Как получить данные из AWS Security Hub с помощью Планировщика?

Question

Как получить данные из AWS Security Hub с помощью Планировщика?

Как автоматически извлекать данные из AWS Security Hub с помощью планировщика? Я новичок в AWS и провел некоторый анализ, который нашел ниже:

В Security Hub данные представлены в формате Json, у нас нет возможности экспортировать в csv/excel?
Все выводы / сведения о Центре безопасности автоматически отправляются на eventbridge? Это правда ? Если да, где я могу проверить то же самое в eventbridge?

Есть ли другие варианты автоматического извлечения данных из хаба безопасности каждые 12 часов? Я хочу взять данные из концентратора безопасности и передать их процессу ETL, чтобы применить какую-то логику к этим данным?

Eventbridge - единственный и лучший подход для этого?

0

amazon-web-services amazon-s3 aws-event-bridge aws-security-hub

Источник

user662285 28 сен '21 в 02:19

1 ответ

Другие вопросы по тегам amazon-web-services amazon-s3 aws-event-bridge aws-security-hub

user9405602 28 сен '21 в 06:39 2021-09-28 06:39 · Answer 1 · 2021-09-28 06:39

На:

Он основан на JSON, но имеет собственный формат под названием AWS Security Finding Format (ASFF).
Это правда (для всех ресурсов, которые SecurityHub поддерживает и может видеть). Следует отметить, что . Чтобы увидеть эти события, вам необходимо создать правило EventBridge каждое событие Security Hub Findings - Imported содержит одну находкуна основе формата для каждого типа события.

После того, как вы настроите эту настройку, событие может вызвать автоматическое действие, например:

Вызов функции AWS Lambda
Вызов команды запуска Amazon EC2
Ретрансляция события в Amazon Kinesis Data Streams
Активация конечного автомата AWS Step Functions
Уведомление темы Amazon SNS или очереди Amazon SQS
Отправка результатов в сторонний инструмент для продажи билетов, чата, SIEM или средства реагирования на инциденты и управления ими.

В общем, EventBridge - это путь вперед, но вместо использования подхода, основанного на расписании, вам нужно прибегнуть к подходу, основанному на событиях. Чтобы перехватить все результаты, вместо того, чтобы правило запускалось только конкретным, вам нужно настроить фильтр и, по сути, создать универсальное правило для SecurityHub, которое затем будет запускать ваше задание ETL.

ИЗМЕНИТЬ (как указано в комментарии):

Фильтр в правиле будет выглядеть так:

      {
  "source": [
    "aws.securityhub"
  ]
}

Что касается ETL, это действительно зависит от вашего варианта использования, если Kinesis Data Firehose выгружает его на S3, а затем использует Athena, как вы предлагаете самостоятельно. Другой распространенный подход - отправить данные в ElasticSearch (или теперь OpenSearch). В этом сообщении в блоге описаны оба варианта, вы можете настроить его в соответствии со своими потребностями.