Security Hub Extended 实战:21 家安全方案一键接入,告警终于不用到处翻了
安全团队日常:早上打开 CrowdStrike 看端点告警,切到 Snyk 看漏洞,再去 Datadog 看异常流量,然后翻 GuardDuty 看威胁检测……五六个控制台轮着看,关联分析全靠人脑。
AWS Security Hub Extended 想解决的就是这个问题:把 21 家安全合作伙伴的告警汇到一个地方,统一优先级排序,一个面板看完所有问题。
Security Hub Extended 是什么
Security Hub 本身就支持接收第三方安全产品的 findings(安全发现)。但之前接入一个新的安全工具需要:手动配置集成、调数据格式、写映射规则。
Security Hub Extended 把这个过程简化了——21 家预置好的合作伙伴方案,一键启用就能收到他们的告警,格式已经标准化成 ASFF(AWS Security Finding Format)。
覆盖的 9 个安全类别
| 类别 | 代表方案 | 解决什么问题 |
|---|---|---|
| 端点防护 | CrowdStrike, SentinelOne | 服务器/工作站恶意软件检测 |
| 云安全态势 (CSPM) | Wiz, Orca | 云资源错误配置扫描 |
| 威胁情报 | Recorded Future | 外部威胁 IP/域名匹配 |
| 漏洞管理 | Snyk, Tenable | 代码和基础设施漏洞 |
| 网络检测 | Darktrace | 异常流量和横向移动 |
| 身份安全 | CyberArk | 特权账号异常行为 |
| 数据安全 | Varonis | 敏感数据访问异常 |
| 应用安全 | Contrast Security | 运行时应用攻击 |
| 合规审计 | Vanta | 持续合规监控 |
实操:启用 + 配置
第一步:在 Security Hub 里启用 Extended
aws securityhub enable-security-hub \
--enable-default-standards \
--region us-east-1
# 启用 Extended 集成
aws securityhub enable-import-findings-for-product \
--product-arn arn:aws:securityhub:us-east-1::product/crowdstrike/falcon
或者在控制台:Security Hub → Integrations → 找到 CrowdStrike → Enable。
第二步:在第三方产品里配置推送
以 CrowdStrike 为例:
- 登录 CrowdStrike Falcon 控制台
- 进入 Settings → Integrations → AWS Security Hub
- 输入你的 AWS 账号 ID 和 Region
- 选择要推送的告警级别(建议 Medium 及以上)
- 保存
配置完成后,CrowdStrike 检测到的威胁会自动推送到 Security Hub。
第三步:配置聚合和自动化
import boto3
client = boto3.client('securityhub', region_name='us-east-1')
# 创建 Insight:聚合所有"高危"告警
client.create_insight(
Name='High Severity Across All Products',
Filters={
'SeverityLabel': [
{'Value': 'HIGH', 'Comparison': 'EQUALS'},
{'Value': 'CRITICAL', 'Comparison': 'EQUALS'}
],
'RecordState': [
{'Value': 'ACTIVE', 'Comparison': 'EQUALS'}
]
},
GroupByAttribute='ProductName'
)
这个 Insight 会把所有产品的高危告警汇总,按产品分组。一眼看出哪个方向问题多。
第四步:自动响应
结合 EventBridge 做自动化:
# EventBridge 规则:Security Hub 高危 → SNS 通知 + Lambda 自动处置
import json
def lambda_handler(event, context):
finding = event['detail']['findings'][0]
severity = finding['Severity']['Label']
product = finding['ProductName']
title = finding['Title']
resource = finding['Resources'][0]['Id']
# 高危自动隔离
if severity == 'CRITICAL':
# 示例:EC2 实例添加隔离安全组
ec2 = boto3.client('ec2')
instance_id = resource.split('/')[-1]
ec2.modify_instance_attribute(
InstanceId=instance_id,
Groups=['sg-isolation-quarantine']
)
# 通知安全团队
sns = boto3.client('sns')
sns.publish(
TopicArn='arn:aws:sns:us-east-1:123456789:security-alerts',
Subject=f'[CRITICAL] {product}: {title}',
Message=json.dumps(finding, indent=2, default=str)
)
return {'statusCode': 200}
比自建集成好在哪
自己对接第三方安全工具,典型工作量:
- 读 API 文档(每家不同)
- 写数据格式转换(每家的告警 schema 不同)
- 处理认证(API Key/OAuth/Webhook)
- 维护连接(API 版本升级、格式变更)
21 家工具自己对接,少说两三周。用 Security Hub Extended,一个下午全部配完。
而且 ASFF 标准格式意味着:
- 所有告警有统一的严重级别(CRITICAL/HIGH/MEDIUM/LOW/INFORMATIONAL)
- 统一的资源标识(AWS Resource ARN)
- 统一的时间戳和状态管理
- 可以跨产品关联分析
跨账号聚合
多账号环境(Organizations)下,Security Hub 支持 delegated administrator 模式:
# 在管理账号里指定安全账号为 delegated admin
aws securityhub create-members \
--account-details AccountId=222233334444
aws securityhub update-organization-configuration \
--auto-enable
所有成员账号的 findings 自动汇聚到安全账号。21 个安全产品 × N 个账号的告警,全部集中管理。
成本
Security Hub 本身按 finding 数量计费:
- 前 10,000 条/月:免费
- 10,001 - 100,000 条:$0.00003/条
- 100,000+ 条:$0.000015/条
按月 50,000 条 findings 算,约 $1.2/月。成本几乎可以忽略。
第三方安全产品本身的费用另算(CrowdStrike、Wiz 等有自己的订阅费),但 Security Hub 的集成和聚合不额外收费。
适合谁
适合:
- 已经用了 2 个以上安全工具的团队
- 多账号环境需要集中管理安全态势
- 安全团队想减少"登录多个控制台"的时间
- 需要自动化响应(告警→自动隔离/通知)
可能不需要:
- 只用 AWS 原生安全服务(GuardDuty + Inspector + Macie)的小团队
- 单账号、单应用、安全需求简单的场景
小结
Security Hub Extended 的核心价值:把分散在 21 个安全产品里的告警聚到一个面板,用统一格式做优先级排序和自动响应。
安全运营的痛点从来不是"发现不了问题",而是"告警太多太分散,不知道先处理哪个"。统一视图 + 自动排序 + 自动响应,这三步组合下来,安全团队的有效响应速度能提高不少。
官方文档:https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html
AWS Security Hub 由亚马逊云科技提供。Extended 集成无额外费用,按 finding 数量标准计费。
浙公网安备 33010602011771号