Saltar al contenido

AWS Security Hub

Debe unirse al EAP para utilizar esta función.

Puede integrar AWS Security Hub con Sophos Central.

A continuación, AWS puede enviar eventos desde AWS Security Hub al Centro de análisis de amenazas de Sophos Central.

Antes de empezar

Debe activar AWS Security Hub en el entorno que desea integrar antes de continuar.

Durante la integración le proporcionamos comandos para copiar y ejecutar. Debe ejecutar estos comandos en AWS CLI o AWS CloudShell como usuario de IAM con el rol "Administrador". Para saber cómo configurar AWS CLI, consulte Introducción al AWS CLI.

Si no tiene acceso a una cuenta adecuada, puede crear un rol personalizado con permisos específicos. Los permisos que necesita se encuentran en Permisos de rol personalizado.

Configurar la integración de AWS Security Hub

Para integrar su entorno de AWS, haga lo siguiente:

  1. Vaya a Centro de análisis de amenazas y haga clic en Integraciones.
  2. Haga clic en AWS Security Hub.

    Si ya ha configurado conexiones a entornos AWS, puede verlas aquí.

  3. Haga clic en Añadir instancia.

  4. El asistente de Pasos de integración le guiará a través del proceso de conexión a su entorno AWS. Haga lo siguiente:

    1. Copie el comando curl.
    2. Vaya a AWS CLI o AWS CloudShell y ejecute el comando curl.

      Se descarga el script de integración.

    3. Vuelva a Sophos Central y copie el segundo comando que se muestra en Pasos de integración.

    4. Vaya a AWS CLI o AWS CloudShell y ejecute el comando de integración.
  5. Vuelva a Sophos Central.

El entorno AWS aparece en la lista.

Gestionar las integraciones de AWS Security Hub

Puede hacer clic en el nombre del entorno de AWS para editar la configuración.

Estado muestra el estado de la integración con un entorno AWS. Puede estar en pausa, activo, desconectado o eliminado.

Puede hacer clic en el icono de tres puntos y seleccionar acciones, dependiendo del estado actual.

Menú de configuración de integración de AWS Security Hub

Para eliminar una conexión, haga clic en Eliminar. Un asistente le guiará a través del proceso de eliminación de la conexión con comandos de AWS CLI.

Si su licencia de Sophos caduca, las conexiones se pausarán. Al renovar la licencia, las conexiones se convierten automáticamente en activas.

Permisos de rol personalizado

Puede ejecutar los comandos de AWS que le proporcionamos como usuario de IAM con el rol "Administrador".

Si en cambio desea configurar un rol personalizado, utilice los siguientes permisos:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
               'events:DeleteRule',
               'events:ListRules',
               'events:ListTagsForResource',
               'events:ListTargetsByRule',
               'events:PutRule',
               'events:PutTargets',
               'events:RemoveTargets',
               'events:TagResource',
               'events:UntagResource',
               'ec2:DescribeRegions',
               'iam:AttachRolePolicy',
               'iam:CreatePolicy',
               'iam:CreateRole',
               'iam:DeleteRole',
               'iam:DeleteRolePolicy',
               'iam:GetPolicy',
               'iam:GetPolicyVersion',
               'iam:GetRole',
               'iam:GetRolePolicy',
               'iam:ListAttachedRolePolicies',
               'iam:ListPolicyTags',
               'iam:ListRoleTags',
               'iam:PassRole',
               'iam:PutRolePolicy',
               'iam:TagPolicy',
               'iam:TagRole',
               'iam:UntagPolicy',
               'iam:UntagRole',
               'lambda:AddPermission',
               'lambda:CreateFunction',
               'lambda:DeleteEventSourceMapping',
               'lambda:DeleteFunction',
               'lambda:GetFunction',
               'lambda:GetFunctionConfiguration',
               'lambda:GetPolicy',
               'lambda:ListEventSourceMappings',
               'lambda:ListTags',
               'lambda:TagResource',
               'lambda:UntagResource',
               'lambda:UpdateFunctionConfiguration',
               'logs:CreateLogGroup',
               'logs:DeleteLogGroup',
               'logs:DeleteLogStream',
               'logs:DeleteRetentionPolicy',
               'logs:PutRetentionPolicy',
               'sqs:AddPermission',
               'sqs:CreateQueue',
               'sqs:DeleteQueue',
               'sqs:GetQueueAttributes',
               'sqs:GetQueueUrl',
               'sqs:ListQueueTags',
               'sqs:ListQueues',
               'sqs:RemovePermission',
               'sqs:SetQueueAttributes',
               'sqs:TagQueue',
               'sqs:UntagQueue',
               'sts:GetCallerIdentity',
               'tag:TagResources'
            ],
            "Resource": "*"
        }
    ]
}