Puede importar los hallazgos de AWS Security Hub a New Relic para lograr una vista única y unificada de las vulnerabilidades. El proceso utiliza EventBridge para publicar los hallazgos de los servicios de informes de seguridad de AWS a través de un destino de API de AWS.
Después de completar estos pasos, verá nuevas vulnerabilidades detectadas por las herramientas de seguridad de AWS en su cuenta de New Relic en tiempo real y podrá crear un panel de análisis y habilitar en problemas recientemente detectados.
También puede importar los hallazgos de AWS GuardDuty e Inspector y verlos a través del panel personalizado o consulta mediante NRDB.
Requisitos previos
Para enviar datos de seguridad de AWS a New Relic:
- Habilite AWS Security Hub en su cuenta de AWS.
- Obtenga una clave de licencia de New Relic para la cuenta a la que desea informar datos.
Crear un destino API para la ingesta
Crear destino API
En su UI de AWS, navegue hasta EventBridge > Integrations > API destinations > Create API destination.
Complete el símbolo.
Construya su extremo usando el siguiente patrón e ingréselo en el extremo de destino API:
https://security-ingest-processor.service.newrelic.com/v1/security/webhooks/awssecurityhub?Api-Key=NEW_RELIC_LICENSE_KEYImportante
Utilice el extremo de la UE si está utilizando una clave de licencia de la UE:
https://security-ingest-processor.service.eu.newrelic.com/v1/security/webhooks/awssecurityhub?Api-Key=NEW_RELIC_LICENSE_KEYSeleccione POST como método HTTP.
Seleccione Create a new connection.
Crear una nueva conexión
Complete los campos en el nuevo símbolo.
Para
Destination
seleccione
Other
.
Para
Authorization type
seleccione
API Key
.
Para
API Key Name
escriba
Api-Keyy pegue su New Reliccomo valor.
Crear una regla de EventBridge
Una vez que haya creado un destino API para la ingesta, cree una regla de Eventbridge para reenviar eventos relacionados con la seguridad a un destino API para la ingesta de New Relic.
Definir detalle de regla
En su UI de AWS, navegue hasta
EventBridge > Rules > Create Rule
.
Introduzca un nombre en el campo de nombre, como
SecurityEvent_NewRelicSIP_EventForwarder_Rule.Introduzca una descripción, como
Forwards Security Hub, GuardDuty, and Inspector events to the New Relic Security Ingest Processor (SIP).Para bus de eventos, seleccione
default.Para el tipo de regla, seleccione
Rule with an event pattern.Seleccione
Next
.
Crear patrón de evento
En el nuevo panel, seleccione AWS events or EventBridge partner events como origen del evento.
Opcional: elija cualquier evento de muestra de Security Hub del menú desplegable para probar su regla.
Para el patrón de evento, ingrese, seleccione el panel de patrones personalizados e ingrese un patrón. Por ejemplo, el siguiente patrón coincide con eventos de Security Hub, Guard Duty e Inspector:
{"detail-type": [{"prefix": "Security Hub"},{"prefix": "GuardDuty Finding"},{"prefix": "Inspector2"}]}
Seleccione el destino API como objetivo de la regla
Para
Target types
, seleccione
EventBridge API destination
.
Para
API destination
, seleccione
Use an existing API destination
.
Usando el menú desplegable, seleccione el destino de API que creó en el paso 1.
Para el rol de ejecución, seleccione
Create a new role for this specific resource
.
Configurar etiqueta (Opcional)
Configure su etiqueta según sea necesario.
Revisar y crear
Revise todas sus selecciones y realice los cambios necesarios.
Revisión en NRDB
Para revisar el registro ingerido a través de AWS Event Bridge, puede utilizar la siguiente consulta NRQL:
FROM Vulnerability SELECT * WHERE source LIKE 'AWS%' SINCE 3 MONTHS AGOTenga en cuenta que los resultados de GuardDuty e Inspector solo se mostrarán de esta manera, mientras que las vulnerabilidades de SecurityHub serán visibles en la Gestión de vulnerabilidades de New Relic (si está disponible).