Zum Inhalt

AWS Security Hub

Sie müssen dem EAP beitreten, um diese Funktion verwenden zu können.

Sie können den AWS Security Hub in Sophos Central integrieren.

AWS kann dann Ereignisse vom AWS Security Hub an das Bedrohungsanalyse-Center von Sophos Central senden.

Vorbereitende Schritte

Sie müssen AWS Security Hub in der Umgebung aktivieren, die Sie integrieren möchten, bevor Sie fortfahren können.

Während der Integration geben wir Ihnen Befehle zum Kopieren und Ausführen. Sie müssen diese Befehle in die AWS-Kommandozeile oder AWS CloudShell von einem IAM-Benutzer mit der Rolle „Administrator“ ausführen. Weitere Informationen zum Einrichten der AWS-Kommandozeile finden Sie unter Erste Schritte mit der AWS-Kommandozeile.

Wenn Sie keinen Zugriff auf ein entsprechendes Konto haben, können Sie eine benutzerdefinierte Rolle mit bestimmten Berechtigungen erstellen. Die erforderlichen Berechtigungen finden Sie unter Benutzerdefinierte Rollenberechtigungen.

Einrichten der Integration des AWS Security Hub

So integrieren Sie Ihre AWS-Umgebung:

  1. Gehen Sie zu Bedrohungsanalyse-Center und klicken Sie auf Integrationen.
  2. Klicken Sie auf AWS Security Hub.

    Wenn Sie bereits Verbindungen zu AWS-Umgebungen eingerichtet haben, sehen Sie diese hier.

  3. Klicken Sie auf Instanz hinzufügen.

  4. Der Integrationsschritte-Assistent führt Sie durch den Prozess der Verbindung mit Ihrer AWS-Umgebung. Gehen Sie folgendermaßen vor:

    1. Kopieren Sie den curl-Befehl.
    2. Gehen Sie zur AWS-Kommandozeile oder AWS CloudShell und führen Sie den curl-Befehl aus.

      Das Integrationsskript wird heruntergeladen.

    3. Wechseln Sie wieder zu Sophos Central und kopieren Sie den zweiten Befehl, der in den Integrationsschritten angezeigt wird.

    4. Gehen Sie zur AWS-Kommandozeile oder AWS CloudShell und führen Sie den integration-Befehl aus.
  5. Kehren Sie zurück zu Sophos Central.

Die AWS-Umgebung wird in der Liste angezeigt.

„AWS Security Hub“-Integrationen verwalten

Sie können auf den Namen der AWS-Umgebung klicken, um die Einstellungen zu bearbeiten.

Status zeigt den Status der Integration in eine AWS-Umgebung an. Dieser kann „angehalten“, „aktiv“, „getrennt“ oder „gelöscht“ lauten.

Sie können je nach aktuellem Status auf das Symbol mit den drei Punkten klicken und Aktionen auswählen.

Menü mit den Einstellungen für die Integration des AWS Security Hub

Um eine Verbindung zu löschen, klicken Sie auf Löschen. Ein Assistent führt Sie mithilfe von AWS-Kommandozeilen-Befehlen durch das Löschen der Verbindung.

Wenn Ihre Sophos-Lizenz abläuft, werden Ihre Verbindungen angehalten. Wenn Sie Ihre Lizenz erneuern, werden die Verbindungen automatisch aktiv.

Benutzerdefinierte Rollenberechtigungen

Sie können die AWS-Befehle ausführen, die wir Ihnen von einem IAM-Benutzer mit der Rolle „Administrator“ geben.

Wenn Sie stattdessen eine benutzerdefinierte Rolle einrichten möchten, verwenden Sie die folgenden Berechtigungen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
               'events:DeleteRule',
               'events:ListRules',
               'events:ListTagsForResource',
               'events:ListTargetsByRule',
               'events:PutRule',
               'events:PutTargets',
               'events:RemoveTargets',
               'events:TagResource',
               'events:UntagResource',
               'ec2:DescribeRegions',
               'iam:AttachRolePolicy',
               'iam:CreatePolicy',
               'iam:CreateRole',
               'iam:DeleteRole',
               'iam:DeleteRolePolicy',
               'iam:GetPolicy',
               'iam:GetPolicyVersion',
               'iam:GetRole',
               'iam:GetRolePolicy',
               'iam:ListAttachedRolePolicies',
               'iam:ListPolicyTags',
               'iam:ListRoleTags',
               'iam:PassRole',
               'iam:PutRolePolicy',
               'iam:TagPolicy',
               'iam:TagRole',
               'iam:UntagPolicy',
               'iam:UntagRole',
               'lambda:AddPermission',
               'lambda:CreateFunction',
               'lambda:DeleteEventSourceMapping',
               'lambda:DeleteFunction',
               'lambda:GetFunction',
               'lambda:GetFunctionConfiguration',
               'lambda:GetPolicy',
               'lambda:ListEventSourceMappings',
               'lambda:ListTags',
               'lambda:TagResource',
               'lambda:UntagResource',
               'lambda:UpdateFunctionConfiguration',
               'logs:CreateLogGroup',
               'logs:DeleteLogGroup',
               'logs:DeleteLogStream',
               'logs:DeleteRetentionPolicy',
               'logs:PutRetentionPolicy',
               'sqs:AddPermission',
               'sqs:CreateQueue',
               'sqs:DeleteQueue',
               'sqs:GetQueueAttributes',
               'sqs:GetQueueUrl',
               'sqs:ListQueueTags',
               'sqs:ListQueues',
               'sqs:RemovePermission',
               'sqs:SetQueueAttributes',
               'sqs:TagQueue',
               'sqs:UntagQueue',
               'sts:GetCallerIdentity',
               'tag:TagResources'
            ],
            "Resource": "*"
        }
    ]
}