Integration von IAM Access Analyzer mit AWS Security Hub - AWS Identity and Access Management
So sendet IAM Access Analyzer Ergebnisse an den Security HubAnzeigen von IAM-Access-Analyzer-Ergebnissen im Security HubTypische Ergebnisse von IAM Access AnalyzerAktivieren und Konfigurieren der IntegrationSo beenden Sie das Senden von Ergebnissen

Integration von IAM Access Analyzer mit AWS Security Hub

AWS Security Hub bietet eine umfassende Übersicht über Ihren Sicherheitsstatus in AWS. Es unterstützt Sie bei der Bewertung Ihrer Umgebung anhand von Industriestandards und bewährten Methoden der Sicherheitsbranche. Security Hub sammelt Sicherheitsdaten aus Ihren gesamten AWS-Konten, -Services und unterstützten Produkten von Drittanbietern. Anschließend analysiert es Ihre Sicherheitstrends und identifiziert die Sicherheitsprobleme mit der höchsten Priorität.

Wenn Sie IAM Access Analyzer in Security Hub integrieren, können Sie Erkenntnisse von IAM Access Analyzer an Security Hub senden. Security Hub kann diese Erkenntnisse dann in seine Analyse Ihrer allgemeinen Sicherheitsebenen einbeziehen.

So sendet IAM Access Analyzer Ergebnisse an den Security Hub

Im Security Hub werden Sicherheitsprobleme als Erkenntnisse verfolgt. Einige Ergebnisse stammen von Problemen, die von anderen AWS-Services oder von Drittanbietern entdeckt wurden. Security Hub verwendet ebenfalls verschiedene Regeln, um Sicherheitsprobleme zu erkennen und Ergebnisse zu generieren.

Security Hub bietet Tools zur Verwaltung von Erkenntnissen aus all diesen Quellen. Sie können Erkenntnislisten anzeigen und filtern sowie detaillierte Informationen zu jeder Erkenntnis anzeigen. Weitere Informationen finden Sie unter Anzeigen der Erkenntnisse im AWS Security Hub-Benutzerhandbuch. Darüber hinaus können Sie den Status von Untersuchungen zu Erkenntnissen nachverfolgen. Weitere Informationen finden Sie unter Ergreifen von Maßnahmen zu Erkenntnissen im AWS Security Hub-Benutzerhandbuch.

Alle Funde in Security Hub verwenden ein Standard-JSON-Format, das so genannte AWS-Security Finding Format (ASFF). Das ASFF enthält Details über die Ursache des Problems, die betroffenen Ressourcen und den aktuellen Status der Erkenntnis. Weitere Informationen finden Sie unter AWS-Security Finding-Format (ASFF) im AWS Security Hub-Benutzerhandbuch.

AWS Identity and Access Management Access Analyzer ist einer der AWS-Services-Services, die Erkenntnisse an Security Hub senden. Bei ungenutztem Zugriff erkennt IAM Access Analyzer ungenutzten Zugriff, der IAM-Benutzern oder -Rollen gewährt wurde, und generiert für jeden davon eine Erkenntnis. IAM Access Analyzer sendet diese Erkenntnisse an Security Hub.

Bei externem Zugriff erkennt IAM Access Analyzer Richtlinienanweisungen, die öffentlichen Zugriff oder kontenübergreifenden Zugriff auf externe Prinzipale auf unterstützte Ressourcen in Ihrer Organisation oder Ihrem Konto ermöglichen. IAM Access Analyzer generiert eine Erkenntnis für den öffentlichen Zugriff und sendet ihn an den Security Hub. Für den kontenübergreifenden Zugriff sendet IAM Access Analyzer jeweils eine einzelne Erkenntnis für einen externen Prinzipal an Security Hub. Wenn in IAM Access Analyzer mehrere kontenübergreifende Erkenntnisse vorliegen, müssen Sie die Security-Hub-Erkenntnis für den einzelnen externen Prinzipal auflösen, bevor IAM Access Analyzer die nächste kontenübergreifende Erkenntnis bereitstellt. Um eine vollständige Liste der externen Prinzipale mit kontenübergreifendem Zugriff außerhalb der Vertrauenszone des Analyzer zu erhalten, müssen Sie die Ergebnisse im IAM Access Analyzer anzeigen. Details zur Ressourcenkontrollrichtlinie (RCP) sind im Abschnitt mit den Ressourcendetails verfügbar.

Ergebnisarten, die von IAM Access Analyzer sendet

IAM Access Analyzer sendet die Ergebnisse unter Verwendung des AWS Security Finding Format (ASFF) an den Security Hub. In ASFF gibt das Types-Feld die Art der Erkenntnis an. Die Ergebnisse von IAM Access Analyzer können die folgenden Werte für Types haben.

  • Ergebnisse zum externen Zugriff – Auswirkungen/Offenlegung von Daten/gewährter externer Zugriff

  • Ergebnisse zum externen Zugriff – Software- und Konfigurationsprüfungen/Bewährte Sicherheitsmethoden für AWS/Externer Zugriff gewährt

  • Ergebnisse zum ungenutzten Zugriff – Software- und Konfigurationsprüfungen/Bewährte AWS-Sicherheitsmethoden/Ungenutzte Berechtigungen

  • Ergebnisse zum ungenutzten Zugriff – Software- und Konfigurationsprüfungen/Bewährte Sicherheitsmethoden für AWS/Ungenutzte IAM-Rolle

  • Ergebnisse zum ungenutzten Zugriff – Software- und Konfigurationsprüfungen/Bewährte Sicherheitsmethoden für AWS/Ungenutztes IAM-Benutzerpasswort

  • Ergebnisse zum ungenutzten Zugriff – Software- und Konfigurationsprüfungen/Bewährte Sicherheitsmethoden für AWS/Ungenutzter IAM-Benutzer-Zugriffsschlüssel

Latenz für das Senden von Erkenntnissen

Wenn IAM Access Analyzer ein neues Ergebnis erstellt, wird es normalerweise innerhalb von 30 Minuten an den Security Hub gesendet. Es gibt jedoch seltene Fälle, in denen IAM Access Analyzer möglicherweise nicht über eine Richtlinienänderung benachrichtigt wird. Beispielsweise:

  • Es kann bis zu 12 Stunden dauern, bis Änderungen an den Blockierungseinstellungen für den öffentlichen Zugriff auf Amazon S3-Kontoebene im IAM Access Analyzer angezeigt werden.

  • Änderungen an einer Ressourcenkontrollrichtlinie (RCP) ohne Änderung der ressourcenbasierten Richtlinie lösen keine erneute Suche der im Erkenntnis gemeldeten Ressource aus. IAM Access Analyzer analysiert die neue oder aktualisierte Richtlinie bei der nächsten periodischen Überprüfung, die innerhalb von 24 Stunden stattfindet.

  • Wenn ein Übermittlungsproblem bei der AWS CloudTrail-Protokollzustellung vorliegt, löst eine Richtlinienänderung möglicherweise keine erneute Überprüfung der im Erkenntnis gemeldeten Ressource aus.

In diesen Situationen analysiert IAM Access Analyzer die neue oder aktualisierte Richtlinie während der nächsten regelmäßigen Überprüfung.

Wiederholen, wenn der Security Hub nicht verfügbar ist

Wenn der Security Hub nicht verfügbar ist, versucht IAM Access Analyzer in regelmäßigen Abständen, die Ergebnisse zu senden.

Vorhandene Ergebnisse im Security Hub aktualisieren

Nachdem eine Erkenntnis an Security Hub gesendet wurde, sendet IAM Access Analyzer weiterhin Aktualisierungen, um alle zusätzlichen Beobachtungen der Erkenntnisaktivität an Security Hub abzubilden. Diese Aktualisierungen werden in derselben Erkenntnis abgebildet.

Für Erkenntnisse zum externen Zugriff gruppiert IAM Access Analyzer diese nach Ressourcen. In Security Hub bleibt die Erkenntnis für eine Ressource aktiv, wenn mindestens eine der Erkenntnisse für diese Ressource in IAM Access Analyzer aktiv ist. Wenn alle Erkenntnisse im IAM Access Analyzer für eine Ressource archiviert oder behoben sind, wird auch das Security-Hub-Erkenntnis archiviert. Die Security-Hub-Erkenntnisse werden aktualisiert, wenn sich der Richtlinienzugriff zwischen öffentlichem und kontenübergreifendem Zugriff ändert. Diese Aktualisierung kann Änderungen am Typ, Titel, an der Beschreibung und am Schweregrad des Ergebnisses umfassen.

Erkenntnisse zum ungenutzten Zugriff werden vom IAM Access Analyzer nicht nach Ressource gruppiert. Wenn stattdessen eine Erkenntnis zum ungenutzten Zugriff in IAM Access Analyzer aufgelöst wird, wird das entsprechende Security-Hub-Erkenntnis aufgelöst. Das Security-Hub-Ergebnis wird aktualisiert, wenn Sie den IAM-Benutzer oder die IAM-Rolle aktualisieren, die das Ergebnis zum ungenutzten Zugriff generiert hat.

Anzeigen von IAM-Access-Analyzer-Ergebnissen im Security Hub

Um Ihre IAM-Access-Analyzer-Ergebnisse in Security Hub anzuzeigen, wählen Sie auf der Übersichtsseite im Abschnitt AWS: IAM Access Analyzer die Option Ergebnisse anzeigen. Alternativ können Sie im Navigationsbereich die Option „Ergebnisse“ auswählen. Anschließend können Sie die Ergebnisse so filtern, dass nur AWS Identity and Access Management Access Analyzer-Ergebnisse angezeigt werden, indem Sie das Feld „Produktname:“ mit dem Wert IAM Access Analyzer auswählen.

Interpretieren von Ergebnissen von IAM Access Analyzer von Namen im Security Hub

AWS Identity and Access Management Access Analyzer sendet die Ergebnisse unter Verwendung des AWS Security Finding Format (ASFF) an den Security Hub. In ASFF gibt das Feld „Typen“ den Ergebnistyp. ASFF-Typen verwenden ein anderes Namensschema als AWS Identity and Access Management Access Analyzer. Die folgende Tabelle enthält Details zu allen ASFF-Typen, die mit AWS Identity and Access Management Access Analyzer-Ergebnissen verknüpft sind, wie sie im Security Hub erscheinen.

ASFF-Ergebnistyp Security Hub Beschreibung
Auswirkungen/Offenlegung von Daten/Externer Zugriff gewährt <resource ARN> ermöglicht öffentlichen Zugang Eine ressourcenbasierte Richtlinie, die der Ressource zugewiesen ist, ermöglicht allen externen Prinzipalen den öffentlichen Zugriff auf die Ressource.
Software- und Konfigurationsprüfungen/Bewährte Sicherheitsmethoden für AWS/Externer Zugriff gewährt <resource ARN> ermöglicht kontoübergreifenden Zugriff Eine ressourcenbasierte Richtlinie, die der Ressource zugewiesen ist, ermöglicht dem Analysator kontoübergreifenden Zugriff auf externe Prinzipale außerhalb der Vertrauenszone.
Software- und Konfigurationsprüfungen/Bewährte AWS-Sicherheitsmethoden/Ungenutzte Berechtigungen <resource ARN> enthält ungenutzte Berechtigungen Ein Benutzer oder eine Rolle enthält ungenutzte Service- und Aktionsberechtigungen.
Software- und Konfigurationsprüfungen/Bewährte Sicherheitsmethoden für AWS/Ungenutzte IAM-Rolle <resource ARN> enthält ungenutzte IAM-Rolle Ein Benutzer oder eine Rolle enthält eine ungenutzte IAM-Rolle.
Software- und Konfigurationsprüfungen/Bewährte Sicherheitsmethoden für AWS/Ungenutztes IAM-Benutzerpasswort <resource ARN> enthält ungenutztes IAM-Benutzerpasswort Ein Benutzer oder eine Rolle enthält ein ungenutztes IAM-Benutzerpasswort.
Software- und Konfigurationsprüfungen/Bewährte Sicherheitsmethoden für AWS/Ungenutzter IAM-Benutzer-Zugriffsschlüssel <resource ARN> enthält einen ungenutzten IAM-Benutzer-Zugriffsschlüssel Ein Benutzer oder eine Rolle enthält einen ungenutzten IAM-Benutzer-Zugriffsschlüssel.

Typische Ergebnisse von IAM Access Analyzer

IAM Access Analyzer sendet Ergebnisse unter Verwendung des AWS-Security Finding-Formats (ASFF) an den Security Hub.

Hier ist ein Beispiel für ein typisches Ergebnis von IAM Access Analyzer für Ergebnisse für externen Zugriff.

{
    "SchemaVersion": "2018-10-08",
    "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::amzn-s3-demo-bucket",
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
    "GeneratorId": "aws/access-analyzer",
    "AwsAccountId": "111122223333",
    "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"],
    "CreatedAt": "2020-11-10T16:17:47Z",
    "UpdatedAt": "2020-11-10T16:43:49Z",
    "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
    },
    "Title": "AwsS3Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access",
    "Description": "AWS::S3::Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access from AWS 444455556666",
    "Remediation": {
        "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."}
    },
    "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798",
    "Resources": [
        {
            "Type": "AwsS3Bucket",
            "Id": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Details": {
                "Other": {
                    "External Principal Type": "AWS",
                    "Condition": "none",
                    "Action Granted": "s3:GetObject,s3:GetObjectVersion",
                    "External Principal": "444455556666"
                }
            }
        }
    ],
    "WorkflowState": "NEW",
    "Workflow": {"Status": "NEW"},
    "RecordState": "ACTIVE"
}

Hier ist ein Beispiel für ein typisches Ergebnis von IAM Access Analyzer für Ergebnisse für ungenutzten Zugriff.

{
    "Findings": [
    {
      "SchemaVersion": "2018-10-08",
      "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
      "ProductName": "IAM Access Analyzer",
      "CompanyName": "AWS",
      "Region": "us-west-2",
      "GeneratorId": "aws/access-analyzer",
      "AwsAccountId": "111122223333",
      "Types": [
        "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
      ],
      "CreatedAt": "2023-09-18T16:29:09.657Z",
      "UpdatedAt": "2023-09-21T20:39:16.651Z",
      "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
      },
      "Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions",
      "Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions",
      "Remediation": {
        "Recommendation": {
          "Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved."
        }
      },
      "SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole",
      "ProductFields": {
      "numberOfUnusedActions": "256",
      "numberOfUnusedServices": "15",
      "resourceOwnerAccount": "111122223333",
      "findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7",
      "findingType": "UnusedPermission",
      "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "aws/securityhub/ProductName": "AM Access Analyzer",
      "aws/securityhub/CompanyName": "AWS"
    },
    "Resources": [
    {
      "Type": "AwsIamRole",
      "Id": "arn:aws:iam::111122223333:role/TestRole"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
    },
  "RecordState": "ARCHIVED",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW"
    },
    "Types": [
    "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
    ]
  }
  }
]
}

Aktivieren und Konfigurieren der Integration

Um die Integration mit Security Hub verwenden zu können, müssen Sie den Security Hub aktivieren. Informationen zur Aktivierung von Security Hub finden Sie unter Einrichten von Security Hub im AWS Security Hub-Leitfaden.

Wenn Sie sowohl als auch IAM Access Analyzer Security Hub, wird die Integration automatisch aktiviert. IAM Access Analyzer beginnt sofort, Erkenntnisse an den Security Hub zu senden.

So beenden Sie das Senden von Ergebnissen

Um keine Ergebnisse mehr an Security Hub zu senden, können Sie entweder die Security Hub-Konsole oder die API verwenden.

Siehe Deaktivieren und Aktivieren des Flows von Ergebnissen aus einer Integration (Konsole) oder Deaktivieren des Flows von Ergebnissen aus einer Integration (Security Hub-API, AWS CLI) im AWS Security Hub-Leitfaden.