2022-09-06 将第三方扫描结果Nessus的CSV导入A

我的学习心得,与AWS公司无关

背景

刚刚看到AWS家官方发布的英文blog，将CSV文件通过放入S3后，使用Lambda将其分析后生成Security Hub ASFF格式finding进入Securityhub生成一条标准finding： How to export AWS Security Hub findings to CSV format

突然想起来，我半年前做过一个类似的啊！因为当时中国区Nessus还没上marketplace，中国区也没有inspector，于是我就用这个思路将Nessus的扫描报告写成近乎与Inspector一样的格式，接入了Securityhub，并且还通过private IP找到ec2主机的基本信息，解决了安全人员扫漏洞容易，找机器难的旧疾！
如下图，为Inspector与Nessus 进入Securityhub finding的对比图

InspectorvsNessusFinding.png

架构

一个S3加一个Lambda，很简单吧！

architecture.png

重点是lambda里写的东西！
Lambda代码请上我的GitHub下载.

部署

Step1 S3需要配置一下监听，请参考[2]操作，确保下图中的设置为ON

S3event.png

Step2 请从[GitHub]下载所有文件然后按照Readme中的CLI 命令一路copy paste就可以了

测试

为了避免不同VPC中相同private IP的重复问题，我在lambda中要验证VPCID，所以建议在使用Nessus配置任务时就把任务名设置为VPCID，然后导出的CSV文件自动以VPCID开头，直接扔进S3就行。
注意，现在Nessus已经在中国区的Marketplace上购买了，它家官方有插件就能自动进入finding，这个lambda其实已经不需要了，但是如果你使用的是其它opensource的工具，就可以使用这个思路，修改下Lambda中对应的字段就可以接入Securityhub了。如果想请人帮忙，可以联系你AWS的代表，请他联系ProServe 安全团队哦.

参考文献

【1】 How to export AWS Security Hub findings to CSV format
【2】使用 Amazon S3 控制台启用和配置事件通知