AWS安全枢纽

AWS安全集线器数据导入行为

请注意,只有在部署此集成后,AWS Security Hub才能从InsightVM导入新的评估数据。不会导入部署集成之前存在的历史数据。

Amazon Web服务(AWS)安全中心具有与Rapid7 InsightVM的集成。配置此集成以利用以下好处:

  • 在AWS环境和Insightvm控制台中查看和管理RAPET7收集的安全查询
  • 快速确定高优先级,获得解决这些问题的指导,对问题作出响应,并在一个地方确定关键的安全趋势

定价模型

在预览期间,AWS Security Hub暂时免费,可以无限制地访问所有功能。有关更多定价细节,请参阅AWS安全枢纽的定价计划

在你开始之前

请确认您满足AWS安全中心和Insightvm的要求。

AWS订阅

由于AWS Security Hub从AWS服务收集安全查询,您必须订阅以下至少一个服务:

  • 亚马逊护卫丁
  • 亚马逊检查员
  • 亚马逊宏

需要AWS帐户

如果您没有上面提到的AWS服务中的一个帐户,则无法访问AWS安全集线器。

AWS安全集线器支持地区

为了使集成工作,必须在与InsightVM实例相同的AWS支持区域中启用AWS安全Hub。检查此列表确认AWS安全集线器可用性。

InsightVM集成需求

确认您符合AWS要求后,请确保您符合以下任一项InsightVM要求:

  • AWS上部署了Agent 2.1及以上版本
  • 您使用AWS Discovery Connection v2(控制台版本v6.5.43或更高版本,于11月28日发布)

启用和设置AWS安全中心

确认您符合AWS安全集线器要求后,访问您的免费AWS安全中心预览并按照说明通过Security Hub控制台的提供商页面选择进入InsightVM。你也可以参考设置AWS安全集线器在“用户指南”中。

在Insightvm中启用AWS安全集线器

启用AWS安全集线器后,您已准备好启用InsightVM的集成。请注意,您只能在一次与InsightVM关联的安全集线器的一个实例。

  1. 在您的InsightVM控制台中,单击管理层在左侧导航。
  1. 在资产数据下,导航到AWS安全集线器,然后单击添加
  2. 幻灯片切换到右侧,以启用AWS安全集线器。
  3. 点击保存
  4. 关闭专家组。

开始使用AWS安全中心

访问这些AWS安全集线器资源以了解更多信息:

本文将参考AWS安全集线器用户指南

概念和术语

为了充分利用AWS Security Hub,学习以下列出的关键概念很有帮助:

  • 发现- 由AWS安全集线器收集的安全问题。它可以由AWS或第三方服务发现,如Rapid7。
  • 洞察力- 由聚合声明和可选过滤器定义的一组相关发现。Insight识别高优先级项目。
  • 标准-基于安全行业和AWS最佳实践的一组预定义规则,用于衡量遵从性。

有关更多信息,请参阅AWS安全集线器术语和概念

在AWS安全枢纽工作

有几种方法可以查看和确定安全性问题的优先级。Security Hub仪表板显示按严重性优先级排列的洞察力的快照。您还可以构建并指定包含AWS和合作伙伴见解的“我的收藏”见解组。

在安全中心查看Insightvm数据

在Security Console中设置AWS安全集线器并启用InsightVM后,配置安全中心以显示查看您的发现。为此,请按照下列步骤操作:

  1. 登录AWS安全集线器。
  2. 点击发现在左侧导航中。
  3. 在搜索框中,输入公司名称等于'Rapid7'
  4. 点击申请

完成此过程后,您可以查看InsightVM调查结果。安全集线器提供以下信息:

  • 总结页面是一个仪表板,提供安全集线器中发现的高级概述和可视化。
  • 调查页面列出了洞察,这些洞察是结果的聚合组。您可以通过添加查询来筛选您的发现,并可以根据严重性、标题、状态或“最后一次看到”来确定补救工作的优先级
  • 单击单个搜索结果会在新窗格中显示更多细节。

使用管理和自定义见解

AWS Security Hub提供托管洞察,这些洞察是不可编辑或可删除的模板,可帮助您识别安全风险。如果需要创建特定于AWS环境和用途的模板,请创建自定义洞察。有关详细信息,请参阅AWS安全枢纽的见解在用户手册中。

管理安全枢纽调查结果

为帮助您管理安全集线器调查结果,您可以将过滤器应用于优先级,组织或存档它们。有关更多信息,请参见AWS安全中心的发现在用户手册中。

在AWS安全中心管理AWS帐户

您可以邀请并启用多个帐户到AWS安全中心。当其他帐户接受您的邀请时,您的AWS安全中心将成为主帐户。关联帐户将成为成员帐户。有关详细信息,请参阅在AWS安全中心管理AWS帐户在用户手册中。

禁用AWS安全中心

要禁用AWS安全集线器,您需要从以下两处删除连接:

  • Insightvm.
  • AWS安全枢纽

禁用Insightvm.

您可以从Insightvm控制台禁用或删除安全集线器。按照以下步骤禁用:

  1. 在您的InsightVM控制台中,单击管理层在左侧导航。
  1. 在“资产数据”下,单击AWS安全枢纽
  2. 点击编辑
  3. 向左滑动切换以禁用AWS安全集线器。
  4. 点击保存
  5. 关闭专家组。

要删除安全中心,请执行以下步骤:

  1. 按照上面的步骤1 - 2。
  2. 点击删除
  3. 关闭专家组。

禁用AWS安全中心

关闭“InsightVM”后,请关闭“AWS Security Hub”。您可以在Security Hub控制台中或使用DisableSecurityHubAPI的操作。

重要的是要注意,如果禁用Security Hub,您现有的发现、见解和配置将永久丢失。这包括您的主帐户及其关联帐户。要保留此信息的记录,您可以在禁用安全集线器之前保存。有关更多信息,请参见禁用AWS安全中心在用户手册中。

AWS安全中心支持

如果您在安全中心中没有看到任何发现,并且您已经满足以下条件,请联系Rapid7支持

  • 在AWS安全枢纽中启用了InsightVM调查结果
  • 在AWS中部署代理
  • 在Insightvm控制台中启用了AWS安全集线器

对于任何其他AWS安全集线器问题,请联系AWS.