问题标签 [aws-security-hub]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
python - 使用 boto3 securityhub.get_findings() 从 SecurityHub 导出到 Excel
我正在寻找有关使用 boto3 的 AWS Security Hub 模块的深入信息。我查看了文档,但不明白如何使用过滤器或如何理解 get_findings 输出的结构。
找到一些示例代码会有所帮助,其中操作 securityhub.getfindings() 输出以创建有意义的提取和报告。
任何提示或建议都会有所帮助。
一切顺利,肯尼
amazon-web-services - EC2 实例不应有公共 IP 地址 | AWS 基础安全最佳实践
最近,我使用AWS Security Hub对我的 AWS 资源进行了安全评估。结果,在AWS Foundational Security Best Practices v1.0.0类别下,有一个失败的说法是
EC2 实例不应具有公有 IPv4 地址
如果这个实例没有公网IP,如何通过互联网访问这个实例?
我想很好地解释一下EC2 实例不应具有公共 IP 地址的安全最佳实践
python - 防止将重复的 Securityhub 发现发送到 Slack
我正在将 SecurityHub 新发现发送到 Slack 频道,但问题是它一遍又一遍地发送相同的发现,并且在频道中会非常嘈杂。
活动规则如下:
我尝试了一种在帖子中提到的方法,在将新发现发送到 Slack 后将发现设置为“已通知”:
但是第二天我看到同样的发现再次发送到 Slack 频道。检查 AWS 文档后,AWS 似乎将通知工作流状态更改为新: https ://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Workflow.html
有没有人找到一种方法来防止发送重复的结果?
amazon-web-services - 导出具有严重性的不合规 AWS Config 规则
我正在尝试导出包含严重性的不合规 AWS Config 规则列表,以帮助确定现有问题的优先级。
谁能解释如何将严重性添加到正确返回的数据中?我试过这个:
但是严重性列是空白的:
我们试图获取这些数据的原因是我们可以使用它来优先处理最严重的问题。我也看不到任何方法可以从 Security Hub 干净地导出这些数据。如果有办法从那里获取信息,那也对我们有用。
amazon-web-services - 与禁用 CIS 基准相关的 Security Hub 日志
我正在 ClouTrail 日志中查找与在 Security Hub 中禁用 CIS 基准相对应的特定日志行。是否有与此类事件相关的特定操作名称?
amazon-web-services - 抑制或删除控制塔默认创建的资源的调查结果和违规(安全中心/配置)?
我在 ca-central-1 区域部署了控制塔,并通过专用管理员帐户启用了安全中心和 aws config(默认情况下通过控制塔提供审计帐户)。
然后我启用了以下安全标准:
- PCI DSS v3.2.1
- 独联体 AWS 基础基准 v1.2.0
- AWS 基础安全最佳实践 v1.0.0
对于 AWS Config,我部署了以下一致性包:
- NIST CSF 的操作最佳实践
- CIS AWS Foundations Benchmark v1.3 级别 1 的运营最佳实践
- CIS AWS Foundations Benchmark v1.3 Level 2 的运营最佳实践
- AWS 架构完善的框架安全支柱的运营最佳实践
在启用这些安全中心标准和配置一致性包后,我在各自的资源上发现了以下发现和违规行为:
- s3-bucket-logging-enabled(控制塔默认创建的存储桶:aws-controltower-s3-access-logs-ca-central-1)
- s3-bucket-default-lock-enabled(控制塔默认创建的存储桶:aws-controltower-s3-access-logs-ca-central-1 & aws-controltower-s3-logs-ca-central-1)
- Lambda 函数应该在 VPC 中(控制塔默认创建的 lambda:aws-controltower-NotificationForwarder)
- Lambda 函数应配置死信队列(控制塔默认创建的 lambda:aws-controltower-NotificationForwarder)
为了摆脱这些违规行为,我需要以某种方式进行补救或抑制/删除这些发现。请记住,由于严格的 SCP 会阻止对上述资源及其配置进行更改,因此修复可能会很困难且令人讨厌。为了能够补救,您必须删除 SCP,将您的控制塔置于漂移状态,进行必要的更改,然后修复控制塔。您可以看到为什么这不是一个好主意。
从合规性的角度来看,是否可以压制或删除这些发现/违规行为?
amazon-web-services - How to enable the security hub through cloudformation template
I'm trying to enable the AWS Security Hub along with AWS Foundation Security Best Practice and CIS Benchmarking with Cloudformation template.
Is this Code correct or should I need to add more?
amazon-web-services - 如何自动启用 Cloudformation 中指定的 ELB Cipher 策略
我在 Cloudformation ELB Policies 属性下指定的策略在部署后未启用。我必须手动启用它,然后旧的默认策略才生效。如何自动启用 Cloudformation 中指定的 ELB Cipher 策略?
https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-elb-policy.html
在 AWS 控制台上,它仍然显示预定义的策略作为ELBSecurityPolicy-2016-08默认策略
然后我不得不使用下面的 cli 手动启用它,然后它显示预定义的策略为ELBSecurityPolicy-TLS-1-2-2017-01
amazon-web-services - 如何使用调度程序从 AWS Security Hub 中提取数据?
如何使用调度程序自动从 AWS 安全中心提取数据?我是 AWS 的新手,正在做一些我在下面发现的分析:
- 在 Security Hub 数据是 Json 格式中,我们没有选择导出到 csv/excel 吗?
- 所有安全中心发现/见解都会自动发送到 eventbridge ?是真的吗?如果是,我可以在 eventbridge 中检查相同的地方吗?
是否有任何其他选项可以每 12 小时自动从安全中心提取数据。我想从安全中心获取数据并将其传递给 ETL 流程,以便对这些数据应用一些逻辑?
Eventbridge 是唯一且最好的方法吗?
amazon-web-services - 来自 SecurityHub 的发现的 EventBridge 规则
我正在尝试为“事件”模式创建 EventBridge 规则,如下所示:
我的 Json 结构:
我的 Json 结构看起来不像右侧上图中所示的事件模式,所以我想修改事件模式,就像我在上面发布的 json 一样。一旦我编辑事件模式,左侧的选项就会改变到“自定义模式”如下:
当我尝试测试我上面的 json 时,它给了我如下错误:
我在这里想念什么?我如何配置我的事件中心发现,以便它能够识别我上面的 json 并转到我的目标(Kinesis firehose)?