Vai al contenuto
Il supporto che offriamo per MDR.

AWS Security Hub

API

Per utilizzare questa funzionalità, occorre un pacchetto di licenza per l’integrazione “Cloud pubblico”.

AWS Security Hub può essere integrato con Sophos Central per l’invio di avvisi a Sophos, a scopo di analisi.

Prima di cominciare

Prima di poter continuare, è necessario attivare AWS Security Hub nell’ambiente che si desidera integrare.

Durante l’integrazione vengono forniti comandi da copiare ed eseguire. Questi comandi devono essere eseguiti da un utente IAM con il ruolo di “Amministratore”, utilizzando la CLI di AWS oppure AWS CloudShell. Per informazioni su come configurare la CLI di AWS, vedere Getting started with the AWS CLI (Guida introduttiva alla CLI di AWS).

Se non si ha accesso a un account adeguato, è possibile creare un ruolo personalizzato con autorizzazioni specifiche. Le autorizzazioni da assegnare si trovano nella sezione Autorizzazioni per i ruoli personalizzati.

Configurazione dell’integrazione di AWS Security Hub

Per integrare il proprio ambiente AWS, procedere come segue:

  1. In Sophos Central, selezionare Centro di analisi delle minacce > Integrazioni > Marketplace.
  2. Cliccare su Abilita AWS Secure Hub.

    Se sono già state configurate connessioni ad ambienti AWS, verranno visualizzate qui.

  3. Cliccare su Aggiungi.

  4. L’assistente Passaggi di integrazione mostra tutti i passaggi del processo di connessione al proprio ambiente AWS. Per farlo, procedere come segue:

    1. Copiare il comando curl.
    2. Accedere alla CLI di AWS oppure ad AWS CloudShell ed eseguire il comando curl.

      Verrà scaricato lo script di integrazione.

    3. Tornare a Sophos Central e copiare il secondo comando indicato in Passaggi di integrazione.

    4. Accedere alla CLI di AWS oppure ad AWS CloudShell ed eseguire il comando di integrazione.
  5. Tornare a Sophos Central.

L’ambiente AWS verrà visualizzato nell’elenco.

Gestione delle integrazioni di AWS Security Hub

È possibile cliccare sul nome dell’ambiente AWS per modificare le impostazioni.

Lo Stato mostra lo stato di integrazione con un ambiente AWS. Può essere sospeso, attivo, disconnesso o eliminato.

È possibile cliccare sull’icona con i tre puntini e selezionare azioni, a seconda dello stato corrente.

Menu delle impostazioni di integrazione di AWS Security Hub.

Per eliminare una connessione, cliccare su Elimina. Un assistente descrive tutti i passaggi del processo di eliminazione della connessione, utilizzando i comandi CLI di AWS.

Se la licenza Sophos scade, le connessioni vengono sospese. Al rinnovo della licenza, le connessioni diventano automaticamente Attive.

Inclusione degli account AWS Organizations

Se si utilizza AWS Organizations, è possibile scegliere quali account includere nella raccolta dei dati.

  1. In Sophos Central, aprire Centro di analisi delle minacce e cliccare su Integrazioni.
  2. Cliccare su AWS CloudTrail.

    Verrà visualizzato un elenco delle integrazioni.

  3. Cliccare sul nome dell’integrazione che si desidera modificare.

    Se si hanno molte integrazioni, utilizzare il filtro per elencare le integrazioni che utilizzano AWS Organizations.

  4. In Modifica dettagli > Account è possibile aggiungere un elenco separato da virgole di ID account per i quali si desidera raccogliere dati.

  5. Cliccare su Salva.

Ora raccoglieremo dati solo dagli account AWS inclusi nell’elenco.

Autorizzazioni per i ruoli personalizzati

È possibile eseguire i comandi AWS che forniamo, dall’account di un utente IAM con il ruolo di “Amministratore”.

Se si desidera invece impostare un ruolo personalizzato, utilizzare le seguenti autorizzazioni:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
               'events:DeleteRule',
               'events:ListRules',
               'events:ListTagsForResource',
               'events:ListTargetsByRule',
               'events:PutRule',
               'events:PutTargets',
               'events:RemoveTargets',
               'events:TagResource',
               'events:UntagResource',
               'ec2:DescribeRegions',
               'iam:AttachRolePolicy',
               'iam:CreatePolicy',
               'iam:CreateRole',
               'iam:DeleteRole',
               'iam:DeleteRolePolicy',
               'iam:GetPolicy',
               'iam:GetPolicyVersion',
               'iam:GetRole',
               'iam:GetRolePolicy',
               'iam:ListAttachedRolePolicies',
               'iam:ListPolicyTags',
               'iam:ListRoleTags',
               'iam:PassRole',
               'iam:PutRolePolicy',
               'iam:TagPolicy',
               'iam:TagRole',
               'iam:UntagPolicy',
               'iam:UntagRole',
               'lambda:AddPermission',
               'lambda:CreateFunction',
               'lambda:DeleteEventSourceMapping',
               'lambda:DeleteFunction',
               'lambda:GetFunction',
               'lambda:GetFunctionConfiguration',
               'lambda:GetPolicy',
               'lambda:ListEventSourceMappings',
               'lambda:ListTags',
               'lambda:TagResource',
               'lambda:UntagResource',
               'lambda:UpdateFunctionConfiguration',
               'logs:CreateLogGroup',
               'logs:DeleteLogGroup',
               'logs:DeleteLogStream',
               'logs:DeleteRetentionPolicy',
               'logs:PutRetentionPolicy',
               'sqs:AddPermission',
               'sqs:CreateQueue',
               'sqs:DeleteQueue',
               'sqs:GetQueueAttributes',
               'sqs:GetQueueUrl',
               'sqs:ListQueueTags',
               'sqs:ListQueues',
               'sqs:RemovePermission',
               'sqs:SetQueueAttributes',
               'sqs:TagQueue',
               'sqs:UntagQueue',
               'sts:GetCallerIdentity',
               'tag:TagResources'
            ],
            "Resource": "*"
        }
    ]
}