Vous pouvez importer les résultats d'AWS Security Hub dans New Relic pour obtenir une vue unique et unifiée des vulnérabilités. Le processus utilise EventBridge pour publier les résultats des services de création de rapports de sécurité AWS via une destination API AWS.
Une fois ces étapes terminées, vous verrez les nouvelles vulnérabilités détectées par les outils de sécurité AWS dans votre compte New Relic en temps réel, et vous pourrez créer un dashboard d'analyse et activer sur les problèmes nouvellement détectés.
Vous pouvez également importer les résultats d'AWS GuardDuty et Inspector et les afficher via un dashboard personnalisé ou une requête à l'aide de NRDB.
Prérequis
Pour envoyer des données de sécurité AWS à New Relic :
- Activez AWS Security Hub sur votre compte AWS.
- Obtenez une clé de licence New Relic pour le compte auquel vous souhaitez signaler des données.
Créer une destination API pour l'ingestion
Créer une destination API
Dans votre UI AWS, accédez à EventBridge > Integrations > API destinations > Create API destination.
Remplissez l'invite.
Construisez votre point de terminaison à l’aide du modèle ci-dessous et entrez-le dans le point de terminaison de destination de l’API :
https://security-ingest-processor.service.newrelic.com/v1/security/webhooks/awssecurityhub?Api-Key=NEW_RELIC_LICENSE_KEYImportant
Utilisez le point de terminaison UE si vous utilisez une clé de licence UE :
https://security-ingest-processor.service.eu.newrelic.com/v1/security/webhooks/awssecurityhub?Api-Key=NEW_RELIC_LICENSE_KEYSélectionnez POST comme méthode HTTP.
Sélectionnez Create a new connection.
Créer une nouvelle connexion
- Remplissez les champs dans la nouvelle prompt.
- Pour Destination sélectionnez Other.
- Pour Authorization type sélectionnez API Key.
- Pour API Key Name saisissez
Api-Keyet collez votre New Relic comme valeur.
Créer une règle EventBridge
Une fois que vous avez créé une destination d'API pour l'ingestion, créez une règle Eventbridge pour transférer l'événement lié à la sécurité vers une destination d'API pour l'ingestion de New Relic.
Définir les détails de la règle
- Dans votre UI AWS, accédez à EventBridge > Rules > Create Rule.
- Saisissez un nom dans le champ nom, tel que
SecurityEvent_NewRelicSIP_EventForwarder_Rule. - Saisissez une description, telle que
Forwards Security Hub, GuardDuty, and Inspector events to the New Relic Security Ingest Processor (SIP). - Pour le bus événementiel, sélectionnez
default. - Pour le type de règle, sélectionnez
Rule with an event pattern. - Sélectionnez Next.
Créer un modèle d'événement
Dans le nouveau volet, sélectionnez AWS events or EventBridge partner events comme source de l’événement.
Facultatif : choisissez n’importe quel exemple d’événement Security Hub dans la liste déroulante pour tester votre règle.
Pour le modèle d’événement, accédez au volet Sélectionner les modèles personnalisés et saisissez un modèle. Par exemple, le modèle ci-dessous correspond à l'événement de Security Hub, Guard Duty et Inspector :
{"detail-type": [{"prefix": "Security Hub"},{"prefix": "GuardDuty Finding"},{"prefix": "Inspector2"}]}
Sélectionnez la destination de l’API comme cible de la règle
- Pour Target types, sélectionnez EventBridge API destination.
- Pour API destination, sélectionnez Use an existing API destination.
- À l’aide de la liste déroulante, sélectionnez la destination API que vous avez créée à l’étape 1.
- Pour le rôle d’exécution, sélectionnez Create a new role for this specific resource.
Configurer la balise (facultatif)
Configurez votre balise selon vos besoins.
Réviser et créer
Vérifiez toutes vos sélections et apportez les modifications nécessaires.
Avis dans NRDB
Pour consulter le log ingéré via AWS événement Bridge, vous pouvez utiliser la requête NRQL suivante :
FROM Vulnerability SELECT * WHERE source LIKE 'AWS%' SINCE 3 MONTHS AGONotez que les résultats de GuardDuty et Inspector ne s'afficheront que de cette manière, tandis que les vulnérabilités de SecurityHub seront visibles dans Security RX de New Relic (si disponible).