下载 AWS Security Hub CSV 报告
关键要点
在本文中,我们将介绍如何每周将 AWS Security Hub 的发现导出为 CSV 文件,并发送电子邮件通知以便下载该文件。通过这种方法,您可以轻松分享报告,而无需提供 AWS 账户的访问权限。这使得您能够生成评估报告,并优先考虑和制定补救计划。
AWS Security Hub 提供了您在 Amazon Web Services (AWS) 中安全状态的全面视图,帮助您检查您的环境是否符合安全标准和最佳实践。启用 Security Hub 后,它将从您使用的 AWS 安全服务中收集和整合发现结果,例如来自 Amazon GuardDuty 的威胁检测发现、来自 Amazon Inspector 的漏洞扫描、来自 Amazon Macie 的 S3 存储桶策略发现、来自 AWS Identity and Access Management Access Analyzer 的公开可访问和跨账户资源的发现,以及来自 AWS Firewall Manager 的缺少 AWS WAF 覆盖的资源。此外,Security Hub 还集成了来自 AWS 合作伙伴网络 (APN) 安全解决方案的发现。
解决方案概述
本解决方案假设您已在 AWS 账户中启用 Security Hub。如果尚未启用,请设置此服务,以便开始查看您 AWS 账户中的安全发现。
一元机场网站解决方案工作原理
一个基于时间的 Amazon EventBridge 事件调用一个 Lambda 函数进行处理。Lambda 函数从 Security Hub API 获取发现结果,并将其写入 CSV 文件。API 将文件上传到 Amazon S3,并生成一个持续 24 小时或 Lambda 中使用的临时凭证有效期的 预签名 URL。Amazon SNS 向部署时提供的电子邮件地址发送邮件通知。该邮箱地址可通过 Amazon SNS 控制台 进行更新。电子邮件中包含用于下载文件的链接。报告中包含的字段
字段名描述发现 ID发现的唯一标识符产品 ARN产品的 ARN产品名称产品的名称注意: 您可以通过修改 Lambda 函数来扩展报告,以添加所需的字段。
解决方案资源
本文提供的解决方案包含一个名为 securityhubfullreportemailjson 的 AWS CloudFormation 模板,该模板部署以下资源:
一个名为 SecurityHubRecurringFullReport 的 Amazon SNS 主题及其电子邮件订阅。此处省略部分
部署解决方案
使用以下步骤在单个 AWS 账户中部署此解决方案。如果您有安全中心管理员账户或使用安全中心跨区域聚合,报告将从链接的 AWS 账户和区域获取发现。
部署步骤
从我们的 GitHub 存储库 下载 CloudFormation 模板 securityhubfullreportemailjson。将模板复制到您目标 AWS 账户和区域的 S3 存储桶内。复制 CloudFormation 模板 json 文件的对象 URL。在 AWS 管理控制台中,转到 CloudFormation 控制台。选择 Create Stack 并选择 With new resources。此处省略部分
测试解决方案
您可以在部署完成后发送测试邮件。为此,打开 Lambda 控制台,找到 SendSecurityHubFullReportEmail Lambda 函数。使用事件有效负载执行 手动调用,在几分钟内就能接收邮件。您可以根据需要多次重复此过程。
结论
在这篇文章中,我向您展示了一种快速构建解决方案的方法,用于发送 AWS 账户的每周安全状态发现报告。该解决方案使您能够认真审查未解决的发现,并根据其严重性及时进行补救。您可以通过多种方式扩展此解决方案,包括:
将文件发送至任何支持电子邮件的工单服务,例如 ServiceNow 或其他 SIEM。添加内部维基链接,提供与漏洞管理或其他内部流程相关的工作流信息。修改筛选器、电子邮件内容和发送频率,以扩展解决方案。要了解有关设置和自定义 Security Hub 的更多信息,请参见 这些附加博客文章。
如果您对本文有任何反馈,请在下面的评论部分提交意见。如果您对本文有任何疑问,请在 AWS Security Hub rePost 论坛 开始一个主题讨论。
想了解更多 AWS 安全新闻?关注我们 Twitter。
Pablo Pagani
Pablo 是 AWS 专业服务的高级拉美区安全经理,驻于阿根廷布宜诺斯艾利斯。他帮助客户在 AWS 中建立安全的旅程。在使用 Talent MSX 编写第一行 BASIC 代码时,他对计算机产生了热情。
