AWS Security Hub

Sie benötigen das Integrations-Lizenz-Paket „Public-Cloud“, um diese Funktion nutzen zu können.

Sie können es AWS Security Hub Sophos Central integrieren, sodass Warnmeldungen an Sophos zur Analyse gesendet werden.

Vorbereitende Schritte

Sie müssen AWS Security Hub in der Umgebung aktivieren, die Sie integrieren möchten, bevor Sie fortfahren können.

Während der Integration geben wir Ihnen Befehle zum Kopieren und Ausführen. Sie müssen diese Befehle in die AWS-Kommandozeile oder AWS CloudShell von einem IAM-Benutzer mit der Rolle „Administrator“ ausführen. Weitere Informationen zum Einrichten der AWS-Kommandozeile finden Sie unter Erste Schritte mit der AWS-Kommandozeile.

Wenn Sie keinen Zugriff auf ein entsprechendes Konto haben, können Sie eine benutzerdefinierte Rolle mit bestimmten Berechtigungen erstellen. Die erforderlichen Berechtigungen finden Sie unter Benutzerdefinierte Rollenberechtigungen.

Einrichten der Integration des AWS Security Hub

So integrieren Sie Ihre AWS-Umgebung:

Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center > Integrationen > Marketplace.
Klicken Sie auf AWS Security Hub.

Wenn Sie bereits Verbindungen zu AWS-Umgebungen eingerichtet haben, sehen Sie diese hier.
Klicken Sie auf Hinzufügen.
Der Integrationsschritte-Assistent führt Sie durch den Prozess der Verbindung mit Ihrer AWS-Umgebung. Verfahren Sie wie folgt:
1. Kopieren Sie den curl-Befehl.
2. Gehen Sie zur AWS-Kommandozeile oder AWS CloudShell und führen Sie den curl-Befehl aus.
  
  Das Integrationsskript wird heruntergeladen.
3. Wechseln Sie wieder zu Sophos Central und kopieren Sie den zweiten Befehl, der in den Integrationsschritten angezeigt wird.
4. Gehen Sie zur AWS-Kommandozeile oder AWS CloudShell und führen Sie den integration-Befehl aus.
Kehren Sie zurück zu Sophos Central.

Die AWS-Umgebung wird in der Liste angezeigt.

„AWS Security Hub“-Integrationen verwalten

Sie können auf den Namen der AWS-Umgebung klicken, um die Einstellungen zu bearbeiten.

Status zeigt den Status der Integration in eine AWS-Umgebung an. Dieser kann „angehalten“, „aktiv“, „getrennt“ oder „gelöscht“ lauten.

Sie können je nach aktuellem Status auf das Symbol mit den drei Punkten klicken und Aktionen auswählen.

Um eine Verbindung zu löschen, klicken Sie auf Löschen. Ein Assistent führt Sie mithilfe von AWS-Kommandozeilen-Befehlen durch das Löschen der Verbindung.

Wenn Ihre Sophos-Lizenz abläuft, werden Ihre Verbindungen angehalten. Wenn Sie Ihre Lizenz erneuern, werden die Verbindungen automatisch aktiv.

Konten von AWS-Organisationen einschließen

Wenn Sie AWS-Organisationen verwenden, können Sie auswählen, welche Konten in die Datenerfassung einbezogen werden sollen.

Gehen Sie in Sophos Central zu Bedrohungsanalyse-Center und klicken Sie auf Integrationen.
Klicken Sie auf AWS CloudTrail.

Eine Liste Ihrer Integrationen wird angezeigt.
Klicken Sie dann auf den Namen der Integration, die Sie ändern möchten.

Wenn Sie viele Integrationen haben, verwenden Sie den Filter, um die Integrationen aufzulisten, die AWS-Organisationen verwenden.
Unter Details bearbeiten > Konten können Sie eine durch Kommata getrennte Liste von Konto-IDs hinzufügen, für die Sie Daten erfassen möchten.
Klicken Sie auf Speichern.

Wir sammeln jetzt nur noch Daten von den AWS-Konten in der Liste.

Benutzerdefinierte Rollenberechtigungen

Sie können die AWS-Befehle ausführen, die wir Ihnen von einem IAM-Benutzer mit der Rolle „Administrator“ geben.

Wenn Sie stattdessen eine benutzerdefinierte Rolle einrichten möchten, verwenden Sie die folgenden Berechtigungen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
               'events:DeleteRule',
               'events:ListRules',
               'events:ListTagsForResource',
               'events:ListTargetsByRule',
               'events:PutRule',
               'events:PutTargets',
               'events:RemoveTargets',
               'events:TagResource',
               'events:UntagResource',
               'ec2:DescribeRegions',
               'iam:AttachRolePolicy',
               'iam:CreatePolicy',
               'iam:CreateRole',
               'iam:DeleteRole',
               'iam:DeleteRolePolicy',
               'iam:GetPolicy',
               'iam:GetPolicyVersion',
               'iam:GetRole',
               'iam:GetRolePolicy',
               'iam:ListAttachedRolePolicies',
               'iam:ListPolicyTags',
               'iam:ListRoleTags',
               'iam:PassRole',
               'iam:PutRolePolicy',
               'iam:TagPolicy',
               'iam:TagRole',
               'iam:UntagPolicy',
               'iam:UntagRole',
               'lambda:AddPermission',
               'lambda:CreateFunction',
               'lambda:DeleteEventSourceMapping',
               'lambda:DeleteFunction',
               'lambda:GetFunction',
               'lambda:GetFunctionConfiguration',
               'lambda:GetPolicy',
               'lambda:ListEventSourceMappings',
               'lambda:ListTags',
               'lambda:TagResource',
               'lambda:UntagResource',
               'lambda:UpdateFunctionConfiguration',
               'logs:CreateLogGroup',
               'logs:DeleteLogGroup',
               'logs:DeleteLogStream',
               'logs:DeleteRetentionPolicy',
               'logs:PutRetentionPolicy',
               'sqs:AddPermission',
               'sqs:CreateQueue',
               'sqs:DeleteQueue',
               'sqs:GetQueueAttributes',
               'sqs:GetQueueUrl',
               'sqs:ListQueueTags',
               'sqs:ListQueues',
               'sqs:RemovePermission',
               'sqs:SetQueueAttributes',
               'sqs:TagQueue',
               'sqs:UntagQueue',
               'sts:GetCallerIdentity',
               'tag:TagResources'
            ],
            "Resource": "*"
        }
    ]
}