Vai al contenuto

AWS Security Hub

Per utilizzare questa funzionalità, occorre l’iscrizione all’EAP (Early Access Program).

AWS Security Hub può essere integrata con Sophos Central.

AWS può poi inviare gli eventi da AWS Security Hub al Centro di analisi delle minacce di Sophos Central.

Prima di cominciare

Prima di poter continuare, è necessario attivare AWS Security Hub nell’ambiente che si desidera integrare.

Durante l’integrazione vengono forniti comandi da copiare ed eseguire. Questi comandi devono essere eseguiti da un utente IAM con il ruolo di “Amministratore”, utilizzando la CLI di AWS oppure AWS CloudShell. Per informazioni su come configurare la CLI di AWS, vedere Getting started with the AWS CLI (Guida introduttiva alla CLI di AWS).

Se non si ha accesso a un account adeguato, è possibile creare un ruolo personalizzato con autorizzazioni specifiche. Le autorizzazioni da assegnare si trovano nella sezione Autorizzazioni per i ruoli personalizzati.

Configurazione dell’integrazione di AWS Security Hub

Per integrare il proprio ambiente AWS, procedere come segue:

  1. Aprire Centro di analisi delle minacce e cliccare su Integrazioni.
  2. Cliccare su Abilita AWS Secure Hub.

    Se sono già state configurate connessioni ad ambienti AWS, verranno visualizzate qui.

  3. Cliccare su Aggiungi istanza.

  4. L’assistente Passaggi di integrazione mostra tutti i passaggi del processo di connessione al proprio ambiente AWS. Procedere come segue:

    1. Copiare il comando curl.
    2. Accedere alla CLI di AWS oppure ad AWS CloudShell ed eseguire il comando curl.

      Verrà scaricato lo script di integrazione.

    3. Tornare a Sophos Central e copiare il secondo comando indicato in Passaggi di integrazione.

    4. Accedere alla CLI di AWS oppure ad AWS CloudShell ed eseguire il comando di integrazione.
  5. Tornare a Sophos Central.

L’ambiente AWS verrà visualizzato nell’elenco.

Gestione delle integrazioni di AWS Security Hub

È possibile cliccare sul nome dell’ambiente AWS per modificare le impostazioni.

Lo Stato mostra lo stato di integrazione con un ambiente AWS. Può essere sospeso, attivo, disconnesso o eliminato.

È possibile cliccare sull’icona con i tre puntini e selezionare azioni, a seconda dello stato corrente.

Menu delle impostazioni di integrazione di AWS Security Hub

Per eliminare una connessione, cliccare su Elimina. Un assistente descrive tutti i passaggi del processo di eliminazione della connessione, utilizzando i comandi CLI di AWS.

Se la licenza Sophos scade, le connessioni vengono sospese. Al rinnovo della licenza, le connessioni diventano automaticamente Attive.

Autorizzazioni per i ruoli personalizzati

È possibile eseguire i comandi AWS che forniamo, dall’account di un utente IAM con il ruolo di “Amministratore”.

Se si desidera invece impostare un ruolo personalizzato, utilizzare le seguenti autorizzazioni:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
               'events:DeleteRule',
               'events:ListRules',
               'events:ListTagsForResource',
               'events:ListTargetsByRule',
               'events:PutRule',
               'events:PutTargets',
               'events:RemoveTargets',
               'events:TagResource',
               'events:UntagResource',
               'ec2:DescribeRegions',
               'iam:AttachRolePolicy',
               'iam:CreatePolicy',
               'iam:CreateRole',
               'iam:DeleteRole',
               'iam:DeleteRolePolicy',
               'iam:GetPolicy',
               'iam:GetPolicyVersion',
               'iam:GetRole',
               'iam:GetRolePolicy',
               'iam:ListAttachedRolePolicies',
               'iam:ListPolicyTags',
               'iam:ListRoleTags',
               'iam:PassRole',
               'iam:PutRolePolicy',
               'iam:TagPolicy',
               'iam:TagRole',
               'iam:UntagPolicy',
               'iam:UntagRole',
               'lambda:AddPermission',
               'lambda:CreateFunction',
               'lambda:DeleteEventSourceMapping',
               'lambda:DeleteFunction',
               'lambda:GetFunction',
               'lambda:GetFunctionConfiguration',
               'lambda:GetPolicy',
               'lambda:ListEventSourceMappings',
               'lambda:ListTags',
               'lambda:TagResource',
               'lambda:UntagResource',
               'lambda:UpdateFunctionConfiguration',
               'logs:CreateLogGroup',
               'logs:DeleteLogGroup',
               'logs:DeleteLogStream',
               'logs:DeleteRetentionPolicy',
               'logs:PutRetentionPolicy',
               'sqs:AddPermission',
               'sqs:CreateQueue',
               'sqs:DeleteQueue',
               'sqs:GetQueueAttributes',
               'sqs:GetQueueUrl',
               'sqs:ListQueueTags',
               'sqs:ListQueues',
               'sqs:RemovePermission',
               'sqs:SetQueueAttributes',
               'sqs:TagQueue',
               'sqs:UntagQueue',
               'sts:GetCallerIdentity',
               'tag:TagResources'
            ],
            "Resource": "*"
        }
    ]
}