security Hub触发器构建和激活工作流后,您需要将数据发送到AWS Security Hub控制台中的SQS,以检查工作流是否正确接收数据。

要测试工作流:

  1. 导航到AWS安全中心控制台,然后选择发现从导航面板。有关在AWS安全中心中使用“发现”的更多信息,请访问AWS文档,网址为https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html.
  2. 单击“查找”复选框以将该查找数据发送到工作流程。
  3. 选中Finding后,单击行动右上角的下拉按钮,然后单击发送到SQS
  4. 现在重新登录InsightConnect并导航到关闭的工作页。找到您的AWS安全集线器工作流程的已完成的作业,然后单击人工制品选项卡查看工件是否显示预期的信息。
  5. 如果看到预期的SQS数据,AWS安全集线器触发器正常工作,您可以根据需要继续添加到工作流程。

使用测试工件成功测试AWS Security Hub工作流后,如果需要,可以更改工件内容以及触发器名称。

在InsightConnect中配置AWS安全中心操作步骤

导入插件在AWS中的InsightConnect和配置安全集线器中,您可以在工作流中使用AWS Security Hub Plugin操作。

要在InsightConnect中使用AWS Security Hub插件,请像在工作流中配置任何其他操作一样配置插件,并使用一个新的凭证集。确保这些凭据(AWS IAM访问密钥ID和秘密访问密钥)能够访问AWS安全Hub。