下载 AWS Security Hub CSV 报告

关键要点

在本文中，我们将介绍如何每周将 AWS Security Hub 的发现导出为 CSV文件，并发送电子邮件通知以便下载该文件。通过这种方法，您可以轻松分享报告，而无需提供 AWS账户的访问权限。这使得您能够生成评估报告，并优先考虑和制定补救计划。

提供了您在 Amazon WebServices (AWS) 中安全状态的全面视图，帮助您检查您的环境是否符合安全标准和最佳实践。启用 Security Hub 后，它将从您使用的 AWS 安全服务中收集和整合发现结果，例如来自 的威胁检测发现、来自 的漏洞扫描、来自 的 S3 存储桶策略发现、来自 的公开可访问和跨账户资源的发现，以及来自 的缺少 覆盖的资源。此外，Security Hub 还集成了来自 AWS 合作伙伴网络 (APN) 安全解决方案的发现。

解决方案概述

本解决方案假设您已在 AWS 账户中启用 。如果尚未启用，请，以便开始查看您 AWS 账户中的安全发现。

解决方案工作原理

1. 一个基于时间的 事件调用一个 Lambda 函数进行处理。
2. Lambda 函数从 Security Hub API 获取发现结果，并将其写入 CSV 文件。
3. API 将文件上传到 Amazon S3，并生成一个持续 24 小时或 Lambda 中使用的临时凭证有效期的 。
4. Amazon SNS 向部署时提供的电子邮件地址发送邮件通知。该邮箱地址可通过 进行更新。
5. 电子邮件中包含用于下载文件的链接。

报告中包含的字段

注意： 您可以通过修改 Lambda 函数来扩展报告，以添加所需的字段。

解决方案资源

本文提供的解决方案包含一个名为 的 模板，该模板部署以下资源：

1. 一个名为 SecurityHubRecurringFullReport 的 主题及其电子邮件订阅。

...（此处省略部分）

部署解决方案

使用以下步骤在单个 AWS账户中部署此解决方案。如果您有或使用，报告将从链接的 AWS 账户和区域获取发现。

部署步骤

1. 从我们的 下载 CloudFormation 模板 。
2. 将模板复制到您目标 AWS 账户和区域的 S3 存储桶内。复制 CloudFormation 模板 .json 文件的对象 URL。
3. 在 AWS 管理控制台中，转到 CloudFormation 控制台。选择 Create Stack 并选择 With new resources 。

...（此处省略部分）

测试解决方案

您可以在部署完成后发送测试邮件。为此，打开 Lambda 控制台，找到 SendSecurityHubFullReportEmail Lambda函数。使用事件有效负载执行 ，在几分钟内就能接收邮件。您可以根据需要多次重复此过程。

结论

在这篇文章中，我向您展示了一种快速构建解决方案的方法，用于发送 AWS账户的每周安全状态发现报告。该解决方案使您能够认真审查未解决的发现，并根据其严重性及时进行补救。您可以通过多种方式扩展此解决方案，包括：

• 将文件发送至任何支持电子邮件的工单服务，例如 ServiceNow 或其他 SIEM。
• 添加内部维基链接，提供与漏洞管理或其他内部流程相关的工作流信息。
• 修改筛选器、电子邮件内容和发送频率，以扩展解决方案。

要了解有关设置和自定义 Security Hub 的更多信息，请参见 。

如果您对本文有任何反馈，请在下面的评论部分提交意见。如果您对本文有任何疑问，请在 开始一个主题讨论。

想了解更多 AWS 安全新闻？关注我们。

Pablo Pagani

Pablo 是 AWS 专业服务的高级拉美区安全经理，驻于阿根廷布宜诺斯艾利斯。他帮助客户在 AWS 中建立安全的旅程。在使用 Talent MSX编写第一行 BASIC 代码时，他对计算机产生了热情。