Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einführung in AWS Security Hub
AWS Security Hub ist eine einheitliche Cloud-Sicherheitslösung, die Ihre kritischen Sicherheitsprobleme priorisiert und Ihnen hilft, in großem Umfang darauf zu reagieren. Security Hub erkennt Sicherheitsprobleme, indem es Sicherheitssignale aus verschiedenen Quellen wie Posture Management, Schwachstellenmanagement (Amazon Inspector), vertrauliche Daten (Amazon Macie) und Bedrohungserkennung (Amazon) automatisch korreliert und anreichert. GuardDuty Auf diese Weise können Sicherheitsteams aktive Risiken in ihren Cloud-Umgebungen durch automatisierte Analysen und kontextuelle Einblicke priorisieren. Durch intuitive Visualisierungen wandelt Security Hub komplexe Sicherheitssignale in umsetzbare Erkenntnisse um, sodass Sie schnell fundierte Entscheidungen über Ihre Sicherheit treffen können. Security Hub umfasst auch automatisierte Reaktionsworkflows, mit denen Sie Risiken minimieren, die Teamproduktivität verbessern und Betriebsunterbrechungen minimieren können.
## Features
**Einheitliche Sicherheitslösung**
Verschaffen Sie sich durch zentralisiertes Management in einer einheitlichen Cloud-Sicherheitslösung einen besseren Überblick über Ihre gesamte Cloud-Umgebung.
**Umsetzbare Einblicke in die Sicherheit**
Gewinnen Sie mithilfe fortschrittlicher Analysen umsetzbare Einblicke in die Sicherheit, um mehr über die mit Ihrer Umgebung verbundenen Sicherheitsrisiken zu erfahren.
**Verkürzte Reaktionszeiten**
Optimieren Sie die Reaktionszeiten mit automatisierten Workflows und einem integrierten Ticketsystem.
**Ergebnisse zur Exposition**
Security Hub korreliert Ergebnisse von Security Hub CSPM-Kontrollprüfungen, Amazon Inspector und anderen, um Risiken im Zusammenhang AWS-Services mit Ressourcen zu erkennen. AWS
**Die Ergebnisse werden im Open Cybersecurity Schema Framework (OCSF) formatiert**
Security Hub generiert Ergebnisse in OCSF und erhält Ergebnisse in OCSF von Security Hub CSPM und anderen: AWS-Services
+ Amazon GuardDuty
+ Amazon Macie
+ Amazon Inspector
**Dashboard**
Die Security Hub Hub-Konsole bietet einen umfassenden Überblick über Ihre Risiken, Bedrohungen, Sicherheitsvorkehrungen und Ressourcen sowie eine interaktive Visualisierung, das sogenannte Angriffspfaddiagramm, das zeigt, wie potenzielle Angreifer auf Ressourcen zugreifen und diese kontrollieren können, die mit einer Sicherheitslücke verknüpft sind.
**Integrationen mit Produkten von Drittanbietern**
Sie können Ihre Sicherheitslage mit Security Hub Hub-Integrationen verbessern. Wenn Sie beispielsweise Jira Cloud oder verwendenServiceNow ITSM, können Sie diese Funktion verwenden, um Tickets aus Ergebnissen zu erstellen.
## Integrationen
Security Hub erhält Ergebnisse aus den folgenden Quellen AWS-Services.
+ AWS Security Hub CSPM
+ Amazon GuardDuty
+ Amazon Inspector
+ Amazon Macie
## Zugriffsmöglichkeiten
Security Hub ist in den meisten AWS Regionen verfügbar. Eine Liste der Regionen, in denen Security Hub derzeit verfügbar ist, finden Sie unter [Security Hub Hub-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/sechub.html) in der *Allgemeine AWS-Referenz*. Informationen zur Verwaltung AWS-Regionen für Sie finden Sie im *AWS -Kontenverwaltung Referenzhandbuch* unter [Angeben AWS-Konto, welche Konten für AWS-Regionen Ihr Konto verwendet werden können](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).
Sie können Security Hub für einzelne Konten oder Konten in Ihrer Organisation aktivieren. In jeder Region können Sie auf eine der folgenden Arten auf Security Hub zugreifen und ihn verwenden:
**Security Hub Hub-Konsole**
Die Security Hub Hub-Konsole ist eine browserbasierte Oberfläche, mit der Sie AWS Ressourcen erstellen und verwalten können. In dieser Konsole können Sie auf Ihr Konto, Ihre Daten und Ressourcen zugreifen.
**Security Hub Hub-API**
Die Security Hub Hub-API ermöglicht Ihnen programmatischen Zugriff auf Ihr Konto, Ihre Daten und Ressourcen. Sie können HTTPS-Anfragen direkt an Security Hub senden.
**AWS CLI**
Mit [dem AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) können Sie Befehle in der Befehlszeile Ihres Systems ausführen, um Aufgaben auszuführen, und Skripts erstellen, die Aufgaben ausführen. In einigen Fällen AWS CLI kann sie nützlicher sein als die Security Hub Hub-Konsole.
**AWS SDKs**
[AWS SDKs](https://aws.amazon.com/developertools/)besteht aus Bibliotheken und Beispielcode für verschiedene Programmiersprachen und Plattformen (C\$1\$1, Go, Java, .NET und Python). Sie bieten programmatischen Zugriff auf Security Hub und andere Anwendungen AWS-Services in Ihrer bevorzugten Sprache und können Ihnen helfen, Aufgaben wie das Verwalten von Fehlern, das Signieren von Anfragen und das Wiederholen von Anfragen zu verwalten.
## Preisgestaltung
# Security Hub Hub-Konzepte
In Security Hub bauen wir auf gemeinsamen AWS Konzepten und Terminologie auf und verwenden diese zusätzlichen Begriffe.
**Account**
Das AWS Standardkonto, das Ihre AWS Ressourcen enthält. Melden Sie sich AWS mit Ihrem AWS Konto an, um Security Hub zu aktivieren.
Wenn Ihr Konto registriert ist AWS Organizations, weist Ihre Organisation ein Security Hub-Administratorkonto zu. Dieses Konto kann andere Unternehmenskonten als Mitgliedskonten aktivieren.
Eine Organisation kann nur ein Administratorkonto haben. Ein Konto kann nicht gleichzeitig ein Administratorkonto und ein Mitgliedskonto sein.
Security Hub unterstützt die folgenden Konten:
+ Organisationsverwaltungskonto — ein AWS Konto, das eine AWS Organisation verwaltet.
+ Delegiertes Administratorkonto — ein AWS Konto, das die Nutzung eines AWS-Service für eine AWS Organisation verwaltet.
+ Mitgliedskonto — ein AWS Konto, das Mitglied einer AWS Organisation ist.
+ Eigenständiges Konto — ein AWS Konto ohne AWS Organizations Aktivierung
**Administratorkonto**
Bei diesem AWS Kontotyp können Ergebnisse für verknüpfte Mitgliedskonten angezeigt werden.
Dieser AWS Kontotyp wird zu einem Administratorkonto, wenn das Konto von einem Organisationsverwaltungskonto als Security Hub-Administratorkonto festgelegt wird. Das Security Hub-Administratorkonto kann jedes Unternehmenskonto als Mitgliedskonto aktivieren und auch andere Konten als Mitgliedskonten einladen.
Eine Organisation kann nur ein Administratorkonto haben. Ein Konto kann nicht gleichzeitig ein Administratorkonto und ein Mitgliedskonto sein.
**Aggregationsregion**
Ein Aggregationsbereich ermöglicht es Ihnen, Sicherheitserkenntnisse aus mehreren Bereichen AWS-Regionen in einem einzigen Fenster anzuzeigen.
In der Aggregationsregion können Sie AWS-Region Ergebnisse einsehen und verwalten. Ergebnisse werden in der Aggregationsregion aus verknüpften Regionen aggregiert. Aktualisierte Ergebnisse werden in allen Regionen repliziert.
In der Aggregationsregion enthalten das Dashboard und die Inventarseiten Daten aus allen verknüpften Regionen. Die Automationsseite kann nur verwendet werden, um Automatisierungsregeln in der Aggregationsregion zu definieren. Ticketing-Integrationen von Drittanbietern können nur in der Aggregationsregion konfiguriert werden.
**Archivierter Befund**
Ein Befund mit dem Status`ARCHIVED`. Diese Ergebnisse deuten darauf hin, dass der Anbieter oder Kunde, der das Ergebnis untersucht, der Ansicht ist, dass das Ergebnis nicht mehr relevant ist.
Finding Provider können die von ihnen erstellten Ergebnisse archivieren. Kunden können alle Ergebnisse, die ihrer Meinung nach nicht mehr relevant sind, mithilfe des [BatchUpdateFindingsV2-Betriebs](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindingsV2.html) der Security Hub Hub-API oder durch Aktualisierung des Status in der Security Hub Hub-Konsole archivieren.
In der Security Hub Hub-Konsole schließen die Standardfiltereinstellungen archivierte Ergebnisse aus Suchlisten und Tabellen aus. Sie können die Filter aktualisieren, um archivierte Ergebnisse einzubeziehen. Wenn Sie Ergebnisse mithilfe des [GetFindingsV2-Vorgangs](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html) abrufen, ruft der Vorgang sowohl archivierte als auch aktive Ergebnisse ab. Das folgende Beispiel zeigt, wie archivierte Ergebnisse in den Ergebnissen ausgeschlossen werden können.
```
{
"StringFilters":
[
{
"FieldName": "status",
"Filter":
{
"Value": "Archived",
"Comparison": "EQUALS"
}
}
]
}
```
**Regionsübergreifende Aggregation**
Die Aggregation von Ergebnissen und Ressourcen aus verknüpften Regionen zu einer Aggregationsregion. Sie können alle Ihre Daten aus der Aggregationsregion anzeigen und die Ergebnisse aus der Aggregationsregion aktualisieren.
**Delegiertes Administratorkonto**
AWS Organizations In kann das delegierte Administratorkonto für einen Dienst die Nutzung eines Dienstes für die Organisation verwalten.
In Security Hub ist das Security Hub-Administratorkonto auch das delegierte Administratorkonto für Security Hub. Wenn das Organisationsverwaltungskonto das Security Hub-Administratorkonto zum ersten Mal festlegt, ruft Security Hub Organizations auf, dieses Konto zum delegierten Administratorkonto zu machen.
Das Organisationsverwaltungskonto muss dann das delegierte Administratorkonto als Security Hub-Administratorkonto in allen Regionen auswählen.
**Exposition**
Gefahren sind umfassendere Schwächen bei Sicherheitskontrollen, Fehlkonfigurationen oder anderen Bereichen, die durch aktive Bedrohungen ausgenutzt werden könnten.
Zu den Risikopositionen gehören beispielsweise:
+ Falsch konfigurierte Steuerungsebene für eine Ressource.
+ Vorhandensein einer Softwareschwachstelle mit hohem Ausnutzungspotenzial.
+ Öffentlich zugängliche Ressource (Netzwerk oder API).
**Feststellung der Exposition**
Eine Art von Befund, der eine in Ihrer Umgebung vorhandene Exposition beschreibt. Ein Expositionsergebnis umfasst Merkmale und Signale. Ein Signal kann eine oder mehrere Arten von Expositionsmerkmalen enthalten. AWS Security Hub generiert eine Risikofeststellung, wenn Signale von AWS Security Hub CSPM, Amazon Inspector, Amazon GuardDuty, Amazon Macie oder anderen AWS Diensten auf das Vorliegen einer Gefährdung hinweisen. Eine Ressource kann an einer oder mehreren Expositionsfeststellungen beteiligt sein. Wenn eine Ressource keine oder nur unzureichende Merkmale aufweist, generiert Security Hub für diese Ressource keine Gefährdungsermittlung.
Ein Beispiel für eine Entdeckung einer Sicherheitslücke ist: Eine EC2-Instance, die über das Internet erreichbar ist und Software-Sicherheitslücken aufweist, die mit hoher Wahrscheinlichkeit ausgenutzt werden können.
**Erkenntnis**
Der beobachtbare Datensatz einer Sicherheitsprüfung oder sicherheitsrelevanten Erkennung. Security Hub generiert und aktualisiert Ergebnisse durch die Korrelation anderer Sicherheitsergebnisse. Diese werden als *Expositionsergebnisse* bezeichnet. Die Ergebnisse können auch aus Integrationen mit anderen Produkten AWS-Services und Produkten von Drittanbietern stammen.
**Feststellung der Einnahme**
Der Import von Ergebnissen in Security Hub. Das Auffinden von Verschluckungsereignissen umfasst sowohl neue Erkenntnisse als auch Aktualisierungen vorhandener Ergebnisse.
**Verknüpfte Region**
Wenn Sie die regionsübergreifende Aggregation aktivieren, ist eine verknüpfte Region eine Region, die Ergebnisse und Ressourceninventar in der Aggregationsregion zusammenfasst.
In einer verknüpften Region enthalten das Dashboard und die Inventarseiten nur Ergebnisse für diese Region. AWS-Region
**Öffnen Sie das Cybersecurity Schema Framework (OCSF)**
Das [Open Cybersecurity Schema Framework (OCSF)](https://schema.ocsf.io/) ist eine gemeinsame Open-Source-Initiative von AWS führenden Partnern in der Cybersicherheitsbranche. OCSF bietet ein Standardschema für allgemeine Sicherheitsereignisse, definiert Versionierungskriterien, um die Schemaentwicklung zu erleichtern, und beinhaltet einen Selbstverwaltungsprozess für Hersteller und Nutzer von Sicherheitsprotokollen. Weitere Informationen finden Sie unter [OCSF-Ergebnisse in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-ocsf.html).
**Mitgliedskonto**
Eine AWS-Konto , die einem Administratorkonto die Erlaubnis erteilt hat, ihre Ergebnisse einzusehen und entsprechende Maßnahmen zu ergreifen. Diese Art AWS-Konto wird zu einem Mitgliedskonto, wenn das Security Hub-Administratorkonto sie als Mitgliedskonto aktiviert.
**Signal**
Ein Befund, der zur Feststellung einer Exposition beiträgt. Ein Signal kann als *beitragendes Ergebnis* bezeichnet werden. Ein Signal kann von Security Hub, CSPM oder einem anderen AWS Config System wie Amazon AWS-Services Inspector stammen.
**Merkmal**
Eine Sicherheitsabweichung, die zu einer Risikofeststellung führt. **Zu den Merkmalstypen **gehören Vermutbarkeit**, **Fehlkonfiguration**, **Erreichbarkeit**, **sensible Daten** und Sicherheitslücke.** Ein Merkmal ist mit einem Signal verknüpft, und ein Signal kann mehrere Merkmale enthalten. Ein Security Hub CSPM-Steuerelement weist beispielsweise darauf hin, dass eine vom Kunden verwaltete Richtlinie eine administrative Zugriffskontrolle ermöglicht. Dieses Signal enthält ein Merkmal einer Fehlkonfiguration.
# AWS Security Hub Hub-Kostenkalkulator
Der Security Hub Hub-Kostenschätzer ist eine Konsolenfunktion, die Schätzungen der Funktionen in Ihrer gesamten AWS Umgebung bereitstellt. Der Kostenvoranschlag zeigt Ihnen, wie hoch Ihre individuellen Servicekosten für AWS Security Hub CSPM, Amazon Inspector und Amazon sind GuardDuty und wie hoch Ihre geschätzten Kosten in Security Hub mit den vereinfachten Preisplänen von Security Hub wären. Sie können die geschätzte Nutzung und die Anzahl der Ressourcen an Ihre AWS Nutzung anpassen, um die Genauigkeit Ihrer Schätzung zu erhöhen. Der Kostenvoranschlag ist in allen Regionen verfügbar, in denen Security Hub verfügbar ist.
Der Kostenschätzer schätzt die monatlichen Kosten für Sicherheitsfunktionen anhand von zwei Preismodellen:
+ **Preise für individuelle Services** — Zahlen Sie für jede Sicherheitsfunktion separat (GuardDuty, Amazon Inspector, Security Hub CSPM).
+ **Vereinfachte Preisgestaltung für Security Hub** — Einheitliche Preisgestaltung in 3 Preisplänen, Essentials-Plan mit Preisen pro Ressource, Threat Analytics mit Preisen pro Ereignis und pro GB für Logs und Lambda Code-Scanning mit Preisen pro Ressource.
Der Schätzer verwendet Daten, sofern verfügbar. AWS Cost Explorer Wenn Cost Explorer Explorer-Daten nicht verfügbar sind, können Sie Nutzungsdaten manuell eingeben. Kostenschätzungen basieren auf der beobachteten und vom Benutzer angegebenen Nutzung sowie öffentlichen Preisinformationen. Schätzungen spiegeln möglicherweise keine Unternehmensrabatte wider.
Zu den wichtigsten Vorteilen des Kostenschätzers gehören:
+ Erfahren Sie, wie die Kosten bei einheitlicher Preisgestaltung bei der Aktivierung von Security Hub im Vergleich zu den Kosten für individuellen Service ohne Aktivierung von Security Hub verglichen werden
+ Schätzen Sie die Kosten ab, bevor Sie Funktionen aktivieren
+ Passen Sie die Nutzungsparameter an, um verschiedene Szenarien zu modellieren
+ Exportieren Sie Schätzungen als PDF zur Überprüfung durch die Interessengruppen
## Zugriff nach Kontotyp
**Anmerkung**
Bei delegierten Administrator- und Mitgliedskonten wird der Kostenvoranschlag standardmäßig im Bearbeitungsmodus geöffnet, sodass Sie sofort Nutzungsdaten eingeben können. Verwaltungskonten und eigenständige Konten werden im Anzeigemodus geöffnet, wenn Cost Explorer Explorer-Daten verfügbar sind.
Diese Funktion ruft automatisch Informationen über die tatsächliche Nutzung in der Vergangenheit ab, um die Kosten für bestimmte Kontotypen abzuschätzen. Im Folgenden finden Sie Einzelheiten zu den einzelnen Kontotypen und den Daten, die für jeden Kontotyp verfügbar sind.
**Zugriffsberechtigungen nach Kontotyp**
| Account-Typ | Cost Explorer Explorer-Daten | Dateneingabe | Scope |
| --- | --- | --- | --- |
| Verwaltungskonto (MA) | Automatisch ausgefüllt | Manuelles Überschreiben verfügbar | Unternehmensweit |
| Delegierter Administrator (DA) | Automatisch ausgefüllt über eine kontoübergreifende Rolle\$1 | Manuelles Überschreiben verfügbar | Unternehmensweit |
| Mitgliedskonto | Automatisch ausgefüllt über eine kontoübergreifende Rolle\$1 | Manuelles Überschreiben verfügbar | Unternehmensweit |
| Eigenständiges Konto (SA) | Automatisch ausgefüllt | Manuelles Überschreiben verfügbar | Einzelkonto |
\$1 Erfordert eine kontoübergreifende IAM-Rollenkonfiguration im Verwaltungskonto. Siehe [Einrichten des kontoübergreifenden Zugriffs](setting-up-cross-account-access.md) Abschnitt unten.
## Voraussetzungen
### Erforderliche IAM-Berechtigungen
Um alle Funktionen des Kostenkalkulators nutzen zu können, muss Ihr IAM-Principal über die folgenden Berechtigungen verfügen:
**Erforderliche IAM-Berechtigungen für Cost Estimator**
| API-Operation | Service | Zweck |
| --- | --- | --- |
| ce:GetCostAndUsage | AWS Cost Explorer | Rufen Sie historische Nutzungs- und Kostendaten ab |
| pricing:GetProducts | AWS Preisgestaltung | Informieren Sie sich über aktuelle Preise |
| organizations:ListAccounts | AWS Organizations | Zählen Sie die Konten in der Organisation |
| organizations:DescribeOrganization | AWS Organizations | Ermitteln Sie den Kontotyp |
| securityhub:ListOrganizationAdminAccounts | Security Hub | Administratorkonten der Organisation auflisten |
| iam:GetRole | IAM | Prüfen Sie, ob kontoübergreifende Rollen vorhanden sind (nur Verwaltungskonto) \$1 |
| sts:AssumeRole | IAM | Nehmen Sie eine kontoübergreifende Rolle an (nur delegiertes administrator/Member Konto) \$1\$1 |
\$1 Nur für Benutzer des Verwaltungskontos erforderlich, um den Status der kontoübergreifenden Rolle zu überprüfen.
\$1\$1 Nur für delegierte Administrator- und Organisationsmitgliederkonten mit kontenübergreifendem Zugriff erforderlich.
### Zusätzliche Anforderungen
**Cost Explorer**
Muss für die automatische Datenerfassung aktiviert sein (24-stündige Verarbeitungsverzögerung nach der Aktivierung).
# Einrichten des kontoübergreifenden Zugriffs
Delegierte Administrator- und Mitgliedskonten können vom Verwaltungskonto aus auf unternehmensweite AWS Cost Explorer Daten zugreifen, indem sie eine kontoübergreifende IAM-Rolle konfigurieren. Diese Konfiguration ermöglicht es diesen Konten, die tatsächlichen Nutzungsdaten einzusehen, ohne zum Verwaltungskonto wechseln zu müssen.
## Voraussetzungen
Vor der Einrichtung des kontenübergreifenden Zugriffs für den Kostenschätzer sind die folgenden Elemente und Informationen erforderlich:
+ Das Verwaltungskonto muss AWS Cost Explorer aktiviert sein.
+ IAM-Berechtigungen zum Erstellen von Rollen im Verwaltungskonto.
+ Kenntnis der delegierten Administrator- oder Mitgliedskonto-ID, der kontoübergreifender Zugriff gewährt wird.
## Einrichtungsschritte
Der Kostenvoranschlag bietet Anleitungen zur Einrichtung mit Anleitung direkt in der Konsole. Um auf die Anweisungen zuzugreifen, navigieren Sie in Ihrem Organisationsverwaltungskonto zur Seite mit dem Kostenvoranschlag unter [https://console.aws.amazon.com/securityhub/v2/Home\$1/costEstimator](https://console.aws.amazon.com/securityhub/v2/home#/costEstimator). Suchen Sie den Abschnitt **Kontoübergreifender Zugriff** und folgen Sie den Anweisungen zur Einrichtung der kontenübergreifenden Rolle.
## Rollenkonfiguration
Der kontenübergreifende Zugriff für den Kostenschätzer erfordert die Einrichtung einer IAM-Rolle mit einer Vertrauensrichtlinie und einer Berechtigungsrichtlinie. Die kontenübergreifende Rolle muss im Verwaltungskonto mit der folgenden Konfiguration erstellt werden:
**Rollenname (genauer Name erforderlich)** — AwsSecurityHubCostEstimatorCrossAccountRole
**Empfohlene Vertrauensrichtlinie:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{ACCOUNT_ID}:role/{ROLE_NAME}"
},
"Action": "sts:AssumeRole"
}
]
}
```
Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte im Richtlinienbeispiel ersetzen:
+ *\$1ACCOUNT\$1ID\$1*Ersetzen Sie es durch die delegierte Administrator- oder Mitgliedskonto-ID, der Sie kontoübergreifenden Zugriff gewähren.
+ *\$1ROLE\$1NAME\$1*Ersetzen Sie es durch den Namen der IAM-Rolle in dem delegierten Administrator- oder Mitgliedskonto, dem Sie Zugriff gewähren.
**Empfohlene Berechtigungsrichtlinie:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ce:GetCostAndUsage",
"Resource": "*"
}
]
}
```
**Anmerkung**
Die Vertrauensrichtlinie schränkt den Zugriff auf ein bestimmtes Konto und eine bestimmte Rolle ein. Nur der angegebene IAM-Prinzipal kann diese Rolle übernehmen, wodurch unbefugter Zugriff verhindert wird.
## Verifizierung
Nachdem Sie die Rolle im Verwaltungskonto erstellt haben, überprüfen Sie anhand der folgenden Schritte, ob das Setup funktioniert.
1. Melden Sie sich beim delegierten Administrator- oder Mitgliedskonto an.
1. [Navigieren Sie zum Security Hub Hub-Kostenschätzer unter https://console.aws.amazon.com/securityhub/ v2/home\$1/costEstimator](https://console.aws.amazon.com/securityhub/v2/home#/costEstimator)
1. Die Seite sollte automatisch:
1. Ermitteln Sie das Verwaltungskonto in Ihrer Organisation.
1. Nehmen Sie die kontoübergreifende Rolle an.
1. Laden Sie Cost Explorer Explorer-Daten mit unternehmensweiter Nutzung.
Wenn der Vorgang erfolgreich ist, werden anstelle von manuellen Eingabefeldern tatsächliche Nutzungsdaten angezeigt.
## Fehlerbehebung
In diesem Abschnitt werden häufig auftretende Probleme und Lösungen behandelt, die bei der Einrichtung eines kontoübergreifenden Zugriffs auftreten können.
### Organisatorische Nutzungsdaten sind für dieses Konto nicht verfügbar
Diese Warnung weist darauf hin, dass auf die kontoübergreifende Rolle nicht zugegriffen werden kann. Diese Warnung kann folgende Ursachen haben:
1. **Rolle ist nicht vorhanden:** Das Verwaltungskonto hat die Rolle noch nicht erstellt.
1. **Lösung:** Wenden Sie sich an den Administrator Ihres Verwaltungskontos, um die Rolle anhand der Einrichtungsanleitung zu erstellen.
1. Nicht **übereinstimmende Rollennamen:** Der Rollenname stimmt nicht genau überein.
1. **Lösung:** Stellen Sie sicher, dass der Rollenname lautet`AwsSecurityHubCostEstimatorCrossAccountRole`.
1. **Falsche Vertrauensrichtlinie:** Die Vertrauensrichtlinie erlaubt Ihrem Konto nicht, die Rolle zu übernehmen.
1. **Lösung:** Stellen Sie sicher, dass die Vertrauensrichtlinie Ihre Konto-ID und Ihren Rollennamen enthält.
1. **Fehlende AssumeRole Erlaubnis:** Ihr IAM-Principal fehlt`sts:AssumeRole`.
1. **Lösung:** Wenden Sie sich an Ihren Administrator, um `sts:AssumeRole` Berechtigungen hinzuzufügen.
**Um detaillierte Anweisungen zur Einrichtung einzusehen:** Klicken Sie in der Warnung auf den Link „Anweisungen anzeigen“, um ein Fenster mit step-by-step Anleitungen und Richtlinienvorlagen zu öffnen.
**Umgehung:** Sie können den Cost Estimator weiterhin verwenden, indem Sie die Nutzungswerte im Bearbeitungsmodus manuell eingeben.
# Verwenden Sie den Kostenschätzer
## Zugriff auf den Kostenvoranschlag
**So greifen Sie von der Security Hub Hub-Landingpage auf den Cost Estimator zu**
1. Melden Sie sich mit den Anmeldedaten Ihres AWS Unternehmensmanagements oder AWS eines delegierten Administratorkontos bei Ihrem Konto an. [Öffnen Sie die Security Hub Hub-Konsole in der Region us-east-1 unter https://console.aws.amazon.com/securityhub/ v2/home.]( https://us-east-1.console.aws.amazon.com/securityhub/v2/home)
1. **Suchen Sie auf der Landingpage nach der Preisliste.**
1. Wählen Sie **Kostenvoranschlag** aus.
**So greifen Sie während der Aktivierungs- und Konfigurationsschritte von Security Hub auf den Cost Estimator zu**
1. Suchen Sie **in der Onboarding-Oberfläche auf der neuen Security Hub Hub-Karte nach den Preisen**.
1. Wählen Sie **Schätzungen anzeigen** aus.
**So greifen Sie von den CSPM-Konsolen von GuardDuty Amazon Inspector oder Security Hub auf den Kostenvoranschlag zu**
1. Navigieren Sie zum Service-Dashboard oder zur Übersichtsseite.
1. Wählen Sie auf der **Preisinformationskarte die Option Preise vergleichen** aus.
## Grundlegendes zur Benutzeroberfläche für den Kostenvoranschlag
### Seitenlayout
Die Seite Cost Estimator enthält drei Hauptbereiche:
+ **Abschnitt „Übersicht“** — Erläutert die Vorteile des einheitlichen Sicherheitsmanagements und der Kostenoptimierung.
+ **Preisinformationen** — Erweiterbares Panel mit Funktionskategorien und Preisstufen.
+ **Preisvergleichstabelle** — Side-by-side Kostenvergleich mit Angaben zu den Funktionen.
### Preisvergleichstabelle
Die Kopfzeile der Tabelle enthält view/edit Modussteuerungen und eine Reset-Option. In der Tabelle werden die Kosten in zwei Spalten angezeigt:
+ **Einzelne Dienste** — Aktuelle oder geschätzte Kosten für separate Sicherheitsdienste.
+ **Security Hub** — Geschätzte Kosten unter Verwendung eines vereinfachten Preismodells.
### Preisregion
In der ersten Spalte werden Informationen zum Preiskontext angezeigt, einschließlich eines Hinweises, dass Schätzungen die US-East-1-Preise für Berechnungen verwenden. Ein Symbol weist darauf hin, dass Unternehmensrabatte nicht in den Schätzungen enthalten sind.
## Kostenvoranschläge anzeigen
Wenn Sie den Kostenvoranschlag verwenden, können Sie Schätzungen anzeigen, bearbeiten, zurücksetzen und exportieren.
Der Kostenschätzer wird standardmäßig im Anzeigemodus geöffnet.
**Um Kostenvoranschläge anzuzeigen**
1. Greifen Sie mit einer der unter beschriebenen Methoden auf den Kostenschätzer zu[Zugriff auf den Kostenvoranschlag](#accessing-cost-estimator).
1. Sehen Sie sich die monatlichen Gesamtkosten in der Übersichtszeile an.
1. Sehen Sie sich die Fähigkeitsgruppen und ihre detaillierten Kostenaufschlüsselungen an.
1. Wählen Sie die Namen der Funktionen aus, um die Beschreibungen in einem Popover anzuzeigen.
**Datenquellen im Anzeigemodus**
Der Schätzer zeigt Daten aus mehreren Quellen an, die durch Beschriftungen gekennzeichnet sind:
+ **Standard** — Daten von AWS Cost Explorer (den letzten 30 Tagen).
+ **\$1-/mo** — Kostendaten nicht verfügbar (wird angezeigt, wenn kein Zugriff auf den Cost Explorer verfügbar ist).
+ **Benutzerdefinierte Verwendung** — Vom Benutzer eingegebene Werte.
+ **Nicht aktiviert** — Zeigt an, wenn Cost Explorer Explorer-Berechtigungen nicht vorhanden sind.
## Kontospezifisches Verhalten
Im Folgenden wird beschrieben, wie der Kostenschätzer für verschiedene Kontotypen und Konfigurationen funktioniert.
### Delegierte Administrator- und Mitgliedskonten
**Bei konfiguriertem kontenübergreifendem Zugriff:**
+ Cost Explorer Explorer-Daten können unternehmensweit verwendet werden.
+ Wird standardmäßig im Anzeigemodus geöffnet (entspricht dem Verwaltungskonto). Kann in den Bearbeitungsmodus wechseln, um Schätzungen zu ändern.
**Ohne konfigurierten kontenübergreifenden Zugriff:**
+ Es wird eine Warnung angezeigt: „Für dieses Konto sind keine organisatorischen Nutzungsdaten verfügbar“.
+ Wird standardmäßig im Bearbeitungsmodus für die manuelle Eingabe geöffnet.
+ Klicken Sie in der Warnmeldung auf „Anweisungen anzeigen“, um Anleitungen zur Einrichtung zu erhalten.
### Verwaltungskonto
**Nachdem die kontoübergreifende Rolle erstellt wurde:**
+ Der Abschnitt „Kontoübergreifender Zugriff“ zeigt den konfigurierten Status.
+ Zeigt empfohlene Richtlinien zur Überprüfung an.
+ Stellt einen Link zur Ansicht der Rolle in der IAM-Konsole bereit.
**Ohne Erstellung einer kontoübergreifenden Rolle:**
+ Im Abschnitt „Kontoübergreifender Zugriff“ wird eine Anleitung zur Einrichtung angezeigt.
+ Enthält step-by-step Anweisungen mit vorab ausgefüllten Richtlinien.
+ Direkter Link zur IAM-Konsole für die Rollenerstellung.
**Der Rollenstatus konnte nicht überprüft werden:**
+ Wenn keine Anrufberechtigung vorhanden ist`iam:GetRole`, kann die Konsole nicht feststellen, ob Sie die erforderliche Rolle erstellt haben.
+ Zeigt „Überprüfung nicht möglich“ mit der entsprechenden Fehlermeldung an.
### Eigenständiges Konto
**Ohne Erstellung einer kontoübergreifenden Rolle:**
+ Keine Änderungen am bestehenden Verhalten.
+ Cost Explorer Explorer-Daten sind verfügbar, wenn sie aktiviert sind.
+ Wird standardmäßig im Ansichtsmodus geöffnet.
## Nutzungswerte bearbeiten
Im Bearbeitungsmodus können Sie Dimensionswerte ändern und Kostenaktualisierungen in Echtzeit einsehen.
**Um Nutzungswerte zu bearbeiten**
1. Wählen Sie in der Tabellenüberschrift **Bearbeiten**.
1. Geben Sie Werte in die Eingabefelder der Dimension ein.
1. Automatisches Anzeigen der aktualisierten Kosten.
1. Wählen Sie **Ansicht**, um zum Anzeigemodus zurückzukehren.
**Wichtig**
Änderungen werden nicht gespeichert, wenn Sie die Seite mit dem Kostenvoranschlag verlassen
Geänderte Schätzungen verwenden die Preise US-East-1 (Nord-Virginia) und beinhalten keine Unternehmensrabatte
Bei der Bearbeitung im Modus „Nur aktuelle Kosten anzeigen“ wird automatisch wieder der geschätzte Modus aktiviert
## Der Schätzer wird zurückgesetzt
Diese Aktion löscht alle benutzerdefinierten Werte und lädt die Standarddaten aus dem Cost Explorer neu.
**Um alle Werte auf die Standardwerte zurückzusetzen**
1. Wählen Sie im Tabellenkopf die Option **Zurücksetzen**.
1. Wählen Sie im Bestätigungsdialogfeld die Option **Zurücksetzen**.
## Exportieren von Schätzungen
Im Kostenvoranschlag können die Daten für Ihre Schätzung in eine PDF-Datei exportiert werden.
**Um Kostenvoranschläge zu exportieren**
1. Stellen Sie sicher, dass Sie sich im Ansichtsmodus befinden.
1. Wählen Sie im Seitenkopf die Option „**PDF herunterladen**“.
Das PDF wird automatisch mit dem Dateinamen heruntergeladen:`SecurityHub-Cost-Estimate-YYYY-MM-DD.pdf`.
## Fehlerbehebung
In diesem Abschnitt werden häufig auftretende Probleme und Lösungen behandelt, die bei der Verwendung des Kostenkalkulators auftreten können
### Keine Cost Explorer Explorer-Daten verfügbar
**Problem**
In der Warnung wird „Für Ihr Konto sind keine Kostendaten verfügbar“ angezeigt.
**Lösungen nach Kontotyp**
Die Lösung hängt von Ihrem Kontotyp ab:
**Lösungen für fehlende Cost Explorer Explorer-Daten**
| Account-Typ | Lösung |
| --- | --- |
| Verwaltungskonto | Aktivieren Sie den Cost Explorer und warten Sie 24 Stunden auf die Datenverarbeitung |
| Delegierter Administrator | Wenden Sie sich an den Administrator des Verwaltungskontos, um Zugriff zu beantragen |
| Mitgliedskonto | Wenden Sie sich für den Zugriff an das Verwaltungskonto oder den delegierten Administrator |
| Eigenständiges Konto | Aktivieren Sie den Cost Explorer und warten Sie 24 Stunden auf die Datenverarbeitung |
**Workaround**
Geben Sie im Bearbeitungsmodus benutzerdefinierte Werte ein.
### Kontoübergreifender Zugriff funktioniert nicht
**Problem**
„Das delegierte Administrator- oder Mitgliedskonto zeigt die Warnung „Organisatorische Nutzungsdaten sind für dieses Konto nicht verfügbar“ an.
**Mögliche Ursachen und Lösungen**
1. Eine kontoübergreifende Rolle ist im Verwaltungskonto nicht vorhanden.
1. **Lösung:** Wenden Sie sich an den Administrator des Verwaltungskontos, um die Rolle zu erstellen.
1. Der Kostenschätzer bietet Anleitungen zur Einrichtung von Verwaltungskonten mit Anleitungen.
1. Der Rollenname stimmt nicht genau überein.
1. Erforderlicher Rollenname:`AwsSecurityHubCostEstimatorCrossAccountRole`.
1. **Lösung:** Stellen Sie sicher, dass der Rollenname in der IAM-Konsole exakt übereinstimmt (Groß- und Kleinschreibung beachten).
1. Die Vertrauensrichtlinie erlaubt Ihr Konto nicht.
1. **Lösung:** Stellen Sie sicher, dass der Prinzipal der Vertrauensrichtlinie Ihre Konto-ID und Ihren Rollennamen enthält.
1. Format:`arn:aws:iam::{YOUR_ACCOUNT_ID}:role/{YOUR_ROLE_NAME}`.
1. Fehlende AssumeRole Erlaubnis.
1. **Lösung:** Stellen Sie sicher, dass Ihr IAM-Principal über die entsprechenden `sts:AssumeRole` Rechte verfügt.
1. Wenden Sie sich an Ihren AWS Administrator, um diese Berechtigung hinzuzufügen.
**Workaround:**
Geben Sie im Bearbeitungsmodus benutzerdefinierte Werte ein, um Kosten ohne Cost Explorer-Daten manuell zu schätzen.
**Erhalten Sie detaillierte Anweisungen**
+ Klicken Sie in der Benachrichtigung auf den Link „Anweisungen anzeigen“, um ein Modal zu öffnen mit:
+ Step-by-step Anleitung zur Einrichtung
+ Vorab ausgefüllte Richtlinienvorlagen
+ Tipps zur Fehlerbehebung speziell für Ihren Fehler
### Fehler bei der Genehmigung
**Problem**
Fehler „Zugriff verweigert“ für bestimmte API-Operationen.
**Um Berechtigungsfehler zu beheben**
1. Notieren Sie sich den abgelehnten Vorgang anhand der Fehlermeldung (z. B.`ce:GetCostAndUsage`).
1. Wählen Sie **Kopieren**, um die Fehlerdetails zu kopieren.
1. Senden Sie die Fehlerdetails an Ihren AWS Administrator.
1. Fordern Sie die erforderlichen IAM-Berechtigungen an, die unter aufgeführt sind. [Erforderliche IAM-Berechtigungen](security-hub-cost-estimator.md#required-iam-permissions)
**Anmerkung**
Sie können den Bearbeitungsmodus weiterhin verwenden, um manuelle Werte einzugeben, wenn Berechtigungen fehlen, es sei denn, der Zugriff auf die Pricing API wird verweigert (verhindert alle Kostenvoranschläge).
### Die Funktion zeigt „Nicht aktiviert“ an
**Problem**
Die Fähigkeit zeigt den Status „Nicht aktiviert“ an.
**Erklärung**
Dieser Status wird angezeigt, wenn Sie Zugriff auf den Cost Explorer haben, die Funktion jedoch derzeit nicht aktiv ist. Wenn Sie stattdessen \$1-/mo sehen, bedeutet dies, dass Cost Explorer Explorer-Daten für Ihren Kontotyp nicht verfügbar sind.
**Um Kostenvoranschläge einzusehen**
1. Wählen Sie **Bearbeiten**, um in den Bearbeitungsmodus zu wechseln.
1. Geben Sie Dimensionswerte für die Funktion ein.
1. Aktualisierte Kostenschätzungen anzeigen.
### Für die Funktion wird „Nicht zutreffend“ angezeigt
**Problem**
In der Spalte Einzelne Dienste wird für die Funktion „Nicht zutreffend“ angezeigt.
**Erklärung**
Diese Funktion ist nur über die vereinfachte Preisgestaltung von Security Hub verfügbar, nicht als eigenständiger Service.
### Geänderte Kosten stimmen nicht mit Cost Explorer überein
**Problem**
Die bearbeiteten Kosten unterscheiden sich von den ursprünglichen Cost Explorer Explorer-Werten.
**Erklärung**
Bei den modifizierten Schätzungen werden die Preise für US-East-1 (Nord-Virginia) verwendet und enthalten keine Unternehmensrabatte. Die Daten von Cost Explorer spiegeln die tatsächlichen Kosten mit entsprechenden Rabatten wider.
## Wichtige Hinweise
+ **Die Schätzungen basieren auf der beobachteten und vom Benutzer angegebenen Nutzung sowie öffentlichen Preisinformationen.** Die tatsächlichen Kosten können je nach Nutzungsmuster und Unternehmensvereinbarungen variieren
+ **30-Tage-Rückblick** — Die Daten von Cost Explorer spiegeln die Nutzung der letzten 30 Tage wider
+ **Preisregion** — Alle Schätzungen verwenden Tarife für US-East-1 (Nord-Virginia)
+ **Keine Auswirkungen auf die Einstellungen** — Änderungen im Estimator wirken sich nicht auf Ihre aktuellen Security Hub- oder Servicekonfigurationen aus
+ **Unternehmensrabatte** — Geänderte Schätzungen beinhalten keine Unternehmensrabatte; nur Cost Explorer Explorer-Daten spiegeln die tatsächlichen diskontierten Kosten wider.
+ **Datenaktualisierung** — Cost Explorer Explorer-Daten werden täglich aktualisiert; aktualisieren Sie die Seite, um die neuesten Daten zu sehen
## Ähnliche Informationen
+ [AWS Security Hub Hub-Preise](https://aws.amazon.com/security-hub/pricing/)
+ [AWS Cost Explorer Explorer-Benutzerhandbuch](https://docs.aws.amazon.com/cost-management/latest/userguide/)
+ [AWS API-Referenz zur Preisgestaltung](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/)
+ [Security Hub aktivieren](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)
# Security Hub aktivieren
Sie können Security Hub für jeden aktivieren AWS-Konto. In diesem Abschnitt der Dokumentation werden alle Schritte beschrieben, die erforderlich sind, um Security Hub für eine AWS Organisation oder ein eigenständiges Konto zu aktivieren.
## Security Hub für eine AWS Organisation aktivieren
Dieser Abschnitt umfasst drei Schritte:
+ In **Schritt 1** bestimmt das AWS Organisationsverwaltungskonto einen delegierten Administrator für das AWS Unternehmen, erstellt die Richtlinie für delegierte Administratoren und aktiviert optional Security Hub für sein eigenes Konto.
+ In **Schritt 2** aktiviert der delegierte Administrator der Organisation Security Hub für sein eigenes Konto.
+ In **Schritt 3** konfiguriert der delegierte Administrator der Organisation alle Mitgliedskonten in der Organisation für Security Hub und andere unterstützte Sicherheitsdienste.
### Schritt 1. Delegieren eines Administratorkontos und optionale Aktivierung von Security Hub im AWS Organisationsverwaltungskonto
**Anmerkung**
Dieser Schritt muss nur in einer Region des Organisationsverwaltungskontos abgeschlossen werden.
Bei der Zuweisung des delegierten Administratorkontos für Security Hub hängt das Konto, das Sie für Ihren delegierten Administrator auswählen können, davon ab, wie Sie einen delegierten Administrator für Security Hub CSPM konfiguriert haben. Wenn Sie einen delegierten Administrator für Security Hub CSPM konfiguriert haben und dieses Konto nicht das Verwaltungskonto der Organisation ist, wird dieses Konto automatisch als delegierter Security Hub-Administrator eingerichtet und es kann kein anderes Konto ausgewählt werden. Wenn das delegierte Administratorkonto für Security Hub CSPM als Verwaltungskonto der Organisation oder gar nicht eingerichtet ist, können Sie wählen, welches Konto Ihr delegiertes Security Hub-Administratorkonto sein soll, mit Ausnahme des Verwaltungskontos der Organisation.
Informationen zur Benennung eines delegierten Administrators in Security Hub finden Sie unter [Benennen eines delegierten Administratorkontos](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-set-da.html) in Security Hub. Informationen zum Erstellen der delegierten Administratorrichtlinie in Security Hub finden Sie unter [Delegierte Administratorrichtlinie in Security Hub erstellen](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-policy-statement.html).
**So bestimmen Sie einen Administrator für Security Hub**
1. Melden Sie sich mit den Anmeldedaten Ihres AWS AWS Organisationsverwaltungskontos bei Ihrem Konto an. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. Wählen Sie auf der Security Hub-Startseite **Security Hub** und **dann Erste Schritte** aus.
1. Wählen Sie im Bereich **Delegierter Administrator** ein Administratorkonto auf der Grundlage der bereitgestellten Optionen aus. Als bewährte Methode empfehlen wir, für alle Sicherheitsdienste denselben delegierten Administrator zu verwenden, um eine konsistente Verwaltung zu gewährleisten.
1. Aktivieren Sie das Kontrollkästchen **Vertrauenswürdiger Zugriff**. Wenn Sie diese Option auswählen, kann Ihr delegiertes Administratorkonto bestimmte Funktionen, wie z. B. den GuardDuty Malware-Schutz, für Mitgliedskonten konfigurieren. Wenn Sie diese Option deaktivieren, kann Security Hub diese Funktionen nicht in Ihrem Namen aktivieren und Sie müssen sie direkt über den Dienst aktivieren, mit dem die Funktion verknüpft ist.
1. (Optional) Wählen Sie für die **Kontoaktivierung** das Kästchen aus, um Security Hub für Ihr AWS Konto zu aktivieren.
1. Wählen Sie für die **Richtlinie für delegierte Administratoren** eine der folgenden Optionen, um die Richtlinienerklärung hinzuzufügen.
1. (Option 1) Wählen Sie **Für mich aktualisieren** aus. Aktivieren Sie das Kästchen unter der Richtlinienerklärung, um zu bestätigen, dass Security Hub automatisch eine Delegierungsrichtlinie erstellt, die dem delegierten Administrator alle erforderlichen Rechte gewährt.
1. (Option 2) Wählen Sie **Ich möchte das manuell anhängen**. Wählen Sie **Kopieren und anhängen**. Wählen Sie in der AWS Organizations Konsole unter **Delegierter Administrator für AWS Organizations** die Option **Delegieren** aus und fügen Sie die Ressourcenrichtlinie in den Delegierungsrichtlinien-Editor ein. Wählen Sie **Richtlinie erstellen** aus. Öffnen Sie den Tab, auf dem Sie sich in der Security Hub Hub-Konsole befinden.
1. Wählen Sie **Konfigurieren** aus.
### Schritt 2. Security Hub im delegierten Administratorkonto aktivieren
Das delegierte Administratorkonto schließt diesen Schritt ab. Nachdem das AWS Organisationsverwaltungskonto einen delegierten Administrator für seine Organisation bestimmt hat, muss der delegierte Administrator Security Hub für sein eigenes Konto aktivieren, bevor er die Aktivierung für die gesamte Organisation durchführen kann. AWS
**So aktivieren Sie Security Hub im delegierten Administratorkonto**
1. Melden Sie sich mit Ihren delegierten Administratoranmeldedaten bei Ihrem AWS Konto an. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. Wählen Sie auf der Security Hub Hub-Startseite die Option **Get started** aus.
1. Im Abschnitt Sicherheitsfunktionen werden die Funktionen beschrieben, die automatisch aktiviert und im Grundpreis pro Ressource von Security Hub enthalten sind.
1. (Optional) Legen Sie für **Tags** fest, ob Sie der Kontoeinrichtung ein Schlüssel-Wert-Paar hinzufügen möchten.
1. Wählen Sie **Enable Security Hub**, um die Aktivierung von Security Hub abzuschließen.
1. (Empfohlen) wählen Sie im Popup-Fenster **Configure My Organization** aus und fahren Sie mit Schritt 3 fort.
Nachdem Sie Security Hub aktiviert haben, werden in Ihrem Konto eine dienstverknüpfte Rolle namens [AWSServiceRoleForSecurityHubV2](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) und ein dienstgebundener Rekorder erstellt. Der serviceverknüpfte Rekorder ist ein AWS Config Rekordertyp, der von einem AWS Dienst verwaltet wird und Konfigurationsdaten für dienstspezifische Ressourcen aufzeichnen kann. Mit einem serviceverknüpften Rekorder ermöglicht Security Hub einen ereignisgesteuerten Ansatz zum Abrufen von Ressourcenkonfigurationselementen, die für die Risikoanalyse, den Umfang und die Berichterstattung über den Ressourcenbestand erforderlich sind. Ein dienstgebundener Rekorder wird pro und konfiguriert. AWS-Konto AWS-Region Für globale Ressourcentypen wird in der Heimatregion automatisch ein zusätzlicher dienstgebundener Rekorder erstellt, um Konfigurationsänderungen für globale Ressourcen aufzuzeichnen, da AWS Config nur globale Ressourcentypen in der jeweiligen Heimatregion aufgezeichnet werden. Weitere Informationen finden Sie unter [Überlegungen zu serviceverknüpften Konfigurationsrekordern](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html#stop-start-recorder-considerations-service-linked) und [Aufzeichnen regionaler und globaler Ressourcen](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all).
### Schritt 3. Erstellen Sie eine Richtlinie, die Security Hub in allen Mitgliedskonten aktiviert
Nachdem Sie Security Hub im delegierten Administratorkonto für eine Organisation aktiviert haben, müssen Sie eine Richtlinie erstellen, die definiert, welche Dienste und Funktionen in den Mitgliedskonten der Organisation aktiviert sind. Weitere Informationen finden Sie unter [Konfiguration mit einem bestimmten Richtlinientyp aktivieren](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-da-policy.html#securityhub-v2-configuration-enable-policy).
## Security Hub in einem eigenständigen Konto aktivieren
Dieses Verfahren beschreibt, wie Security Hub in einem eigenständigen Konto aktiviert wird. Ein eigenständiges Konto ist ein Konto AWS-Konto , für das keine AWS Organisationen aktiviert wurden.
**So aktivieren Sie Security Hub in einem eigenständigen Konto**
1. Melden Sie sich mit Ihren AWS Kontodaten bei Ihrem Konto an. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. Wählen Sie auf der Security Hub Hub-Startseite die Option **Erste Schritte** aus.
1. Führen Sie im Abschnitt **Sicherheitsfunktionen** einen der folgenden Schritte aus:
1. (Option 1) Wählen Sie **Alle Funktionen aktivieren**. Dadurch werden alle wichtigen Funktionen, Bedrohungsanalysen und zusätzliche Funktionen des Security Hub aktiviert.
1. **(Option 2) Wählen Sie „Funktionen anpassen“.** Wählen Sie die Bedrohungsanalyse und die zusätzlichen Funktionen aus, die aktiviert werden sollen. Sie können keine Funktionen abwählen, die Teil der Funktionen des Security Hub Hub-Grundplans sind.
1. Wählen Sie im Abschnitt **Regionen** die Option **Alle Regionen aktivieren oder Bestimmte Regionen** **aktivieren** aus. Wenn Sie „**Alle Regionen aktivieren**“ wählen, können Sie festlegen, ob neue Regionen automatisch aktiviert werden sollen. Wenn Sie **Bestimmte Regionen aktivieren** wählen, müssen Sie auswählen, welche Regionen Sie aktivieren möchten.
1. (Optional) Fügen Sie für **Ressourcen-Tags** Tags als Schlüssel-Wert-Paare hinzu, damit Sie die Konfiguration leichter identifizieren können.
1. Wählen Sie **Enable Security Hub (Security Hub aktivieren)**.
Nachdem Sie Security Hub aktiviert haben, werden in Ihrem Konto eine dienstverknüpfte Rolle namens [AWSServiceRoleForSecurityHubV2](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) und ein dienstgebundener Rekorder erstellt. Der serviceverknüpfte Rekorder ist ein AWS Config Rekordertyp, der von einem AWS Dienst verwaltet wird und Konfigurationsdaten für dienstspezifische Ressourcen aufzeichnen kann. Mit einem serviceverknüpften Rekorder ermöglicht Security Hub einen ereignisgesteuerten Ansatz zum Abrufen von Ressourcenkonfigurationselementen, die für die Risikoanalyse, den Umfang und die Berichterstattung über den Ressourcenbestand erforderlich sind. Ein dienstgebundener Rekorder wird pro und konfiguriert. AWS-Konto AWS-Region Für globale Ressourcentypen wird in der Heimatregion automatisch ein zusätzlicher dienstgebundener Rekorder erstellt, um Konfigurationsänderungen für globale Ressourcen aufzuzeichnen, da AWS Config nur globale Ressourcentypen in der jeweiligen Heimatregion aufgezeichnet werden. Weitere Informationen finden Sie unter [Überlegungen zu serviceverknüpften Konfigurationsrekordern](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html#stop-start-recorder-considerations-service-linked) und [Aufzeichnen regionaler und globaler Ressourcen](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all).
# Einen delegierten Administrator in Security Hub benennen
Im AWS Organisationsverwaltungskonto können Sie einen delegierten Administrator für Ihre Organisation bestimmen. Als bewährte Methode empfehlen wir, für alle Sicherheitsdienste denselben delegierten Administrator zu verwenden, um eine konsistente Verwaltung zu gewährleisten.
Das Verfahren in diesem Thema beschreibt, wie Sie einen delegierten Administrator in Security Hub bestimmen. Es wird davon ausgegangen, dass Sie Security Hub zuvor aktiviert, aber während des Aktivierungsworkflows keinen delegierten Administrator benannt haben.
**Überlegungen**
Beachten Sie bei der Benennung eines delegierten Administrators in Security Hub Folgendes:
+ Das AWS Organisationsverwaltungskonto kann sich selbst als delegierter Administrator in Security Hub CSPM festlegen. Das AWS Organisationsverwaltungskonto kann sich nicht selbst als delegierter Administrator in Security Hub bezeichnen. In diesem Szenario muss das AWS Organisationsverwaltungskonto ein anderes Konto AWS-Konto als delegierten Administrator in Security Hub festlegen. Als bewährte Methode empfehlen wir, für alle Sicherheitsdienste denselben delegierten Administrator zu verwenden, um eine konsistente Verwaltung zu gewährleisten.
+ Wenn das AWS Organisationsverwaltungskonto einen delegierten Administrator in Security Hub CSPM festlegt, wird dieser delegierte Administrator automatisch zum delegierten Administrator in Security Hub. In diesem Szenario erlaubt Security Hub nur diesem Benutzer, als delegierter Administrator AWS-Konto zu fungieren.
**Anmerkung**
Wenn das AWS Organisationsverwaltungskonto in Security Hub denselben delegierten Administrator verwendet wie in Security Hub CSPM, wird es durch das Entfernen über die Security Hub CSPM-Konsole oder mit der AWS Organizations API auch in Security Hub entfernt. In ähnlicher Weise wird es auch in Security Hub CSPM entfernt, wenn Sie es über die Security Hub Hub-Konsole oder mit der AWS Organizations API entfernen. Wenn der delegierte Administrator aus Security Hub CSPM entfernt wird, deaktiviert sich die Zentralkonfiguration automatisch.
## Benennen eines delegierten Administrators nach der Aktivierung von Security Hub
Dieses Verfahren muss für das AWS Organisationsverwaltungskonto abgeschlossen werden. Es wird davon ausgegangen, dass das AWS Organisationsverwaltungskonto Security Hub zuvor aktiviert hat, aber während des Aktivierungsworkflows keinen delegierten Administrator benannt hat.
**Anmerkung**
Nachdem Sie dieses Verfahren abgeschlossen haben, müssen Sie eine Richtlinie erstellen, die es dem delegierten Administrator Ihrer Organisation ermöglicht, Security Hub zu konfigurieren und bestimmte Aktionen in AWS Organizations durchzuführen. Weitere Informationen finden Sie unter [Delegierte Administratorrichtlinie in Security Hub erstellen](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-policy-statement.html).
**So benennen Sie einen delegierten Administrator in Security Hub**
1. Melden Sie sich mit den Anmeldeinformationen Ihres AWS Organisationsverwaltungskontos bei Ihrem Konto an und öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Wählen Sie im Navigationsbereich die Option Allgemein aus.**
1. Wählen Sie unter **Delegierter Administrator** die Option **Konfigurieren** aus. Wählen Sie eine der bereitgestellten Optionen aus AWS-Konten, oder geben Sie die 12-stellige AWS-Konto Zahl für AWS-Konto die Person ein, die Sie als delegierten Administrator für Ihre Organisation festlegen möchten. Wählen Sie **Speichern**.
# Die Richtlinie für delegierte Administratoren in Security Hub erstellen
Das AWS Organisationsverwaltungskonto kann eine Richtlinie erstellen, die es dem delegierten Administrator ermöglicht, Security Hub zu konfigurieren und bestimmte Aktionen in AWS Organizations durchzuführen. Das Verfahren in diesem Thema beschreibt, wie die Richtlinie erstellt wird. Nach Abschluss des Verfahrens können Sie zulassen, dass Security Hub die Richtlinie für Sie erstellt, oder Sie können die Richtlinie manuell erstellen. Wir empfehlen, Security Hub die Richtlinie für Sie erstellen zu lassen, es sei denn, Sie möchten die Richtlinie für einen bestimmten Anwendungsfall anpassen. Das AWS Organisationsverwaltungskonto muss dieses Verfahren nur abschließen, wenn es Security Hub aktiviert und einen delegierten Administrator benannt hat, aber die Erstellung der Richtlinie beim Abschluss des [Aktivierungsworkflows](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-enable.html#securityhub-v2-enable-management-account) übersprungen hat. *Informationen zur Aktualisierung dieser Richtlinie finden Sie unter [Aktualisieren einer ressourcenbasierten Delegierungsrichtlinie](https://docs.aws.amazon.com/organizations/latest/userguide/orgs-policy-delegate-update.html) mit im Benutzerhandbuch. AWS OrganizationsAWS Organizations *
**Anmerkung**
Nachdem Sie dieses Verfahren abgeschlossen haben, kann der delegierte Administrator eine Richtlinie erstellen, mit der er Mitgliedskonten in Ihrer Organisation verwalten kann. Weitere Informationen finden Sie unter [Erstellen einer Richtlinie als delegierter Administrator zur Verwaltung von Mitgliedskonten](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-da-policy.html).
**So erstellen Sie die Richtlinie für delegierte Administratoren**
1. Melden Sie sich mit den Anmeldeinformationen Ihres AWS Organisationsverwaltungskontos bei Ihrem Konto an. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Wählen Sie im Navigationsbereich die Option Allgemein aus.**
1. Führen Sie unter **Richtlinie für delegierte Administratoren** einen der folgenden Schritte aus:
1. (Option 1) Wählen Sie **Richtlinie erstellen** aus. Aktivieren Sie das Kästchen unter der Richtlinienerklärung, um zu bestätigen, dass Security Hub automatisch eine Delegierungsrichtlinie erstellt, die dem delegierten Administrator alle erforderlichen Rechte gewährt.
1. (Option 2) Öffnen Sie die Richtlinie. Wählen Sie **Kopieren und anhängen**. Wählen Sie in der AWS Organizations Konsole unter **Delegierter Administrator für AWS Organizations** die Option **Delegieren** aus und fügen Sie die Ressourcenrichtlinie in den Delegierungsrichtlinien-Editor ein. Wählen Sie **Richtlinie erstellen** aus. Öffnen Sie die Registerkarte, auf der Sie sich in der Security Hub Hub-Konsole befinden, und wählen Sie **Konfigurieren**.
# Verwaltung der Konfiguration von Mitgliedskonten in einer AWS Organisation
Der delegierte Administrator einer AWS Organisation kann Sicherheitsfunktionen für alle Mitgliedskonten und Regionen konfigurieren. Es sind zwei Arten von Konfigurationen verfügbar: **Richtlinien** und **Bereitstellungen**. **Richtlinien** generieren AWS Unternehmensrichtlinien für Konten und Regionen für AWS Security Hub und Amazon Inspector. **Bereitstellungen** sind eine einmalige Aktion, um eine Sicherheitsfunktion für ausgewählte Konten und Regionen für Amazon GuardDuty und AWS Security Hub CSPM zu aktivieren. Im Gegensatz zu Richtlinien können Sie Bereitstellungen nicht anzeigen oder bearbeiten, und Bereitstellungen gelten nicht für neu aktivierte Konten. Als Alternative sind Funktionen zur automatischen Aktivierung für neue Mitgliedskonten in Amazon GuardDuty und AWS Security Hub CSPM verfügbar.
## Security Hub Hub-Konfigurationskatalog
Der Konfigurationskatalog von Security Hub bietet mehrere Optionen, mit denen Sie Ihre AWS Unternehmenskonten für die Sicherheitsfunktionen von konfigurieren können.
Im Folgenden sind die Optionen aufgeführt, die im Security Hub-Konfigurationskatalog verfügbar sind.
### Security Hub (grundlegende und zusätzliche Funktionen)
Dies ist die empfohlene Konfiguration für die Bereitstellung für Security Hub.
**Typ**: Richtlinie und Bereitstellungen
**Beschreibung**: Diese Konfiguration aktiviert die grundlegenden Funktionen von Security Hub für Sicherheitsmanagement, Statusmanagement, Bedrohungsanalyse und Schwachstellenmanagement. Sie ermöglicht optional zusätzliche Funktionen.
### Bedrohungsanalysen von GuardDuty
**Typ**: Bereitstellung
**Beschreibung**: Aktivieren Sie ausgewählte GuardDuty Amazon-Funktionen, um AWS Datenquellen und Protokolle in Ihrer AWS Umgebung kontinuierlich zu überwachen, zu analysieren und zu verarbeiten.
### Posture-Management über AWS Security Hub (CSPM)
**Typ: Bereitstellung**
**Beschreibung**: Diese Konfiguration aktiviert die Standards und Kontrollen von Security Hub CSPM, die erkennen, wenn Ihre AWS Konten und Ressourcen von den bewährten Sicherheitsmethoden abweichen.
### Schwachstellenmanagement von Amazon Inspector
**Typ**: Richtlinie
**Beschreibung**: Diese Konfiguration aktiviert ausgewählte Funktionen von Amazon Inspector, die automatisch Workloads, Instances, Container-Images usw. erkennen und sie auf Sicherheitslücken und Netzwerkrisiken scannen.
## Aktivierung einer Konfiguration mit einem bestimmten Richtlinientyp
Im folgenden Verfahren wird beschrieben, wie Sie eine Konfiguration mit einem bestimmten Richtlinientyp für Ihre AWS Unternehmenskonten erstellen. Um eine Konfigurationsrichtlinie zu erstellen, muss die delegierte Administratorrichtlinie im AWS Organisationsverwaltungskonto erstellt werden. Informationen zum Erstellen der delegierten Administratorrichtlinie in Security Hub finden Sie unter [Delegierte Administratorrichtlinie in Security Hub erstellen](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-policy-statement.html).
**So erstellen Sie eine Richtlinie, die Mitgliedskonten aktiviert und deaktiviert**
1. Melden Sie sich mit Ihrem AWS Konto mit Ihren delegierten Administratoranmeldedaten an. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?).
1. **Wählen Sie im Navigationsbereich **Management** und dann Configurations aus.**
1. Wählen Sie im Konfigurationskatalog ein Element mit einem bestimmten **Richtlinientyp** **oder einer Richtlinie und Bereitstellung** aus. Um Security Hub vollständig zu konfigurieren, wird empfohlen, **Security Hub zu wählen (grundlegende und zusätzliche Funktionen)**.
1. Geben Sie auf der Seite **Security Hub konfigurieren** im Abschnitt **Details** einen Namen und eine Beschreibung für die Richtlinie ein.
1. Führen Sie im Abschnitt **Sicherheitsfunktionen** einen der folgenden Schritte aus:
1. (Option 1) Wählen Sie **Alle Funktionen aktivieren**. Dadurch werden alle wichtigen Funktionen, Bedrohungsanalysen und zusätzliche Funktionen des Security Hub aktiviert.
1. **(Option 2) Wählen Sie „Funktionen anpassen“.** Wählen Sie die Bedrohungsanalyse und die zusätzlichen Funktionen aus, die aktiviert werden sollen. Sie können keine Funktionen abwählen, die Teil der Funktionen des Security Hub Hub-Grundplans sind.
1. Wählen Sie im Bereich **Kontoauswahl** eine der folgenden Optionen aus. Wählen Sie **Alle Organisationseinheiten und Konten** aus, wenn Sie die Konfiguration auf alle Organisationseinheiten und Konten anwenden möchten. Wählen Sie **Bestimmte Organisationseinheiten und Konten** aus, wenn Sie die Konfiguration auf bestimmte Organisationseinheiten und Konten anwenden möchten. Wenn Sie diese Option wählen, verwenden Sie die Suchleiste oder den Organisationsstrukturbaum, um die Organisationseinheiten und Konten anzugeben, auf die die Richtlinie angewendet werden soll. Wählen Sie **Keine Organisationseinheiten oder Konten** aus, wenn Sie die Konfiguration nicht auf eine Organisationseinheit oder ein Konto anwenden möchten.
1. Wählen Sie im Abschnitt **Regionen** die Optionen **Alle Regionen aktivieren**, **Alle Regionen deaktivieren** oder **Regionen angeben** aus. Wenn Sie „**Alle Regionen aktivieren**“ wählen, können Sie festlegen, ob neue Regionen automatisch aktiviert werden sollen. Wenn Sie **Alle Regionen deaktivieren** wählen, können Sie festlegen, ob neue Regionen automatisch deaktiviert werden sollen. Wenn Sie „**Regionen angeben**“ wählen, müssen Sie auswählen, welche Regionen Sie aktivieren und deaktivieren möchten.
1. (Optional) Informationen zu **den erweiterten Einstellungen** finden Sie in der [Anleitung](https://docs.aws.amazon.com/organizations/latest/userguide/policy-operators.html) von AWS Organizations.
1. (Optional) Fügen Sie für **Ressourcen-Tags** Tags als Schlüssel-Wert-Paare hinzu, damit Sie die Konfiguration leichter identifizieren können.
1. Wählen Sie **Weiter** aus.
1. **Überprüfen Sie Ihre Änderungen und wählen Sie dann Anwenden.** Ihre Zielkonten werden auf der Grundlage der Richtlinie konfiguriert. Der Konfigurationsstatus Ihrer Richtlinie wird oben auf der Seite Richtlinien angezeigt. Jede Funktion gibt einen Status an, der angibt, ob sie konfiguriert wurde oder wo Bereitstellungsfehler aufgetreten sind. Klicken Sie bei Fehlern auf den Link für die Fehlermeldung, um weitere Informationen zu erhalten. Die geltenden Richtlinien auf Kontoebene finden Sie auf der **Konfigurationsseite** auf der Registerkarte **Organisation**, auf der Sie ein Konto auswählen können.
## Aktivierung einer Konfiguration mit einem bestimmten Bereitstellungstyp
Im folgenden Verfahren wird beschrieben, wie Sie eine Konfiguration mit einem Bereitstellungstyp für Ihre AWS Organisationskonten erstellen.
**So erstellen Sie eine Bereitstellung, die Mitgliedskonten aktiviert und deaktiviert**
1. Melden Sie sich mit Ihrem AWS Konto mit Ihren delegierten Administratoranmeldedaten an. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?).
1. **Wählen Sie im Navigationsbereich **Management** und dann Configurations aus.**
1. Wählen Sie im Konfigurationskatalog ein Element mit einem **Bereitstellungstyp** aus. Um Security Hub vollständig zu konfigurieren, wird empfohlen, **Security Hub zu wählen (grundlegende und zusätzliche Funktionen)**.
1. Wählen Sie im Abschnitt **Sicherheitsfunktionen** die Sicherheitsfunktionen aus, die aktiviert werden sollen.
1. Wählen Sie im Abschnitt **Kontoauswahl** eine der folgenden Optionen aus. Wählen Sie **Alle Organisationseinheiten und Konten** aus, wenn Sie die Konfiguration auf alle Organisationseinheiten und Konten anwenden möchten. Wählen Sie **Bestimmte Organisationseinheiten und Konten** aus, wenn Sie die Konfiguration auf bestimmte Organisationseinheiten und Konten anwenden möchten. Wenn Sie diese Option wählen, verwenden Sie die Suchleiste oder den Organisationsstrukturbaum, um die Organisationseinheiten und Konten anzugeben, auf die die Richtlinie angewendet werden soll. Wählen Sie **Keine Organisationseinheiten oder Konten** aus, wenn Sie die Konfiguration nicht auf eine Organisationseinheit oder ein Konto anwenden möchten.
1. Wählen Sie im Abschnitt **Regionen** die Optionen **Alle Regionen aktivieren**, **Alle Regionen deaktivieren** oder **Regionen angeben** aus. Wenn Sie „**Alle Regionen aktivieren**“ wählen, können Sie festlegen, ob neue Regionen automatisch aktiviert werden sollen. Wenn Sie **Alle Regionen deaktivieren** wählen, können Sie festlegen, ob neue Regionen automatisch deaktiviert werden sollen. Wenn Sie „**Regionen angeben**“ wählen, müssen Sie auswählen, welche Regionen Sie aktivieren und deaktivieren möchten.
1. Wählen Sie **Konfigurieren** aus.
## Eine Konfigurationsrichtlinie bearbeiten
**Sie können die Funktionen, Regionen und Konten bearbeiten, die mit Konfigurationen verknüpft sind, für die eine bestimmte Richtlinie gilt.**
Im Folgenden wird beschrieben, wie Sie eine Konfigurationsrichtlinie in Security Hub bearbeiten.
**Um eine Konfigurationsrichtlinie zu erstellen, zu bearbeiten**
1. Melden Sie sich mit Ihrem AWS Konto mit Ihren delegierten Administratoranmeldedaten an. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?).
1. **Wählen Sie im Navigationsbereich **Management** und dann Configurations aus.**
1. Wählen Sie auf der Registerkarte **Konfigurierte Richtlinien** das Optionsfeld für die Richtlinie aus, die Sie bearbeiten möchten. Wählen Sie **Bearbeiten**.
1. Um Änderungen im Bereich **Kontoauswahl** vorzunehmen, wählen Sie eine der folgenden Optionen aus. Wählen Sie **Alle Organisationseinheiten und Konten**, wenn Sie die Konfiguration auf alle Organisationseinheiten und Konten anwenden möchten. Wählen Sie **Bestimmte Organisationseinheiten und Konten** aus, wenn Sie die Konfiguration auf bestimmte Organisationseinheiten und Konten anwenden möchten. Wenn Sie diese Option wählen, verwenden Sie die Suchleiste oder den Organisationsstrukturbaum, um die Organisationseinheiten und Konten anzugeben, auf die die Richtlinie angewendet werden soll. Wählen Sie **Keine Organisationseinheiten oder Konten** aus, wenn Sie die Konfiguration nicht auf eine Organisationseinheit oder ein Konto anwenden möchten.
1. Um Änderungen im Bereich „**Regionen**“ vorzunehmen, wählen Sie „**Alle Regionen aktivieren**“, **„Alle Regionen deaktivieren**“ oder „**Regionen angeben**“. Wenn Sie „**Alle Regionen aktivieren**“ wählen, können Sie festlegen, ob neue Regionen automatisch aktiviert werden sollen. Wenn Sie **Alle Regionen deaktivieren** wählen, können Sie festlegen, ob neue Regionen automatisch deaktiviert werden sollen. Wenn Sie „**Regionen angeben**“ wählen, müssen Sie auswählen, welche Regionen Sie aktivieren und deaktivieren möchten.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie die Änderungen und klicken Sie dann auf **Update (Aktualisieren)**. Ihre Zielkonten werden auf der Grundlage der Richtlinie konfiguriert.
## Löschen einer Konfigurationsrichtlinie
Sie können eine Konfiguration löschen, für die Sie einen **Richtlinientyp** haben. Wenn Sie eine Richtlinie löschen, werden alle angehängten Konten und Organisationseinheiten aus der Richtlinie entfernt.
Im Folgenden wird beschrieben, wie Sie eine Konfigurationsrichtlinie in Security Hub löschen.
**Um eine Konfigurationsrichtlinie zu erstellen, löschen Sie**
1. Melden Sie sich mit Ihrem AWS Konto mit Ihren delegierten Administratoranmeldedaten an. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?).
1. **Wählen Sie im Navigationsbereich **Management** und dann Configurations aus.**
1. Wählen Sie auf der Registerkarte **Konfigurierte Richtlinien** das Optionsfeld für die Richtlinie aus, die Sie bearbeiten möchten. Wählen Sie die Schaltfläche **Löschen**.
1. Geben **Sie Löschen** in das Bestätigungsfeld ein. Wählen Sie **Löschen**.
# Das delegierte Administratorkonto in Security Hub entfernen
Sie können das delegierte Administratorkonto jederzeit in der Security Hub Hub-Konsole entfernen. Diese Aktion entfernt jedoch nicht nur den delegierten Administrator aus Security Hub, sondern auch Security Hub CSPM. Wir empfehlen, diese Aktion nur durchzuführen, wenn Sie diesen Vorgang mit Ihrem Sicherheitskonto bestätigt haben.
**Anmerkung**
Wenn Sie als delegierter Security Hub-CSPM-Administrator ein anderes Konto als das Organisationsverwaltungskonto verwenden, wird es durch das Entfernen entweder über die CSPM-Konsole oder die AWS Organizations API auch aus Security Hub entfernt.
Wenn Sie den delegierten Security Hub-Administrator entweder über die Security Hub-Konsole oder die AWS Organizations API entfernen, wird er auch aus Security Hub CSPM entfernt. Wenn der delegierte Administrator aus CSPM entfernt wird, wird die zentrale Konfiguration automatisch deaktiviert.
**Um das delegierte Administratorkonto zu entfernen**
1. Melden Sie sich mit den Anmeldeinformationen Ihres AWS Organisationsverwaltungskontos bei Ihrem Konto an. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?).
1. **Wählen Sie im Navigationsbereich die Option Allgemein aus.**
1. Wählen Sie unter **Delegierter Administrator** die Option **Delegierten Administrator entfernen** aus. **Geben Sie im Popup-Fenster Entfernen ein und wählen *Sie Entfernen* aus.**
# Security Hub erneut aktivieren
Bevor Sie Security Hub für Konten erneut aktivieren, die zuvor mithilfe einer Security Hub Hub-Richtlinie deaktiviert wurden, müssen Sie zunächst die Deaktivierungsrichtlinie trennen. Wenn Sie versuchen, Security Hub erneut zu aktivieren, während dem Konto oder der Organisationseinheit noch eine Deaktivierungsrichtlinie zugewiesen ist, überschreibt die Deaktivierungsrichtlinie die Aktivierung und Security Hub bleibt deaktiviert.
**Um den Security Hub zu entfernen, deaktivieren Sie die Richtlinie für eine Organisation oder ein Konto.**
1. Melden Sie sich mit Ihrem AWS Konto und den Anmeldedaten Ihres Organisationsverwaltungskontos an. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/organizations/v2/home](https://console.aws.amazon.com/organizations/v2/home).
1. **Wählen Sie im Navigationsbereich Konten aus AWS .**
1. Wenn die aktuelle Security Hub Hub-Deaktivierungsrichtlinie für Ihre gesamte Organisation galt, wählen Sie **Root** unter **Organisationsstruktur aus**. Wenn die aktuelle Security Hub Hub-Deaktivierungsrichtlinie für bestimmte Konten gilt, wählen Sie das spezifische Konto unter **Organisationsstruktur** aus und folgen Sie dann den verbleibenden Schritten für jedes Konto.
1. Suchen Sie auf der Registerkarte **Richtlinien** den Abschnitt mit dem Titel **Security Hub Hub-Richtlinien**.
1. Wählen Sie das Optionsfeld neben der Richtlinie, die Security Hub deaktiviert. Wählen Sie **Trennen**.
Sobald die Richtlinie von Ihrer Organisation oder Ihren Konten angehängt wurde, können Sie Security Hub erneut aktivieren. Einzelheiten zur erneuten Aktivierung [von Security Hub finden Sie unter Konfiguration von Mitgliedskonten in einer AWS Organisation verwalten](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-da-policy.html).
# Security Hub Hub-Empfehlungen
Die folgenden Sicherheitsdienste AWS senden Ergebnisse im OCSF-Format an Security Hub. Nachdem Sie Security Hub aktiviert haben, empfehlen wir, diese AWS-Services für zusätzliche Sicherheit zu aktivieren.
**Security Hub CSPM**
Wenn Sie [Security Hub CSPM aktivieren](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html), erhalten Sie einen umfassenden Überblick über Ihren Sicherheitsstatus in. AWS Auf diese Weise können Sie Ihre Umgebung anhand von Industriestandards und bewährten Methoden beurteilen. Sie können zwar mit Security Hub beginnen, ohne Security Hub CSPM zu aktivieren, wir empfehlen jedoch, Security Hub CSPM zu aktivieren, da Security Hub Sicherheitssignale von Security Hub CSPM korreliert, um Ihr Statusmanagement zu verbessern.
Wenn Sie [Security Hub CSPM aktivieren](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html), empfehlen wir außerdem, [den Standard AWS Foundational Security Best Practices für Ihr Konto zu aktivieren](https://docs.aws.amazon.com/securityhub/latest/userguide/enable-standards.html). Dieser Standard besteht aus einer Reihe von Kontrollen, die erkennen, wenn Sie AWS-Konten und Ihre Ressourcen von den bewährten Sicherheitsmethoden abweichen. Wenn Sie den Standard AWS Foundational Security Best Practices für Ihr Konto aktivieren, aktiviert AWS Security Hub CSPM automatisch alle seine Kontrollen, einschließlich der Kontrollen für die folgenden Ressourcentypen:
+ Kontokontrollen
+ Amazon DynamoDB-Steuerelemente
+ Amazon Elastic Compute Cloud-Steuerelemente
+ AWS Identity and Access Management (IAM) -Steuerelemente
+ AWS Lambda Kontrollen
+ Steuerelemente für Amazon Relational Database Service (Amazon RDS)
+ Steuerelemente von Amazon Simple Storage Service
Sie können alle Steuerelemente in dieser Liste deaktivieren. Wenn Sie jedoch eines dieser Steuerelemente deaktivieren, können Sie keine Expositionsergebnisse für unterstützte Ressourcen erhalten. Informationen zu Kontrollen, die für den Standard AWS Foundational Security Best Practices gelten, finden Sie unter [AWS Foundational Security Best Practices v1.0.0 (](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)FSBP).
**GuardDuty**
Wenn Sie die GuardDuty Option [aktivieren](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html), können Sie alle Ihre Ergebnisse zu Bedrohungen und Sicherheitsvorkehrungen im Dashboard der Security Hub Hub-Konsole einsehen. Wenn Sie diese Option aktivieren GuardDuty, GuardDuty wird automatisch mit dem Senden von Daten an Security Hub im OCSF-Format begonnen.
**Amazon Inspector**
Wenn Sie [Amazon Inspector aktivieren](https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html), können Sie alle Ihre Risiken und Ergebnisse zur Sicherheitsabdeckung im Dashboard der Security Hub Hub-Konsole einsehen. Wenn Sie Amazon Inspector aktivieren, beginnt Amazon Inspector automatisch, Daten im OCSF-Format an Security Hub zu senden.
Wir empfehlen, das Amazon EC2-Scannen und das Lambda-Standardscannen zu aktivieren. Wenn Sie Amazon EC2-Scanning aktivieren, scannt Amazon Inspector Amazon EC2 EC2-Instances in Ihrem Konto auf Paketschwachstellen und Probleme mit der Netzwerkerreichbarkeit. Wenn Sie das Lambda-Standardscannen aktivieren, scannt Amazon Inspector Lambda-Funktionen auf Softwareschwachstellen in Paketabhängigkeiten. Weitere Informationen finden Sie unter [Aktivierung eines Scan-Typs](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html) im *Amazon Inspector Inspector-Benutzerhandbuch*.
**Macie**
Wenn Sie [Macie aktivieren](https://docs.aws.amazon.com/macie/latest/user/getting-started.html), können Sie zusätzliche Risiken für Ihre Amazon S3 S3-Buckets erkennen. Wir empfehlen, die [automatische Erkennung sensibler Daten](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-enable.html) zu konfigurieren, damit Macie Ihr Amazon S3 S3-Bucket-Inventar täglich auswerten kann.
# Kontoabdeckung im Security Hub
Mit Security Hub können Sie mithilfe von Richtlinien und Konfigurationen mehrere Funktionen für verschiedene Regionen und Unternehmenskonten aktivieren. Einige dieser Funktionen stammen von Diensten außerhalb von Security Hub, darunter Amazon Inspector, Amazon GuardDuty, AWS Security Hub CSPM und Amazon Macie. Auf der Seite **Kontoabdeckung** können Sie nachverfolgen, welche Konten und Regionen von diesen Funktionen abgedeckt werden.
## Seite „Kontoabdeckung“
Auf der Seite zur Kontoabdeckung finden Sie einen Überblick über die Aktivierung der Sicherheitsfunktionen für Ihre AWS Konten. Diese Ansicht hilft Ihnen dabei, Lücken in Ihrer Sicherheitsabdeckung zu erkennen und die Einführung von Sicherheitsfunktionen in Ihrem Unternehmen nachzuverfolgen.
**So greifen Sie auf die Seite mit der **Abdeckung des Security Hub Hub-Kontos** zu**
1. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. Wählen Sie im Navigationsbereich unter **Einstellungen** die Option **Kontoabdeckung** aus.
### Abschnitt „Übersicht“
Im Bereich **Übersicht** werden aggregierte Kennzahlen zum Sicherheitsschutz für alle überwachten Konten angezeigt. Diese allgemeine Visualisierung zeigt den Prozentsatz der Konten, bei denen die einzelnen Sicherheitsfunktionen aktiviert sind, und bietet so einen umfassenden Überblick über Ihren Sicherheitsstatus. Sie können jeden Prozentsatz der abgedeckten Funktionen auswählen, um die Ergebnisse der Sicherheitsabdeckungen zu filtern und Ergebnisse im Zusammenhang mit der Abdeckung für diese Fähigkeit anzuzeigen.
Die Prozentsätze im Abschnitt „Übersicht“ werden anhand der folgenden Berechnung ermittelt:
`(Count of number of accounts and regions the capability is enabled in)`/`((Total number of accounts Security Hub is enabled in)`\$1`(Number of regions the capability is available in))`
### Registerkarte „Konten“
Die Registerkarte **Konten** ermöglicht eine kontospezifische Deckungsanalyse durch Filterung nach Kontofunktionen. Für jede Sicherheitsfunktion wird ein prozentualer Schutzgrad angezeigt. Wenn diese Option ausgewählt ist, wird eine detaillierte Aufschlüsselung der einzelnen Funktionen und ihres prozentualen Schutzes innerhalb dieser Funktion angezeigt. Wenn Sie diese Prozentsätze auswählen, filtert das System die Ergebnisse der Deckungsergebnisse, sodass diejenigen angezeigt werden, die die Abdeckung für diese Fähigkeit und für das Konto in dieser Zeile angeben.
Die Prozentsätze auf der Registerkarte „Konten“ werden anhand der folgenden Berechnung ermittelt:
`(Count of number of regions the capability is enabled in)`/`(Number of regions the capability is available in)`
Es gibt mehrere Fälle, in denen der Prozentsatz der Deckung als 0% angezeigt werden kann:
+ Security Hub ist im Konto nicht aktiviert und daher werden keine Deckungsergebnisse erfasst.
+ Security Hub wartet darauf, dass die Ergebnisse zur Berichterstattung generiert werden.
### Registerkarte „Ergebnisse des Versicherungsschutzes“
Auf der Registerkarte „**Ergebnisse zur Abdeckung**“ werden Informationen angezeigt, die generiert wurden, als bei Prüfungen der Sicherheitsfunktionen deaktivierte Funktionen in einem Konto erkannt wurden. Diese Ergebnisse helfen dabei, Bereiche zu identifizieren, in denen der Sicherheitsschutz verbessert werden kann. Jede Deckungsfeststellung enthält Informationen über den Titel der Deckungsfeststellung, das Konto und die Region, in der die Feststellung festgestellt wurde, sowie über den aktuellen Stand der Feststellung. Jedes Ergebnis hat auch einen Link zur Konfiguration, über den Sie zu dem einzelnen Dienst gelangen, über den die Konfiguration für diese Funktion verwaltet werden kann, oder zur Security Hub Hub-Konfigurationsseite, auf der Sie Ihre aktuellen Konfigurationen für Sicherheitsdienste aktualisieren können.
Weitere Informationen zu Deckungsergebnissen finden Sie unter [Deckungsergebnisse in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/coverage-findings.html).
## Widget „Sicherheitsabdeckung“
Die Kontoabdeckung kann auch über das **Widget Sicherheitsabdeckung im Security** Hub Hub-Übersichts-Dashboard angezeigt werden. Weitere Informationen zum Widget finden Sie in der Dokumentation zum [Widget „Sicherheitsabdeckung“](https://docs.aws.amazon.com/securityhub/latest/userguide/dashboard-v2.html#security-hub-v2-dashboard-coverage-widget).
# Erweiterter Security Hub Hub-Abo
Der Security Hub Extended-Plan schützt Ihren gesamten Unternehmensbestand in Bezug auf Cloud, Endpunkt, Netzwerk, Identität, Daten, E-Mail und Browser mit einem integrierten Sicherheitsbetriebserlebnis, das sich auf AWS Security Hub konzentriert. Mit dem Security Hub Extended-Plan können Sie Partnerlösungen auswählen, die Ihren Sicherheitsanforderungen entsprechen, und flexible pay-as-you-go Preise abschließen, ohne dass Vorabinvestitionen oder langfristige Verpflichtungen erforderlich sind. Sie können Partnerlösungen hinzufügen oder entfernen, wenn sich Ihre Geschäftsanforderungen weiterentwickeln.
Der Security Hub Extended-Plan ist für alle Kunden verfügbar, die den Security Hub Essentials-Plan aktiviert haben. Die Gebühren für den Security Hub Extended-Plan erscheinen auf Ihrer monatlichen AWS Rechnung mit AWS dem eingetragenen Verkäufer.
Die Preise für den erweiterten Security Hub-Plan für alle Lösungen finden Sie auf der [Seite mit den Preisdetails für Security Hub](https://aws.amazon.com/security-hub/pricing/#pricing_details) auf der Registerkarte Erweiterter Plan.
## Berechtigungen für den Security Hub Extended-Plan
Um ein Partnerprodukt aus dem Security Hub Extended-Plan zu abonnieren, benötigen Sie zusätzlich zu Ihren Security Hub Hub-Berechtigungen die folgenden Berechtigungen:
+ `aws-marketplace:ViewSubscriptions`
+ `aws-marketplace:Subscribe`
Um ein Partnerprodukt vom Security Hub Extended-Plan abzumelden, benötigen Sie zusätzlich zu Ihren Security Hub Hub-Berechtigungen die folgenden Berechtigungen:
+ `license-manager:ListReceivedLicenses`
+ `aws-marketplace:ListAgreementCharges`
+ `aws-marketplace:Unsubscribe`
Weitere Informationen zu AWS Marketplace-Berechtigungen finden Sie unter [Steuern des Zugriffs auf AWS Marketplace-Abonnements](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-iam-users-groups-policies.html) im *AWS Marketplace-Käuferleitfaden*.
## Partner für Extended-Tarife prüfen und registrieren
Auf den Security Hub Extended-Plan kann über das delegierte Security Hub-Administratorkonto oder über eigenständige Konten zugegriffen werden. Auf der Seite Security Hub Extended Plan können Sie Details zu jedem Partner einsehen, ein Abonnement für eine Partnerlösung initiieren und den Onboarding-Prozess für die Lösung jedes Partners über die Onboarding-Seite des Partners starten.
**Um auf den Security Hub Extended-Plan zuzugreifen und sich für das Produkt eines Partners zu registrieren**
1. Melden Sie sich mit Ihren delegierten Administrator- oder eigenständigen Kontoanmeldedaten bei der AWS Management Console an.
1. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. Wählen Sie im Navigationsbereich **Management** und dann **Extended** Plan aus.
1. Wählen Sie für jede Partnerlösung, für die Sie sich registrieren möchten, die Option **Produkt anzeigen** aus.
1. Prüfen Sie die Preisdetails des Produkts und wählen Sie dann **Abonnieren** aus, wenn Sie bereit sind, mit der Einführung in das Partnerprodukt zu beginnen.
1. Wählen Sie nach Abschluss des Abonnementvorgangs **Konto einrichten** aus, um zur Anmeldeseite des Partners weitergeleitet zu werden.
1. Geben Sie die erforderlichen Informationen für die Partner-Anmeldeseite ein und folgen Sie den nächsten vom Partner bereitgestellten Schritten, um die Onboarding-Schritte abzuschließen.
**Wichtig**
Die Partnerlösung wird Ihnen erst in Rechnung gestellt, wenn Sie den Onboarding-Prozess für das Partnerprodukt abgeschlossen haben.
## Abmeldung von einem Partner mit erweitertem Tarif
Wenn Sie eine Partnerlösung mit erweitertem Tarif nicht mehr nutzen möchten, können Sie sich von der Partnerliste abmelden.
Um sich von einer Partnerlösung abzumelden, folgen Sie den Anweisungen unter [Kündigung Ihres SaaS-Abonnements](https://docs.aws.amazon.com/marketplace/latest/buyerguide/cancel-subscription.html#cancel-saas-subscription) im *AWS Marketplace-Einkaufsleitfaden*.
**Wichtig**
Folgen Sie zusätzlich zur Kündigung Ihres Abonnements alle zusätzlichen Offboarding-Schritte, die für die Partnerlösung erforderlich sind, je nachdem, wie Sie die Lösung für Ihr Unternehmen konfiguriert haben.
# Grundlegendes zur regionsübergreifenden Aggregation in Security Hub
Durch die regionsübergreifende Aggregation können Sie Ergebnisse, Ressourcen und Trends aus mehreren AWS Regionen in einer einzigen Heimatregion zusammenfassen. Sie können dann all diese Daten von der Heimatregion aus verwalten.
Angenommen, Sie legen USA Ost (Nord-Virginia) als Heimatregion und USA West (Oregon) und USA West (Nordkalifornien) als verknüpfte Regionen fest. Wenn Sie die Ergebnisseite in USA Ost (Nord-Virginia) aufrufen, sehen Sie die Ergebnisse aus allen drei Regionen. Aktualisierungen dieser Ergebnisse spiegeln sich auch in allen drei Regionen wider.
## Arten von Daten, die aggregiert sind
Wenn die regionsübergreifende Aggregation mit einer oder mehreren verknüpften Regionen aktiviert ist, repliziert Security Hub die folgenden Daten aus den verknüpften Regionen in die Heimatregion. Dies geschieht in jedem Konto, für das die regionsübergreifende Aggregation aktiviert ist.
+ Ergebnisse
+ Ressourcen
+ Trends
Zusätzlich zu den neuen Daten in der vorherigen Liste repliziert Security Hub auch Aktualisierungen dieser Daten zwischen den verknüpften Regionen und der Heimatregion. Updates, die in einer verknüpften Region auftreten, werden in die Heimatregion repliziert. Aktualisierungen, die in der Heimatregion vorgenommen werden, werden zurück in die verknüpfte Region repliziert. Wenn es in der Heimatregion und der verknüpften Region widersprüchliche Aktualisierungen gibt, wird das neueste Update verwendet.
Alle Ergebnisse, die in einer Region zu dem Zeitpunkt vorlagen, zu dem sie zu einer verknüpften Region wird, werden nicht in die Heimatregion repliziert, es sei denn, die Ergebnisse werden aktualisiert. Sobald eine Region mit einer Heimatregion verknüpft ist, unterscheiden sich die Ergebnisse zwischen der Heimatregion und der verknüpften Region, bis die Ergebnisse in der verknüpften Region aktualisiert werden oder sie veralten.
Alle Ressourcen, die zu dem Zeitpunkt, zu dem sie eine verknüpfte Region wurde, in einer Region existierten, werden in die Heimatregion repliziert, in der Regel innerhalb von 24-48 Stunden, nachdem die Region mit einer Heimatregion verknüpft wurde.
Wenn eine verknüpfte Region entfernt wird, verbleiben alle Ergebnisse oder Ressourcen für diese Region in der Heimatregion, bis der Fund oder die Ressource veraltet ist.
Trenddaten basieren auf Erkenntnissen und Ressourcen, die in der Region vorhanden sind, für die der Trend bestimmt ist. Trenddaten in einer Heimatregion spiegeln den aktuellen Stand der Ergebnisse und Ressourcen wider, die mit der Heimatregion synchronisiert wurden.
![\[Wenn die regionsübergreifende Aggregation aktiviert ist, repliziert Security Hub CSPM neue und aktualisierte Ergebnisse zwischen den verknüpften Regionen und der Heimatregion.\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/security-hub-region-aggregation-diagram.png)
Die regionsübergreifende Aggregation erhöht die Kosten von Security Hub nicht. Es fallen keine Gebühren an, wenn Security Hub neue Daten oder Updates repliziert.
In der Heimatregion bietet die Übersichtsseite einen Überblick über Ihre aktiven Ergebnisse und Ressourcen in den verknüpften Regionen.
Security Hub aggregiert nur Daten aus Regionen, in denen Security Hub für ein Konto aktiviert ist. Security Hub wird nicht automatisch für ein Konto aktiviert, das auf der regionsübergreifenden Aggregationskonfiguration basiert.
Es ist möglich, die regionsübergreifende Aggregation zu aktivieren, ohne dass verknüpfte Regionen ausgewählt werden. In diesem Fall findet keine Datenreplikation statt.
## Aggregation für Administrator- und Mitgliedskonten
Eigenständige Konten und Administratorkonten können die regionsübergreifende Aggregation konfigurieren. Falls von einem Administrator konfiguriert, ist das Vorhandensein des Administratorkontos unerlässlich, damit die regionsübergreifende Aggregation in verwalteten Konten funktioniert. Wenn das Administratorkonto entfernt oder von einem Mitgliedskonto getrennt wird, wird die regionsübergreifende Aggregation für das Mitgliedskonto entweder beendet, oder wenn das Mitgliedskonto vor der Verknüpfung mit einem Administrator eine regionsübergreifende Aggregationskonfiguration hatte, ist diese Aggregationskonfiguration wieder für das Konto wirksam.
Wenn ein Administratorkonto die regionsübergreifende Aggregation aktiviert, repliziert Security Hub die Daten, die das Administratorkonto in allen verknüpften Regionen generiert, in die Heimatregion. Darüber hinaus identifiziert Security Hub die Mitgliedskonten, die diesem Administrator zugeordnet sind, und jedes Mitgliedskonto erbt die regionsübergreifenden Aggregationseinstellungen des Administrators. Security Hub repliziert die Daten, die ein Mitgliedskonto in allen verknüpften Regionen generiert, in die Heimatregion.
Der Administrator kann von allen Mitgliedskonten in den verwalteten Regionen aus auf Sicherheitsergebnisse zugreifen und diese verwalten. Darüber hinaus kann der Administrator den Ressourcenbestand aller Mitgliedskonten in den verwalteten Regionen einsehen.
Als Security Hub-Mitgliedskonto müssen Sie in der Heimatregion angemeldet sein, um aggregierte Daten aus Ihrem Konto aus allen verknüpften Regionen einsehen zu können. Mitgliedskonten sind nicht berechtigt, Daten von anderen Mitgliedskonten einzusehen, und dürfen auch nicht`CreateAggregatorV2`,`DeleteAggregatorV2`, und `GetAggregatorV2` APIs aufrufen.
## Automatisierungsregeln und regionsübergreifende Aggregation
Wenn die regionsübergreifende Aggregation aktiviert ist, können Automatisierungsregeln nur in der definierten Heimatregion erstellt werden. Jede Regel, die Sie definieren, gilt für alle verknüpften Regionen, es sei denn, Ihre Regelkriterien gelten für bestimmte Regionen. Sie müssen separate Automatisierungsregeln für jede Region erstellen, die keine verknüpfte Region ist.
Alle Regeln, die vor der Aktivierung der regionsübergreifenden Aggregation in der Heimatregion erstellt wurden, gelten automatisch für verknüpfte Regionen. Regeln, die zuvor in verknüpften Regionen erstellt wurden, gelten nicht mehr, sobald ein Aggregator erstellt wurde. Regeln, die in verknüpften Regionen definiert wurden, gelten wieder, sobald der Aggregator gelöscht oder die Region nicht mehr verknüpft ist.
# Aktivierung der regionsübergreifenden Aggregation
Sie müssen die regionsübergreifende Aggregation von der AWS Region aus aktivieren, die Sie als Heimatregion festlegen möchten.
Um die regionsübergreifende Aggregation zu aktivieren, erstellen Sie eine Security Hub Hub-Ressource, die als Finding-Aggregator bezeichnet wird. Die Suchaggregator-Ressource gibt Ihre Heimatregion und verknüpfte Regionen (falls vorhanden) an.
Sie können eine AWS Region, die standardmäßig deaktiviert ist, nicht als Heimatregion verwenden. Eine Liste der Regionen, die standardmäßig deaktiviert sind, finden Sie in der AWS allgemeinen Referenz unter Region aktivieren.
Wenn Sie die regionsübergreifende Aggregation aktivieren, können Sie bei Bedarf eine oder mehrere verknüpfte Regionen angeben. Durch die Aktivierung der regionsübergreifenden Aggregation wird Security Hub in dieser Region nicht aktiviert. Informationen zur Aktivierung von Security Hub in einer Region finden Sie unter Erstellen einer Richtlinie als delegierter Administrator zur Verwaltung von Mitgliedskonten im Security Hub Hub-Benutzerhandbuch.
**So aktivieren Sie die regionsübergreifende Aggregation (Konsole)**
1. Öffnen Sie über das Administratorkonto oder ein eigenständiges Konto die AWS Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home)
1. Melden Sie sich mit der AWS Regionsauswahl bei der Region an, die Sie als Aggregationsregion verwenden möchten.
1. Wählen Sie im Security Hub-Navigationsmenü **Einstellungen** und dann **Allgemein**.
1. **Wählen Sie im Abschnitt Regionsübergreifende Aggregation die Option Konfigurieren aus.**
1. Standardmäßig ist die Heimatregion auf **Keine Aggregationsregion** gesetzt.
1. Wählen Sie unter **Heimatregion** die Option aus, um die aktuelle Region als Heimatregion festzulegen.
1. Wählen Sie optional für **Verknüpfte Regionen** die Regionen aus, aus denen Daten aggregiert werden sollen.
1. Wählen Sie **Speichern**.
# Überprüfen der Einstellungen für die regionsübergreifende Aggregation
Sie können die aktuelle regionsübergreifende Aggregationskonfiguration in AWS Security Hub von jeder AWS Region aus im Administratorkonto oder in einem eigenständigen Konto anzeigen. Mitgliedskonten können die regionsübergreifende Aggregationskonfiguration nicht anzeigen. Die Konfiguration umfasst die Heimatregion und die verknüpften Regionen (falls vorhanden).
Folgen Sie den Schritten, um Ihre aktuellen regionsübergreifenden Aggregationseinstellungen anzuzeigen
**So zeigen Sie die Einstellungen für die regionsübergreifende Aggregation an (Konsole)**
1. Öffnen Sie die AWS Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Wählen Sie im Navigationsbereich **Einstellungen** und dann Allgemein aus.**
1. Wenn die regionsübergreifende Aggregation nicht aktiviert ist, wird auf der Seite Allgemein die Option zur Aktivierung der regionsübergreifenden Aggregation angezeigt. Nur Administratorkonten und eigenständige Konten können die regionsübergreifende Aggregation aktivieren.
1. Wenn die regionsübergreifende Aggregation aktiviert ist, werden auf der Registerkarte Regionen die folgenden Informationen angezeigt:
+ Die Heimatregion
+ Ob Ergebnisse, Ressourcen und Trends aus neuen Regionen, die Security Hub unterstützt und für die Sie sich entscheiden, automatisch aggregiert werden sollen
+ Die Liste der verknüpften Regionen (falls ausgewählt)
# Aktualisierung der regionsübergreifenden Aggregationseinstellungen
Sie können Ihre aktuellen regionsübergreifenden Aggregationseinstellungen in AWS Security Hub aktualisieren, indem Sie die verknüpften Regionen oder die aktuelle Heimatregion ändern.
Änderungen an der regionsübergreifenden Aggregation werden für eine Opt-in-Region erst implementiert, wenn Sie die Region in Ihrem Konto aktivieren. AWS Regionen, die am oder nach dem 20. März 2019 AWS eingeführt wurden, sind Opt-in-Regionen.
Wenn Sie die Aggregation von Daten aus einer verknüpften Region beenden, entfernt AWS Security Hub keine vorhandenen aggregierten Daten aus dieser Region, auf die in der Heimatregion zugegriffen werden kann.
Sie können die Aktualisierungsverfahren in diesem Abschnitt nicht verwenden, um die Heimatregion zu ändern. Um die Heimatregion zu ändern, müssen Sie wie folgt vorgehen:
1. Löschen Sie die aktuelle regionsübergreifende Aggregationskonfiguration. Detaillierte Anweisungen finden Sie unter [Regionsübergreifende Aggregation wird gelöscht](sh-finding-aggregation-delete.md).
1. Wechseln Sie zu der Region, die Sie als neue Heimatregion verwenden möchten.
1. Aktivieren Sie die regionsübergreifende Aggregation. Detaillierte Anweisungen finden Sie unter [Regionsübergreifende Aggregation wird gelöscht](sh-finding-aggregation-delete.md).
Sie müssen die regionsübergreifende Aggregationskonfiguration von der aktuellen Heimatregion aus aktualisieren.
**Um die verknüpften Regionen zu ändern (Konsole)**
1. Öffnen Sie über das Administratorkonto oder ein eigenständiges Konto die AWS Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. Melden Sie sich in der aktuellen Aggregationsregion an.
1. Wählen Sie im Security Hub-Navigationsmenü **Einstellungen** und dann **Allgemein**.
1. **Wählen Sie für regionsübergreifende Aggregation die Option Bearbeiten aus.**
1. Aktualisieren Sie für **verknüpfte Regionen** die ausgewählten verknüpften Regionen.
1. Wählen Sie **Speichern**.
# Regionsübergreifende Aggregation wird gelöscht
Wenn Sie nicht möchten, dass AWS Security Hub Daten aggregiert, können Sie Ihren Suchaggregator löschen. Alternativ können Sie Ihren Suchaggregator beibehalten, aber keine AWS Regionen mit der Heimatregion verknüpfen, indem Sie den vorhandenen Aggregator so aktualisieren, dass keine verknüpften Regionen ausgewählt sind.
Um Ihre Heimatregion zu ändern, müssen Sie Ihren aktuellen Suchaggregator löschen und einen neuen erstellen.
Wenn Sie Ihren Suchaggregator löschen, beendet Security Hub die Datenaggregation. Es entfernt keine vorhandenen aggregierten Daten aus der Heimatregion.
**Der Suchaggregator (Konsole) wird gelöscht**
Sie können Ihren Suchaggregator nur aus der aktuellen Heimatregion löschen.
In anderen Regionen als der Heimatregion wird im Bereich Finding Aggregation auf der Security Hub Hub-Konsole eine Meldung angezeigt, dass Sie die Konfiguration in der Heimatregion bearbeiten müssen. Wählen Sie diese Nachricht, um einen Link anzuzeigen, über den Sie zur Heimatregion wechseln können.
**Um die regionsübergreifende Aggregation zu beenden (Konsole)**
1. Öffnen Sie die AWS Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. Stellen Sie sicher, dass Sie in Ihrer aktuellen Heimatregion angemeldet sind.
1. Wählen Sie im Security Hub-Navigationsmenü **Einstellungen** und dann **Allgemein**.
1. **Wählen Sie unter Regionalübergreifende Aggregation die Option Bearbeiten aus.**
1. Wählen Sie unter **Aggregationsregion die** Option **Keine** Aggregationsregion aus.
1. Wählen Sie **Speichern**.
1. Geben Sie im Bestätigungsdialogfeld in das Bestätigungsfeld Folgendes ein. **Confirm**
1. Wählen Sie **Bestätigen** aus.
# Im Übersichts-Dashboard in Security Hub arbeiten
Das **Übersichts-Dashboard** in der Security Hub Hub-Konsole zeigt einen Überblick über Ihre Risiken, Bedrohungen, Ressourcen und den Sicherheitsschutz in allen Sicherheits-Widgets. Sie können das Dashboard anpassen, indem Sie Widgets hinzufügen und entfernen sowie Filtersätze erstellen und anwenden, um Daten in jedem Widget abzurufen.
## Überlegungen
Beachten Sie Folgendes, bevor Sie mit dem Dashboard interagieren:
+ Anpassungen wie gespeicherte Filtersätze oder Änderungen am Layout von Widgets werden automatisch gespeichert.
+ Die Daten werden bei jedem Öffnen des Dashboards automatisch aktualisiert.
+ Wenn Sie die regionsübergreifende Aggregation konfigurieren, enthält das Dashboard Ergebnisse aus all Ihren verknüpften Regionen (wenn Sie das Dashboard in Ihrer Heimatregion aufrufen).
Beachten Sie Folgendes, wenn es sich bei Ihrem Konto um ein delegiertes Administratorkonto für eine Organisation, ein Mitgliedskonto in einer Organisation oder ein eigenständiges Konto handelt.
+ Von einem delegierten Administratorkonto vorgenommene Anpassungen werden unabhängig von Anpassungen durch Mitgliedskonten gespeichert. Zu den Anpassungen können gespeicherte Filtersätze oder Änderungen am Layout von Widgets gehören.
+ Wenn es sich bei Ihrem Konto um das delegierte Administratorkonto für eine Organisation handelt, umfassen die Daten Ergebnisse für Ihr Konto und Ihre Mitgliedskonten.
+ Wenn es sich bei Ihrem Konto um ein Mitgliedskonto in einer Organisation oder um ein eigenständiges Konto handelt, umfassen die Daten nur Ergebnisse für Ihr Konto.
Als bewährte Methode empfehlen wir, keine vertraulichen, sensiblen oder persönlich identifizierbaren Informationen (PII) in gespeicherte Filtersätze, benutzerdefinierte Widgets oder andere verwandte Freiform-Textfelder aufzunehmen.
## Verfügbare Widgets
**Auf den Tabs **Executive und **Triage** des Übersichts-Dashboards** können Sie mit verschiedenen Widgets interagieren.** Die Registerkarte „**Executive**“ enthält Widgets, die Trenddaten zu Ihren Risiken, Bedrohungen und Ressourcen anzeigen, und das Widget „**Sicherheitsabdeckung**“, mit dem Sie den Schutz Ihres Kontos über verschiedene Sicherheitsfunktionen hinweg verfolgen können. Die Registerkarte „**Triage**“ enthält Widgets, die eine Zusammenfassung Ihrer Risiken, Bedrohungen und Ressourcen anzeigen. Sie können jedoch in beiden Tabs Widgets hinzufügen, Widgets entfernen und die Position der einzelnen Widgets verwalten, um Ihr Erlebnis individuell zu gestalten.
### Widgets für Trends
Die folgenden Widgets zeigen Trenddaten zu Ihren Risiken, Bedrohungen und Ressourcen an, sodass Sie diese im Laufe der Zeit analysieren können.
#### Widget „Trendübersicht“
![\[Beispiel für ein Widget mit einer Trendübersicht.\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/trends-overview-widget.png)
Dieses Widget zeigt einen Überblick über Ihre Risiken, Bedrohungen, Ressourcen und Ergebnisse in den folgenden Zeiträumen:
+ **M onth-over-month** steht für die period-over-period Anzahl der letzten zwei Monate.
+ **W eek-over-week** gibt die period-over-period Anzahl der letzten zwei Wochen wieder.
+ **D ay-over-day** gibt die period-over-period Anzahl der letzten 2 Tage an.
Die Zahl neben dem Prozentsatz gibt die bisherige period-over-period Durchschnittszahl wieder. Wenn Sie diese Zahl wählen, gelangen Sie zum entsprechenden Dashboard in der Konsole. Wenn Sie zu einem anderen Dashboard wechseln, das Trenddaten anzeigt, zeigt das Dashboard nur Trenddaten der letzten 90 Tage oder für einen Zeitraum an, der am besten geeignet ist, wenn Ihr Konto keine Ergebnisse oder Ressourcen enthält, die älter als 30 Tage sind.
**Anmerkung**
Um Daten in diesem Widget zu empfangen, müssen Sie die folgenden Sicherheitsdienste aktivieren:
**AWS Security Hub CSPM** — Um Daten über Expositionen zu erhalten
**Amazon Inspector** — Um Daten über Expositionen zu erhalten
**GuardDuty**— Um Daten über Bedrohungen zu erhalten
#### Widget „Trends zur Ermittlung von Risiken“
![\[Beispiel für ein Widget zur Ermittlung von Trends zur Ermittlung von Risiken.\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/exposure-finding-trends-widget.png)
Dieses Widget zeigt den Schweregrad Ihrer Ergebnisse zur Exposition in den folgenden Zeiträumen an:
+ **5 Tage**
+ **30 Tage**
+ **90 Tage**
+ **6 Monate**
+ **1 Jahr**
In der Visualisierung wird die durchschnittliche Anzahl Ihrer Ergebnisse über den ausgewählten Zeitraum angezeigt.
**Filter nach Schweregrad**
Sie können das Diagramm aktualisieren, indem Sie die folgenden Schweregradfilter ein- oder ausschließen:
+ **Schwerwiegend**
+ **Critical**
+ **Hoch**
+ **Mittel**
+ **Niedrig**
+ **Informativ**
+ **Sonstige**
+ **Unbekannt**
Filter für den angewendeten Schweregrad werden unten in der Visualisierung in verschiedenen Feldern angezeigt. Sie können den Mauszeiger über die Visualisierung bewegen, um die durchschnittliche Anzahl der Ergebnisse für bestimmte Zeitpunkte zu überprüfen. Sie können auch die durchschnittliche Anzahl der Ergebnisse überprüfen, die jedem angewendeten Schweregradfilter entsprechen.
Sie können „**Alle aktuellen Expositionsergebnisse anzeigen**“ wählen, um zum **Expositions-Dashboard** weitergeleitet zu werden. Standardmäßig zeigt das **Exposure-Dashboard** nur Trenddaten der letzten 90 Tage an. Wenn Ihr Konto keine Risikopergebnisse enthält, die älter als 30 Tage sind, zeigt das Dashboard Trenddaten an, die auf einem Zeitraum basieren, der am besten zu Ihnen passt.
**Anmerkung**
Um Daten in diesem Widget zu empfangen, müssen Sie [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/getting_started.html) und [Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) aktivieren.
#### Widget „Trends bei der Erkennung von Bedrohungen“
![\[Beispiel für ein Widget mit Trends zur Erkennung von Bedrohungen.\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/threat-finding-trends-widget.png)
Dieses Widget zeigt den Schweregrad Ihrer Bedrohungserkenntnisse in den folgenden Zeiträumen an:
+ **5 Tage**
+ **30 Tage**
+ **90 Tage**
+ **6 Monate**
+ **1 Jahr**
In der Visualisierung wird die durchschnittliche Anzahl Ihrer Ergebnisse über den ausgewählten Zeitraum angezeigt.
**Filter nach Schweregrad**
Sie können das Diagramm aktualisieren, indem Sie die folgenden Schweregradfilter ein- oder ausschließen:
+ **Schwerwiegend**
+ **Critical**
+ **Hoch**
+ **Mittel**
+ **Niedrig**
+ **Informativ**
+ **Sonstige**
+ **Unbekannt**
Filter für den angewendeten Schweregrad werden unten in der Visualisierung in verschiedenen Feldern angezeigt. Sie können den Mauszeiger über die Visualisierung bewegen, um die durchschnittliche Anzahl der Ergebnisse für bestimmte Zeitpunkte zu überprüfen. Sie können auch die durchschnittliche Anzahl der Ergebnisse überprüfen, die jedem angewendeten Schweregradfilter entsprechen.
Sie können „**Alle aktuellen Bedrohungsergebnisse anzeigen**“ wählen, um zum **Exposure** Dashboard weitergeleitet zu werden. Standardmäßig zeigt das **Bedrohungs-Dashboard** nur Trenddaten der letzten 90 Tage an. Wenn Ihr Konto keine Bedrohungserkenntnisse enthält, die älter als 30 Tage sind, zeigt das Dashboard Trenddaten auf der Grundlage eines optimalen Zeitraums an.
**Anmerkung**
Um Daten in diesem Widget zu erhalten, müssen Sie es aktivieren [GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html).
#### Widget „Ressourcentrends“
![\[Beispiel für ein Widget „Ressourcentrends“.\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/resource-trends-widget.png)
Dieses Widget zeigt eine Bestandsaufnahme Ihrer Ressourcen in den folgenden Zeiträumen an:
+ **5 Tage**
+ **30 Tage**
+ **90 Tage**
+ **6 Monate**
+ **1 Jahr**
Die Visualisierung zeigt die durchschnittliche Anzahl Ihrer Ressourcen über den ausgewählten Zeitraum an. Sie können den Mauszeiger über die Visualisierung bewegen, um die durchschnittliche Anzahl von Ressourcen für bestimmte Zeitpunkte zu überprüfen.
**Sie können **Aktuelle Ressourcen anzeigen wählen, um zum Ressourcen-Dashboard** weitergeleitet zu werden.** Standardmäßig zeigt das **Ressourcen-Dashboard** nur Trenddaten der letzten 90 Tage an. Wenn Ihr Konto keine Ressourcen enthält, die älter als 30 Tage sind, zeigt das Dashboard Trenddaten an, die auf einem optimalen Zeitraum basieren.
Dieses Widget zeigt eine Bestandsaufnahme Ihrer Ressourcen in den folgenden Zeiträumen an:
+ **5 Tage**
+ **30 Tage**
+ **90 Tage**
+ **6 Monate**
+ **1 Jahr**
#### Aufbewahrung von Daten für Trends
Security Hub speichert Trenddaten für alle, AWS-Konten bei denen Security Hub aktiviert ist, ein Jahr lang. Nachdem Trenddaten ein Jahr lang aufbewahrt wurden, werden sie aus Security Hub gelöscht.
Trenddaten für delegierte Administrator- und Standalone-Konten werden gelöscht, nachdem Security Hub deaktiviert wurde oder wenn die Konten gekündigt werden.
Szenarien zur Aufbewahrung von Trenddaten für Mitgliedskonten mit aktiviertem Security Hub:
+ Wenn ein Mitgliedskonto seine Organisation verlässt, speichert Security Hub die Trenddaten weiterhin ein Jahr lang, bis das Konto die Organisation verlassen hat.
+ Wenn Security Hub für ein Mitgliedskonto deaktiviert ist, werden die Trenddaten bis zur Deaktivierung des Kontos ein Jahr lang aufbewahrt.
+ Wenn ein Mitgliedskonto gekündigt wird, werden die Trenddaten vom gekündigten Konto getrennt (z. B. wird die gekündigte accountID gelöscht) und der Rest der Trenddaten wird für ein Jahr aufbewahrt.
### Widgets für die Zusammenfassung
Die folgenden Widgets zeigen eine Zusammenfassung Ihrer Risiken, Bedrohungen und Ressourcen.
#### Widget „Zusammenfassung der Gefährdung“
![\[Beispiel für ein Widget mit einer Zusammenfassung der Risikoabdeckung.\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/exposure-summary-widget-operations.png)
Dieses Widget zeigt Ihre Expositionen nach Schweregrad an. Eine Enthüllung basiert auf einer Analyse der Ergebnisse und Merkmale von Security Hub und anderen AWS Sicherheitsdiensten wie Amazon Inspector. Die Liste der Risiken in diesem Widget ist auf die acht Risiken mit dem höchsten Schweregrad beschränkt. Expositionen mit höherem Schweregrad werden in der Liste an erster Stelle angezeigt. Wenn zwei oder mehr Expositionen den gleichen Schweregrad haben, werden diese Expositionen in der Liste automatisch nach neueren Expositionen gruppiert. **Wenn Sie **Alle Expositionen anzeigen** wählen, gelangen Sie zum Expositions-Dashboard.**
**Anmerkung**
Um Daten in diesem Widget zu empfangen, müssen Sie [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/getting_started.html) und [Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) aktivieren.
#### Widget zur Zusammenfassung der Bedrohungen
![\[Beispiel für ein Widget mit einer Zusammenfassung der Bedrohungen.\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/threat-summary-widget-operations.png)
Dieses Widget zeigt Ihre Bedrohungen nach Schweregrad an. Eine Bedrohung bezieht sich auf böswillige oder verdächtige Aktivitäten, die die Sicherheit Ihrer Umgebung gefährden können. Die Liste der Bedrohungen in diesem Widget ist auf die acht Bedrohungen mit dem höchsten Schweregrad beschränkt. Bedrohungen mit höherem Schweregrad werden in der Liste an erster Stelle angezeigt. Wenn zwei oder mehr Bedrohungen den gleichen Schweregrad haben, werden diese Bedrohungen in der Liste automatisch nach neueren Bedrohungen gruppiert. Wenn Sie **Alle Bedrohungen anzeigen** wählen, gelangen Sie zum **Bedrohungs-Dashboard**.
**Anmerkung**
Um Daten in diesem Widget zu empfangen, müssen Sie [es aktivieren GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html).
#### Widget „Zusammenfassung der Ressourcen“
![\[Beispiel für ein Widget mit einer Ressourcenzusammenfassung.\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/resource-summary-widget-operations.png)
Dieses Widget zeigt Ressourcen nach Typ und Ergebnisse im Zusammenhang mit Ressourcen an. Ressourcen werden nach Risiken und Angriffssequenzen priorisiert. Wenn Sie **Alle Ressourcen anzeigen** wählen, gelangen Sie zum **Ressourcen-Dashboard**.
#### Widget „Sicherheitsabdeckung“
![\[Beispiel für ein Widget zum Sicherheitsschutz.\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/security-coverage-widget.png)
Das Widget zeigt eine Zusammenfassung Ihrer Kontoabdeckung für die folgenden Sicherheitsfunktionen an:
+ Schwachstellenmanagement von Amazon Inspector
+ Bedrohungserkennung durch Amazon GuardDuty
+ Erkennung sensibler Daten durch Amazon Macie
+ Posture-Management durch AWS Security Hub CSPM
Die Prozentsätze in der Spalte **Kontoabdeckung** geben die Anzahl der Deckungsprüfungen an, die für jede Sicherheitsfunktion und für jede Sicherheitsfunktion, für die Security Hub aktiviert ist AWS-Regionen , bestanden oder nicht bestanden haben. AWS-Konten Sie können überprüfen, welche Deckungsprüfungen für eine Sicherheitsfunktion bestanden wurden und welche nicht, indem Sie einen Prozentsatz auswählen. **Abgedeckt** gibt an, dass die Deckungsprüfung bestanden wurde. **Nicht abgedeckt** bedeutet, dass die Deckungsprüfung fehlgeschlagen ist. Bei der Überprüfung der Prozentsätze für die Anzahl der bestandenen und fehlgeschlagenen Deckungsüberprüfungen entspricht jeder Prozentsatz unter „**Abgedeckt**“ dem Prozentsatz der Deckungsfeststellungen, die für eine Sicherheitsfähigkeit abgedeckt wurden. In einigen Fällen werden Prozentsätze für Deckungskontrollen auf die nächste ganze Zahl gerundet.
**Unterdrückte Deckungsfeststellungen**
Wenn Ihre Deckungsergebnisse in Security Hub unterdrückt werden, zeigt das Widget eine Meldung an, die Sie darüber informiert, dass der Versicherungsschutz ausgeschlossen wurde:
*Der Versicherungsschutz für Sicherheitsfunktionen wurde aufgrund von Unterdrückungsergebnissen ausgeschlossen.*
Weitere Informationen zu Deckungsergebnissen finden Sie unter [Deckungsergebnisse in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/coverage-findings.html).
## Verfügbare Filter
Mithilfe der **Leiste Filter hinzufügen können Sie Filter auf Sicherheits-Widgets** anwenden.
![\[Beispiel für Übersichtsfilter.\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/summary-filters.png)
Filter sind in die folgenden Kategorien unterteilt:
+ **Geteilte Filter** — gilt für alle Sicherheits-Widgets
+ **Suchfilter** — gilt für Sicherheits-Widgets, die Suchdaten anzeigen
+ **Ressourcenfilter** — gilt für Sicherheits-Widgets, die Ressourcendaten anzeigen
Sie können einen Filtersatz erstellen, indem Sie Filter mithilfe der Operatoren **und**/**oder** verbinden und dann in der Dropdownliste **Neuen Filtersatz speichern** auswählen.
### Filter, die auf das Widget „Trends bei der Erkennung von Gefahren“ und das Widget „Trends bei der Erkennung von Bedrohungen“ angewendet wurden
Derzeit werden für diese Widgets unter anderem folgende Filter unterstützt:
+ **Konto-ID**
+ **Klassenname wird gesucht**
+ **Ergebnistyp**
+ **Product Name (Produktname)**
+ **Region**
+ **Status**
### Auf das Widget „Ressourcentrends“ angewendete Filter
Derzeit werden für dieses Widget unter anderem folgende Filter unterstützt:
+ **Konto-ID**
+ **Region**
+ **Kategorie der Ressource**
+ **Ressourcentyp**
### Filter wurden nicht auf Widgets angewendet
![\[Beispiel für einen Übersichtsfilter, der nicht angewendet werden kann.\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/images/filter-not-applied.png)
Wenn ein Widget keinen Filter unterstützt, wird der Filter nicht auf das Widget angewendet. In diesem Fall zeigt das Widget eine Warnmeldung an, die Sie darüber informiert, wie viele Filter nicht angewendet wurden, und listet die Namen der Filter auf, die es nicht unterstützt.
# Details zu Ressourcen in Security Hub anzeigen
Auf der Seite **Ressourcen** werden allgemeine Ressourcen in Ihrem Konto und Ihrer Organisation nachverfolgt. Sie können auf die Seite **Ressourcen** in der Security Hub Hub-Konsole zugreifen, indem Sie im Navigationsbereich **Ressourcen** wählen. Der Vorteil der Seite **Ressourcen** besteht darin, dass Sie damit Ihren Sicherheitsstatus überwachen, Ihre Ressourcen organisieren und Details zu Ihren Ressourcen überprüfen können. Wenn Sie einen Ressourcentyp auswählen, können Sie alle Ressourcen überprüfen, die diesem Ressourcentyp zugeordnet sind. Sie können alle Ergebnisse überprüfen, die mit einer Ressource verknüpft sind. Zu den auf der Seite **Ressourcen** verfügbaren Ressourcentypen gehören alle Ressourcen in Ihren Konten, die von AWS Sicherheitsdiensten abgedeckt werden, die Ergebnisse zu Security Hub beitragen.
**Anmerkung**
Der delegierte Administrator kann alle Ressourcen einsehen, die mit Mitgliedskonten verknüpft sind. Wenn Sie ein Zuhause konfiguriert haben AWS-Region, können Sie alle Ihre Ressourcen in Ihrem Zuhause über AWS-Region AWS-Regionen verlinkt anzeigen.
Wenn Sie eine Ressource auswählen, können Sie die Details zu dieser Ressource überprüfen. Zu diesen Details gehören der Name, die ID, der ARN, der Typ und die Kategorie der Ressource. Sie können die Konto-ID überprüfen, die der Ressource zugeordnet ist, wann die Ressource erstellt wurde (Zeitstempel) und wo die Ressource erstellt wurde (AWS-Region). Sie können auch zusätzliche Konfigurationsdetails zur Ressource überprüfen. Diese Details finden Sie in einem JSON-Snippet, das Sie kopieren können.
Wenn Sie von der Registerkarte „**Übersicht**“ zur Registerkarte „**Ergebnisse**“ wechseln, können Sie alle mit der Ressource verknüpften Ergebnisse überprüfen. Auf der Registerkarte **Ergebnisse** werden der Name jedes Ergebnisses, die Art jedes Ergebnisses und der Schweregrad jedes Ergebnisses angezeigt. Sie können Ergebnisse nach verschiedenen Feldern gruppieren und mithilfe von Filtern nach Ergebnissen suchen. Wenn Sie ein Ergebnis auswählen, können Sie sich einen Überblick über das Ergebnis anzeigen lassen, das Informationen zur Einhaltung der Vorschriften und zur Behebung von Problemen im Zusammenhang mit dem Ergebnis enthält. Auf der Registerkarte **Eigenschaften** werden alle Merkmale angezeigt, die für die Ressource identifiziert wurden. Sie können sich Eigenschaften ansehen, die dazu beigetragen haben, anhand derer ein Expositionsnachweis für die Ressource erstellt wurde. Sie können auch kontextuelle Merkmale sehen, bei denen es sich um andere Sicherheitsaspekte handelt, die zwar für die Ressource identifiziert wurden, aber nicht direkt zu den Ergebnissen der Gefährdung beigetragen haben. Wenn Sie zur Ressource zurückkehren, können Sie Ressource **öffnen wählen, um die Ressource** in der Konsole auf ihren Ressourcentyp hin zu überprüfen. Wenn es sich bei der Ressource beispielsweise um eine IAM-Ressource handelt, können Sie die Ressource in der IAM-Konsole öffnen.
Die Ressourcenseite bietet Ihnen verschiedene Möglichkeiten, Ressourcen zu organisieren und nach ihnen zu suchen. Sie können Ressourcen nach Typ gruppieren. Sie können Ressourcen beispielsweise nach Konto-ID, Suchtyp, Ressourcenkategorie AWS-Region, Ressourcenname und Ressourcentyp gruppieren. Mithilfe von Schnellfiltern können Sie Ressourcen nach Kategorie, Konten und Suchtypen überprüfen.
# Security Hub und das Open Cybersecurity Findings Format (OCSF)
## Überblick über OCSF
Die Ergebnisse von Security Hub werden mithilfe von OCSF formatiert, einem Open-Source-Projekt, das ein erweiterbares Framework für die Entwicklung von Schemas zusammen mit einem herstellerunabhängigen Kernsicherheitsschema bietet. Anbieter und andere Datenproduzenten können das Schema für ihre spezifischen Domänen übernehmen und erweitern. Datenproduzenten können unterschiedliche Schemas zuordnen, um Sicherheitsteams dabei zu unterstützen, die Datenaufnahme und -normalisierung zu vereinfachen, sodass Datenwissenschaftler und Analysten bei der Erkennung und Untersuchung von Bedrohungen mit einer gemeinsamen Sprache arbeiten können. Ziel ist es, einen offenen Standard bereitzustellen, der in jeder Umgebung, Anwendung oder Lösung eingesetzt werden kann und gleichzeitig bestehende Sicherheitsstandards und -prozesse ergänzt.
Das Framework besteht aus einer Reihe von Datentypen, einem Attributwörterbuch und der Taxonomie. Es ist weder auf den Bereich Cybersicherheit noch auf Ereignisse beschränkt. Der ursprüngliche Schwerpunkt des Frameworks lag jedoch auf einem Schema für Cybersicherheitsereignisse. OCSF ist unabhängig von Speicherformat, Datenerfassung und Extract-Transform-Load (ETL) Prozessen. Das Kernschema für Cybersicherheitsereignisse soll unabhängig von Implementierungen sein. Die Definitionsdateien des Schema-Frameworks und das daraus resultierende normative Schema sind als JSON geschrieben.
Security Hub unterstützt derzeit Ergebnisse in OCSF-Schemaversion 1.6.
## Verwandte Ressourcen
Weitere Informationen zu OCSF und seiner Implementierung finden Sie in den folgenden Ressourcen:
+ [Öffentliche OCSF-Dokumentation](https://schema.ocsf.io/)
+ [Dokumentation zur Verwendung der OCSF-Erweiterung](https://schema.ocsf.io/1.0.0/extensions/)
+ [Referenz zum OCSF-Kernschema](https://schema.ocsf.io/1.0.0/)
+ [Registrierung für OCSF-Erweiterungen](https://github.com/ocsf/ocsf-schema/tree/main/extensions)
# AWS Erweiterung für OCSF
[OCSF-Schemas](https://schema.ocsf.io/) können durch Hinzufügen neuer Attribute, Objekte, Kategorien, Profile und Ereignisklassen erweitert werden. Ein Schema ist die Aggregation von zentralen Schemaentitäten und Erweiterungen.
OCSF-Erweiterungen ermöglichen es einem bestimmten Anbieter oder Kunden, ein vorhandenes Schema durch Hinzufügen von Attributen zu erweitern, um domänenspezifische Anpassungen zu ermöglichen, die Dateninteroperabilität zu verbessern und detaillierteren Kontext für Sicherheitsanalysen hinzuzufügen.
Die AWS Erweiterung für Open Cybersecurity Schema Framework (OCSF) bietet Attributdefinitionen für Cloud-Ressourcen innerhalb von OCSF-Ereignissen. Mit dieser Erweiterung wird ein neues `cloud_resources` Profil eingeführt, das das `resource_details` Standard-OCSF-Objekt um umfassende Cloud-spezifische Ressourcenattribute erweitert, sodass Sicherheitsteams tiefere Einblicke in Ressourcenkonfigurationen, potenzielle Sicherheitslücken und kritische Metadaten gewinnen können, die für eine effektive Erkennung und Untersuchung von Bedrohungen in Cloud-Umgebungen unerlässlich sind.
## Erweitertes Objekt `resource_details`
Die AWS Erweiterung erweitert das `resource_details` Objekt um Attribute, die in der folgenden Liste der Attributreferenzen aufgeführt sind. Diese Attribute gewährleisten die korrekte Identifizierung und Klassifizierung von Cloud-Ressourcen verschiedener Anbieter innerhalb standardisierter Event-Frameworks.
## AWS Erweiterung für die OCSF-Attributreferenz
Die Abschnitte [Grundattribute](https://docs.aws.amazon.com/securityhub/latest/userguide/aws-extension-basic-attributes.html) und [Ressourcenspezifische Objekte](https://docs.aws.amazon.com/securityhub/latest/userguide/aws-extension-resource-specific-objects.html) enthalten Beispiele für jedes der Attribute, die Teil der AWS OCSF-Erweiterung zu resource\$1details sind.
Jede der Attributdefinitionen enthält einen OCSF-Status, der ihre aktuelle Beziehung zum öffentlichen OCSF-Schema beschreibt:
+ **Existierend**: Dieses Attribut war bereits in den Standard-OCSF-Ressourcendetails enthalten und ist jetzt Teil der Erweiterung. AWS
+ **Neu**: Das Attribut ist nicht Teil von OCSF und wurde als Teil der Erweiterung eingeführt. AWS Es ist im OCSF-Kernschema nicht vorhanden.
+ **Zu resource\$1details hinzugefügt**: Das Attribut ist in OCSF definiert, aber nicht Teil von resource\$1details.
# Grundlegende Attribute
Dies sind grundlegende Attribute, die für die Identifizierung von Ressourcen, den Standort und grundlegende Metadaten verwendet werden. Sie bestehen aus einfachen Datentypen wie Zeichenketten, Zeitstempeln und Arrays.
## Cloud-Partition
Die Cloud-Partition, auf der die Ressource vorhanden ist.
**Anforderung**
Empfohlen
**Typ**
Zeichenfolge
**OCSF-Status**
Vorhandene
**Beispiel**
```
{
"resources": [
{
"cloud_partition": "aws"
}
]
}
```
## Konto-ID des Besitzers
Eine 12-stellige Konto-ID, zu der die Ressource gehört.
**Anforderung**
Empfohlen
**Typ**
Zeichenfolge
**OCSF-Status**
Vorhandene
**Beispiel**
```
{
"resources": [
{
"owner": {
"account": {
"uid": "123456789012"
}
}
}
]
}
```
## Ressourcentyp
Der AWS CloudFormation Ressourcentyp, der den spezifischen Dienst und die Ressource identifiziert.
**Anforderung**
Erforderlich
**Typ**
Zeichenfolge
**Format**
Muss der Benennungskonvention für AWS CloudFormation Ressourcentypen entsprechen: `AWS::::`
**OCSF-Status**
Vorhandene
**Beispiel**
```
{
"resources": [
{
"type": "AWS::EC2::Instance"
}
]
}
```
## Ressourcen-ID
Die eindeutige Kennung für die Cloud-Ressource (z. B. i-1234567890abcdef0).
**Anforderung**
Empfohlen
**Typ**
Zeichenfolge
**Format**
Muss eine gültige Ressourcen-ID sein. Mindestlänge 1. Die maximale Länge beträgt 768.
**OCSF-Status**
Vorhandene
**Beispiel**
```
{
"resources": [
{
"uid": "i-1234567890abcdef0"
}
]
}
```
## Alternativer Ressourcen-Identifier
Die eindeutige Kennung für die Cloud-Ressource, in der Regel der Amazon-Ressourcenname (ARN).
**Anforderung**
Empfohlen
**Typ**
Zeichenfolge
**Format**
Sollte ein gültiger AWS ARN sein. Zu den gängigen Mustern gehören:
+ `"arn:partition:service:region:account-id:resource-id"`
+ `"arn:partition:service:region:account-id:resource-type/resource-id"`
+ `"arn:partition:service:region:account-id:resource-type:resource-id"`
Hinweis: Einige Dienste wie S3 verwenden Varianten wie arn:aws:s3: ::bucket-name (ohne Region oder Konto-ID).
**OCSF-Status**
Vorhandene
**Beispiele**
```
{
"resources": [
{
"uid_alt": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
}
]
}
```
```
"{
"resources": [
{
"uid_alt": "arn:aws:s3:::my-bucket-name"
}
]
}"
```
## Ressourcenname
Der eindeutige Name für die Cloud-Ressource.
**Anforderung**
Empfohlen
**Typ**
Zeichenfolge
**Format**
Vom Benutzer erstellte Namen, deren Werte von der Umgebung abhängen.
**OCSF-Status**
Vorhandene
**Beispiel**
```
{
"resources": [
{
"name": "My-Server-1"
}
]
}
```
## Cloud-Region
Die AWS Region, in der sich die Ressource befindet.
**Anforderung**
Empfohlen
**Typ**
Zeichenfolge
**Format**
Gültige Cloud-Regionskennung (z. B. us-east-1, eu-west-1, ap-southeast-2)
**OCSF-Status**
Vorhandene
**Beispiel**
```
{
"resources": [
{
"region": "us-west-2"
}
]
}
```
## Zeit der Erstellung der Ressource
Der Zeitpunkt, zu dem die Ressource erstellt wurde.
**Anforderung**
Empfohlen
**Typ**
Zeitstempel
**Format**
Unix-Zeitstempel in Millisekunden seit der Epoche (1. Januar 1970, 00:00:00 UTC)
**OCSF-Status**
Vorhandene
**Beispiel**
```
{
"resources": [
{
"created_time": 1762019193000
}
]
}
```
## Tags (Markierungen)
Schlüssel-Wert-Paare für Ressourcenmetadaten und Organisation.
**Anforderung**
Empfohlen
**Typ**
Array von Schlüssel/Wert-Objekten
**Format**
Ein generisches Objekt, das es ermöglicht, ein Schlüssel/Wert-Paar zu definieren.
**OCSF-Status**
Vorhandene
**Beispiel**
```
{
"resources": [
{
"tags": [
{
"name": "Environment",
"value": "Production"
},
{
"name": "Owner",
"value": "SecurityTeam"
}
]
}
]
}
```
## IP-Adresse
Die der Instanz zugeordnete IP-Adresse im IPv4 IPv6 Oder-Format.
**Anforderung**
Optional
**Typ**
Zeichenfolge
**Format**
Gültig IPv4 oder IPv6 Adresse
**OCSF-Status**
Vorhandene
**Beispiel**
```
{
"resources": [
{
"ip": "10.0.1.25"
}
]
}
```
## IP-Adressen
Eine Reihe von IP-Adressen (IPv4 oder IPv6), die dem Gerät zugeordnet sind. Diese können sowohl öffentliche als auch private IP-Adressen umfassen.
**Anforderung**
Optional
**Typ**
Array von IP-Adressen
**OCSF-Status**
Neu
**Beispiel**
```
{
"resources": [
{
"ip_addresses": ["10.0.1.25", "52.12.34.56"]
}
]
}
```
## VPC-UID
Die VPC-ID, in der sich die Ressource befindet.
**Anforderung**
Optional
**Typ**
Zeichenfolge
**Format**
VPC-ID (z. B. vpc-12345678900)
**OCSF-Status**
Hinzugefügt zu `resource_details`
**Beispiel**
```
{
"resources": [
{
"vpc_uid": "vpc-0a1b2c3d4e5f6g7h8"
}
]
}
```
## Beispiel für ein Ressourcenobjekt mit grundlegenden Attributen
```
{
"resources": [
{
"cloud_partition": "aws",
"owner": {
"account": {
"uid": "123456789012"
}
},
"region": "us-east-1",
"type": "AWS::EC2::NetworkInterface",
"uid": "eni-03e6c892dd45e836c",
"uid_alt": "arn:aws:ec2:us-east-1:123456789012:network-interface/eni-03e6c892dd45e836c",
"zone": "us-east-1f",
"vpc_uid": "vpc-0ef6045717b0362f6"
}
]
}
```
# Ressourcenspezifische Objekte
Dies sind komplexe verschachtelte Objekte, die detaillierte Informationen für bestimmte Ressourcentypen und Dienste bereitstellen. Jedes Objekt enthält mehrere Felder und Unterobjekte mit dienstspezifischer Konfiguration und Metadaten.
## Gerät
Verbesserte Cloud-Instanzattribute für Rechenressourcen, einschließlich Verschlüsselungsdetails, Bildinformationen, Instanzprofil und Startzeit.
**Anforderung**
Optional
**Typ**
Objekt
**OCSF-Status**
Hinzugefügt zu. `resource_details` Weitere Informationen finden Sie in der [OCSF-Geräteobjektdefinition](https://schema.ocsf.io/1.6.0/objects/device).
AWS Die Erweiterung fügt diesem Objekt die folgenden Attribute hinzu:
+ `encryption_details`- Die Verschlüsselungsdetails der Ressource
+ `image`- Bildinformationen
+ `instance_profile`— Das IAM-Instanzprofil, das der Instanz zugeordnet werden soll
+ `launch_time`— Der Zeitpunkt, zu dem die Instance gestartet wurde
+ `uid_alt`- Amazon-Ressourcenname (ARN) der Ressource
**Beispiel**
```
{
"device": {
"image": {
"uid": "ami-99999999",
"name": "LoadTestAMI-Current"
},
"instance_profile": {
"uid": "LoadTestingInstanceProfileId",
"uid_alt": "arn:aws:iam::012345678999:instance-profile/generated"
},
"launch_time": 1762019193000,
"launch_time_dt": "2025-08-02T02:05:06Z",
"model": "m3.xlarge",
"network_interfaces": [
{
"ip": "198.51.100.0",
"security_groups": [
{
"name": "LoadTestingSecurityGroupName",
"uid": "LoadTestingSecurityId"
}
],
"uid": "eni-abcdef12"
}
],
"type": "Virtual",
"type_id": 6,
"uid": "i-99999999"
}
}
```
## Netzwerkschnittstelle
Details und Konfiguration der Netzwerkschnittstelle, einschließlich Anlagen und Sicherheitsgruppen.
**Anforderung**
Optional
**Typ**
Objekt
**OCSF-Status**
Hinzugefügt zu. `resource_details` Weitere Informationen finden Sie in der Objektdefinition der [OCSF-Netzwerkschnittstelle](https://schema.ocsf.io/1.6.0/objects/network_interface).
AWS Die Erweiterung fügt diesem Objekt die folgenden Attribute hinzu:
+ `attachments`- Informationen zu den Anhängen der Netzwerkschnittstelle
+ `security_groups`- Reihe von eindeutigen Kennungen für Sicherheitsgruppen
+ `uid_alt`- Amazon-Ressourcenname (ARN) der Ressource
**Beispiel**
```
{
"network_interface": {
"uid": "eni-0a1b2c3d4e5f6g7h8",
"uid_alt": "arn:aws:ec2:us-east-1:123456789012:network-interface/eni-0a1b2c3d4e5f6g7h8",
"name": "prod-web-server-eni",
"attachments": [
{
"uid": "eni-attach-0abcd1234efgh5678",
"instance_uid": "i-0123456789abcdef0",
"name": "/dev/eth0",
"state": "attached",
"attach_time": 1762019193000
}
],
"security_groups": [
{
"uid": "sg-0a1b2c3d4e5f6g7h8",
"name": "web-server-sg"
},
{
"uid": "sg-9i8h7g6f5e4d3c2b1",
"name": "ssh-access-sg"
}
]
}
}
```
## Speichergerät
Details zum Speichergerät, einschließlich Anlagen, Verschlüsselung und Snapshot-Informationen.
**Anforderung**
Optional
**Typ**
Objekt
**OCSF-Status**
Neu
Das Speichergeräteobjekt umfasst die folgenden Attribute:
+ `name`- Der Name des Speichergeräts
+ `uid`- Die eindeutige Kennung der Speichergeräte
+ `attachments`- Die Speichergeräteanhänge
+ `encryption_details`- Der Verschlüsselungsschlüssel für das Speichergerät
+ `is_encrypted`- Ob das Speichergerät verschlüsselt ist (erforderlich)
+ `snapshot_id`- Die Snapshot-ID des Speichergeräts
+ `uid_alt`- Amazon-Ressourcenname (ARN) der Ressource
**Beispiel**
```
{
"storage_device": {
"is_encrypted": false,
"name": "LocalVolumeDeviceName1",
"snapshot_id": "snap-12345678901234567",
"uid": "vol-09d5050dea915943d",
"uid_alt": "arn:aws:ec2:us-west-2:123456789000:volume/vol-09d5050dea915943d"
}
}
```
## Datenbank
Attribute der Datenbank-Instance, einschließlich Engine-Typ, Endpunkt und Benutzerinformationen.
**Anforderung**
Optional
**Typ**
Objekt
**OCSF-Status**
Hinzugefügt zu. `resource_details` Weitere Informationen finden Sie in der [OCSF-Datenbankobjektdefinition](https://schema.ocsf.io/1.6.0/objects/database).
AWS Die Erweiterung fügt diesem Objekt die folgenden Attribute hinzu:
+ `cluster_uid`- Die Kennung des Datenbank-Clusters
+ `db_endpoint`- Der Datenbank-Endpunkt
+ `encryption_details`- Die Details zur Datenbankverschlüsselung
+ `engine`- Der Name der Datenbank-Engine (z. B. mysql)
+ `is_encrypted`- Ob die Datenbank verschlüsselt ist
+ `is_iam_authentication`- Ob die IAM-Authentifizierung aktiviert ist
+ `is_public`— Ob die Datenbank öffentlich zugänglich ist
+ `port`- Die Datenbank-Port-Nummer
+ `security_groups`- Array von VPC-Sicherheitsgruppen, die der Datenbank-Instance zugeordnet sind
+ `snapshot_details`- Die Details des Datenbank-Snapshots
+ `status`- Der Datenbankstatus (z. B. verfügbar)
+ `subnet_group`- Eine Datenbank-Subnetzgruppe ist eine Sammlung von Subnetzen in einer VPC
+ `uid_alt`- Amazon-Ressourcenname (ARN) der Ressource
+ `user`- Der Datenbankbenutzer
+ `version`- Die Datenbankversion
**Beispiel**
```
{
"database": {
"cluster_uid": "SampleDBClusterId",
"engine": "mysql",
"is_iam_authentication": true,
"is_public": false,
"type": "Relational",
"type_id": 1,
"uid": "SampleDBId",
"version": "13.6"
}
}
```
## Datenbank-Cluster
Attribute der Datenbankinstanz, einschließlich Engine-Typ, Endpunkt und Benutzerinformationen.
**Anforderung**
Optional
**Typ**
Objekt
**OCSF-Status**
Neu
Das Datenbankobjekt umfasst die folgenden Attribute:
+ `uid`- Die eindeutige Kennung des Datenbank-Clusters
+ `uid_alt`- Amazon-Ressourcenname (ARN) der Ressource
+ `name`- Der Name des Datenbank-Clusters
+ `status`- Der Status des Datenbank-Clusters
+ `engine`- Die dem Cluster zugeordnete Engine
+ `version`- Die Version des Datenbank-Clusters
+ `cluster_members`- Liste der Datenbankinstanzen, die Teil des Clusters sind
+ `security_groups`— Reihe von Sicherheitsgruppen, die dem Cluster zugeordnet sind
+ `is_encrypted`- Ob der Datenbank-Cluster verschlüsselt ist
+ `is_iam_authentication`— Ob die IAM-Authentifizierung aktiviert ist
+ `encryption_details`— Die Verschlüsselungsdetails des Datenbank-Clusters
+ `subnet_group`- Die dem Cluster zugeordnete Subnetzgruppe
+ `port`- Die Portnummer des Datenbank-Clusters
+ `zones`- Liste der Verfügbarkeitszonen
+ `db_endpoint`- Der Endpunkt des Datenbank-Clusters
+ `snapshot_details`- Details des Datenbank-Snapshots
**Beispiel**
```
{
"db_cluster": {
"uid": "production-aurora-cluster",
"uid_alt": "arn:aws:rds:us-east-1:123456789012:cluster:production-aurora-cluster",
"name": "production-aurora-cluster",
"status": "available",
"engine": "aurora-mysql",
"version": "8.0.mysql_aurora.3.04.0",
"cluster_members": [
"instance-1",
"instance-2"
],
"security_groups": [
{
"uid": "sg-0a1b2c3d4e5f6g7h8",
"name": "db-security-group"
}
],
"is_encrypted": true,
"is_iam_authentication": true,
"encryption_details": {
"key_uid": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
},
"subnet_group": {
"uid": "production-db-subnet-group"
},
"port": 3306,
"zones": [
"us-east-1a",
"us-east-1b",
"us-east-1c"
],
"db_endpoint": {
"name": "production-aurora-cluster.cluster-abc123xyz.us-east-1.rds.amazonaws.com",
"port": 3306
}
}
}
```
## Cloud-Funktion
Cloud-Funktionsattribute für serverlose Funktionen, einschließlich Handler, Ebenen und Laufzeitkonfiguration.
**Anforderung**
Optional
**Typ**
Objekt
**OCSF-Status**
Neu
Das Cloud-Funktionsobjekt umfasst die folgenden Attribute:
+ `name`- Der Name der Cloud-Funktion
+ `uid`- Die eindeutige Kennung der Cloud-Funktion
+ `uid_alt`- Amazon-Ressourcenname (ARN) der Ressource
+ `encryption_details`- Einzelheiten zur Verschlüsselung der Cloud-Funktion
+ `handler`- Die Methode im Funktionscode, die Ereignisse verarbeitet
+ `layers`- Die Liste der Cloud-Funktionsebenen, die zusätzlichen Code oder Daten enthalten
+ `runtime`- Die sprachspezifische Umgebung der Cloud-Funktion
+ `security_groups`- Reihe von Sicherheitsgruppen, die der Cloud-Funktion zugeordnet sind
+ `subnet_info_list`- Details zu Subnetzen, die mit der Cloud-Funktion verknüpft sind
+ `user`— Details zu der IAM-Entität, die der cloud\$1function die Berechtigung zum Zugriff auf Dienste gewährt
+ `version`— Die Version der Cloud-Funktion
+ `vpc_uid`- Die eindeutige Kennung der VPC, wenn sich die Cloud-Funktion in einer VPC befindet
**Beispiel**
```
{
"cloud_function": {
"name": "my-lambda-function",
"uid": "my-lambda-function",
"uid_alt": "arn:aws:lambda:us-east-1:123456789012:function:my-lambda-function",
"handler": "index.handler",
"runtime": "python3.11",
"version": "$LATEST",
"layers": [
{
"name": "my-layer",
"uid_alt": "arn:aws:lambda:us-east-1:123456789012:layer:my-layer:1",
"version": "1"
}
],
"security_groups": [
{
"name": "lambda-security-group",
"uid": "sg-0123456789abcdef0"
}
],
"subnet_info_list": [
{
"uid": "subnet-0a1b2c3d4e5f6g7h8"
}
],
"vpc_uid": "vpc-0ef6045717b0362f6"
}
}
```
## Dateneimer
S3-Bucket- oder Datenspeicherattribute.
**Anforderung**
Optional
**Typ**
Objekt
**OCSF-Status**
Hinzugefügt zu. `resource_details` Weitere Informationen finden Sie in der OCSF [Databucket-Objektdefinition](https://schema.ocsf.io/1.6.0/objects/databucket).
Hinweis: Dieses Objekt wird von der Erweiterung zu resource\$1details hinzugefügt. AWS Das zentrale OCSF-Databucket-Objekt wird ohne zusätzliche Attribute verwendet.
**Beispiel**
```
{
"databucket": {
"type": "S3",
"type_id": 1,
"uid": "my-bucket-name"
}
}
```
## Image
Bildinformationen für Rechenressourcen, einschließlich Plattform- und Nutzungsdetails.
**Anforderung**
Optional
**Typ**
Objekt
**OCSF-Status**
Hinzugefügt zu. `resource_details` Weitere Informationen finden Sie in der [OCSF-Image-Objektdefinition](https://schema.ocsf.io/1.6.0/objects/image).
AWS Die Erweiterung fügt diesem Objekt die folgenden Attribute hinzu:
+ `platform`- Die Betriebssystemplattform des Images
+ `in_use_count`- Anzahl der Ressourcen, die dieses Image verwenden
**Beispiel**
```
{
"image": {
"uid": "ami-0abcdef1234567890",
"uid_alt": "arn:aws:ec2:us-east-1:123456789012:image/ami-0abcdef1234567890",
"name": "my-custom-ami",
"platform": "AMAZON_LINUX_2",
"in_use_count": 2
}
}
```
## Subnetz-Informationen
Details zum Subnetz, in dem sich die Ressource befindet.
**Anforderung**
Optional
**Typ**
Objekt
**OCSF-Status**
Neu
Das Subnetz-Info-Objekt umfasst die folgenden Attribute:
+ `uid`- Die eindeutige Kennung des Subnetzes
+ `uid_alt`- Amazon-Ressourcenname (ARN) der Ressource
+ `name`- Der Name des Subnetzes
+ `zone`- Die Verfügbarkeitszone
+ `ip_count`- Die Anzahl der IP-Adressen im Subnetz
+ `cidr_block`- Der CIDR-Block des Subnetzes
+ `is_default`- Ob dies das Standard-Subnetz ist
+ `is_public`- Ob das Subnetz öffentlich zugänglich ist
+ `state`- Der Status des Subnetzes
+ `vpc_uid`- Die VPC-ID, in der sich das Subnetz befindet
**Beispiel**
```
{
"subnet_info": {
"uid": "subnet-0a1b2c3d4e5f6g7h8",
"uid_alt": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0a1b2c3d4e5f6g7h8",
"name": "production-web-subnet-1a",
"zone": "us-east-1a",
"ip_count": 251,
"cidr_block": "10.0.1.0/24",
"is_default": false,
"is_public": true,
"state": "available",
"vpc_uid": "vpc-0123456789abcdef0"
}
}
```
## Benutzer
IAM-Benutzerattribute, einschließlich Instanzprofile und Richtlinien.
**Anforderung**
Optional
**Typ**
Objekt
**OCSF-Status**
Hinzugefügt zu. `resource_details` Weitere Informationen finden Sie in der [OCSF-Benutzerobjektdefinition](https://schema.ocsf.io/1.6.0/objects/user).
Das Benutzerobjekt umfasst die folgenden Attribute:
+ `instance_profiles`- Liste der Instanzprofile, die an eine Cloud-Instanz angehängt sind
+ `policies`- Richtlinien, die Benutzern, Gruppen, Rollen und Ressourcen Berechtigungen zuweisen
**Beispiel**
```
{
"user": {
"type_id": 1,
"uid": "AIDACKCEVSQ6C2EXAMPLE",
"uid_alt": "arn:aws:iam::123456789012:user/developers/john.doe",
"name": "john.doe",
"type": "User",
"groups": [
{
"name": "Developers"
},
{
"name": "ReadOnlyAccess"
}
],
"policies": [
{
"name": "AmazonS3ReadOnlyAccess"
},
{
"name": "AmazonEC2ReadOnlyAccess"
}
]
}
}
```
# Deckungsergebnisse im Security Hub
Die Deckungsergebnisse für Security Hub geben Aufschluss darüber, welche AWS Sicherheitsfunktionen aktiviert sind und wo es bei einem eigenständigen Konto oder bei allen Mitgliedskonten einer Organisation möglicherweise Lücken im Versicherungsschutz gibt. Die Ergebnisse der Berichterstattung unterstützen derzeit die Berichterstattung darüber, welche Dienste und Funktionen für Amazon GuardDuty, Amazon Inspector, Amazon Macie und AWS Security Hub CSPM aktiviert sind. Diese Erkenntnisse werden im Widget „Sicherheitsabdeckung“ auf dem Security Hub-Dashboard angezeigt und bieten die Möglichkeit, detailliertere Ansichten nach bestimmten Sicherheitsfunktionen aufzurufen.
**Einschränkungen**
+ Bei Mitgliedskonten werden die Deckungsinformationen für alle verknüpften Konten zusammengefasst AWS-Regionen, jedoch nur für dieses Mitgliedskonto.
+ Deckungsinformationen für Konten, die nicht in Security Hub integriert sind, werden nicht angezeigt.
## Deckungsergebnisse für AWS Security Hub CSPM
In den Ergebnissen der CSPM-Abdeckung von Security Hub wird bewertet, ob in einem Konto ein qualifizierter Sicherheitsstandard zur Posture Management aktiviert ist. Die Aktivierung eines beliebigen Security Hub CSPM-Standards ist zulässig, mit Ausnahme der Standards AWS Control Tower und der Resource Tagging-Standards.
Es kann bis zu 24 Stunden dauern, bis die standardmäßig aktivierten Standards erkannt werden, wenn Security Hub CSPM aktiviert wird.
## Ergebnisse der Berichterstattung für Amazon GuardDuty
GuardDuty In den Ergebnissen der Netzabdeckung GuardDuty wird untersucht, ob und welche GuardDuty Funktionen aktiviert sind in einem AWS-Konto:
+ GuardDuty Malware-Schutz für Amazon EC2 — Scannt EC2 Amazon-Instances nach potenzieller Malware
+ GuardDuty Amazon EKS Protection — Überwacht Kubernetes-Auditprotokolle auf Bedrohungen in Amazon EKS-Clustern
+ GuardDuty Lambda-Schutz — Analysiert Lambda-Funktionsaufrufen im Hinblick auf potenzielle Bedrohungen
+ GuardDuty Amazon S3 S3-Schutz — Analysiert Datenereignisse im Hinblick auf potenzielle Bedrohungen für Amazon S3 S3-Buckets
+ GuardDuty Amazon RDS Protection — Überwacht Amazon RDS-Datenbanken auf Bedrohungen
+ GuardDuty Laufzeitüberwachung — Ermöglicht die Echtzeitüberwachung des Laufzeitverhaltens in EC2 Amazon-Instances
+ GuardDuty Grundlegende Abdeckung — GuardDuty Basisfunktionen, die automatisch aktiviert werden, wenn sie GuardDuty aktiviert sind
**Anmerkung**
Für den GuardDuty Basisdeckungsgrad sind Deckungsergebnisse, die darauf hinweisen, dass die Funktion ausgeschaltet GuardDuty ist, im Konto für die Deckungsermittlung nicht aktiviert.
Es kann bis zu 24 Stunden dauern, bis Aktualisierungen des GuardDuty Versicherungsschutzes für alle Mitgliedskonten einer Organisation übernommen werden.
## Ergebnisse der Berichterstattung für Amazon Inspector
In den Ergebnissen der Berichterstattung von Amazon Inspector wird bewertet, ob Amazon Inspector aktiviert ist und welche Funktionen in einem Konto aktiviert sind:
+ Inspector EC2 Scanning — Scannt EC2 Amazon-Instances auf Sicherheitslücken
+ Inspector ECR Scanning — Scannt Amazon ECR-Container-Images auf Sicherheitslücken
+ Inspector Lambda Standard Scanning — Scannt Lambda-Funktionen auf Sicherheitslücken
+ Inspector Lambda Code Scanning — Scannt Lambda-Code-Funktionen auf Code-Schwachstellen
## Ergebnisse der Berichterstattung für Amazon Macie
In den Ergebnissen der Macie-Abdeckung wird untersucht, ob Macie in folgenden Bereichen aktiviert ist: AWS-Konten
+ Macie Automated Sensitive Data Discovery Coverage — Überprüft kontinuierlich Ihren Amazon S3 S3-Datenbestand im Hinblick auf sensible Daten.
Es kann bis zu 24 Stunden dauern, bis Aktualisierungen der automatisierten Erkennung sensibler Daten von Macie für alle Mitgliedskonten einer Organisation übernommen werden.
## Die Ergebnisse der Berichterstattung werden unterdrückt
In den Ergebnissen zur Sicherheitsabdeckung wird standardmäßig bewertet GuardDuty, welche CSPM-Funktionen von Amazon, Amazon Inspector, Amazon Macie und AWS Security Hub für ein Konto und eine Region aktiviert sind. Wenn bestimmte Sicherheitsfunktionen für Sie nicht relevant sind oder ein akzeptiertes Risiko darstellen, können Sie die Unterdrückungsfunktion verwenden, um Deckungsergebnisse zu unterdrücken, die allen anderen Ergebnissen ähneln. Wenn ein Deckungsergebnis unterdrückt wird, wird es nicht in die Deckungsberechnungen im Widget „Sicherheitsabdeckung“ einbezogen. Das Widget zeigt die Meldung an, dass die *Deckung von Sicherheitsfunktionen durch unterdrückte Deckungsfeststellungen ausgeschlossen wurde, gefolgt von der Anzahl der Ergebnisse, die unterdrückt* wurden.
**Um eine Deckungserkennung in Security Hub zu unterdrücken**
1. Wenn Sie das Widget „Sicherheitsabdeckung“ aufrufen, wählen Sie den Link „Versicherungsschutz **in Prozent**“.
1. Wählen Sie im Popup-Fenster zur Deckung die Option **Ergebnisse zur Deckung anzeigen** aus. Bei jedem Ergebnis mit dem Status „**Neu“ handelt** es sich um ein Ergebnis, das eine beobachtete Deckungslücke beschreibt.
1. Klicken Sie auf das Kontrollkästchen neben jedem Ergebnis, das Sie unterdrücken möchten.
1. Wählen Sie oben auf der Seite die Option **Status aktualisieren** und dann **Unterdrückt** aus.
1. Geben **Sie im Dialogfeld „Status auf Unterdrückt setzen**“ optional eine Notiz ein, in der der Grund für die Statusänderung detailliert beschrieben wird. Wählen Sie dann „**Status festlegen“**.
# Erkenntnisse zu Sicherheitsrisiken in Security Hub
Ein Sicherheitsrisiko in Security Hub stellt die Korrelation mehrerer Sicherheitssignale dar, die potenzielle Sicherheitsrisiken in Ihrer AWS Umgebung identifizieren. Durch die automatische Analyse von Kombinationen von Sicherheitslücken, Konfigurationen, Bedrohungen und Ressourcenbeziehungen können Sie Sicherheitsrisiken besser verstehen und priorisieren. Ein Expositionsbefund umfasst Merkmale und Signale. Ein Signal kann eine oder mehrere Arten von Expositionsmerkmalen enthalten. Security Hub generiert eine Risikofeststellung, wenn Signale von Security Hub CSPM, Amazon Inspector GuardDuty, Macie oder anderen AWS Diensten auf das Vorliegen einer Gefährdung hinweisen. Eine Ressource kann bei höchstens einem Expositionsergebnis die Hauptressource sein. Wenn eine Ressource keine oder nur unzureichende Merkmale aufweist, generiert Security Hub für diese Ressource keine Gefährdungsermittlung.
## Wie funktionieren Expositionsergebnisse
Security Hub generiert Ergebnisse zur Gefährdung durch:
+ **Analysieren von Signalen von mehreren AWS Sicherheitsdiensten**: Security Hub sammelt und analysiert kontinuierlich Sicherheitssignale von mehreren AWS Sicherheitsdiensten. Es erfasst Ergebnisse von GuardDuty zur Bedrohungserkennung, Amazon Inspector zur Schwachstellenbeurteilung, Security Hub CSPM für Konfigurationsprüfungen und Macie zur Offenlegung sensibler Daten. Diese Signale werden mithilfe fortschrittlicher Korrelations-Engines verarbeitet, um potenzielle Sicherheitsrisiken zu identifizieren.
+ **Bewertung von Ressourcenkonfigurationen und Beziehungen**: Das System führt eine detaillierte Bewertung der Ressourcenkonfigurationen anhand bewährter Sicherheitsverfahren durch. Es untersucht dienstspezifische Einstellungen, Compliance-Anforderungen und Sicherheitskontrollen. Diese Analyse hilft dabei, Fehlkonfigurationen zu identifizieren, die in Kombination mit anderen Faktoren zu Sicherheitslücken führen könnten.
+ **Bewertung der Erreichbarkeit von Netzwerken**: Ein entscheidender Bestandteil der Feststellungen zur Gefährdung ist die Bewertung der Erreichbarkeit des Netzwerks. Das System bewertet sowohl die Internetgefährdung als auch die internen Netzwerkzugangspfade. Es analysiert Sicherheitsgruppenkonfigurationen und Netzwerk-ACL-Einstellungen, um potenzielle Angriffsvektoren zu ermitteln. Diese Analyse hilft dabei, Ressourcen zu identifizieren, die versehentlich unbefugten Zugriffen ausgesetzt sein könnten.
+ **Korrelation verwandter Sicherheitsprobleme**: Die Korrelations-Engine bildet die Beziehungen zwischen AWS Ressourcen ab, analysiert, wie sie interagieren, und identifiziert potenzielle Sicherheitsauswirkungen. Es untersucht IAM-Berechtigungen, Rollen und Ressourcenzugriffsmuster, um den breiteren Sicherheitskontext zu verstehen. Dieser Prozess hilft dabei, Sicherheitsrisiken zu identifizieren, die aufgrund der Kombination scheinbar harmloser Einzelkonfigurationen bestehen könnten.
## Bestandteile einer Risikofeststellung
Jeder Expositionsergebnis umfasst:
+ **Titel und Beschreibung des potenziellen Sicherheitsrisikos — Jede Risikofeststellung** enthält einen klaren, beschreibenden Titel, der unmittelbar die Art des Sicherheitsrisikos vermittelt. Die Beschreibung enthält detaillierte Informationen über die potenziellen Sicherheitsauswirkungen, die betroffenen Ressourcen und den breiteren Kontext des Risikos. Diese Informationen helfen Sicherheitsteams dabei, das Risiko schnell zu verstehen und einzuschätzen.
+ **Klassifizierung des Schweregrads (Kritisch, Hoch, Mittel, Niedrig)**:
+ Der **Schweregrad „Kritisch**“ bedeutet, dass aufgrund der hohen Wahrscheinlichkeit eines Exploits und der erheblichen potenziellen Auswirkungen sofortige Maßnahmen erforderlich sind. Bei diesen Ergebnissen handelt es sich in der Regel um leicht auffindbare und ausnutzbare Sicherheitslücken.
+ **Ein hoher Schweregrad** deutet darauf hin, dass vordringliche Maßnahmen erforderlich sind, wobei die Wahrscheinlichkeit einer Ausnutzung moderat bis hoch ist und erhebliche potenzielle Auswirkungen auftreten können. Diese Ergebnisse sind möglicherweise relativ einfach auszunutzen, erfordern jedoch möglicherweise besondere Bedingungen.
+ **Ein mittlerer Schweregrad** bedeutet, dass planmäßige Maßnahmen erforderlich sind, die Wahrscheinlichkeit eines Exploits geringer ist und die potenziellen Auswirkungen moderat sind. Diese Ergebnisse erfordern in der Regel komplexere Ausnutzungsmethoden.
+ **Ein niedriger Schweregrad** deutet darauf hin, dass routinemäßige Maßnahmen erforderlich sind, da das Nutzungspotenzial begrenzt ist und die Auswirkungen gering sind. Diese Ergebnisse sind in der Regel schwer auszunutzen und bergen ein minimales Risiko.
+ **Beitragende Merkmale, die zur Exposition geführt** haben: Diese Merkmale stellen die wichtigsten Faktoren dar, die zur Feststellung der Exposition geführt haben. Dazu gehören direkte Sicherheitslücken, Konfigurationsprobleme, Netzwerkgefährdungsbedingungen und Einstellungen für Ressourcenberechtigungen. Jedes Merkmal enthält spezifische Informationen darüber, wie es zum allgemeinen Sicherheitsrisiko beiträgt.
+ **Visualisierung des Angriffspfads**: Die Visualisierung des Angriffspfads bietet ein interaktives Diagramm, das zeigt, wie potenzielle Angreifer die identifizierte Gefahr ausnutzen könnten. Es zeigt Ressourcenbeziehungen, Netzwerkpfade und mögliche Auswirkungen auf und hilft Sicherheitsteams, das gesamte Ausmaß des Risikos zu verstehen und effektive Abwehrstrategien zu planen.
+ **Detaillierte Hinweise zur Problembehebung**: Jedes gefundene Risiko beinhaltet detaillierte Anleitungen zur Behebung der identifizierten Risiken mit spezifischen, umsetzbaren Schritten. Diese Anleitung umfasst Empfehlungen für bewährte Verfahren, Schritte zur Konfigurationskorrektur und priorisierte Maßnahmen. Die Leitlinien sind auf das spezifische Expositionsszenario zugeschnitten und berücksichtigen die beteiligten AWS Dienste.
+ **Details zur Ressourcenkonfiguration**: Konfiguration der Ressource zum Zeitpunkt der Erstellung des Ergebnisses sowie aktuelle Konfiguration der Ressource im Security Hub Hub-Ressourceninventar-Dashboard.
+ **Kontextuelle Merkmale, die zusätzlichen Sicherheitskontext bieten**: Kontextuelle Merkmale sind zusätzliche Sicherheitsmerkmale, die von Security Hub identifiziert, aber nicht zur Erstellung eines Risikos verwendet wurden.
## Klassifizierung des Schweregrads
Die Ergebnisse der Exposition werden nach folgenden Kriterien klassifiziert:
+ Einfache Entdeckung
+ Einfache Ausnutzung
+ Wahrscheinlichkeit einer Ausbeutung
+ Sensibilisierung der Öffentlichkeit
+ Mögliche Auswirkungen
Weitere Informationen finden Sie unter [Klassifizierung des Schweregrads der Expositionsbefunde](https://docs.aws.amazon.com/securityhub/latest/userguide/exposure-findings-severity.html).
## Vorteile von Expositionsergebnissen
+ **Weniger manuelle Analysen durch automatisierte Korrelation**: Durch automatisierte Korrelation und intelligente Risikopriorisierung wird der Zeit- und Arbeitsaufwand für Sicherheitsanalysen erheblich reduziert. Security Hub überwacht Ihre AWS Umgebung kontinuierlich und identifiziert und korreliert automatisch Sicherheitsrisiken, die bei manueller Überprüfung möglicherweise übersehen werden.
+ **Priorisierte Ansicht von Sicherheitsrisiken: Security** Hub verwendet ausgeklügelte Algorithmen zur Risikobewertung, um Risiken auf der Grundlage von Schweregrad, Auswirkung, Ressourcenkritikalität und Exploit-Wahrscheinlichkeit zu priorisieren. Auf diese Weise können sich die Sicherheitsteams zunächst auf die wichtigsten Risiken konzentrieren und so die Effizienz der Sicherheitsabläufe verbessern.
## Quellen der Feststellungen zur Exposition
Die Ergebnisse zur Exposition beinhalten Daten aus:
+ ** GuardDuty Die Amazon-Integration** bietet kontinuierliche Funktionen zur Bedrohungserkennung innerhalb von Risikoergebnissen. Es überwacht böswillige Aktivitäten, potenzielle Kontokompromittierungen und Verhaltensanomalien. Das System bezieht diese Bedrohungserkenntnisse in die umfassendere Risikoanalyse ein und hilft so zu erkennen, wann Bedrohungen zusammen mit anderen Sicherheitsproblemen zu erheblichen Risiken führen.
+ **Amazon Inspector** trägt wichtige Daten zur Schwachstellenbeurteilung zu den Ergebnissen der Exposition bei. Es bietet detaillierte Informationen zur Erreichbarkeit des Netzwerks, zu Softwareschwachstellen und zu Verstößen gegen bewährte Sicherheitsverfahren. Diese Integration hilft zu verstehen, wie Sicherheitslücken über identifizierte Angriffspfade ausgenutzt werden können.
+ **AWS Security Hub CSPM** stellt sicher, dass die Einhaltung von Konfigurationen und Sicherheitsstandards bei der Risikoanalyse berücksichtigt wird. Es bewertet Ressourcen anhand etablierter Sicherheitskontrollen und bewährter Verfahren und bietet so eine Grundlage für das Verständnis konfigurationsbedingter Risiken.
+ **Amazon Macie** verbessert die Ergebnisse von Sicherheitslücken mit Funktionen zur Erkennung und Klassifizierung sensibler Daten. Es identifiziert, wo sich sensible Daten in Ihrer AWS Umgebung befinden, und bewertet potenzielle Datenschutzrisiken, um die potenziellen Auswirkungen identifizierter Sicherheitsrisiken besser zu verstehen.
## Best Practices
+ **Regelmäßige Überprüfung der Ergebnisse zur Exposition**: Ein effektives Expositionsmanagement erfordert strukturierte Überprüfungsprozesse. Organizations sollten tägliche Überprüfungen kritischer Risiken, wöchentliche Bewertungen des allgemeinen Risikostatus, monatliche Trendanalysen und vierteljährliche Bewertungen der Sicherheitslage durchführen. Dieser mehrstufige Ansatz gewährleistet, dass sowohl unmittelbaren Risiken als auch langfristigen Sicherheitstrends angemessene Aufmerksamkeit geschenkt wird.
+ **Priorisieren Sie kritische Risiken und Risiken mit hohem Schweregrad: Ein** erfolgreiches Risikomanagement hängt von einer effektiven Risikopriorisierung ab. Organizations sollten sich zunächst auf kritische Risiken konzentrieren und dabei die Kritikalität der Ressourcen und die Auswirkungen auf das Geschäft berücksichtigen. Dieser risikobasierte Ansatz trägt dazu bei, dass die Sicherheitsbemühungen mit den Geschäftsprioritäten übereinstimmen und die Risikominderung maximiert wird.
+ **Implementieren Sie die empfohlenen Abhilfemaßnahmen: Bei der** Gefahrenabwehr sollte ein systematischer Ansatz verfolgt werden. Organizations sollten die empfohlenen Abhilfemaßnahmen sorgfältig umsetzen, eine detaillierte Dokumentation der Änderungen führen, gründliche Tests der Änderungen durchführen und die Wirksamkeit der implementierten Korrekturen überprüfen. Dieser methodische Ansatz trägt dazu bei, eine erfolgreiche Risikominderung sicherzustellen und gleichzeitig unbeabsichtigte Folgen zu vermeiden.
+ **Konfigurieren Sie Regeln für automatisierte Reaktionen**: Um den Wert von Risikoergebnissen zu maximieren, ist eine effektive Automatisierung erforderlich. Organizations sollten automatisierte Reaktionsregeln implementieren, entsprechende Benachrichtigungen konfigurieren, effiziente Workflows einrichten und umfassende Prüfpfade führen. Diese Automatisierung trägt dazu bei, eine konsistente und zeitnahe Reaktion auf identifizierte Risiken sicherzustellen und gleichzeitig den manuellen Aufwand zu reduzieren.
# Unterstützte Ressourcentypen für Risikopergebnisse in Security Hub
AWS Security Hub generiert Risikopergebnisse für die folgenden AWS Ressourcentypen:
+ `AWS::DynamoDB::Table`
+ `AWS::EC2::Instance`
+ `AWS::ECS::Service`
+ `AWS::EKS::Cluster`
+ `AWS::IAM::User`
+ `AWS::Lambda::Function`
+ `AWS::RDS::DBInstance`
+ `AWS::S3::Bucket`
Security Hub generiert einen Risikobefund pro primärer Ressource. Wenn eine Ressource keine oder nur unzureichende Merkmale aufweist, generiert Security Hub für diese Ressource keine Gefährdungsermittlung.
# Unterstützte Merkmalstypen in Security Hub
AWS Security Hub generiert ein Expositionsergebnis, wenn die Ergebnisse der AWS Security Hub CSPM-Kontrolle und Ergebnisse AWS-Services, die von anderen unterstützten Anbietern wie Amazon Inspector generiert wurden, Expositionsmerkmale für eine Ressource enthalten. Die folgende Tabelle enthält Informationen zu den unterstützten Merkmalstypen.
| Merkmalstyp | Description | Quelle | Betroffene Ressourcen |
| --- | --- | --- | --- |
| Vermutbarkeit | Weist auf eine Ressource mit erteilten Berechtigungen hin AWS Identity and Access Management | Ressourcenkonfiguration von AWS Config | AWS Ressourcen mit zugehörigen AWS Identity and Access Management Rollen |
| Fehlkonfiguration | Weist auf eine falsch konfigurierte Ressource hin | AWS Security Hub CSPM-Kontrollergebnisse, GuardDuty Amazon-Bedrohungsergebnisse und Informationen zur Ressourcenbestätigung in. AWS Config | Alle Ressourcentypen |
| Erreichbarkeit | Weist auf offene Netzwerkpfade zu einer Ressource hin | AWS Ergebnisse der Security Hub CSPM-Kontrolle, GuardDuty Amazon-Bedrohungserkenntnisse und Ergebnisse der Amazon Inspector-Netzwerkerreichbarkeit. | Amazon EC2 EC2-Instances, Amazon EKS-Cluster, Lambda-Funktionen und Amazon S3 S3-Buckets |
| Sensible Daten | Zeigt an, dass eine Ressource vertrauliche Daten enthält | Macie-Ergebnisse mit sensiblen Daten | Amazon-S3-Buckets |
| Schwachstelle | Zeigt an, dass eine Ressource eine Schwachstelle aufweist, die von einer Bedrohungsquelle ausgenutzt werden könnte. | Ergebnisse der Sicherheitslücken im Amazon Inspector-Paket und Ergebnisse von GuardDuty Amazon Amazon EC2-Malware. | Amazon EC2 EC2-Instances, Amazon ECS-Services, Amazon EKS-Cluster und Lambda-Funktionen |
Jedes Merkmal kann mit mehreren Titeln verknüpft werden, die Einzelheiten über die Exposition enthalten, die sich auf die Ressource auswirkt. Beispielsweise könnten Sie in den Details einer **EC2-Schwachstelle den Titel **Exploit Available** für das Merkmal Sicherheitslücke** sehen.
# Generierung von Expositionsergebnissen
Security Hub generiert Erkenntnisse zur Gefährdung nahezu in Echtzeit. Wenn neue Sicherheitserkenntnisse aufgenommen und bestehende Erkenntnisse aktualisiert werden, generiert oder aktualisiert Security Hub die Ergebnisse der Sicherheitslücken nahezu in Echtzeit. Security Hub generiert einen Risikobefund pro Ressourcen-ID.
Wenn eine Ressource keine oder nur unzureichende Merkmale aufweist, generiert Security Hub für diese Ressource keine Gefährdungsermittlung. Security Hub veröffentlicht keine Risikopergebnisse für Ressourcentypen, die nicht durch Risikoergebnisse gestützt werden. Wenn eine Ressource eine signifikante Anzahl und Kombination von Merkmalen aufweist, generiert Security Hub einen Risikobefund. Die Anzahl und Kombination der Merkmale bestimmen auch den Schweregrad des Expositionsergebnisses.
# Expositionsergebnis der Stichprobe
AWS Security Hub normalisiert die Ergebnisse der Sicherheitslücken im Open Cybersecurity Schema Framework (OCSF).
**Beispiel für die Feststellung der Exposition**
In der folgenden Stichprobe enthält der `related_events` Parameter Einzelheiten, die sich nur auf den Expositionsergebnis beziehen, wie z. B. die Ergebnisse, die dazu beigetragen haben. Zu den Ergebnissen beitragen die Merkmale und Signale, die mit einem Expositionsergebnis in Verbindung stehen. Ein einzelnes beitragendes Ergebnis kann ein oder mehrere Merkmale umfassen. Der `observables` Parameter identifiziert die Ressource, die dem beitragenden Ergebnis zugeordnet ist. Dies kann sich von dem `resources` Parameter unterscheiden, der die Ressource identifiziert, die mit dem Expositionsergebnis verknüpft ist.
```
{
"activity_id": 1,
"activity_name": "Create",
"category_name": "Findings",
"category_uid": 2,
"class_name": "Detection Finding",
"class_uid": 2004,
"cloud": {
"account": {
"uid": "123456789012",
"name": "production-application"
},
"cloud_partition": "aws",
"provider": "AWS",
"region": "us-east-1"
},
"finding_info": {
"analytic": {
"name": "Exposure",
"type": "Rule",
"type_id": 1,
"uid": "0.0.1"
},
"created_time_dt": "2024-11-15T21:39:26.337224100Z",
"desc": "Publicly invocable Lambda function executed outside of VPC has vulnerability with known exploit that can be exploited from remote network",
"finding.info.modified_time_dt": "2024-11-15T21:39:26.337224100Z",
"related_events_count": 3,
"related_events": [
{
"tags": [
{
"name": "Vulnerability",
"values": [
"Attack Vector Network",
"EPSS Level >= High",
"EPSS Level >= Medium",
"Exploit Available",
"No Privileges Required",
"No User Interaction Required",
"Vulnerable"
]
}
],
"product": {
"uid": "arn:aws:securityhub:us-east-1::productv2/aws/inspector"
},
"observables": [
{
"type": "Resource UID",
"type_id": 10,
"value": "arn:aws:lambda:us-east-1:123456789012:application-function"
}
],
"type": "Finding",
"title": "CVE-2023-33246 - org.apache.rocketmq:rocketmq-controller",
"uid": "arn:aws:inspector2:us-east-1:123456789012:finding/1234567890abcdef0"
},
{
"tags": [
{
"name": "Reachability",
"values": [
"Publicly Invocable"
]
}
],
"product": {
"uid": "arn:aws:securityhub:us-east-1::productv2/aws/securityhub"
},
"observables": [
{
"type": "Resource UID",
"type_id": 10,
"value": "arn:aws:lambda:us-east-1:123456789012:application-function"
}
],
"type": "Finding",
"title": "Lambda function policies should prohibit public access",
"uid": "arn:aws:securityhub:us-east-1:123456789012:security-control/Lambda.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
},
{
"tags": [
{
"name": "Misconfiguration",
"values": [
"Deployed outside VPC"
]
}
],
"product": {
"uid": "arn:aws:securityhub:us-east-1::productv2/aws/securityhub"
},
"observables": [
{
"type": "Resource UID",
"type_id": 10,
"value": "arn:aws:lambda:us-east-1:123456789012:application-function"
}
],
"type": "Finding",
"title": "Lambda functions should be in a VPC",
"uid": "arn:aws:securityhub:us-east-1:123456789012:security-control/Lambda.3/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
],
"title": "Publicly invocable Lambda function executed outside of VPC has vulnerability with known exploit that can be exploited from remote network",
"types": [
"Exposure/Potential Impact/Resource Hijacking"
],
"uid": "arn:aws:securityhub:us-east-1:123456789012:risk:1234f781c7ae7507f01e2fb460f15ca8fe7f9c95e257698a092cb74a4ea84a42"
},
"metadata": {
"product": {
"name": "Security Hub Exposure Analysis",
"uid": "arn:aws:securityhub:us-east-1::productv2/aws/securityhub-risk",
"vendor_name": "Amazon"
},
"processed_time_dt": "2024-11-15T21:39:58.819Z",
"profiles": [
"cloud",
"datetime"
],
"version": "1.4.0-dev"
},
"resources": [
{
"cloud_partition": "aws",
"region": "us-east-1",
"tags": [
{
"name": "aws:cloudformation:stack-name",
"value": "LambdaProdStack"
},
{
"name": "aws:cloudformation:stack-id",
"value": "arn:aws:cloudformation:us-east-1:123456789012:stack/LambdaProdStack/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"
},
{
"name": "aws:cloudformation:logical-id",
"value": "lambdar3function94D10D40"
}
],
"type": "AwsLambdaFunction",
"uid": "arn:aws:lambda:us-east-1:123456789012:application-function"
}
],
"severity": "Critical",
"severity_id": 5,
"status": "New",
"status_id": 1,
"time": 1731706766337,
"time_dt": "2024-11-15T21:39:26.337224100Z",
"type_name": "Detection Finding: Create",
"type_uid": 200401,
"vendor_attributes": {
"severity_id": 5,
"severity": "Critical"
}
}
```
# Bestimmung des Schweregrads eines Expositionsergebnisses
AWS Security Hub weist jedem Sicherheitsrisiko, das entdeckt wird, einen Standardschweregrad von`CRITICAL`, `HIGH``MEDIUM`, oder `LOW` zu. Expositionsergebnisse mit einem Schweregrad von `INFORMATIONAL` werden nicht veröffentlicht. Security Hub verwendet mehrere Faktoren, um den Standardschweregrad einer Risikofeststellung zu bestimmen:
+ **Sensibilisierung** — Das Ausmaß, in dem die Gefahr nicht theoretisch ist, sondern öffentlich zugängliche oder automatisierte Exploits beinhaltet. Dies gilt für Expositionsergebnisse für EC2-Instances und Lambda-Funktionen.
+ **Einfache Erkennung** — Ob automatisierte Tools wie ein Port-Scan oder eine Internetsuche zur Verfügung stehen, um die gefährdete Ressource zu entdecken.
+ **Einfache Ausnutzung** — Die Leichtigkeit, mit der ein Bedrohungsakteur die Gefahr ausnutzen kann. Wenn beispielsweise offene Netzwerkpfade oder falsch konfigurierte Metadaten existieren, kann ein Bedrohungsakteur die Gefahr leichter ausnutzen.
+ **Wahrscheinlichkeit eines Exploits** — Die Wahrscheinlichkeit, dass das Sicherheitsrisiko in den nächsten 30 Tagen ausgenutzt wird. Dieser Faktor entspricht dem Exploit Protection Scoring System (EPSS) und gilt für Risikopergebnisse für Amazon EC2 EC2-Instances und Lambda-Funktionen.
+ **Auswirkung** — Der Schaden, wenn der Exploit ausgeführt wird. Eine Offenlegung könnte beispielsweise zum Verlust der Rechenschaftspflicht, zum Verlust der Verfügbarkeit, zum Verlust der Vertraulichkeit aufgrund der Offenlegung von Daten oder zum Verlust der Integrität aufgrund von Datenbeschädigung führen.
# Überprüfung der Ergebnisse zur Exposition
Sie können alle Ihre Erkenntnisse zur Gefährdung in der Security Hub Hub-Konsole und mit der [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)API überprüfen. Auf der Seite **Exposures** in der Security Hub Hub-Konsole werden alle aktiven Risikoergebnisse angezeigt. Die Ergebnisse der Exposition werden nach abnehmendem Schweregrad aufgelistet. Sie können Ihre Expositionsergebnisse filtern, indem Sie Filter mit der Suchleiste **Filter hinzufügen** oder entfernen. Sie können Ihre Expositionsergebnisse mit der Dropdownliste **Gruppieren nach gruppieren**. Sie können Ihre Expositionsergebnisse auch mit dem **Schnellfilter-Menü filtern**.
## Einzelheiten zu den Expositionsergebnissen
Sie können sich viele Details zu einem Expositionsergebnis ansehen. Diese Details sind in der Security Hub Hub-Konsole auf mehrere Tabs aufgeteilt. Auf der Registerkarte „**Übersicht**“ finden Sie wichtige Informationen zur Risikofeststellung. Auf der Registerkarte **Merkmale** sind die Merkmale und Signale aufgeführt, die mit einem Expositionsergebnis verknüpft sind. Die Registerkarte **Ressourcen** enthält Details zu den Ressourcen und Ressourcen-Tags, die mit einem Expositionsergebnis verknüpft sind. Die folgende Liste enthält Beschreibungen der Einzelheiten zu den Ergebnissen der Exposition.
+ **Titel des Befundes** — Der Titel des Expositionsergebnisses.
+ **Schweregrad** — Der Schweregrad des Expositionsergebnisses. Security Hub verwendet die Anzahl und Kombination von Merkmalen für eine Ressource, um den Schweregrad einer Risikofeststellung zu bestimmen. Der Schweregrad kann`CRITICAL`, `HIGH``MEDIUM`, oder sein`LOW`. Security Hub veröffentlicht keine Risikopergebnisse mit einem Schweregrad von`INFORMATIONAL`. Sie können das `Severity` über die Security Hub Hub-Konsole oder mit dem [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindingsV2.html)API-Vorgang aktualisieren.
+ **Beschreibung** — Die Beschreibung des Expositionsergebnisses.
+ **Typ** — Der Name des Typs der Risikoermittlung. Der Name könnte beispielsweise wie folgt aussehen`Exposure/Potential Impact/Resource Hijacking`.
+ **Konto** — Die ID des Unternehmens AWS-Konto , in dem der Risikoergebnis generiert wurde.
+ **Alter** — Gibt an, wie lange der Expositionsergebnis aktiv ist.
+ **Erstellungszeit** — Ein Zeitstempel, der angibt, wann der Expositionsergebnis erstellt wurde.
+ **Änderungszeit** — Ein Zeitstempel, der angibt, wann das Expositionsergebnis zuletzt aktualisiert wurde.
+ **Region** — Der AWS-Region Ort, an dem der Expositionsergebnis generiert wurde.
+ **Produktname** — Der Name des Produkts, das zur Expositionsermittlung geführt hat. Dies wird immer **Security Hub Exposure Detection** sein.
+ **Firmenname** — Der Name des Unternehmens, das die Risikofeststellung generiert hat. Das wird immer so sein **AWS**.
+ **Name der Aktivität** — Der Name der Aktivität, die zuletzt anhand des Ergebnisses ausgeführt wurde.
+ **Status** — Der Status dieser Expositionsfeststellung.
+ **Fund-ID** — Eine eindeutige Kennung, die mit dem Expositionsergebnis verknüpft ist.
+ **Potenzieller Angriffspfad (nur Konsole)** — Eine interaktive Visualisierung, die zeigt, wie potenzielle Angreifer auf Ressourcen zugreifen und die Kontrolle über diese übernehmen können, die mit einer Sicherheitslücke verbunden sind. Weitere Informationen finden Sie unter [Gefährdungen in Security Hub mit dem Diagramm des potenziellen Angriffspfads anzeigen](potential-attack-path-graph.md).
+ **Merkmale** — Identifiziert Merkmalstypen und Merkmalstitel, die mit dem Expositionsergebnis verknüpft sind. In der Security Hub Hub-Konsole können Sie Eigenschaften nach Merkmalstyp oder Signal anzeigen. Auf diese Weise können Sie wichtige Ergebnisse im Zusammenhang mit der jeweiligen Exposition analysieren.
+ **Sanierung** — Links zu Unterlagen zur Problembehebung, die sich auf die bei der Exposition identifizierten Merkmale beziehen.
+ **Ressourcen** — Identifiziert die Ressource, die mit dem Expositionsergebnis verknüpft ist.
# Überprüfung der Einzelheiten der Expositionsergebnisse
In diesem Thema wird beschrieben, wie Sie Details zu Risikoergebnissen in der AWS Security Hub Hub-Konsole und mit der API überprüfen können.
## Details zu einer Risikofeststellung in der Security Hub Hub-Konsole überprüfen
**So zeigen Sie Details zu einer Risikofeststellung in der Security Hub Hub-Konsole an**
1. Melden Sie sich mit Ihren Anmeldeinformationen an und öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home]( https://console.aws.amazon.com/securityhub/v2/home).
1. **Wählen Sie im Navigationsbereich die Option Exposures aus.**
1. Wählen Sie ein Risikoergebnis aus, dessen Details Sie anzeigen möchten.
## Überprüfen Sie die Details zu einem Risikoergebnis mit der API
Sie können die Ergebnisse zur Exposition mit der [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)API oder mit der überprüfen AWS CLI. Sie können alle Expositionsergebnisse anhand des `metadata.product.feature.uid` Felds mit dem `security-hub/Exposure` Wert filtern. Weitere Informationen finden Sie unter [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html).
**Beispielbefehl**
Im Folgenden finden Sie ein AWS CLI Beispiel, mit dem die 10 zuletzt generierten Expositionsergebnisse in Ihrem Konto abgerufen werden. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
aws securityhub get-findings-v2 \
--max-results '10' \
--filter '{"CompositeFilters": [{"StringFilters": [{"FieldName":"metadata.product.feature.uid","Filter": {"Value":"security-hub/Exposure","Comparison":"EQUALS"}} ]}]}'
```
# Gefährdungen in Security Hub mit dem Diagramm des potenziellen Angriffspfads anzeigen
Das Diagramm des potenziellen Angriffspfads ist eine interaktive Visualisierung, die zeigt, wie potenzielle Angreifer auf Ressourcen zugreifen und die Kontrolle darüber übernehmen können, die mit einer Sicherheitslücke verbunden sind. Sie können auf dieses Diagramm nur in der Security Hub Hub-Konsole und auf der Seite **Exposures** zugreifen. Wenn Sie Details zu einem gefundenen Sicherheitsrisiko anzeigen, enthält die Registerkarte „**Übersicht**“ einen Abschnitt mit der Bezeichnung „**Potenzieller Angriffspfad**“.
In diesem Abschnitt der Registerkarte „**Übersicht**“ können Sie AWS Ressourcen auswählen und in das Diagramm mit dem potenziellen Angriffspfad verschieben. Mit den Symbolen zum Vergrößern und Verkleinern können Sie sich auf bestimmte Bereiche des Diagramms mit dem Angriffspfad konzentrieren. Sie können das Diagramm des Angriffspfads im Vollbildmodus und aus dem Vollbildmodus mithilfe des Vollbildsymbols erweitern. Die Legende kennzeichnet die primäre Ressource, die beteiligte Ressource und die Anzahl der beitragenden Eigenschaften farblich und zeigt die Merkmalskategorien und die Anzahl der Eigenschaften im Diagramm des Angriffspfads. Sie können Details zu einer Ressource anzeigen, indem Sie eine Ressource auswählen und dann **Ressourcendetails anzeigen** wählen. Sie können auch die mit einer Ressource verknüpfte ID und AWS-Konto Nummer kopieren. Offenlegungsergebnisse mit einem Erreichbarkeitsmerkmal zeigen das öffentliche Internet und den zusammengebrochenen Netzwerkpfad im Diagramm des Angriffspfads. Sie können sich dieses Detail ansehen, indem Sie den Knoten mit dem ausgeblendeten Netzwerkpfad auswählen.
# Behebung von Risikoprüfungen
In den Themen dieses Abschnitts werden Maßnahmen zur Behebung von Expositionsergebnissen in verschiedenen Bereichen beschrieben. AWS-Services
Das `Remediation` Feld des [OCSF-Formats](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-ocsf-findings.html) enthält zwei Felder: `remediation` und. `references`
```
"Remediation": {
"Recommendation": {
"remediation":{"desc":"String",
"references":["string array"]}
}
},
```
**Anmerkung**
Die in den folgenden Abschnitten enthaltenen Hinweise zur Problembehebung erfordern möglicherweise zusätzliche Konsultationen in anderen AWS Ressourcen.
# Behebung von Risiken für DynamoDB-Tabellen
AWS Security Hub kann Risikopergebnisse für DynamoDB-Tabellen generieren.
Auf der Security Hub Hub-Konsole sind die DynamoDB-Tabelle, die an einer Risikofeststellung beteiligt war, und ihre identifizierenden Informationen im Abschnitt **Ressourcen** der Ergebnisdetails aufgeführt. Programmgesteuert können Sie Ressourcendetails mithilfe der [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)Security Hub CSPM-API abrufen.
Nachdem Sie die Ressource identifiziert haben, die an einer Risikofeststellung beteiligt war, können Sie die Ressource löschen, falls Sie sie nicht benötigen. Durch das Löschen einer nicht benötigten Ressource können Sie Ihr Expositionsprofil und Ihre AWS Kosten reduzieren. Wenn es sich bei der Ressource um eine wichtige Ressource handelt, befolgen Sie diese empfohlenen Abhilfemaßnahmen, um das Risiko zu minimieren. Die Themen zur Problembehebung sind nach der Art des Merkmals unterteilt.
Ein einzelnes Problembehebungsergebnis umfasst Probleme, die in mehreren Problembehebungsthemen identifiziert wurden. Umgekehrt können Sie mit einem Problembehebungsproblem umgehen und dessen Schweregrad verringern, indem Sie sich mit nur einem Problembehebungsthema befassen. Ihr Ansatz zur Risikominderung hängt von den Anforderungen und der Arbeitsbelastung Ihres Unternehmens ab.
**Anmerkung**
Die in diesem Thema enthaltenen Hinweise zur Problembehebung erfordern möglicherweise zusätzliche Informationen in anderen Ressourcen. AWS
**Contents**
+ [Merkmale von Fehlkonfigurationen in DynamoDB](#misconfiguration)
+ [Für die DynamoDB-Tabelle ist point-in-time die Wiederherstellung deaktiviert](#point-in-time-recovery-disabled)
+ [Die DynamoDB-Tabelle ist nicht durch einen Backup-Plan abgedeckt](#backup-plan-disabled)
+ [Für die DynamoDB-Tabelle ist der Löschschutz deaktiviert](#deletion-protection-disabled)
## Merkmale von Fehlkonfigurationen in DynamoDB
Im Folgenden werden die Merkmale der Fehlkonfiguration und die Schritte zur Behebung von DynamoDB-Tabellen beschrieben.
### Für die DynamoDB-Tabelle ist point-in-time die Wiederherstellung deaktiviert
**DynamoDB-Wiederherstellung point-in-time aktivieren**
point-in-timeDynamoDB-Wiederherstellung bietet kontinuierliche automatisierte Backups für Ihre DynamoDB-Tabellendaten. Informationen zum Wiederherstellen einer DynamoDB-Tabelle auf einen bestimmten Zeitpunkt finden Sie unter [Wiederherstellen einer DynamoDB-Tabelle auf einen bestimmten Zeitpunkt im *Amazon* DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.Tutorial.html) DynamoDB-Benutzerhandbuch.
### Die DynamoDB-Tabelle ist nicht durch einen Backup-Plan abgedeckt
AWS Backup bietet einen zentralisierten Service zur Konfiguration, Verwaltung und Automatisierung von Backups für verschiedene AWS Dienste, einschließlich DynamoDB. Ohne einen Backup-Plan fehlen Ihrer Tabelle geplante, automatisierte Backups mit anpassbaren Aufbewahrungszeiträumen, was zu erheblichen Sicherheitsrisiken führt. Ein Angreifer könnte Ihre Tabellendaten in böswilliger Absicht beschädigen oder löschen. Ohne ordnungsgemäße Backups steht Ihnen möglicherweise keine Wiederherstellungsoption außerhalb des Point-in-Time Wiederherstellungsfensters zur Verfügung (falls aktiviert), was möglicherweise zu einem dauerhaften Datenverlust führen kann. Gemäß den Best Practices für den Datenschutz empfehlen wir, Ihre DynamoDB-Tabellen mit einem Backup-Plan abzudecken.
**Erstellen Sie einen Backup-Plan**
Bevor Sie einen Backup-Plan erstellen, legen Sie eine angemessene Sicherungshäufigkeit und Aufbewahrungsfristen für Ihre Daten fest. Informationen zum Erstellen eines Backup-Plans finden Sie unter [Zuweisen von Ressourcen zu einem Backup-Plan](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) im *Amazon DynamoDB DynamoDB-Benutzerhandbuch*.
### Für die DynamoDB-Tabelle ist der Löschschutz deaktiviert
Der Löschschutz verhindert das versehentliche Löschen von DynamoDB-Tabellen. Wenn der Löschschutz deaktiviert ist, sind DynamoDB-Tabellen anfällig für unbeabsichtigtes Löschen durch Konsolenaktionen, API-Aufrufe, CLI-Befehle oder automatisierte Prozesse. Dadurch kann Ihre AWS Umgebung einem Datenverlust ausgesetzt sein, da eine nicht autorisierte Entität mit Zugriff auf Ihre AWS Umgebung absichtlich Tabellen löschen könnte, was zu Betriebsunterbrechungen und dauerhaftem Datenverlust führen könnte. Gemäß den Best Practices für den Datenschutz empfehlen wir, den Datenschutz für DynamoDB-Tabellen zu aktivieren.
**Löschschutz aktivieren**
Wenn Sie mehrere Tabellen verwalten, sollten Sie erwägen, die Tabelleneigenschaften in großen Mengen CloudFormation zu aktualisieren. Sie können Ihre CloudFormation Vorlagen so ändern, dass sie `DeletionProtectionEnabled` Eigenschaften enthalten, und Ihre Stapel aktualisieren. **Stellen Sie nach Abschluss der Korrektur sicher, dass der Löschschutz in der Dropdownliste **Zusätzliche** Informationen auf der Registerkarte Einstellungen der Tabelle aktiviert ist.**
# Behebung von Risiken für EC2-Instances
AWS Security Hub kann Risikopergebnisse für Amazon Elastic Compute Cloud (EC2) -Instances generieren.
Auf der Security Hub Hub-Konsole sind die EC2-Instance, die an einer Risikofeststellung beteiligt war, und ihre identifizierenden Informationen im Abschnitt **Ressourcen** der Ergebnisdetails aufgeführt. Programmgesteuert können Sie Ressourcendetails mithilfe der [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)Security Hub CSPM-API abrufen.
Nachdem Sie die Ressource identifiziert haben, die an einer Risikofeststellung beteiligt war, können Sie die Ressource löschen, falls Sie sie nicht benötigen. Durch das Löschen einer nicht benötigten Ressource können Sie Ihr Expositionsprofil und Ihre AWS Kosten reduzieren. Wenn es sich um eine wichtige Ressource handelt, befolgen Sie diese empfohlenen Abhilfemaßnahmen, um das Risiko zu minimieren. Die Themen zur Problembehebung sind nach der Art des Merkmals unterteilt.
Ein einziger Risikobefund umfasst Probleme, die in mehreren Problembehebungsthemen identifiziert wurden. Umgekehrt können Sie mit einem Problembehebungsproblem umgehen und dessen Schweregrad verringern, indem Sie sich mit nur einem Problembehebungsthema befassen. Ihr Ansatz zur Risikominderung hängt von den Anforderungen und der Arbeitsbelastung Ihres Unternehmens ab.
**Anmerkung**
Die in diesem Thema enthaltenen Hinweise zur Problembehebung erfordern möglicherweise zusätzliche Informationen in anderen Ressourcen. AWS
**Contents**
+ [Merkmale der Fehlkonfiguration für EC2-Instances](#misconfiguration)
+ [Die EC2-Instance ermöglicht den Zugriff auf IMDS mit Version 1](#metadata-misconfiguration)
+ [Die der Amazon EC2 EC2-Instance zugeordnete IAM-Rolle hat eine administrative Zugriffsrichtlinie.](#administrative-access-policy)
+ [Die der Amazon EC2 EC2-Instance zugeordnete IAM-Rolle hat eine Service-Admin-Richtlinie.](#service-admin-policy)
+ [Die Amazon EC2 EC2-Instance verfügt über eine Sicherheitsgruppe oder Netzwerk-ACL, die SSH- oder RDP-Zugriff ermöglicht.](#remote-access-allowed)
+ [Die Amazon EC2 EC2-Instance hat eine offene Sicherheitsgruppe](#open-security-group)
+ [Erreichbarkeitsmerkmale für EC2-Instances](#reachability)
+ [Die EC2-Instance ist über das Internet erreichbar](#internet-reachable)
+ [Merkmale der Sicherheitslücke für EC2-Instances](#vulnerability)
+ [Die EC2-Instance weist Software-Sicherheitslücken auf, die im Netzwerk ausgenutzt werden können und die Wahrscheinlichkeit einer Ausnutzung hoch ist](#high-priority-vulnerability)
+ [Die Amazon EC2 EC2-Instance weist Softwareschwachstellen auf](#low-priority-vulnerability)
+ [Die EC2-Instance hat ein Betriebssystem End-Of-Life](#end-of-life-operating-system-detected)
+ [Die EC2-Instance enthält schädliche Softwarepakete](#malicious-package)
+ [Die EC2-Instance enthält schädliche Dateien](#malicious-file)
## Merkmale der Fehlkonfiguration für EC2-Instances
Im Folgenden finden Sie Merkmale von Fehlkonfigurationen für EC2-Instances und empfohlene Schritte zur Behebung.
### Die EC2-Instance ermöglicht den Zugriff auf IMDS mit Version 1
Instance-Metadaten sind Daten über Ihre Amazon EC2 EC2-Instance, die Anwendungen zur Konfiguration oder Verwaltung der laufenden Instance verwenden können. Der Instance-Metadatenservice (IMDS) ist eine On-Instance-Komponente, die von Code auf der Instance verwendet wird, um sicher auf Instance-Metadaten zuzugreifen. Wenn IMDS nicht ordnungsgemäß gesichert ist, kann es zu einem potenziellen Angriffsvektor werden, da es Zugriff auf temporäre Anmeldeinformationen und andere sensible Konfigurationsdaten bietet. IMDSv2 bietet einen besseren Schutz vor Ausnutzung durch sitzungsorientierte Authentifizierung, die ein Sitzungstoken für Metadatenanfragen erfordert und die Sitzungsdauer begrenzt. Es wird AWS empfohlen, Amazon EC2 EC2-Instances gemäß den Standardsicherheitsprinzipien für die Verwendung IMDSv2 und Deaktivierung IMDSv1 zu konfigurieren.
**Testen Sie die Anwendungskompatibilität**
Testen Sie Ihre Instance vor der Implementierung IMDSv2, um sicherzustellen, dass sie kompatibel mit ist IMDSv2. IMDSv1 Für einige Anwendungen oder Skripts sind möglicherweise Kernfunktionen erforderlich und eine zusätzliche Konfiguration erforderlich. Weitere Informationen zu Tools und empfohlenen Pfaden zum Testen der Anwendungskompatibilität finden Sie unter [Übergang zur Verwendung von Instance Metadata Service Version 2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.
**Aktualisieren Sie die zu verwendende Instanz IMDSv2**
Ändern Sie die zu verwendenden vorhandenen Instanzen IMDSv2. Weitere Informationen finden Sie unter [Ändern von Instance-Metadaten-Optionen für bestehende Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-existing-instances.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.
**Updates auf Instances in einer Auto Scaling Scaling-Gruppe anwenden**
Wenn Ihre Instance Teil einer Auto Scaling Scaling-Gruppe ist, aktualisieren Sie Ihre Startvorlage oder Startkonfiguration mit einer neuen Konfiguration und führen Sie eine Instance-Aktualisierung durch.
### Die der Amazon EC2 EC2-Instance zugeordnete IAM-Rolle hat eine administrative Zugriffsrichtlinie.
Administrative Zugriffsrichtlinien bieten Amazon EC2 EC2-Instances umfassende Berechtigungen AWS-Services und Ressourcen. Diese Richtlinien beinhalten in der Regel Berechtigungen, die für die Instance-Funktionalität nicht erforderlich sind. Die Bereitstellung einer IAM-Identität mit einer administrativen Zugriffsrichtlinie für eine Amazon EC2 EC2-Instance (anstelle der Mindestberechtigungen, die die Ihrem Instance-Profil zugeordnete Rolle benötigt) kann den Umfang eines Angriffs erhöhen, wenn die Amazon EC2 EC2-Instance kompromittiert wird. Wenn eine Instance kompromittiert wird, könnten Angreifer diese übermäßigen Berechtigungen nutzen, um sich seitlich in Ihrer Umgebung zu bewegen, auf Daten zuzugreifen oder Ressourcen zu manipulieren. Gemäß den Standardsicherheitsprinzipien empfehlen wir, die geringsten Rechte zu gewähren, d. h., Sie gewähren nur die Berechtigungen, die für die Ausführung einer Aufgabe erforderlich sind.
**Überprüfen und identifizieren Sie die Verwaltungsrichtlinien**
Suchen Sie im IAM-Dashboard nach der Rolle mit dem Rollennamen. Überprüfen Sie die der IAM-Rolle zugeordnete Berechtigungsrichtlinie. Wenn es sich bei der Richtlinie um eine AWS verwaltete Richtlinie handelt, suchen Sie nach `AdministratorAccess` oder`IAMFullAccess`. Andernfalls suchen Sie im Richtliniendokument nach Aussagen mit`"Effect": "Allow", "Action": "*"`, und`"Resource": "*"`.
**Implementieren des Zugriffs mit geringsten Berechtigungen**
Ersetzen Sie Verwaltungsrichtlinien durch Richtlinien, die nur die spezifischen Berechtigungen gewähren, die für das Funktionieren der Instanz erforderlich sind. *Weitere Informationen zu bewährten Sicherheitsmethoden für IAM-Rollen finden Sie unter [Anwenden von Berechtigungen mit den geringsten Rechten](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) im Abschnitt Bewährte Sicherheitsmethoden im Benutzerhandbuch.AWS Identity and Access Management * Um unnötige Berechtigungen zu identifizieren, können Sie den IAM Access Analyzer verwenden, um zu erfahren, wie Sie Ihre Richtlinie auf der Grundlage des Zugriffsverlaufs ändern können. Weitere Informationen finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [Ergebnisse für externen und ungenutzten Zugriff](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html). Alternativ können Sie eine neue IAM-Rolle erstellen, um zu vermeiden, dass andere Anwendungen, die die bestehende Rolle verwenden, beeinträchtigt werden. Erstellen Sie in diesem Szenario eine neue IAM-Rolle und ordnen Sie dann die neue IAM-Rolle der Instance zu. Anweisungen zum Ersetzen einer IAM-Rolle für eine Instance finden Sie unter [Eine IAM-Rolle an eine Instance anhängen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/attach-iam-role.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.
**Überlegungen zur sicheren Konfiguration**
Wenn für die Instanz Administratorberechtigungen auf Service-Ebene erforderlich sind, sollten Sie die Implementierung dieser zusätzlichen Sicherheitskontrollen in Betracht ziehen, um das Risiko zu minimieren:
+ **Überlegungen zur sicheren Konfiguration**
+ **Multi-Faktor-Authentifizierung (MFA)** — MFA fügt eine zusätzliche Sicherheitsebene hinzu, da eine zusätzliche Form der Authentifizierung erforderlich ist. Dies hilft, unbefugten Zugriff zu verhindern, selbst wenn Anmeldeinformationen kompromittiert werden. Weitere Informationen finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [Multi-Faktor-Authentifizierung (MFA) erforderlich](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users).
+ **IAM-Bedingungen** — Durch die Einrichtung von Bedingungselementen können Sie anhand von Faktoren wie Quell-IP oder MFA-Alter einschränken, wann und wie Administratorberechtigungen verwendet werden können. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Verwenden von Bedingungen in IAM-Richtlinien, um den Zugriff weiter einzuschränken](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions).AWS Identity and Access Management *
+ **Berechtigungsgrenzen** — Berechtigungsgrenzen legen die maximale Anzahl von Berechtigungen fest, die eine Rolle haben kann, und bieten so Richtlinien für Rollen mit Administratorzugriff. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Verwenden von Berechtigungsgrenzen, um die Rechteverwaltung innerhalb eines Kontos zu delegieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-permissions-boundaries).AWS Identity and Access Management *
**Updates auf Instances in einer Auto Scaling-Gruppe anwenden**
Aktualisieren Sie für Amazon EC2 EC2-Instances in einer AWS Auto Scaling-Gruppe die Startvorlage oder die Startkonfiguration mit dem neuen Instance-Profil und führen Sie eine Instance-Aktualisierung durch. Informationen zum Aktualisieren einer Startvorlage finden Sie unter [Ändern einer Startvorlage (Startvorlagenversionen verwalten)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*. Weitere Informationen finden Sie unter [Verwenden einer Instanzaktualisierung, um Instances in einer Auto Scaling Scaling-Gruppe zu aktualisieren](https://docs.aws.amazon.com/autoscaling/ec2/userguide/asg-instance-refresh.html). Weitere Informationen zur Verwendung von IAM-Rollen mit Auto Scaling Scaling-Gruppen finden Sie unter [IAM-Rolle für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden, im Amazon EC2](https://docs.aws.amazon.com/autoscaling/ec2/userguide/us-iam-role.html) *Auto* Scaling-Benutzerhandbuch.
### Die der Amazon EC2 EC2-Instance zugeordnete IAM-Rolle hat eine Service-Admin-Richtlinie.
Servicezugriffsrichtlinien gewähren Amazon EC2 EC2-Instances umfassende Berechtigungen für AWS Dienste und Ressourcen. Diese Richtlinien beinhalten in der Regel Berechtigungen, die für die Instance-Funktionalität nicht erforderlich sind. Die Bereitstellung einer IAM-Identität mit einer administrativen Zugriffsrichtlinie für eine Amazon EC2 EC2-Instance anstelle der Mindestberechtigungen, die die Ihrem Instance-Profil zugeordnete Rolle benötigt, kann den Umfang eines Angriffs erhöhen, wenn eine Instance kompromittiert wird. Gemäß den Standardsicherheitsprinzipien empfehlen wir, die geringsten Rechte zu gewähren, was bedeutet, dass Sie nur die Berechtigungen gewähren, die für die Ausführung einer Aufgabe erforderlich sind.
**Überprüfen und identifizieren Sie die Verwaltungsrichtlinien**
Suchen Sie im IAM-Dashboard nach der Rolle mit dem Rollennamen. Überprüfen Sie die der IAM-Rolle zugeordnete Berechtigungsrichtlinie. Wenn es sich bei der Richtlinie um eine AWS verwaltete Richtlinie handelt, suchen Sie nach `AdministratorAccess` oder`IAMFullAccess`. Andernfalls suchen Sie im Richtliniendokument nach Aussagen mit`"Effect": "Allow", "Action": "*"`, und`"Resource": "*"`.
**Implementieren des Zugriffs mit geringsten Berechtigungen**
Ersetzen Sie Dienstadministratorrichtlinien durch solche, die nur die spezifischen Berechtigungen gewähren, die für das Funktionieren der Instanz erforderlich sind. *Weitere Informationen zu bewährten Sicherheitsmethoden für IAM-Rollen finden Sie unter [Anwenden von Berechtigungen mit den geringsten Rechten](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) im Abschnitt Bewährte Sicherheitsmethoden im Benutzerhandbuch.AWS Identity and Access Management * Um unnötige Berechtigungen zu identifizieren, können Sie den IAM Access Analyzer verwenden, um zu erfahren, wie Sie Ihre Richtlinie auf der Grundlage des Zugriffsverlaufs ändern können. Weitere Informationen finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [Ergebnisse für externen und ungenutzten Zugriff](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html). Alternativ können Sie eine neue IAM-Rolle erstellen, um zu vermeiden, dass andere Anwendungen, die die bestehende Rolle verwenden, beeinträchtigt werden. Erstellen Sie in diesem Szenario eine neue IAM-Rolle und ordnen Sie dann die neue IAM-Rolle der Instance zu. Informationen zum Ersetzen einer IAM-Rolle für eine Instance finden Sie unter [Anhängen einer IAM-Rolle an eine Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/attach-iam-role.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*
**Überlegungen zur sicheren Konfiguration**
Wenn für die Instanz Administratorberechtigungen auf Service-Ebene erforderlich sind, sollten Sie die Implementierung dieser zusätzlichen Sicherheitskontrollen in Betracht ziehen, um das Risiko zu minimieren:
**Überlegungen zur sicheren Konfiguration**
Wenn für die Instanz Administratorberechtigungen auf Service-Ebene erforderlich sind, sollten Sie die Implementierung dieser zusätzlichen Sicherheitskontrollen in Betracht ziehen, um das Risiko zu minimieren:
+ **Multi-Faktor-Authentifizierung (MFA)** — MFA fügt eine zusätzliche Sicherheitsebene hinzu, da eine zusätzliche Form der Authentifizierung erforderlich ist. Dies hilft, unbefugten Zugriff zu verhindern, selbst wenn Anmeldeinformationen kompromittiert werden. Weitere Informationen finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [Multi-Faktor-Authentifizierung (MFA) erforderlich](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users).
+ **IAM-Bedingungen** — Durch die Einrichtung von Bedingungselementen können Sie anhand von Faktoren wie Quell-IP oder MFA-Alter einschränken, wann und wie Administratorberechtigungen verwendet werden können. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Verwenden von Bedingungen in IAM-Richtlinien, um den Zugriff weiter einzuschränken](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions).AWS Identity and Access Management *
+ **Berechtigungsgrenzen** — Berechtigungsgrenzen legen die maximale Anzahl von Berechtigungen fest, die eine Rolle haben kann, und bieten so Richtlinien für Rollen mit Administratorzugriff. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Verwenden von Berechtigungsgrenzen, um die Rechteverwaltung innerhalb eines Kontos zu delegieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-permissions-boundaries).AWS Identity and Access Management *
**Updates auf Instanzen in der Auto Scaling Scaling-Gruppe anwenden**
Aktualisieren Sie für Amazon EC2 EC2-Instances in einer AWS Auto Scaling-Gruppe die Startvorlage oder die Startkonfiguration mit dem neuen Instance-Profil und führen Sie eine Instance-Aktualisierung durch. Informationen zum Aktualisieren einer Startvorlage finden Sie unter [Ändern einer Startvorlage (Startvorlagenversionen verwalten)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*. Weitere Informationen finden Sie unter [Verwenden einer Instanzaktualisierung, um Instances in einer Auto Scaling Scaling-Gruppe zu aktualisieren](https://docs.aws.amazon.com/autoscaling/ec2/userguide/asg-instance-refresh.html). Weitere Informationen zur Verwendung von IAM-Rollen mit Auto Scaling Scaling-Gruppen finden Sie unter [IAM-Rolle für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden, im Amazon EC2](https://docs.aws.amazon.com/autoscaling/ec2/userguide/us-iam-role.html) *Auto* Scaling-Benutzerhandbuch.
### Die Amazon EC2 EC2-Instance verfügt über eine Sicherheitsgruppe oder Netzwerk-ACL, die SSH- oder RDP-Zugriff ermöglicht.
Fernzugriffsprotokolle wie SSH und RDP ermöglichen es Benutzern, von externen Standorten aus eine Verbindung zu Amazon EC2 EC2-Instances herzustellen und diese zu verwalten. Wenn Sicherheitsgruppen uneingeschränkten Zugriff auf diese Protokolle aus dem Internet zulassen, vergrößern sie die Angriffsfläche Ihrer Amazon EC2 EC2-Instances, indem sie den Internetzugang auf Ihre Instance ermöglichen. Es wird AWS empfohlen, den Fernzugriff auf bestimmte, vertrauenswürdige IP-Adressen oder Bereiche zu beschränken.
1. **Ändern Sie die Regeln für Sicherheitsgruppen**
Beschränken Sie den Zugriff auf Ihre Amazon EC2 EC2-Instances auf bestimmte vertrauenswürdige IP-Adressen. Beschränken Sie den SSH- und RDP-Zugriff auf bestimmte vertrauenswürdige IP-Adressen oder verwenden Sie die CIDR-Notation, um IP-Bereiche anzugeben (z. B. 198.168.1.0/24). Informationen zum Ändern von Sicherheitsgruppenregeln finden [Sie unter Sicherheitsgruppenregeln konfigurieren](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html#add-remove-security-group-rules) im *Amazon Elastic Compute Cloud-Benutzerhandbuch*.
### Die Amazon EC2 EC2-Instance hat eine offene Sicherheitsgruppe
Sicherheitsgruppen dienen als virtuelle Firewalls für Ihre Amazon EC2 EC2-Instances, um den eingehenden und ausgehenden Datenverkehr zu kontrollieren. Offene Sicherheitsgruppen, die uneingeschränkten Zugriff von jeder IP-Adresse aus ermöglichen, können Ihre Instances unbefugten Zugriffen aussetzen. Es wird AWS empfohlen, den Zugriff von Sicherheitsgruppen auf bestimmte IP-Adressen und Ports gemäß den Standardsicherheitsprinzipien zu beschränken.
**Überprüfen Sie die Sicherheitsgruppenregeln und bewerten Sie die aktuelle Konfiguration**
Prüfen Sie, welche Ports offen und von weiten IP-Bereichen aus zugänglich sind, z. `(0.0.0.0/0 or ::/0)` B. Anweisungen zum Anzeigen von Sicherheitsgruppendetails finden Sie [DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html)in der *API-Referenz zum Porting Assistant for .NET*.
**Ändern Sie die Regeln für Sicherheitsgruppen**
Ändern Sie Ihre Sicherheitsgruppenregeln, um den Zugriff auf bestimmte vertrauenswürdige IP-Adressen oder Bereiche einzuschränken. Denken Sie bei der Aktualisierung Ihrer Sicherheitsgruppenregeln darüber nach, die Zugriffsanforderungen für verschiedene Netzwerksegmente zu trennen, indem Sie Regeln für jeden erforderlichen Quell-IP-Bereich erstellen oder den Zugriff auf bestimmte Ports einschränken. Informationen zum Ändern von Sicherheitsgruppenregeln finden [Sie unter Sicherheitsgruppenregeln konfigurieren](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html#add-remove-security-group-rules) im *Amazon EC2 EC2-Benutzerhandbuch*.
## Erreichbarkeitsmerkmale für EC2-Instances
Hier finden Sie Merkmale der Erreichbarkeit für EC2-Instances und empfohlene Schritte zur Problembehebung.
### Die EC2-Instance ist über das Internet erreichbar
Amazon EC2 EC2-Instances mit Ports, die vom Internet aus über ein Internet-Gateway (einschließlich Instances hinter Application Load Balancers oder Classic Load Balancers), eine VPC-Peering-Verbindung oder ein virtuelles VPN-Gateway erreichbar sind, können Ihre Instance dem Internet aussetzen. Gemäß den Standardsicherheitsprinzipien empfehlen wir, Netzwerkzugriffskontrollen mit geringsten Rechten zu implementieren, indem eingehender Datenverkehr auf nur die erforderlichen Quellen und Ports beschränkt wird.
**Sicherheitsgruppenregeln ändern oder entfernen**
Öffnen Sie auf der Registerkarte **Ressourcen** die Ressource für die Amazon EC2-Sicherheitsgruppe. Prüfen Sie, ob ein Internetzugang erforderlich ist, damit die Instance funktioniert. Ändern oder entfernen Sie Sicherheitsgruppenregeln für eingehenden Datenverkehr, die uneingeschränkten Zugriff ermöglichen (`0.0.0.0/0`oder`::/0`). Implementieren Sie restriktivere Regeln, die auf bestimmten IP-Bereichen oder Sicherheitsgruppen basieren. Wenn ein eingeschränkter öffentlicher Zugriff erforderlich ist, beschränken Sie den Zugriff auf bestimmte Ports und Protokolle, die für die Funktion der Instanz erforderlich sind. Anweisungen zur Verwaltung von Sicherheitsgruppenregeln finden [Sie unter Sicherheitsgruppenregeln konfigurieren](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html#add-remove-security-group-rules) im *Amazon EC2 EC2-Benutzerhandbuch*.
**Netzwerk aktualisieren ACLs**
Überprüfen und ändern Sie die Netzwerkzugriffskontrolllisten (ACLs), die dem Subnetz der Instanz zugeordnet sind. Stellen Sie sicher, dass die ACL-Einstellungen mit den Änderungen der Sicherheitsgruppe übereinstimmen und nicht unbeabsichtigt öffentlichen Zugriff zulassen. Anweisungen zur Änderung des Netzwerks ACLs finden Sie unter [Work with network ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/nacl-tasks.html) im *Amazon VPC-Benutzerhandbuch*.
**Alternative Zugriffsmethoden**
Erwägen Sie die folgenden Optionen für alternative Zugriffsmethoden:
+ **Verwenden Sie das NAT-Gateway für ausgehende Internetkonnektivität** — Für Instances in privaten Subnetzen, die Zugriff auf das Internet benötigen (z. B. um Updates herunterzuladen), sollten Sie ein NAT-Gateway verwenden, anstatt eine öffentliche IP-Adresse zuzuweisen. Ein NAT-Gateway ermöglicht es Instances in privaten Subnetzen, ausgehende Verbindungen zum Internet zu initiieren und gleichzeitig eingehende Verbindungen aus dem Internet zu verhindern.
+ **Verwenden Sie Systems Manager Session Manager** — Session Manager bietet sicheren Shell-Zugriff auf Ihre Amazon EC2 EC2-Instances, ohne dass eingehende Ports erforderlich sind, SSH-Schlüssel verwaltet oder Bastion-Hosts verwaltet werden müssen.
+ **Verwenden Sie WAF und Elastic Load Balancing oder Application Load Balancer** — Für Instances, auf denen Webanwendungen ausgeführt werden, sollten Sie erwägen, einen LB in Kombination mit einer AWS Web Application Firewall (WAF) zu verwenden. LBs kann so konfiguriert werden, dass Ihre Instances in privaten Subnetzen ausgeführt werden können, während der LB in einem öffentlichen Subnetz läuft und den Internetverkehr abwickelt. Das Hinzufügen einer WAF zu Ihrem Load Balancer bietet zusätzlichen Schutz vor Web-Exploits und Bots.
## Merkmale der Sicherheitslücke für EC2-Instances
Im Folgenden finden Sie die Merkmale der Sicherheitslücken für EC2-Instances und empfohlene Schritte zur Behebung.
### Die EC2-Instance weist Software-Sicherheitslücken auf, die im Netzwerk ausgenutzt werden können und die Wahrscheinlichkeit einer Ausnutzung hoch ist
Softwarepakete, die auf EC2-Instances installiert sind, können häufig anfälligen Sicherheitslücken () ausgesetzt sein. CVEs Kritische CVEs Geräte stellen erhebliche Sicherheitsrisiken für Ihre AWS Umgebung dar. Unbefugte Benutzer können diese ungepatchten Sicherheitslücken ausnutzen, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten zu gefährden oder auf andere Systeme zuzugreifen. Kritische Sicherheitslücken mit hoher Wahrscheinlichkeit stellen unmittelbare Sicherheitsbedrohungen dar, da Exploit-Code möglicherweise bereits öffentlich verfügbar ist und von Angreifern oder automatisierten Scan-Tools aktiv genutzt wird. Wir empfehlen, diese Sicherheitslücken zu patchen, um Ihre Instanz zu schützen.
**Aktualisieren Sie die betroffenen Instanzen**
Sehen Sie sich den Abschnitt **Referenzen auf** der Registerkarte **Sicherheitslücke** des Merkmals an. Die Herstellerdokumentation kann spezifische Anleitungen zur Problembehebung enthalten. Folgen Sie den entsprechenden Abhilfemaßnahmen anhand dieser allgemeinen Richtlinien:
Verwenden Sie Systems Manager Patch Manager, um Patches für Betriebssysteme und Anwendungen anzuwenden. Patch Manager unterstützt Sie bei der automatischen Auswahl und Bereitstellung von Betriebssystem- und Softwarepatches für große Gruppen von Instanzen. Wenn Sie Patch Manager nicht konfiguriert haben, aktualisieren Sie das Betriebssystem auf jeder betroffenen Instanz manuell.
Aktualisieren Sie die betroffenen Anwendungen gemäß den vom Hersteller empfohlenen Verfahren auf ihre neuesten sicheren Versionen. Um Anwendungsupdates über mehrere Instanzen hinweg zu verwalten, sollten Sie den Systems Manager State Manager verwenden, um Ihre Software in einem konsistenten Zustand zu halten. Wenn keine Updates verfügbar sind, sollten Sie erwägen, die anfällige Anwendung zu entfernen oder zu deaktivieren, bis ein Patch veröffentlicht wird, oder Sie sollten andere Abhilfemaßnahmen ergreifen, z. B. den Netzwerkzugriff auf die Anwendung einschränken oder anfällige Funktionen deaktivieren.
Folgen Sie den spezifischen Empfehlungen zur Problembehebung im Ergebnis von Amazon Inspector. Dies kann das Ändern von Sicherheitsgruppenregeln, das Ändern von Instance-Konfigurationen oder das Anpassen von Anwendungseinstellungen beinhalten.
Prüfen Sie, ob die Instance Teil der Auto Scaling Group ist. AMI-Ersatz-Patches werden auf unveränderlichen Infrastrukturen durchgeführt, indem die AMI-ID aktualisiert wird, die für die Bereitstellung neuer Amazon EC2 EC2-Instances in einer Auto Scaling Scaling-Gruppe konfiguriert ist. Wenn Sie ein custom/golden AMI verwenden, erstellen Sie eine Instance mit dem neuen AMI, passen Sie dann die Instance an und erstellen Sie ein neues goldenes AMI. Weitere Informationen finden Sie unter [Patching für AMI-Updates (Verwendung von Patched AMIs für Auto Scaling Scaling-Gruppen](https://docs.aws.amazon.com/managedservices/latest/userguide/patching-method-immutable.html)).
**Zukünftige Überlegungen**
Um future Vorkommnisse zu verhindern, sollten Sie die Implementierung eines Vulnerability Management-Programms in Betracht ziehen. Amazon Inspector kann so konfiguriert werden, dass automatisch nach CVEs Ihren Instances gesucht wird. Amazon Inspector kann für automatische Problembehebungen auch in Security Hub integriert werden. Erwägen Sie die Implementierung eines regelmäßigen Patch-Zeitplans mithilfe von Systems Manager Maintenance Windows, um Unterbrechungen Ihrer Instanzen so gering wie möglich zu halten.
### Die Amazon EC2 EC2-Instance weist Softwareschwachstellen auf
Softwarepakete, die auf Amazon EC2 EC2-Instances installiert sind, können Common Vulnerabilities and Exposures () CVEs ausgesetzt sein. Bei nicht kritischen Sicherheitslücken handelt es sich CVEs um Sicherheitslücken mit geringerem Schweregrad oder geringerer Ausnutzbarkeit als kritische. CVEs Diese Sicherheitslücken stellen zwar ein geringeres unmittelbares Risiko dar, aber Angreifer können diese ungepatchten Sicherheitslücken dennoch ausnutzen, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten zu gefährden oder auf andere Systeme zuzugreifen. Befolgt bewährte Sicherheitsmethoden und AWS empfiehlt, diese Sicherheitslücken zu patchen, um Ihre Instance vor Angriffen zu schützen.
**Aktualisieren Sie die betroffenen Instanzen**
Verwenden Sie AWS Systems Manager Patch Manager, um Patches für Betriebssysteme anzuwenden. Patch Manager unterstützt Sie bei der automatischen Auswahl und Bereitstellung von Betriebssystem- und Softwarepatches für große Gruppen von Instanzen. Wenn Sie Patch Manager nicht konfiguriert haben, aktualisieren Sie das Betriebssystem auf jeder betroffenen Instanz manuell.
Aktualisieren Sie die betroffenen Anwendungen gemäß den vom Hersteller empfohlenen Verfahren auf ihre neuesten sicheren Versionen. Um Anwendungsupdates über mehrere Instanzen hinweg zu verwalten, sollten Sie den AWS Systems Manager State Manager verwenden, um Ihre Software in einem konsistenten Zustand zu halten. Wenn keine Updates verfügbar sind, sollten Sie erwägen, die anfällige Anwendung zu entfernen oder zu deaktivieren, bis ein Patch veröffentlicht wird, oder Sie sollten andere Abhilfemaßnahmen ergreifen, z. B. den Netzwerkzugriff auf die Anwendung einschränken oder anfällige Funktionen deaktivieren.
Folgen Sie den spezifischen Empfehlungen zur Problembehebung im Ergebnis von Amazon Inspector. Dies kann das Ändern von Sicherheitsgruppenregeln, das Ändern von Instance-Konfigurationen oder das Anpassen der Anwendungseinstellungen beinhalten.
Prüfen Sie, ob die Instance Teil der Auto Scaling Group ist. AMI-Ersatz-Patches werden auf unveränderlichen Infrastrukturen durchgeführt, indem die AMI-ID aktualisiert wird, die für die Bereitstellung neuer Amazon EC2 EC2-Instances in einer Auto Scaling Scaling-Gruppe konfiguriert ist. Wenn Sie ein custom/golden AMI verwenden, erstellen Sie eine Instance mit dem neuen AMI, passen Sie dann die Instance an und erstellen Sie ein neues goldenes AMI. Weitere Informationen finden Sie unter [Patching für AMI-Updates (Verwendung von Patched AMIs für Auto Scaling Scaling-Gruppen](https://docs.aws.amazon.com/managedservices/latest/userguide/patching-method-immutable.html)).
**Zukünftige Überlegungen**
Um future Vorkommnisse zu verhindern, sollten Sie die Implementierung eines Vulnerability Management-Programms in Betracht ziehen. Amazon Inspector kann so konfiguriert werden, dass automatisch nach CVEs Ihren Instances gesucht wird. Amazon Inspector kann für automatische Problembehebungen auch in Security Hub integriert werden. Erwägen Sie die Implementierung eines regelmäßigen Patch-Zeitplans mithilfe von Systems Manager Maintenance Windows, um Unterbrechungen Ihrer Instanzen so gering wie möglich zu halten.
### Die EC2-Instance hat ein Betriebssystem End-Of-Life
Auf der EC2-Instance wird ein end-of-life Betriebssystem ausgeführt, das vom ursprünglichen Entwickler nicht mehr unterstützt oder verwaltet wird. Dadurch ist die Instance Sicherheitslücken und potenziellen Angriffen ausgesetzt. Wenn Betriebssysteme verfügbar sind end-of-life, stellen die Anbieter in der Regel die Veröffentlichung neuer Sicherheitsempfehlungen ein. Bestehende Sicherheitsempfehlungen können auch aus den Feeds der Anbieter entfernt werden. Infolgedessen könnte Amazon Inspector möglicherweise die Generierung von Ergebnissen für bekannte Daten einstellen CVEs, was zu weiteren Sicherheitslücken führen würde.
Informationen zu [Betriebssystemen](https://docs.aws.amazon.com/inspector/latest/user/supported.html#formerly-supported-os), deren Lebensdauer abgelaufen ist und die von *Amazon Inspector erkannt werden können, finden Sie im Amazon Inspector Inspector-Benutzerhandbuch* unter Nicht mehr erhältliche Betriebssysteme.
**Aktualisieren Sie auf eine unterstützte Betriebssystemversion**
Wir empfehlen, auf eine unterstützte Version des Betriebssystems zu aktualisieren. Öffnen Sie im Expositionsnachweis die Ressource, um auf die betroffene Ressource zuzugreifen. Bevor Sie die Betriebssystemversion auf Ihrer Instance aktualisieren, finden Sie [unter Unterstützte Betriebssysteme](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os) im *Amazon Inspector Inspector-Benutzerhandbuch* die verfügbaren Versionen. Dort finden Sie eine Liste der derzeit unterstützten Betriebssystemversionen.
### Die EC2-Instance enthält schädliche Softwarepakete
Bösartige Pakete sind Softwarekomponenten, die schädlichen Code enthalten, der die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Systeme und Daten gefährden soll. Bösartige Pakete stellen eine aktive und kritische Bedrohung für Ihre Instanz dar, da Angreifer bösartigen Code automatisch ausführen können, ohne eine Sicherheitslücke auszunutzen. Befolgt bewährte Sicherheitsmethoden und AWS empfiehlt, bösartige Pakete zu entfernen, um Ihre Instance vor potenziellen Angriffen zu schützen.
**Entfernen Sie bösartige Pakete**
Sehen Sie sich die Informationen zu den bösartigen Paketen im Abschnitt **Referenzen auf** der Registerkarte **Sicherheitslücke** der betreffenden Eigenschaft an, um die Bedrohung besser zu verstehen. Entfernen Sie die identifizierten bösartigen Pakete mit dem entsprechenden Paketmanager. Ein Beispiel finden Sie im *Amazon Linux 2023 User Guide* unter [Package Management Tool](https://docs.aws.amazon.com/linux/al2023/ug/package-management.html). Nachdem Sie die schädlichen Pakete entfernt haben, sollten Sie einen Scan durchführen, um sicherzustellen, dass alle Pakete, die möglicherweise durch den bösartigen Code installiert wurden, entfernt wurden. Weitere Informationen finden Sie unter [Starten des On-Demand-Malware-Scans GuardDuty in](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-getting-started-on-demand-scan.html) der**.
### Die EC2-Instance enthält schädliche Dateien
Bösartige Dateien enthalten schädlichen Code, der die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Systeme und Daten gefährden soll. Bösartige Dateien stellen eine aktive und kritische Bedrohung für Ihre Instanz dar, da Angreifer bösartigen Code automatisch ausführen können, ohne eine Sicherheitslücke auszunutzen. Befolgt bewährte Sicherheitsmethoden und AWS empfiehlt, schädliche Dateien zu entfernen, um Ihre Instance vor potenziellen Angriffen zu schützen.
**Entfernen Sie bösartige Dateien**
Informationen zur Identifizierung des spezifischen Amazon Elastic Block Store (Amazon EBS) -Volumes, das schädliche Dateien enthält, finden Sie im Abschnitt **Ressourcen** in den Funddetails des Merkmals. Sobald Sie das Volume mit der schädlichen Datei identifiziert haben, entfernen Sie die identifizierten schädlichen Dateien. Nachdem Sie die schädlichen Dateien entfernt haben, sollten Sie einen Scan durchführen, um sicherzustellen, dass alle Dateien, die möglicherweise durch die schädliche Datei installiert wurden, entfernt wurden. Weitere Informationen finden Sie unter [Starten des On-Demand-Malware-Scans GuardDuty in](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-getting-started-on-demand-scan.html) der**.
# Behebung von Risiken für Amazon ECS-Services
AWS Security Hub kann Risikopergebnisse für Amazon Elastic Container Service (Amazon ECS) -Services generieren.
Der Amazon ECS-Service, der an einer Expositionsfeststellung beteiligt war, und seine identifizierenden Informationen sind im Abschnitt **Ressourcen** der Ergebnisdetails aufgeführt. Sie können diese Ressourcendetails auf der Security Hub-Konsole oder programmgesteuert mithilfe der [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)Security Hub CSPM-API abrufen.
Nachdem Sie die Ressource identifiziert haben, die an einer Risikofeststellung beteiligt war, können Sie die Ressource löschen, falls Sie sie nicht benötigen. Durch das Löschen einer nicht benötigten Ressource können Sie Ihr Expositionsprofil und Ihre AWS Kosten reduzieren. Wenn es sich bei der Ressource um eine wichtige Ressource handelt, befolgen Sie diese empfohlenen Abhilfemaßnahmen, um das Risiko zu minimieren. Die Themen zur Problembehebung sind nach der Art des Merkmals unterteilt.
Ein einzelnes Problembehebungsergebnis umfasst Probleme, die in mehreren Problembehebungsthemen identifiziert wurden. Umgekehrt können Sie mit einem Problembehebungsproblem umgehen und dessen Schweregrad verringern, indem Sie sich mit nur einem Problembehebungsthema befassen. Ihr Ansatz zur Risikominderung hängt von den Anforderungen und der Arbeitsbelastung Ihres Unternehmens ab.
**Anmerkung**
Die in diesem Thema enthaltenen Hinweise zur Problembehebung erfordern möglicherweise zusätzliche Informationen in anderen Ressourcen. AWS
**Contents**
+ [Merkmale von Fehlkonfigurationen für Amazon ECS-Services](#ecs-service-misconfiguration)
+ [Der Amazon ECS-Service verwendet eine Aufgabendefinition, die Containern den Zugriff auf die Root-Dateisysteme ermöglicht.](#root-access-to-filesystem)
+ [Der Amazon ECS-Service verwendet eine Aufgabendefinition, die so konfiguriert ist, dass sie den Prozess-Namespace eines Hosts gemeinsam nutzt.](#exposed-namespace)
+ [Der Amazon ECS-Service verwendet eine Aufgabendefinition, die mit Klartext-Anmeldeinformationen in den Umgebungsvariablen konfiguriert ist](#cleartext-credentials-present)
+ [Der Amazon ECS-Service hat eine offene Sicherheitsgruppe](#open-security-group)
+ [Der Amazon ECS-Service hat öffentliche IP-Adressen](#public-ip-assigned)
+ [Der Amazon ECS-Service verwendet eine Aufgabendefinition, die mit aktiviertem Host-Netzwerkmodus konfiguriert ist](#host-networking-mode-enabled)
+ [Die mit dem Amazon ECS-Service verknüpfte IAM-Rolle hat eine administrative Zugriffsrichtlinie](#administrative-access-policy)
+ [Die mit dem ECS-Service verknüpfte IAM-Rolle hat eine Service-Admin-Richtlinie](#service-admin-policy)
+ [Merkmale der Sicherheitslücke für Amazon ECS-Services](#vulnerability)
+ [Der Amazon ECS-Service verfügt über einen Container mit Softwareschwachstellen, die im Netzwerk ausgenutzt werden können und bei denen die Wahrscheinlichkeit einer Ausnutzung hoch ist](#high-priority-vulnerability)
+ [Der Amazon ECS-Service hat einen Container mit Softwareschwachstellen](#low-priority-vulnerability)
+ [Der Amazon ECS-Service hat einen Container mit einem End-Of-Life Betriebssystem](#end-of-life-operating-system-detected)
+ [Der Amazon ECS-Service hat einen Container mit bösartigen Softwarepaketen](#malicious-package)
## Merkmale von Fehlkonfigurationen für Amazon ECS-Services
Im Folgenden finden Sie Merkmale von Fehlkonfigurationen für Amazon ECS-Services und empfohlene Schritte zur Behebung.
### Der Amazon ECS-Service verwendet eine Aufgabendefinition, die Containern den Zugriff auf die Root-Dateisysteme ermöglicht.
Amazon ECS-Container mit Zugriff auf das Host-Root-Dateisystem können potenziell kritische Dateien auf dem Hostsystem lesen, ändern oder ausführen. Diese Konfiguration erhöht das Risiko, dass ein kompromittierter Container für den Zugriff auf oder die Änderung von Ressourcen außerhalb des vorgesehenen Bereichs verwendet werden könnte, wodurch möglicherweise sensible Daten im Host-Dateisystem offengelegt werden. Gemäß den Standardsicherheitsprinzipien AWS empfiehlt es sich, geringste Rechte zu gewähren, d. h., dass Sie nur die Berechtigungen gewähren, die für die Ausführung einer Aufgabe erforderlich sind.
**Überprüfen und ändern Sie Container mit Zugriff auf das Host-Dateisystem**
Identifizieren Sie im Expositionsergebnis den ARN der Aufgabendefinition. Öffnen Sie die Aufgabendefinition in der Amazon ECS-Konsole. Suchen Sie in der Aufgabendefinition nach dem Abschnitt Volumes, der Host-Pfadzuordnungen definiert. Überprüfen Sie die Aufgabendefinition, um festzustellen, ob der Zugriff auf das Host-Dateisystem für die Container-Funktionalität erforderlich ist. Wenn kein Zugriff auf das Host-Dateisystem erforderlich ist, erstellen Sie eine neue Version der Aufgabendefinition und entfernen Sie alle Volume-Definitionen, die Hostpfade verwenden. Wenn Zugriff auf das Host-Dateisystem erforderlich ist, sollten Sie erwägen, den Container so zu konfigurieren, dass er ein schreibgeschütztes Dateisystem verwendet, um unbefugte Änderungen zu verhindern.
### Der Amazon ECS-Service verwendet eine Aufgabendefinition, die so konfiguriert ist, dass sie den Prozess-Namespace eines Hosts gemeinsam nutzt.
Amazon ECS-Container, die mit exponierten Namespaces ausgeführt werden, können potenziell auf Hostsystemressourcen und andere Container-Namespaces zugreifen. Diese Konfiguration könnte es einem kompromittierten Container ermöglichen, seine Isolationsgrenze zu umgehen, was dazu führen könnte, dass auf Prozesse, Netzwerkschnittstellen oder andere Ressourcen außerhalb des vorgesehenen Bereichs zugegriffen wird. Ein Prozess-ID-Namespace (PID) sorgt für die Trennung zwischen Prozessen. Er verhindert, dass Systemprozesse sichtbar sind, und PIDs ermöglicht deren Wiederverwendung, einschließlich PID 1. Wenn der PID-Namespace des Hosts gemeinsam mit Containern genutzt wird, könnten Container alle Prozesse auf dem Hostsystem sehen. Dies verringert den Vorteil der Isolierung auf Prozessebene zwischen dem Host und den Containern. Diese Faktoren könnten zu unberechtigtem Zugriff auf Prozesse auf dem Host selbst führen, einschließlich der Möglichkeit, diese zu manipulieren und zu beenden. Es wird AWS empfohlen, die Namespace-Isolierung von Containern unter Einhaltung der Standardsicherheitsprinzipien aufrechtzuerhalten.
**Aktualisieren Sie Aufgabendefinitionen mit offengelegten Namespaces**
Öffnen Sie die Registerkarte **Ressourcen** der Exposure und identifizieren Sie die Aufgabendefinition mit dem exponierten Namespace. Öffnen Sie die Aufgabendefinition in der Amazon ECS-Konsole. Suchen Sie nach den PIDMode-Einstellungen mit dem Wert host, die die Prozess-ID-Namespaces mit dem Host teilen würden. Entfernen Sie die Einstellungen pidMode: host aus Ihren Aufgabendefinitionen, um sicherzustellen, dass Container mit der richtigen Namespace-Isolierung ausgeführt werden.
### Der Amazon ECS-Service verwendet eine Aufgabendefinition, die mit Klartext-Anmeldeinformationen in den Umgebungsvariablen konfiguriert ist
Amazon ECS-Container mit Klartext-Anmeldeinformationen in Umgebungsvariablen geben vertrauliche Authentifizierungsinformationen preis, die gefährdet werden könnten, wenn ein Angreifer Zugriff auf die Aufgabendefinition, die Container-Umgebung oder die Container-Logs erhält. Dies stellt ein erhebliches Sicherheitsrisiko dar, da durchgesickerte Anmeldeinformationen für den Zugriff auf andere AWS Dienste oder Ressourcen verwendet werden könnten.
**Ersetzen Sie Klartext-Anmeldeinformationen**
Identifizieren Sie bei der Ermittlung der Sicherheitslücke die Aufgabendefinition durch Klartext-Anmeldeinformationen. Öffnen Sie die Aufgabendefinition in der Amazon ECS-Konsole. Suchen Sie in der Container-Definition nach Umgebungsvariablen, die sensible Werte wie AWS Zugriffsschlüssel, Datenbankkennwörter oder API-Token enthalten.
Erwägen Sie die folgenden Alternativen, um Anmeldeinformationen zu übergeben:
+ Anstatt AWS Zugriffsschlüssel zu verwenden, verwenden Sie IAM-Aufgabenausführungsrollen und Aufgabenrollen, um Ihren Containern Berechtigungen zu erteilen.
+ Speichern Sie Anmeldeinformationen als Geheimnisse in Ihrer Aufgabendefinition AWS Secrets Manager und verweisen Sie darauf.
**Aktualisieren der Aufgabendefinitionen**
Erstellen Sie eine neue Version Ihrer Aufgabendefinition, die Anmeldeinformationen sicher verarbeitet. Aktualisieren Sie dann Ihren Amazon ECS-Service, sodass er die neue Version der Aufgabendefinition verwendet.
### Der Amazon ECS-Service hat eine offene Sicherheitsgruppe
Sicherheitsgruppen dienen als virtuelle Firewalls für Ihre Amazon ECS-Aufgaben zur Steuerung des eingehenden und ausgehenden Datenverkehrs. Offene Sicherheitsgruppen, die uneingeschränkten Zugriff von jeder beliebigen IP-Adresse aus ermöglichen, können Ihre Container unberechtigtem Zugriff aussetzen und so das Risiko erhöhen, automatisierten Scan-Tools und gezielten Angriffen ausgesetzt zu werden. Es wird AWS empfohlen, den Zugriff von Sicherheitsgruppen auf bestimmte IP-Adressen und Ports zu beschränken.
**Überprüfen Sie die Sicherheitsgruppenregeln und bewerten Sie die aktuelle Konfiguration**
Öffnen Sie die Ressource für die Amazon ECS-Sicherheitsgruppe. Prüfen Sie, welche Ports offen und von weiten IP-Bereichen aus zugänglich sind, wie `(0.0.0.0/0 or ::/0)` z.
**Ändern Sie die Regeln für Sicherheitsgruppen**
Ändern Sie Ihre Sicherheitsgruppenregeln, um den Zugriff auf bestimmte vertrauenswürdige IP-Adressen oder Bereiche einzuschränken. Denken Sie bei der Aktualisierung Ihrer Sicherheitsgruppenregeln darüber nach, die Zugriffsanforderungen für verschiedene Netzwerksegmente zu trennen, indem Sie Regeln für jeden erforderlichen Quell-IP-Bereich erstellen oder den Zugriff auf bestimmte Ports einschränken.
**Ändern Sie die Regeln für Sicherheitsgruppen**
Ziehen Sie die folgenden Optionen für alternative Zugriffsmethoden in Betracht:
+ Session Manager bietet sicheren Shell-Zugriff auf Ihre Amazon EC2 EC2-Instances, ohne dass eingehende Ports erforderlich sind, SSH-Schlüssel verwaltet oder Bastion-Hosts verwaltet werden müssen.
+ NACLs bieten eine zusätzliche Sicherheitsebene auf Subnetzebene. Im Gegensatz zu Sicherheitsgruppen NACLs sind sie zustandslos und erfordern, dass sowohl eingehende als auch ausgehende Regeln explizit definiert werden.
### Der Amazon ECS-Service hat öffentliche IP-Adressen
Amazon ECS-Services mit öffentlichen IP-Adressen, die ihren Aufgaben zugewiesen sind, sind direkt über das Internet zugänglich. Dies kann zwar für Dienste erforderlich sein, die öffentlich verfügbar sein müssen, erhöht jedoch die Angriffsfläche und das Potenzial für unbefugten Zugriff.
**Identifizieren Sie Dienste mit öffentlichen IP-Adressen**
Identifizieren Sie in der Risikofeststellung den Amazon ECS-Service, dem öffentliche IP-Adressen für seine Aufgaben zugewiesen wurden. Suchen Sie in der Servicekonfiguration nach `ENABLED` der `assignPublicIp` Einstellung mit dem Wert von.
**Aktualisieren der Aufgabendefinitionen**
Erstellen Sie eine neue Version Ihrer Aufgabendefinition, die öffentliche IP-Adressen deaktiviert. Aktualisieren Sie dann Ihren Amazon ECS-Service, sodass er die neue Version der Aufgabendefinition verwendet.
**Implementieren Sie Zugriffsmuster für private Netzwerke**
Für Instances, auf denen Webanwendungen ausgeführt werden, sollten Sie die Verwendung eines Load Balancer (LB) in Betracht ziehen. LBs kann so konfiguriert werden, dass Ihre Instances in privaten Subnetzen ausgeführt werden können, während der LB in einem öffentlichen Subnetz läuft und den Internetverkehr abwickelt.
### Der Amazon ECS-Service verwendet eine Aufgabendefinition, die mit aktiviertem Host-Netzwerkmodus konfiguriert ist
Amazon ECS-Container, die im Host-Netzwerkmodus ausgeführt werden, teilen sich den Netzwerk-Namespace mit dem Host und ermöglichen so den direkten Zugriff auf die Netzwerkschnittstellen, Ports und Routing-Tabellen des Hosts. Diese Konfiguration umgeht die durch Container bereitgestellte Netzwerkisolierung, wodurch Dienste, die auf dem Container ausgeführt werden, möglicherweise direkt externen Netzwerken zugänglich gemacht werden und es Containern ermöglicht, die Netzwerkeinstellungen des Hosts zu ändern. Es wird AWS empfohlen, die Einhaltung der Standardsicherheitsprinzipien aufrechtzuerhalten, um Container ordnungsgemäß zu isolieren.
**Deaktivieren Sie den Host-Netzwerkmodus**
Identifizieren Sie in der Expositionsanalyse die Aufgabendefinition mit dem Host-Netzwerkmodus. Öffnen Sie die Aufgabendefinition in der Amazon ECS-Konsole. Suchen Sie in der Aufgabendefinition nach der Einstellung NetworkMode mit dem Wert host.
Ziehen Sie die folgenden Optionen in Betracht, um den Host-Netzwerkmodus zu deaktivieren:
+ Der `awsvpc` Netzwerkmodus bietet die stärkste Netzwerkisolierung, indem er jeder Aufgabe eine eigene elastic network interface gibt.
+ Der `bridge` Netzwerkmodus bietet Isolierung und ermöglicht gleichzeitig Port-Zuordnungen, um dem Host bestimmte Container-Ports zugänglich zu machen.
**Aktualisieren der Aufgabendefinitionen**
Erstellen Sie eine neue Version Ihrer Aufgabendefinition mit der aktualisierten Netzwerkmoduskonfiguration. Aktualisieren Sie dann Ihren Amazon ECS-Service, sodass er die neue Version der Aufgabendefinition verwendet.
### Die mit dem Amazon ECS-Service verknüpfte IAM-Rolle hat eine administrative Zugriffsrichtlinie
IAM-Rollen mit administrativen Zugriffsrichtlinien, die an Amazon ECS-Aufgaben angehängt sind, bieten umfassende Berechtigungen, die über das hinausgehen, was normalerweise für den Containerbetrieb erforderlich ist. Diese Konfiguration erhöht das Risiko, dass ein kompromittierter Container für den Zugriff auf oder die Änderung von Ressourcen in Ihrer AWS gesamten Umgebung verwendet werden könnte. Gemäß den Standardsicherheitsprinzipien AWS empfiehlt es sich, den Zugriff mit den geringsten Rechten zu implementieren, indem nur die Berechtigungen gewährt werden, die für die Ausführung einer Aufgabe erforderlich sind.
**Überprüfen und identifizieren Sie die Verwaltungsrichtlinien**
Identifizieren Sie in der **Ressourcen-ID** den Namen der IAM-Rolle. Gehen Sie zum IAM-Dashboard und wählen Sie die identifizierte Rolle aus. Überprüfen Sie die der IAM-Rolle zugeordnete Berechtigungsrichtlinie. Wenn es sich bei der Richtlinie um eine AWS verwaltete Richtlinie handelt, suchen `AdministratorAccess` Sie nach. Suchen Sie andernfalls im Richtliniendokument nach Aussagen, in denen die Aussagen `"Effect": "Allow", "Action": "*", and "Resource": "*"` zusammengefasst sind.
**Implementieren des Zugriffs mit geringsten Berechtigungen**
Ersetzen Sie Verwaltungsrichtlinien durch Richtlinien, die nur die spezifischen Berechtigungen gewähren, die für das Funktionieren der Instanz erforderlich sind. Um unnötige Berechtigungen zu identifizieren, können Sie IAM Access Analyzer verwenden, um zu verstehen, wie Sie Ihre Richtlinie auf der Grundlage des Zugriffsverlaufs ändern können. Alternativ können Sie eine neue IAM-Rolle erstellen, um zu vermeiden, dass andere Anwendungen, die die bestehende Rolle verwenden, beeinträchtigt werden. Erstellen Sie in diesem Szenario eine neue IAM-Rolle und ordnen Sie dann die neue IAM-Rolle der Instance zu.
**Überlegungen zur sicheren Konfiguration**
Wenn für die Instanz Administratorberechtigungen auf Service-Ebene erforderlich sind, sollten Sie die Implementierung dieser zusätzlichen Sicherheitskontrollen in Betracht ziehen, um das Risiko zu minimieren:
+ MFA fügt eine zusätzliche Sicherheitsebene hinzu, indem es eine zusätzliche Form der Authentifizierung erfordert. Dies hilft, unbefugten Zugriff zu verhindern, selbst wenn Anmeldeinformationen kompromittiert werden.
+ Durch die Einrichtung von Bedingungselementen können Sie anhand von Faktoren wie Quell-IP oder MFA-Alter einschränken, wann und wie Administratorberechtigungen verwendet werden können.
**Aktualisieren der Aufgabendefinitionen**
Erstellen Sie eine neue Version Ihrer Aufgabendefinition, die auf die neuen oder aktualisierten IAM-Rollen verweist. Aktualisieren Sie dann Ihren Amazon ECS-Service, sodass er die neue Version der Aufgabendefinition verwendet.
### Die mit dem ECS-Service verknüpfte IAM-Rolle hat eine Service-Admin-Richtlinie
Service-Administratorrichtlinien gewähren Amazon ECS-Aufgaben und -Services Berechtigungen zur Ausführung aller Aktionen innerhalb bestimmter AWS Services. Diese Richtlinien beinhalten in der Regel Berechtigungen, die für die Aufgabenfunktion von Amazon ECS erforderlich sind. Die Bereitstellung einer IAM-Rolle mit einer Service-Admin-Richtlinie für Amazon ECS-Aufgaben anstelle der erforderlichen Mindestberechtigungen kann den Umfang eines Angriffs erhöhen, wenn ein Container kompromittiert wird. Gemäß den Standardsicherheitsprinzipien wird AWS empfohlen, die geringsten Rechte zu gewähren, d. h., nur die für die Ausführung einer Aufgabe erforderlichen Berechtigungen zu gewähren.
**Überprüfen und identifizieren Sie die Verwaltungsrichtlinien**
Identifizieren Sie in der **Ressourcen-ID** die Namen der Amazon ECS-Aufgabenrollen und Ausführungsrollen. Gehen Sie zum [IAM-Dashboard](https://console.aws.amazon.com/iam/home/#roles) und wählen Sie die identifizierten Rollen aus. Überprüfen Sie die mit diesen IAM-Rollen verknüpften Berechtigungsrichtlinien. Suchen Sie nach Richtlinienerklärungen, die vollen Zugriff auf Dienste gewähren (z. B.`"s3": "*", "ecr": "*"`). *Anweisungen zur Bearbeitung von IAM-Richtlinien finden Sie im [IAM-Benutzerhandbuch unter IAM-Richtlinien bearbeiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-policy-details).*
**Implementieren des Zugriffs mit geringsten Berechtigungen**
Ersetzen Sie Service-Administratorrichtlinien durch solche, die nur die spezifischen Berechtigungen gewähren, die für das Funktionieren von Amazon ECS-Aufgaben erforderlich sind. Um unnötige Berechtigungen zu identifizieren, können Sie IAM Access Analyzer verwenden, um zu verstehen, wie Sie Ihre Richtlinie auf der Grundlage des Zugriffsverlaufs ändern können. Alternativ können Sie eine neue IAM-Rolle erstellen, um zu vermeiden, dass andere Anwendungen, die die bestehende Rolle verwenden, beeinträchtigt werden. Erstellen Sie in diesem Szenario eine neue IAM-Rolle und ordnen Sie dann die neue IAM-Rolle der Instance zu.
**Überlegungen zur sicheren Konfiguration**
Wenn für Amazon ECS-Aufgaben Administratorberechtigungen auf Service-Ebene erforderlich sind, sollten Sie die Implementierung dieser zusätzlichen Sicherheitskontrollen in Betracht ziehen:
+ **IAM-Bedingungen** — Richten Sie Bedingungselemente ein, um einzuschränken, wann und wie Administratorberechtigungen auf der Grundlage von Faktoren wie VPC-Endpunkten oder bestimmten Amazon ECS-Clustern verwendet werden können. *Weitere Informationen finden Sie im [IAM-Benutzerhandbuch unter Verwenden von Bedingungen in IAM-Richtlinien, um den Zugriff weiter einzuschränken](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions).*
+ **Berechtigungsgrenzen** — Legen Sie die maximale Anzahl an Berechtigungen fest, die eine Rolle haben kann, und geben Sie Rollen mit administrativem Zugriff Zugriff. Weitere Informationen finden Sie im [*IAM-Benutzerhandbuch* unter Verwenden von Rechtegrenzen, um die Berechtigungsverwaltung innerhalb eines Kontos zu delegieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-permissions-boundaries).
**Aktualisieren der Aufgabendefinitionen**
Erstellen Sie eine neue Version Ihrer Aufgabendefinition, die auf die neuen oder aktualisierten IAM-Rollen verweist. Aktualisieren Sie dann Ihren Amazon ECS-Service, sodass er die neue Version der Aufgabendefinition verwendet.
## Merkmale der Sicherheitslücke für Amazon ECS-Services
Im Folgenden finden Sie Merkmale der Sicherheitslücke für Amazon ECS und empfohlene Schritte zur Behebung.
### Der Amazon ECS-Service verfügt über einen Container mit Softwareschwachstellen, die im Netzwerk ausgenutzt werden können und bei denen die Wahrscheinlichkeit einer Ausnutzung hoch ist
1. **Machen Sie sich mit der Gefahr vertraut**
Package von Ergebnissen zu Sicherheitslücken in Paketen werden Softwarepakete in Ihrer AWS Umgebung identifiziert, die häufig auftretenden Sicherheitslücken und Risiken ausgesetzt sind (CVEs). Angreifer können diese ungepatchten Sicherheitslücken ausnutzen, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten zu gefährden oder auf andere Systeme zuzugreifen. ECR-Container-Images können Erkenntnisse über Sicherheitslücken in Paketen enthalten.
1. **Korrigieren Sie das Risiko**
1. **Paketversion aktualisieren**
Überprüfen Sie die Sicherheitslücke im Paket, die für Ihr ECR-Container-Image gefunden wurde. Aktualisieren Sie die Paketversion wie von Amazon Inspector vorgeschlagen. Weitere Informationen finden Sie unter [Anzeigen von Details zu Ihren Amazon Inspector Inspector-Ergebnissen](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-details.html) im *Amazon Inspector Inspector-Benutzerhandbuch*. Im Abschnitt **Problembehebung** der Suchdetails in der Amazon Inspector Inspector-Konsole erfahren Sie, welche Befehle Sie ausführen können, um das Paket zu aktualisieren.
1. **Aktualisieren Sie die Basis-Container-Images**
Erstellen und aktualisieren Sie regelmäßig die Basis-Container-Images, um Ihre Container auf dem neuesten Stand zu halten. Wenn Sie ein Image neu erstellen, sollten Sie keine unnötigen Komponenten einbeziehen, um die Angriffsfläche zu reduzieren. Anweisungen zur Neuerstellung eines Container-Images finden Sie unter Häufig [Ihre Images neu erstellen](https://docs.docker.com/build/building/best-practices/#rebuild-your-images-often).
### Der Amazon ECS-Service hat einen Container mit Softwareschwachstellen
Softwarepakete, die auf Amazon ECS-Containern installiert sind, können Common Vulnerabilities and Exposures (CVEs) ausgesetzt sein. Sicherheitslücken mit niedriger Priorität sind Sicherheitslücken mit geringerem Schweregrad oder geringerer Ausnutzbarkeit als Sicherheitslücken mit hoher Priorität. Diese Sicherheitslücken stellen zwar ein geringeres unmittelbares Risiko dar, aber Angreifer können diese ungepatchten Sicherheitslücken dennoch ausnutzen, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten zu gefährden oder auf andere Systeme zuzugreifen.
**Aktualisieren Sie die betroffenen Container-Images**
Sehen Sie sich den Abschnitt **Referenzen auf** der Registerkarte **Sicherheitslücke** des Merkmals an. Die Herstellerdokumentation kann spezifische Anleitungen zur Problembehebung enthalten.
Wenden Sie die entsprechenden Abhilfemaßnahmen an, indem Sie die folgenden allgemeinen Richtlinien befolgen:
+ Aktualisieren Sie Ihre Container-Images, um gepatchte Versionen der betroffenen Pakete zu verwenden.
+ Aktualisieren Sie die betroffenen Abhängigkeiten in Ihrer Anwendung auf die neuesten sicheren Versionen.
Nachdem Sie Ihr Container-Image aktualisiert haben, übertragen Sie es in Ihre Container-Registry und aktualisieren Sie Ihre Amazon ECS-Aufgabendefinition, um das neue Image zu verwenden.
**Überlegungen für die Zukunft**
Um den Sicherheitsstatus Ihrer Container-Images weiter zu verbessern, sollten Sie die Best Practices für Aufgaben und Containersicherheit von Amazon ECS befolgen. Amazon Inspector kann so konfiguriert werden, dass es automatisch CVEs nach Ihren Containern sucht. Amazon Inspector kann für automatische Problembehebungen auch in Security Hub integriert werden. Erwägen Sie die Implementierung eines regelmäßigen Patch-Zeitplans mithilfe von Systems Manager Maintenance Windows, um Unterbrechungen Ihrer Container so gering wie möglich zu halten.
### Der Amazon ECS-Service hat einen Container mit einem End-Of-Life Betriebssystem
Der Amazon ECS-Container basiert auf einem end-of-life Betriebssystem, das vom ursprünglichen Entwickler nicht mehr unterstützt oder verwaltet wird. Dadurch ist der Container Sicherheitslücken und potenziellen Angriffen ausgesetzt. Wenn Betriebssysteme verfügbar sind end-of-life, stellen die Anbieter in der Regel die Veröffentlichung neuer Sicherheitsempfehlungen ein. Bestehende Sicherheitsempfehlungen können auch aus den Feeds der Anbieter entfernt werden. Infolgedessen könnte Amazon Inspector möglicherweise die Generierung von Ergebnissen für bekannt gewordene Daten einstellen CVEs, was zu weiteren Sicherheitslücken führen würde.
Informationen zu [Betriebssystemen](https://docs.aws.amazon.com/inspector/latest/user/supported.html#formerly-supported-os), deren Lebensdauer abgelaufen ist und die von *Amazon Inspector erkannt werden können, finden Sie im Amazon Inspector Inspector-Benutzerhandbuch* unter Nicht mehr erhältliche Betriebssysteme.
**Aktualisieren Sie auf eine unterstützte Betriebssystemversion**
Wir empfehlen, auf eine unterstützte Version des Betriebssystems zu aktualisieren. Öffnen Sie im Expositionsnachweis die Ressource, um auf die betroffene Ressource zuzugreifen. Bevor Sie die Betriebssystemversion in Ihrem Container-Image aktualisieren, finden Sie [unter Unterstützte Betriebssysteme](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os) im *Amazon Inspector Inspector-Benutzerhandbuch* die verfügbaren Versionen. Dort finden Sie eine Liste der derzeit unterstützten Betriebssystemversionen. Nachdem Sie Ihr Container-Image aktualisiert haben, übertragen Sie es in Ihre Container-Registry und aktualisieren Sie Ihre Amazon ECS-Aufgabendefinition, um das neue Image zu verwenden.
### Der Amazon ECS-Service hat einen Container mit bösartigen Softwarepaketen
Bösartige Pakete sind Softwarekomponenten, die schädlichen Code enthalten, der die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Systeme und Daten gefährden soll. Bösartige Pakete stellen eine aktive und kritische Bedrohung für Ihre Amazon ECS-Container-Images dar, da Angreifer bösartigen Code automatisch ausführen können, ohne eine Sicherheitslücke auszunutzen. Gemäß den bewährten Sicherheitsmethoden AWS empfiehlt es, bösartige Pakete zu entfernen, um Ihre Container vor potenziellen Angriffen zu schützen.
**Entfernen Sie bösartige Pakete**
Sehen Sie sich die Informationen zu den bösartigen Paketen im Abschnitt **Referenzen auf** der Registerkarte **Sicherheitslücke** des jeweiligen Merkmals an, um sich über die Bedrohung zu informieren. Entfernen Sie die identifizierten bösartigen Pakete aus Ihren Container-Images und erstellen Sie sie anschließend neu. Weitere Informationen finden Sie unter [ContainerDependency](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_ContainerDependency.html) in der *AWS Amazon-ECS-API-Referenz*. Nachdem Sie Ihr Container-Image aktualisiert haben, übertragen Sie es in Ihre Container-Registry und aktualisieren Sie Ihre Amazon ECS-Aufgabendefinition, um das neue Image zu verwenden. Weitere Informationen finden Sie unter [Aktualisieren einer Amazon ECS-Aufgabendefinition mithilfe der Konsole](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) im *AWS Amazon ECS-Entwicklerhandbuch*.
# Behebung von Risiken für Amazon EKS-Cluster
AWS Security Hub kann Risikopergebnisse für Amazon Elastic Kubernetes Service (Amazon EKS) -Cluster generieren.
Der Amazon EKS-Cluster, der an einer Risikofeststellung beteiligt war, und seine identifizierenden Informationen sind im Abschnitt **Ressourcen** der Ergebnisdetails aufgeführt. Sie können diese Ressourcendetails auf der Security Hub-Konsole oder programmgesteuert mithilfe der [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)Security Hub CSPM-API abrufen.
Nachdem Sie die Ressource identifiziert haben, die an einer Risikofeststellung beteiligt war, können Sie die Ressource löschen, falls Sie sie nicht benötigen. Durch das Löschen einer nicht benötigten Ressource können Sie Ihr Expositionsprofil und Ihre AWS Kosten reduzieren. Wenn es sich bei der Ressource um eine wichtige Ressource handelt, befolgen Sie diese empfohlenen Abhilfemaßnahmen, um das Risiko zu minimieren. Die Themen zur Problembehebung sind nach der Art des Merkmals unterteilt.
Ein einziger Risikobefund umfasst Probleme, die in mehreren Problembehebungsthemen identifiziert wurden. Umgekehrt können Sie mit einem Problembehebungsproblem umgehen und dessen Schweregrad verringern, indem Sie sich mit nur einem Problembehebungsthema befassen. Ihr Ansatz zur Risikominderung hängt von den Anforderungen und der Arbeitsbelastung Ihres Unternehmens ab.
**Anmerkung**
Die in diesem Thema enthaltenen Hinweise zur Problembehebung erfordern möglicherweise zusätzliche Informationen in anderen Ressourcen. AWS
**Contents**
+ [Fehlkonfigurationsmerkmale für Amazon EKS-Cluster](#eks-cluster-misconfiguration)
+ [Der Amazon EKS-Cluster ermöglicht öffentlichen Zugriff](#internet-reachable)
+ [Der Amazon EKS-Cluster verwendet eine nicht unterstützte Kubernetes-Version](#unsupported-kubernetes-version)
+ [Der Amazon EKS-Cluster verwendet unverschlüsselte Kubernetes-Geheimnisse.](#unencrypted-kubernetes-secrets)
+ [Merkmale der Sicherheitslücke für Amazon EKS-Cluster](#vulnerability)
+ [Der Amazon EKS-Cluster verfügt über einen Container mit Softwareschwachstellen, die über das Netzwerk ausgenutzt werden können und deren Ausnutzung sehr wahrscheinlich ist.](#high-priority-vulnerability)
+ [Der Amazon EKS-Cluster hat einen Container mit Softwareschwachstellen](#low-priority-vulnerability)
+ [Der Amazon EKS-Cluster hat einen Container mit einem End-Of-Life Betriebssystem](#end-of-life-operating-system-detected)
+ [Der Amazon EKS-Cluster hat einen Container mit bösartigen Softwarepaketen](#malicious-package)
+ [Der EKS-Cluster enthält schädliche Dateien](#malicious-file)
## Fehlkonfigurationsmerkmale für Amazon EKS-Cluster
Im Folgenden finden Sie Merkmale von Fehlkonfigurationen für Amazon EKS-Cluster und empfohlene Schritte zur Behebung.
### Der Amazon EKS-Cluster ermöglicht öffentlichen Zugriff
Der Amazon EKS-Cluster-Endpunkt ist der Endpunkt, den Sie für die Kommunikation mit dem Kubernetes-API-Server Ihres Clusters verwenden. Standardmäßig ist dieser Endpunkt im Internet öffentlich zugänglich. Öffentliche Endpunkte erhöhen Ihre Angriffsfläche und erhöhen das Risiko eines unbefugten Zugriffs auf Ihren Kubernetes-API-Server, sodass Angreifer möglicherweise auf Cluster-Ressourcen zugreifen oder diese ändern oder auf sensible Daten zugreifen können. Gemäß den bewährten Sicherheitsmethoden AWS empfiehlt es sich, den Zugriff auf Ihren EKS-Cluster-Endpunkt auf die erforderlichen IP-Bereiche zu beschränken.
**Ändern Sie den Endpunktzugriff**
Öffnen Sie im Expositionsnachweis die Ressource. Dadurch wird der betroffene Amazon EKS-Cluster geöffnet. Sie können Ihren Cluster so konfigurieren, dass er privaten Zugriff, öffentlichen Zugriff oder beides verwendet. Bei privatem Zugriff verwenden Kubernetes-API-Anfragen, die ihren Ursprung in der VPC Ihres Clusters haben, den privaten VPC-Endpunkt. Beim öffentlichen Zugriff verwenden Kubernetes-API-Anfragen, die von außerhalb der VPC Ihres Clusters stammen, den öffentlichen Endpunkt.
**Ändern oder entfernen Sie den öffentlichen Zugriff auf den Cluster**
Informationen zum Ändern des Endpunktzugriffs für einen vorhandenen Cluster finden Sie unter [Ändern des Cluster-Endpunktzugriffs](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access) im *Amazon Elastic Kubernetes Service Service-Benutzerhandbuch*. Implementieren Sie restriktivere Regeln, die auf bestimmten IP-Bereichen oder Sicherheitsgruppen basieren. Wenn ein eingeschränkter öffentlicher Zugriff erforderlich ist, beschränken Sie den Zugriff auf bestimmte CIDR-Blockbereiche oder verwenden Sie Präfixlisten.
### Der Amazon EKS-Cluster verwendet eine nicht unterstützte Kubernetes-Version
Amazon EKS unterstützt jede Kubernetes-Version für einen begrenzten Zeitraum. Das Ausführen von Clustern mit nicht unterstützten Kubernetes-Versionen kann Ihre Umgebung Sicherheitslücken aussetzen, da CVE-Patches nicht mehr für veraltete Versionen veröffentlicht werden. Nicht unterstützte Versionen können bekannte Sicherheitslücken enthalten, die von Angreifern ausgenutzt werden können, und es fehlen Sicherheitsfunktionen, die möglicherweise in neueren Versionen verfügbar sind. Es wird AWS empfohlen, Ihre Kubernetes-Version stets auf dem neuesten Stand zu halten.
**Kubernetes-Version aktualisieren**
Öffnen Sie in der Risikoprüfung die Ressource. Dadurch wird der betroffene Amazon EKS-Cluster geöffnet. Bevor Sie Ihren Cluster aktualisieren, finden Sie [unter Verfügbare Versionen mit Standardunterstützung](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation) im *Amazon Elastic Kubernetes Service User Guide* eine Liste der aktuell unterstützten Kubernetes-Versionen.
### Der Amazon EKS-Cluster verwendet unverschlüsselte Kubernetes-Geheimnisse.
Kubernetes-Geheimnisse werden standardmäßig unverschlüsselt im dem API-Server zugrunde liegenden Datenspeicher (etcd) gespeichert. Jeder mit API-Zugriff oder Zugriff auf etcd kann ein Geheimnis abrufen oder ändern. Um dies zu verhindern, sollten Sie ruhende Kubernetes-Geheimnisse verschlüsseln. Wenn Kubernetes Secrets unverschlüsselt sind, sind sie anfällig für unbefugten Zugriff, falls etcd kompromittiert wird. Da Secrets häufig sensible Informationen wie Passwörter und API-Token enthalten, kann ihre Offenlegung zu unberechtigtem Zugriff auf andere Anwendungen und Daten führen. Es wird AWS empfohlen, alle vertraulichen Informationen, die in Kubernetes-Geheimnissen gespeichert sind, zu verschlüsseln.
**Verschlüsseln Sie Kubernetes-Geheimnisse**
Amazon EKS unterstützt die Verschlüsselung von Kubernetes-Geheimnissen mithilfe von KMS-Schlüsseln durch Envelope-Verschlüsselung. *Informationen zum Aktivieren der Verschlüsselung von Kubernetes-Geheimnissen für Ihren EKS-Cluster finden Sie unter [Verschlüsseln von Kubernetes-Geheimnissen mit KMS auf vorhandenen Clustern](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html) im Amazon EKS-Benutzerhandbuch.*
## Merkmale der Sicherheitslücke für Amazon EKS-Cluster
Hier sind die Schwachstellenmerkmale für Amazon EKS-Cluster.
### Der Amazon EKS-Cluster verfügt über einen Container mit Softwareschwachstellen, die über das Netzwerk ausgenutzt werden können und deren Ausnutzung sehr wahrscheinlich ist.
Softwarepakete, die auf EKS-Clustern installiert sind, können häufig auftretenden Sicherheitslücken () ausgesetzt sein. CVEs Kritische CVEs Geräte stellen erhebliche Sicherheitsrisiken für Ihre AWS Umgebung dar. Unbefugte Benutzer können diese ungepatchten Sicherheitslücken ausnutzen, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten zu gefährden oder auf andere Systeme zuzugreifen. Kritische Sicherheitslücken mit hoher Wahrscheinlichkeit stellen unmittelbare Sicherheitsbedrohungen dar, da Exploit-Code möglicherweise bereits öffentlich verfügbar ist und von Angreifern oder automatisierten Scan-Tools aktiv genutzt wird. Befolgt bewährte Sicherheitsmethoden und AWS empfiehlt, diese Sicherheitslücken zu patchen, um Ihre Instance vor Angriffen zu schützen.
**Aktualisieren Sie die betroffenen Instanzen**
Aktualisieren Sie Ihre Container-Images auf neuere Versionen, die Sicherheitsupdates für die identifizierten Sicherheitslücken enthalten. Dies beinhaltet in der Regel die Neuerstellung Ihrer Container-Images mit aktualisierten Basis-Images oder Abhängigkeiten und die anschließende Bereitstellung der neuen Images in Ihrem Amazon EKS-Cluster.
### Der Amazon EKS-Cluster hat einen Container mit Softwareschwachstellen
Softwarepakete, die auf Amazon EKS-Clustern installiert sind, können Common Vulnerabilities and Exposures (CVEs) ausgesetzt sein. Bei nicht kritischen Sicherheitslücken CVEs handelt es sich um Sicherheitslücken mit geringerem Schweregrad oder geringerer Ausnutzbarkeit als kritische. CVEs Diese Sicherheitslücken stellen zwar ein geringeres unmittelbares Risiko dar, aber Angreifer können diese ungepatchten Sicherheitslücken dennoch ausnutzen, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten zu gefährden oder auf andere Systeme zuzugreifen. Befolgt bewährte Sicherheitsmethoden und AWS empfiehlt, diese Sicherheitslücken zu patchen, um Ihre Instance vor Angriffen zu schützen.
**Aktualisieren Sie die betroffenen Instanzen**
Aktualisieren Sie Ihre Container-Images auf neuere Versionen, die Sicherheitsupdates für die identifizierten Sicherheitslücken enthalten. Dies beinhaltet in der Regel die Neuerstellung Ihrer Container-Images mit aktualisierten Basis-Images oder Abhängigkeiten und die anschließende Bereitstellung der neuen Images in Ihrem Amazon EKS-Cluster.
### Der Amazon EKS-Cluster hat einen Container mit einem End-Of-Life Betriebssystem
Das Amazon EKS-Container-Image basiert auf einem end-of-life Betriebssystem, das vom ursprünglichen Entwickler nicht mehr unterstützt oder verwaltet wird. Dadurch ist der Container Sicherheitslücken und potenziellen Angriffen ausgesetzt. Wenn Betriebssysteme verfügbar sind end-of-life, stellen die Anbieter in der Regel die Veröffentlichung neuer Sicherheitsempfehlungen ein. Bestehende Sicherheitsempfehlungen können auch aus den Feeds der Anbieter entfernt werden. Infolgedessen könnte Amazon Inspector möglicherweise die Generierung von Ergebnissen für bekannte Daten einstellen CVEs, was zu weiteren Sicherheitslücken führen würde.
Informationen zu [Betriebssystemen](https://docs.aws.amazon.com/inspector/latest/user/supported.html#formerly-supported-os), deren Lebensdauer abgelaufen ist und die von *Amazon Inspector erkannt werden können, finden Sie im Amazon Inspector Inspector-Benutzerhandbuch* unter Nicht mehr erhältliche Betriebssysteme.
**Aktualisieren Sie auf eine unterstützte Betriebssystemversion**
Wir empfehlen, auf eine unterstützte Version des Betriebssystems zu aktualisieren. Öffnen Sie im Expositionsnachweis die Ressource, um auf die betroffene Ressource zuzugreifen. Bevor Sie die Betriebssystemversion in Ihrem Container-Image aktualisieren, finden Sie [unter Unterstützte Betriebssysteme](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os) im *Amazon Inspector Inspector-Benutzerhandbuch* die verfügbaren Versionen. Dort finden Sie eine Liste der derzeit unterstützten Betriebssystemversionen. Nachdem Sie Ihr Container-Image aktualisiert haben, erstellen Sie Ihre Container neu und stellen Sie sie erneut im Amazon EKS-Cluster bereit.
### Der Amazon EKS-Cluster hat einen Container mit bösartigen Softwarepaketen
Bösartige Pakete sind Softwarekomponenten, die schädlichen Code enthalten, der die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Systeme und Daten gefährden soll. Bösartige Pakete stellen eine aktive und kritische Bedrohung für Ihren Amazon EKS-Cluster dar, da Angreifer bösartigen Code automatisch ausführen können, ohne eine Sicherheitslücke auszunutzen. Befolgt bewährte Sicherheitsmethoden und AWS empfiehlt, bösartige Pakete zu entfernen, um Ihren Cluster vor potenziellen Angriffen zu schützen.
**Entfernen Sie bösartige Pakete**
Sehen Sie sich die Informationen zu den bösartigen Paketen im Abschnitt **Referenzen auf** der Registerkarte **Sicherheitslücke** der betreffenden Eigenschaft an, um die Bedrohung zu verstehen. Entfernen Sie die identifizierten bösartigen Pakete aus Ihren Container-Images. Löschen Sie anschließend die Pods mit dem kompromittierten Image. Aktualisieren Sie Ihre Kubernetes-Bereitstellungen, um die aktualisierten Container-Images zu verwenden. Stellen Sie dann Ihre Änderungen bereit und stellen Sie Ihre Pods erneut bereit.
### Der EKS-Cluster enthält schädliche Dateien
Bösartige Dateien enthalten schädlichen Code, der die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Systeme und Daten gefährden soll. Bösartige Dateien stellen eine aktive und kritische Bedrohung für Ihren Cluster dar, da Angreifer bösartigen Code automatisch ausführen können, ohne eine Sicherheitslücke auszunutzen. Gemäß den bewährten Sicherheitsmethoden AWS empfiehlt es, schädliche Dateien zu entfernen, um Ihren Cluster vor potenziellen Angriffen zu schützen.
**Entfernen Sie bösartige Dateien**
Informationen zur Identifizierung des spezifischen Amazon Elastic Block Store (Amazon EBS) -Volumes, das schädliche Dateien enthält, finden Sie im Abschnitt **Ressourcen** in den Funddetails des Merkmals. Sobald Sie das Volume mit der schädlichen Datei identifiziert haben, entfernen Sie die identifizierten schädlichen Dateien. Nachdem Sie die schädlichen Dateien entfernt haben, sollten Sie einen Scan durchführen, um sicherzustellen, dass alle Dateien, die möglicherweise durch die schädliche Datei installiert wurden, entfernt wurden. Weitere Informationen finden Sie unter [Starten des On-Demand-Malware-Scans GuardDuty in](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-getting-started-on-demand-scan.html) der**.
# Behebung von Risiken für IAM-Benutzer
AWS Security Hub kann Ergebnisse zur Gefährdung von AWS Identity and Access Management (IAM) -Benutzern generieren.
Auf der Security Hub Hub-Konsole werden der IAM-Benutzer, der an einer Risikofeststellung beteiligt war, und seine identifizierenden Informationen im Abschnitt **Ressourcen** der Ergebnisdetails aufgeführt. Programmgesteuert können Sie Ressourcendetails mithilfe der [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)Security Hub CSPM-API abrufen.
Nachdem Sie die Ressource identifiziert haben, die an einer Risikofeststellung beteiligt war, können Sie die Ressource löschen, falls Sie sie nicht benötigen. Durch das Löschen einer nicht benötigten Ressource können Sie Ihr Expositionsprofil und Ihre AWS Kosten reduzieren. Wenn es sich bei der Ressource um eine wichtige Ressource handelt, befolgen Sie diese empfohlenen Abhilfemaßnahmen, um das Risiko zu minimieren. Die Themen zur Problembehebung sind nach der Art des Merkmals unterteilt.
Ein einzelnes Problembehebungsergebnis umfasst Probleme, die in mehreren Problembehebungsthemen identifiziert wurden. Umgekehrt können Sie mit einem Problembehebungsproblem umgehen und dessen Schweregrad verringern, indem Sie sich mit nur einem Problembehebungsthema befassen. Ihr Ansatz zur Risikominderung hängt von den Anforderungen und der Arbeitsbelastung Ihres Unternehmens ab.
**Anmerkung**
Die in diesem Thema enthaltenen Hinweise zur Problembehebung erfordern möglicherweise zusätzliche Informationen in anderen Ressourcen. AWS
Bewährte IAM-Methoden empfehlen, IAM-Rollen zu erstellen oder einen Verbund mit einem Identitätsanbieter für den Zugriff mit temporären Anmeldeinformationen zu AWS verwenden, anstatt einzelne IAM-Benutzer zu erstellen. Wenn dies für Ihre Organisation und Ihren Anwendungsfall eine Option ist, empfehlen wir, statt IAM-Benutzer zu verwenden, zu Rollen oder einem Verbund zu wechseln. Weitere Informationen finden Sie unter [IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) im *IAM-Benutzerhandbuch*.
**Contents**
+ [Merkmale von Fehlkonfigurationen für IAM-Benutzer](#iam-user-misconfiguration)
+ [Der IAM-Benutzer hat eine Richtlinie mit Administratorzugriff](#administrative-access-policy)
+ [Der IAM-Benutzer hat MFA nicht aktiviert](#user-mfa-disabled)
+ [Der IAM-Benutzer verfügt über eine Richtlinie mit Administratorzugriff auf AWS-Service](#service-admin-policy)
+ [Das AWS Konto für den IAM-Benutzer hat schwache Passwortrichtlinien](#weak-password-policies)
+ [Der IAM-Benutzer hat unbenutzte Anmeldeinformationen](#unused-credentials)
+ [Der IAM-Benutzer hat ungerichtete Zugriffsschlüssel](#unrotated-access-keys)
+ [Der IAM-Benutzer verfügt über eine Richtlinie, die uneingeschränkten Zugriff auf die Entschlüsselung von KMS-Schlüsseln ermöglicht](#unrestricted-kms-decryption-allowed)
## Merkmale von Fehlkonfigurationen für IAM-Benutzer
Im Folgenden finden Sie Merkmale von Fehlkonfigurationen für IAM-Benutzer und empfohlene Schritte zur Behebung.
### Der IAM-Benutzer hat eine Richtlinie mit Administratorzugriff
IAM-Richtlinien gewähren IAM-Benutzern eine Reihe von Rechten beim Zugriff auf Ressourcen. Verwaltungsrichtlinien gewähren IAM-Benutzern umfassende Berechtigungen für AWS Dienste und Ressourcen. Die Bereitstellung vollständiger Administratorrechte anstelle der Mindestberechtigungen, die der Benutzer benötigt, kann das Ausmaß eines Angriffs erhöhen, wenn Anmeldeinformationen kompromittiert werden. Gemäß den Standardsicherheitsprinzipien AWS empfiehlt es sich, die geringsten Rechte zu gewähren, d. h., dass Sie nur die Berechtigungen gewähren, die für die Ausführung einer Aufgabe erforderlich sind.
1. **Überprüfen und identifizieren Sie die Verwaltungsrichtlinien** — Geben Sie in der **Ressourcen-ID** den Namen der IAM-Rolle an. Gehen Sie zum IAM-Dashboard und wählen Sie die identifizierte Rolle aus. Überprüfen Sie die dem IAM-Benutzer zugeordnete Berechtigungsrichtlinie. Wenn es sich bei der Richtlinie um eine AWS verwaltete Richtlinie handelt, suchen Sie nach `AdministratorAccess` oder`IAMFullAccess`. Andernfalls suchen Sie im Richtliniendokument nach Aussagen, in denen die Aussagen `"Effect":` `"Allow"` mit `"Action": "*"` über stehen`"Resource": "*"`.
1. **Implementieren Sie den geringsten Zugriff** — Ersetzen Sie die Verwaltungsrichtlinien für Dienste durch solche, die nur die spezifischen Berechtigungen gewähren, die der Benutzer benötigt, um zu funktionieren. *Weitere Informationen zu bewährten Sicherheitsmethoden für IAM-Richtlinien finden Sie im Benutzerhandbuch unter [Anwenden von Berechtigungen mit](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) den geringsten Rechten.AWS Identity and Access Management * Um unnötige Berechtigungen zu identifizieren, können Sie den IAM Access Analyzer verwenden, um zu verstehen, wie Sie Ihre Richtlinie auf der Grundlage des Zugriffsverlaufs ändern können. Weitere Informationen finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [Ergebnisse für externen und ungenutzten Zugriff](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html).
1. **Überlegungen zur sicheren Konfiguration** — Wenn Dienstadministratorrechte für die Instanz erforderlich sind, sollten Sie die Implementierung dieser zusätzlichen Sicherheitskontrollen in Betracht ziehen, um das Risiko zu minimieren:
+ **Multi-Faktor-Authentifizierung (MFA)** — MFA fügt eine zusätzliche Sicherheitsebene hinzu, da eine zusätzliche Form der Authentifizierung erforderlich ist. Dies hilft, unbefugten Zugriff zu verhindern, selbst wenn Anmeldeinformationen kompromittiert werden. Weitere Informationen finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [Multi-Faktor-Authentifizierung (MFA) erforderlich](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users).
+ **IAM-Bedingungen** — Durch die Einrichtung von Bedingungselementen können Sie anhand von Faktoren wie Quell-IP oder MFA-Alter einschränken, wann und wie Administratorberechtigungen verwendet werden können. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Verwenden von Bedingungen in IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions), um den Zugriff weiter einzuschränken.AWS Identity and Access Management *
+ **Berechtigungsgrenzen** — Berechtigungsgrenzen legen die maximale Anzahl von Berechtigungen fest, die eine Rolle haben kann, und bieten so Richtlinien für Rollen mit Administratorzugriff. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Verwenden von Berechtigungsgrenzen, um die Rechteverwaltung innerhalb eines Kontos zu delegieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-permissions-boundaries).AWS Identity and Access Management *
### Der IAM-Benutzer hat MFA nicht aktiviert
Multi-Factor Authentication (MFA) bietet eine weitere Schutzebene zusätzlich zum Benutzernamen und Passwort. Wenn MFA aktiviert ist und sich ein IAM-Benutzer auf einer AWS Website anmeldet, wird er aufgefordert, seinen Benutzernamen, sein Passwort und einen Authentifizierungscode von seinem AWS MFA-Gerät einzugeben. Der authentifizierende Prinzipal muss über ein Gerät verfügen, das einen zeitkritischen Schlüssel ausgibt und Kenntnisse über Anmeldeinformationen haben muss. Ohne MFA erhält ein Angreifer vollen Zugriff auf die Benutzerberechtigungen, wenn das Passwort eines Benutzers AWS kompromittiert wird. Gemäß den Standardsicherheitsprinzipien wird AWS empfohlen, MFA für alle Konten und Benutzer zu aktivieren, die AWS-Managementkonsole Zugriff haben.
**Überprüfen Sie die MFA-Typen**
AWS unterstützt die folgenden [MFA-Typen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html#id_credentials_mfa-types):
+ Passkeys und Sicherheitsschlüssel
+ Anwendungen für virtuelle Authentifikatoren
+ Hardware-TOTP-Token
Obwohl die Authentifizierung mit einem physischen Gerät in der Regel einen strengeren Sicherheitsschutz bietet, ist die Verwendung einer beliebigen Art von MFA sicherer als die Deaktivierung von MFA.
**MFA aktivieren**
Informationen zur Aktivierung des MFA-Typs, der Ihren Anforderungen entspricht, finden Sie unter [AWS Multi-Faktor-Authentifizierung in IAM im *IAM-Benutzerhandbuch*](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html). Folgen Sie den Schritten für den spezifischen MFA-Typ, den Sie implementieren möchten. Für Organisationen, die viele Benutzer verwalten, möchten Sie möglicherweise die Verwendung von MFA erzwingen, indem Sie verlangen, dass MFA auf sensible Ressourcen zugreift.
### Der IAM-Benutzer verfügt über eine Richtlinie mit Administratorzugriff auf AWS-Service
Die Richtlinien für Dienstadministratoren gewähren IAM-Benutzern die Berechtigung, alle Aktionen innerhalb eines bestimmten AWS Dienstes auszuführen. Diese Richtlinien beinhalten in der Regel Berechtigungen, die Benutzer nicht benötigen, um ihre Aufgaben auszuführen. Wenn einem IAM-Benutzer Dienstadministratorrechte anstelle der erforderlichen Mindestberechtigungen zur Verfügung gestellt werden, erhöht sich das Ausmaß eines Angriffs, wenn Anmeldeinformationen kompromittiert werden. Gemäß den Standardsicherheitsprinzipien AWS empfiehlt es sich, die geringsten Rechte zu gewähren, d. h., dass Sie nur die Berechtigungen gewähren, die für die Ausführung einer Aufgabe erforderlich sind.
**Überprüfen und identifizieren Sie die Richtlinien für Dienstadministratoren**
Identifizieren Sie in der **Ressourcen-ID** den Namen der IAM-Rolle. Gehen Sie zum IAM-Dashboard und wählen Sie die identifizierte Rolle aus. Überprüfen Sie die dem IAM-Benutzer zugeordnete Berechtigungsrichtlinie. Wenn es sich bei der Richtlinie um eine von AWS verwaltete Richtlinie handelt, suchen Sie nach `AdministratorAccess` oder`IAMFullAccess`. Andernfalls suchen Sie im Richtliniendokument nach Aussagen, die die Aussagen "enthalten`Effect": "Allow" with "Action": "*" over "Resource": "*"`.
**Implementieren des Zugriffs mit geringsten Berechtigungen**
Ersetzen Sie die Verwaltungsrichtlinien für Dienste durch solche, die nur die spezifischen Berechtigungen gewähren, die für die Funktion des Benutzers erforderlich sind. Um unnötige Berechtigungen zu identifizieren, können Sie den IAM Access Analyzer verwenden, um zu verstehen, wie Sie Ihre Richtlinie auf der Grundlage des Zugriffsverlaufs ändern können.
**Überlegungen zur sicheren Konfiguration**
Wenn für die Instanz Administratorberechtigungen des Dienstes erforderlich sind, sollten Sie die Implementierung dieser zusätzlichen Sicherheitskontrollen in Betracht ziehen, um das Risiko zu verringern:
+ MFA fügt eine zusätzliche Sicherheitsebene hinzu, indem es eine zusätzliche Form der Authentifizierung erfordert. Dies hilft, unbefugten Zugriff zu verhindern, selbst wenn Anmeldeinformationen kompromittiert werden.
+ Verwenden Sie Bedingungselemente, um anhand von Faktoren wie Quell-IP oder MFA-Alter einzuschränken, wann und wie Administratorberechtigungen verwendet werden können.
+ Verwenden Sie Berechtigungsgrenzen, um die maximale Anzahl an Berechtigungen festzulegen, die eine Rolle haben kann, und geben Sie so Richtlinien für Rollen mit Administratorzugriff.
### Das AWS Konto für den IAM-Benutzer hat schwache Passwortrichtlinien
Passwortrichtlinien tragen zum Schutz vor unbefugtem Zugriff bei, indem sie Mindestanforderungen an die Komplexität von IAM-Benutzerkennwörtern durchsetzen. Ohne strenge Passwortrichtlinien besteht ein erhöhtes Risiko, dass Benutzerkonten durch das Erraten von Passwörtern oder Brute-Force-Angriffe gefährdet werden könnten. Gemäß den üblichen Sicherheitsprinzipien AWS empfiehlt es, eine sichere Passwortrichtlinie zu implementieren, um sicherzustellen, dass Benutzer komplexe Passwörter erstellen, die schwer zu erraten sind.
**Konfigurieren Sie eine sichere Kennwortrichtlinie**
Gehen Sie zum IAM-Dashboard und navigieren Sie zu den Kontoeinstellungen. Prüfen Sie die aktuellen Passwortrichtlinien für Ihr Konto, einschließlich der Mindestlänge, der erforderlichen Zeichentypen und der Einstellungen für das Ablaufen von Passwörtern.
Es wird AWS empfohlen, bei der Festlegung Ihrer Passwortrichtlinie mindestens die folgenden bewährten Methoden zu befolgen:
+ Erfordert mindestens einen Großbuchstaben.
+ Erfordert mindestens einen Kleinbuchstaben.
+ Erfordert mindestens ein Symbol.
+ Erfordert mindestens eine Zahl.
+ Erfordert mindestens acht Zeichen.
**Zusätzliche Sicherheitsüberlegungen**
Ziehen Sie zusätzlich zu einer strengen Passwortrichtlinie die folgenden zusätzlichen Sicherheitsmaßnahmen in Betracht:
+ MFA fügt eine zusätzliche Sicherheitsebene hinzu, indem es eine zusätzliche Form der Authentifizierung erfordert. Dies hilft, unbefugten Zugriff zu verhindern, selbst wenn Anmeldeinformationen kompromittiert werden.
+ Einrichtung von Bedingungselementen, um einzuschränken, wann und wie Administratorberechtigungen verwendet werden können, basierend auf Faktoren wie Quell-IP oder MFA-Alter.
### Der IAM-Benutzer hat unbenutzte Anmeldeinformationen
Unbenutzte Anmeldeinformationen, einschließlich Kennwörter und Zugriffsschlüssel, die 90 Tage oder länger inaktiv geblieben sind, stellen ein Sicherheitsrisiko für Ihre AWS Umgebung dar. Diese ungenutzten Anmeldeinformationen stellen potenzielle Angriffsvektoren für Angreifer dar und vergrößern die Gesamtangriffsfläche Ihres Unternehmens. Um Ihre Angriffsfläche zu verringern, AWS empfiehlt es sich, Anmeldeinformationen, die seit 90 Tagen oder länger nicht verwendet wurden, zu deaktivieren oder zu entfernen, um die Angriffsfläche zu verringern.
**Deaktivieren oder entfernen Sie ungenutzte Anmeldeinformationen**
Öffnen Sie im Expositionsnachweis die Ressource. Dadurch wird das Fenster mit den Benutzerdetails geöffnet. Bevor Sie Maßnahmen in Bezug auf ungenutzte Anmeldeinformationen ergreifen, sollten Sie die möglichen Auswirkungen auf Ihre Umgebung abschätzen. Das Entfernen von Anmeldeinformationen ohne angemessene Prüfung kann zu Störungen bei Hintergrundprozessen, geplanten Aufträgen und vielem mehr führen. Ziehen Sie vor dem endgültigen Löschen eine kurze Deaktivierungszeit in Betracht, um zu überprüfen, welche Auswirkungen das Entfernen der ungenutzten Anmeldeinformationen hat.
Ergreifen Sie je nach Anmeldeinformationstyp die entsprechende Maßnahme:
+ Bei unbenutzten Konsolenkennwörtern sollten Sie zunächst das Passwort ändern und es vorübergehend deaktivieren. Wenn keine Probleme auftreten, fahren Sie mit der dauerhaften Deaktivierung oder Löschung fort.
+ Bei ungenutzten Zugangsschlüsseln sollten Sie zunächst die Deaktivierung des Schlüssels in Betracht ziehen. Nachdem Sie bestätigt haben, dass keine Systeme betroffen sind, fahren Sie mit der dauerhaften Deaktivierung oder Löschung fort.
+ Bei ungenutzten Benutzern sollten Sie erwägen, den Benutzer vorübergehend zu deaktivieren, indem Sie eine restriktive Richtlinie anhängen, bevor Sie ihn vollständig löschen.
### Der IAM-Benutzer hat ungerichtete Zugriffsschlüssel
Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel, die den programmatischen Zugriff auf Ressourcen ermöglichen. AWS Wenn Zugriffsschlüssel über einen längeren Zeitraum unverändert bleiben, erhöhen sie das Risiko eines unbefugten Zugriffs, wenn sie kompromittiert werden. Gemäß den bewährten Sicherheitsmethoden AWS empfiehlt es sich, die Zugangsschlüssel alle 90 Tage zu wechseln, um das Zeitfenster zu minimieren, in dem Angreifer kompromittierte Anmeldeinformationen verwenden können.
**Zugriffstasten rotieren**
Öffnen Sie im Expositionsnachweis die Ressource. Dadurch wird das Fenster mit den Benutzerdetails geöffnet. Informationen zur Rotation von Zugriffsschlüsseln finden Sie unter [Zugriffsschlüssel für IAM-Benutzer verwalten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) im *IAM-Benutzerhandbuch*.
### Der IAM-Benutzer verfügt über eine Richtlinie, die uneingeschränkten Zugriff auf die Entschlüsselung von KMS-Schlüsseln ermöglicht
AWS KMS ermöglicht es Ihnen, kryptografische Schlüssel zu erstellen und zu verwalten, die zum Schutz Ihrer Daten verwendet werden. IAM-Richtlinien, die uneingeschränkte AWS KMS Entschlüsselungsberechtigungen (z. B. `kms:Decrypt` oder`kms:ReEncryptFrom`) für alle KMS-Schlüssel zulassen, können zu unberechtigtem Datenzugriff führen, wenn die Anmeldeinformationen eines IAM-Benutzers kompromittiert werden. Wenn sich ein Angreifer Zugriff auf diese Anmeldeinformationen verschafft, könnte er möglicherweise alle verschlüsselten Daten in Ihrer Umgebung entschlüsseln, zu denen auch vertrauliche Daten gehören könnten. Gemäß den bewährten Sicherheitsmethoden AWS empfiehlt es sich, die Implementierung der geringsten Rechte zu implementieren, indem die AWS KMS Entschlüsselungsberechtigungen auf bestimmte Schlüssel beschränkt werden, die Benutzer für ihre Aufgaben benötigen.
**Implementieren der geringstmöglichen Zugriffsrechte**
Öffnen Sie in der Expositionsanalyse die Ressource. Dadurch wird das Fenster mit den IAM-Richtlinien geöffnet. Suchen Sie in KMS nach Berechtigungen, die kms: Decrypt oder `kms:ReEncryptFrom` oder `KMS:*` mit der Ressourcenspezifikation von zulassen. `"*"` Aktualisieren Sie die Richtlinie, um die AWS KMS Entschlüsselungsberechtigungen auf die jeweils benötigten Schlüssel zu beschränken. Ändern Sie die Richtlinie, um die `"*"` Ressource durch die spezifischen erforderlichen AWS KMS Schlüssel ARNs zu ersetzen.
**Überlegungen zur sicheren Konfiguration**
Erwägen Sie, Bedingungen hinzuzufügen, um weiter einzuschränken, wann diese Berechtigungen verwendet werden können. Sie können beispielsweise Entschlüsselungsvorgänge auf bestimmte VPC-Endpunkte oder Quell-IP-Bereiche beschränken. Sie können auch Schlüsselrichtlinien konfigurieren, um weiter einzuschränken, wer bestimmte KMS-Schlüssel verwenden kann.
# Behebung von Risiken für Lambda-Funktionen
AWS Security Hub kann Ergebnisse zur Gefährdung von AWS Lambda (Lambda-) Funktionen generieren.
In der Security Hub Hub-Konsole sind die Lambda-Funktion, die an einer Risikofeststellung beteiligt war, und ihre identifizierenden Informationen im Abschnitt **Ressourcen** der Ergebnisdetails aufgeführt. Programmgesteuert können Sie Ressourcendetails mithilfe der [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)Security Hub CSPM-API abrufen.
Nachdem Sie die Ressource identifiziert haben, die an einer Risikofeststellung beteiligt war, können Sie die Ressource löschen, falls Sie sie nicht benötigen. Durch das Löschen einer nicht benötigten Ressource können Sie Ihr Expositionsprofil und Ihre AWS Kosten reduzieren. Wenn es sich bei der Ressource um eine wichtige Ressource handelt, befolgen Sie diese empfohlenen Abhilfemaßnahmen, um das Risiko zu minimieren. Die Themen zur Problembehebung sind nach der Art des Merkmals unterteilt.
Ein einziger Risikobefund umfasst Probleme, die in mehreren Problembehebungsthemen identifiziert wurden. Umgekehrt können Sie mit einem Problembehebungsproblem umgehen und dessen Schweregrad verringern, indem Sie sich mit nur einem Problembehebungsthema befassen. Ihr Ansatz zur Risikominderung hängt von den Anforderungen und der Arbeitsbelastung Ihres Unternehmens ab.
**Anmerkung**
Die in diesem Thema enthaltenen Hinweise zur Problembehebung erfordern möglicherweise zusätzliche Informationen in anderen Ressourcen. AWS
**Contents**
+ [Fehlkonfigurationsmerkmale für Lambda-Funktionen](#lambda-function-misconfiguration)
+ [Die Lambda-Funktion wird außerhalb einer Amazon VPC bereitgestellt](#deployed-outside-vpc)
+ [Die mit der Lambda-Funktion verknüpfte IAM-Rolle hat eine administrative Zugriffsrichtlinie](#administrative-access-policy)
+ [Die der Lambda-Funktion zugeordnete IAM-Rolle hat eine Richtlinie mit administrativem Zugriff auf einen Dienst AWS](#service-admin-policy)
+ [Die Lambda-Funktion ist über API Gateway ohne Autorisierung zugänglich](#api-gateway-no-authorization)
+ [Erreichbarkeitsmerkmale für Lambda-Funktionen](#lambda-function-reachability)
+ [Die Lambda-Funktion kann öffentlich aufgerufen werden](#publicly-invocable)
+ [Schwachstellenmerkmale für Lambda-Funktionen](#lambda-function-vulnerability)
+ [Die Lambda-Funktion weist Softwareschwachstellen auf, die über das Netzwerk ausgenutzt werden können](#high-priority-vulnerability)
+ [Die Lambda-Funktion weist Softwareschwachstellen auf](#low-priority-vulnerability)
+ [Die Lambda-Funktion enthält schädliche Softwarepakete](#malicious-package)
+ [Die Lambda-Funktion weist Code-Schwachstellen auf](#code-vulnerability)
## Fehlkonfigurationsmerkmale für Lambda-Funktionen
Im Folgenden finden Sie Merkmale von Fehlkonfigurationen für Lambda-Funktionen und empfohlene Schritte zur Behebung.
### Die Lambda-Funktion wird außerhalb einer Amazon VPC bereitgestellt
Lambda-Funktionen werden standardmäßig mit Zugriff auf das öffentliche Internet bereitgestellt. Diese Standardkonfiguration gibt Lambda-Funktionen die Möglichkeit, AWS Service-Endpunkte und externe Endpunkte zu erreichen APIs, setzt sie aber auch potenziellen Sicherheitsrisiken aus. Funktionen mit Internetzugang könnten verwendet werden, um Daten zu exfiltrieren, mit nicht autorisierten Servern zu kommunizieren oder als Einstiegspunkte für externe Akteure zu dienen, wenn sie kompromittiert werden. Amazon VPC bietet Netzwerkisolierung, indem es Ihre Lambda-Funktionen so einschränkt, dass sie nur mit Ressourcen innerhalb Ihres definierten privaten Netzwerks kommunizieren. Gemäß den Standardsicherheitsprinzipien empfehlen wir die Bereitstellung von Lambda-Funktionen innerhalb einer VPC, um die Sicherheit durch Netzwerkisolierung zu verbessern.
**Funktion an VPC anhängen**
Öffnen Sie in der Expositionsanalyse die Ressource mit dem Hyperlink. Dadurch wird das Lambda-Funktionsfenster geöffnet. Um Ihre Lambda-Funktion zu sichern, indem Sie ihren Netzwerkzugriff einschränken, verbinden Sie sie mit einer VPC, die über die entsprechenden Netzwerksteuerungen verfügt. Bevor Sie Ihre Funktion an eine VPC anhängen, planen Sie den eventuell benötigten AWS Dienstzugriff ein, da Funktionen in privaten Subnetzen ohne NAT-Gateways oder VPC-Endpunkte den Service nicht erreichen können. AWS APIs Informationen zum Anhängen einer Lambda-Funktion an eine Amazon VPC in Ihrem Konto finden Sie unter [Lambda-Funktionen an eine Amazon VPC anhängen](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#configuration-vpc-attaching) in Ihrem. AWS-Konto Erwägen Sie die Verwendung von VPC-Endpunkten für die Dienstkonnektivität ohne Internetzugang, wenn Ihre Funktion den Zugriff auf AWS Dienste innerhalb eines privaten Subnetzes erfordert. Konfigurieren Sie ein NAT-Gateway, wenn Sie ausgehende Internetkonnektivität von privaten Subnetzen benötigen.
### Die mit der Lambda-Funktion verknüpfte IAM-Rolle hat eine administrative Zugriffsrichtlinie
Administrative Zugriffsrichtlinien bieten Lambda-Funktionen umfassende Berechtigungen für AWS Dienste und Ressourcen. Diese Richtlinien beinhalten in der Regel Berechtigungen, die für die Funktionalität nicht erforderlich sind. Die Bereitstellung einer IAM-Identität mit einer administrativen Zugriffsrichtlinie für eine Lambda-Funktion anstelle der Mindestberechtigungen, die die Ausführungsrolle benötigt, kann den Umfang eines Angriffs erhöhen, wenn die Funktion beeinträchtigt wird. Gemäß den Standardsicherheitsprinzipien AWS empfiehlt es sich, die geringsten Rechte zu gewähren, d. h., dass Sie nur die Berechtigungen gewähren, die für die Ausführung einer Aufgabe erforderlich sind.
1. **Überprüfen und identifizieren Sie die Verwaltungsrichtlinien**
Identifizieren Sie in der Risikoprüfung den Rollennamen. Gehen Sie zum IAM-Dashboard und suchen Sie die Rolle mit dem zuvor identifizierten Rollennamen. Überprüfen Sie die der IAM-Rolle beigefügte Berechtigungsrichtlinie. Wenn es sich bei der Richtlinie um eine AWS verwaltete Richtlinie handelt, suchen Sie nach `AdministratorAccess` oder`IAMFullAccess`. Suchen Sie andernfalls im Strategiedokument nach Aussagen, die die Aussagen `"Effect": "Allow", "Action": "*"` `"Resource": "*"` zusammen enthalten.
1. **Implementieren des Zugriffs mit geringsten Berechtigungen**
Ersetzen Sie Verwaltungsrichtlinien durch solche, die nur die spezifischen Berechtigungen gewähren, die für den Betrieb der Funktion erforderlich sind. *Weitere Informationen zu bewährten Sicherheitsmethoden für IAM-Rollen finden Sie im Benutzerhandbuch unter [Anwenden von Berechtigungen mit](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) den geringsten Rechten.AWS Identity and Access Management * Um unnötige Berechtigungen zu identifizieren, können Sie den IAM Access Analyzer verwenden, um zu erfahren, wie Sie Ihre Richtlinie auf der Grundlage des Zugriffsverlaufs ändern können. Weitere Informationen finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [Ergebnisse für externen und ungenutzten Zugriff](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html). Alternativ können Sie eine neue IAM-Rolle erstellen, um zu vermeiden, dass andere Lambda-Funktionen, die die vorhandene Rolle verwenden, beeinträchtigt werden. Erstellen Sie in diesem Szenario eine neue IAM-Rolle. Ordnen Sie dann die neue Rolle der Instanz zu. Informationen zum Ersetzen einer IAM-Rolle für eine Funktion finden Sie unter [Aktualisieren der Ausführungsrolle einer Funktion](https://docs.aws.amazon.com/lambda/latest/dg/permissions-executionrole-update.html#update-execution-role) im *AWS Lambda Entwicklerhandbuch*.
1. **Überlegungen zur sicheren Konfiguration**
Wenn für die Instanz Administratorzugriffsberechtigungen erforderlich sind, sollten Sie die Implementierung dieser zusätzlichen Sicherheitskontrollen in Betracht ziehen, um das Risiko zu minimieren:
+ **Multi-Faktor-Authentifizierung (MFA)** — MFA fügt eine zusätzliche Sicherheitsebene hinzu, da eine zusätzliche Form der Authentifizierung erforderlich ist. Dies hilft, unbefugten Zugriff zu verhindern, selbst wenn Anmeldeinformationen kompromittiert werden. Weitere Informationen finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [Multi-Faktor-Authentifizierung (MFA) erforderlich](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users).
+ **IAM-Bedingungen** — Durch die Einrichtung von Bedingungselementen können Sie anhand von Faktoren wie Quell-IP oder MFA-Alter einschränken, wann und wie Administratorberechtigungen verwendet werden können. *Weitere Informationen finden Sie im [IAM-Benutzerhandbuch unter Verwenden von Bedingungen in IAM-Richtlinien, um den Zugriff weiter einzuschränken](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions).*
+ **Berechtigungsgrenzen** — Berechtigungsgrenzen legen die maximale Anzahl von Berechtigungen fest, die eine Rolle haben kann, und bieten so Richtlinien für Rollen mit Administratorzugriff. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Verwenden von Berechtigungsgrenzen, um die Rechteverwaltung innerhalb eines Kontos zu delegieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-permissions-boundaries).AWS Identity and Access Management *
### Die der Lambda-Funktion zugeordnete IAM-Rolle hat eine Richtlinie mit administrativem Zugriff auf einen Dienst AWS
Mithilfe von Dienstadministratorrichtlinien können Lambda-Funktionen alle Aktionen innerhalb eines bestimmten AWS Dienstes ausführen. Diese Richtlinien gewähren in der Regel mehr Berechtigungen, als für den Betrieb einer Funktion erforderlich sind. Wenn eine Lambda-Funktion mit einer Service-Admin-Richtlinie kompromittiert wird, könnte ein Angreifer diese Berechtigungen verwenden, um potenziell auf sensible Daten oder Dienste in Ihrer AWS Umgebung zuzugreifen oder diese zu ändern. Gemäß den Standardsicherheitsprinzipien empfehlen wir, die geringsten Rechte zu gewähren, was bedeutet, dass Sie nur die Berechtigungen gewähren, die für die Ausführung einer Aufgabe erforderlich sind.
1. **Überprüfen und identifizieren Sie die Verwaltungsrichtlinien**
Identifizieren Sie im Expositionsbefund den Rollennamen im ARN. Gehen Sie zum IAM-Dashboard und suchen Sie nach dem Rollennamen. Überprüfen Sie die der Rolle zugeordnete Berechtigungsrichtlinie. Wenn es sich bei der Richtlinie um eine AWS verwaltete Richtlinie handelt, suchen Sie nach `AdministratorAccess` oder`IAMFullAccess`. Andernfalls suchen Sie im Richtliniendokument nach Aussagen, die die Aussagen `"Effect": "Allow", "Action": "*"` und enthalten`"Resource": "*"`.
1. **Implementieren des Zugriffs mit geringsten Berechtigungen**
Ersetzen Sie Verwaltungsrichtlinien durch solche, die nur die spezifischen Berechtigungen gewähren, die für den Betrieb der Funktion erforderlich sind. Weitere Informationen finden Sie unter [Anwenden von geringsten Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) im *AWS Identity and Access Management -Benutzerhandbuch*. Um unnötige Berechtigungen zu identifizieren, können Sie den IAM Access Analyzer verwenden, um zu verstehen, wie Sie Ihre Richtlinie auf der Grundlage des Zugriffsverlaufs ändern können. Weitere Informationen finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [Ergebnisse für externen und ungenutzten Zugriff](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html). Alternativ können Sie eine neue IAM-Rolle erstellen, um zu vermeiden, dass andere Lambda-Funktionen beeinträchtigt werden, die die vorhandene Rolle verwenden. Erstellen Sie in diesem Szenario eine neue IAM-Rolle und ordnen Sie dann die neue IAM-Rolle der Instanz zu. *Anweisungen zum Ersetzen einer IAM-Rolle für eine Funktion finden Sie unter [Aktualisieren der Ausführungsrolle einer Funktion im AWS Lambda Entwicklerhandbuch](https://docs.aws.amazon.com/lambda/latest/dg/permissions-executionrole-update.html#update-execution-role).*
1. **Überlegungen zur sicheren Konfiguration**
Wenn für die Instanz Administratorberechtigungen auf Service-Ebene erforderlich sind, sollten Sie die Implementierung dieser zusätzlichen Sicherheitskontrollen in Betracht ziehen, um das Risiko zu minimieren:
+ **Multi-Faktor-Authentifizierung (MFA)** — MFA fügt eine zusätzliche Sicherheitsebene hinzu, da eine zusätzliche Form der Authentifizierung erforderlich ist. Dies hilft, unbefugten Zugriff zu verhindern, selbst wenn Anmeldeinformationen kompromittiert werden. Weitere Informationen finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [Multi-Faktor-Authentifizierung (MFA) erforderlich](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users).
+ **IAM-Bedingungen** — Durch die Einrichtung von Bedingungselementen können Sie anhand von Faktoren wie Quell-IP oder MFA-Alter einschränken, wann und wie Administratorberechtigungen verwendet werden können. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Verwenden von Bedingungen in IAM-Richtlinien, um den Zugriff weiter einzuschränken](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions).AWS Identity and Access Management *
+ **Berechtigungsgrenzen** — Berechtigungsgrenzen legen die maximale Anzahl von Berechtigungen fest, die eine Rolle haben kann, und bieten so Richtlinien für Rollen mit Administratorzugriff. *Weitere Informationen finden Sie im Benutzerhandbuch unter [Verwenden von Berechtigungsgrenzen zur Delegierung der AWS Identity and Access Management Berechtigungsverwaltung](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-permissions-boundaries).*
### Die Lambda-Funktion ist über API Gateway ohne Autorisierung zugänglich
API Gateway-Methoden ohne Autorisierung ermöglichen es jedem Anrufer mit Zugriff auf das API Gateway, die integrierte Lambda-Funktion ohne Identitätsprüfung aufzurufen. Diese Konfiguration birgt Sicherheitsrisiken, da Aufrufer die Lambda-Funktion ohne entsprechende Autorisierung aufrufen können, was möglicherweise zum Missbrauch von Funktionsfunktionen, zum Ressourcenverbrauch, zum Zugriff auf sensible Daten oder zu nicht autorisierten Vorgängen führen kann. API Gateway kann zwar über Zugriffskontrollen auf Netzwerkebene verfügen, das Fehlen einer Autorisierung auf Methodenebene könnte jedoch den freien Aufruf der Funktion durch jeden Anrufer mit Netzwerkzugriff auf das API Gateway ermöglichen. Gemäß den bewährten Sicherheitsmethoden AWS empfiehlt es, geeignete Autorisierungsmechanismen für API-Gateway-Methoden zu implementieren, die in Lambda-Funktionen integriert sind.
**API-Gateway-Authentifizierung konfigurieren**
Klicken Sie auf der Registerkarte **Ressourcen** der Exposure auf den Hyperlink **Ressource öffnen**, um auf die API Gateway Gateway-Methode zuzugreifen. Überprüfen Sie die aktuelle Autorisierungskonfiguration und implementieren Sie die entsprechenden Authentifizierungsmechanismen. API Gateway unterstützt mehrere Authentifizierungsoptionen, darunter AWS IAM, Amazon Cognito Cognito-Benutzerpools, Lambda-Autorisierer und API-Schlüssel. Wählen Sie die Authentifizierungsmethode, die Ihren Sicherheitsanforderungen und Ihrem Anwendungsfall am besten entspricht. Ausführliche Anweisungen zur Konfiguration der Authentifizierung finden Sie unter [Steuern und Verwalten des Zugriffs auf eine REST-API in API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-to-api.html) im *API Gateway Developer Guide*.
## Erreichbarkeitsmerkmale für Lambda-Funktionen
Im Folgenden finden Sie Merkmale der Erreichbarkeit für Lambda-Funktionen und empfohlene Schritte zur Behebung.
### Die Lambda-Funktion kann öffentlich aufgerufen werden
Ressourcenbasierte Lambda-Richtlinien bestimmen, wer Ihre Funktionen aufrufen kann. Eine Funktion mit einer Ressourcenrichtlinie, die „\$1“ als Prinzipal (oder gar keinen Prinzipal) enthält, ermöglicht es allen authentifizierten AWS Benutzern, sie aufzurufen. Dies stellt ein erhebliches Risiko dar, insbesondere bei Funktionen, die vertrauliche Daten verarbeiten, Ressourcen ändern oder über erweiterte Berechtigungen verfügen. Unbefugte Benutzer könnten diese Konfiguration ausnutzen, um unerwünschte Operationen auszuführen, wodurch möglicherweise Daten offengelegt, Ressourcen manipuliert oder Funktionsfunktionen missbraucht werden. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, den Zugriff auf Lambda-Funktionen nur auf autorisierte Prinzipale zu beschränken.
**Ändern Sie die ressourcenbasierte Richtlinie der Funktion**
Öffnen Sie auf der Registerkarte **Ressourcen** der Exposition die Ressource mit dem Hyperlink. Dadurch wird das Lambda-Funktionsfenster geöffnet. Beschränken Sie den Zugriff auf Ihre Lambda-Funktion, indem Sie in der ressourcenbasierten Richtlinie nur autorisierte AWS Konten IDs oder bestimmte IAM-Prinzipale (Benutzer, Rollen oder Dienste) angeben. Sie können ressourcenbasierte Richtlinien nur programmgesteuert ändern.
## Schwachstellenmerkmale für Lambda-Funktionen
Im Folgenden finden Sie Schwachstellenmerkmale für Lambda-Funktionen und empfohlene Schritte zur Behebung.
### Die Lambda-Funktion weist Softwareschwachstellen auf, die über das Netzwerk ausgenutzt werden können
Softwarepakete, die im Lambda-Funktionscode verwendet werden, können Common Vulnerabilities and Exposures (CVEs) enthalten, bei denen die Wahrscheinlichkeit hoch ist, dass sie ausgenutzt werden. Kritische CVEs Sicherheitsrisiken stellen erhebliche Sicherheitsrisiken für Ihre AWS Umgebung dar. Angreifer können diese ungepatchten Sicherheitslücken ausnutzen, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten zu gefährden oder auf andere Systeme zuzugreifen. Kritische Sicherheitslücken mit hoher Wahrscheinlichkeit stellen unmittelbare Sicherheitsbedrohungen dar, da Exploit-Code möglicherweise bereits öffentlich verfügbar ist und von Angreifern oder automatisierten Scan-Tools aktiv genutzt wird. Wir empfehlen, diese Sicherheitslücken zu patchen, um Ihre Funktion vor Angriffen zu schützen.
**Aktualisieren Sie die betroffenen Funktionen**
Suchen Sie im Abschnitt „**Referenzen“ auf** der Registerkarte „**Sicherheitslücke**“ nach der Eigenschaft. Die Herstellerdokumentation kann spezifische Anleitungen zur Problembehebung enthalten. Aktualisieren Sie die anfälligen Bibliotheken gemäß den vom Hersteller empfohlenen Verfahren auf ihre neuesten sicheren Versionen. In der Regel hängt der Korrektur-Workflow davon ab, ob Sie das Lambda-Paket bereitgestellt haben, indem Sie eine ZIP-Datei hochgeladen oder eine Lambda-Funktion mit einem Container-Image erstellt haben. Nachdem Sie die Bibliotheken aktualisiert haben, aktualisieren Sie den Lambda-Funktionscode, um die feste Version zu verwenden. Stellen Sie anschließend die aktualisierte Version bereit.
### Die Lambda-Funktion weist Softwareschwachstellen auf
Lambda-Funktionen verwenden häufig Bibliotheken und Abhängigkeiten von Drittanbietern, die Sicherheitslücken mit geringerem Schweregrad oder geringerer Ausnutzbarkeit enthalten können als kritische. CVEs Auch wenn diese unkritischen Sicherheitslücken möglicherweise nicht sofort ausgenutzt werden können, stellen sie dennoch Sicherheitslücken dar, die mit anderen Sicherheitslücken verkettet werden können, um Ihre Funktion zu gefährden. Im Laufe der Zeit könnten auch neue Exploit-Techniken auftauchen, die das Risiko dieser Sicherheitslücken erhöhen. Gemäß den üblichen Sicherheitsprinzipien empfehlen wir, diese Sicherheitslücken zu patchen, um eine sichere Umgebung aufrechtzuerhalten.
****
Das Merkmal finden Sie im Abschnitt **Referenzen** auf der Registerkarte **Sicherheitslücke**. Die Herstellerdokumentation kann spezifische Anleitungen zur Problembehebung enthalten. Aktualisieren Sie die anfälligen Bibliotheken gemäß den vom Hersteller empfohlenen Verfahren auf ihre neuesten sicheren Versionen. In der Regel hängt der Korrektur-Workflow davon ab, ob Sie das Lambda-Paket bereitgestellt haben, indem Sie eine ZIP-Datei hochgeladen oder eine Lambda-Funktion mit einem Container-Image erstellt haben. Nachdem Sie die Bibliotheken aktualisiert haben, aktualisieren Sie den Lambda-Funktionscode, um die feste Version zu verwenden. Stellen Sie anschließend die aktualisierte Version bereit.
### Die Lambda-Funktion enthält schädliche Softwarepakete
Bösartige Pakete sind Softwarekomponenten, die schädlichen Code enthalten, der die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Systeme und Daten gefährden soll. Bösartige Pakete stellen eine aktive und kritische Bedrohung für Ihre Lambda-Funktion dar, da Angreifer bösartigen Code automatisch ausführen können, ohne eine Sicherheitslücke auszunutzen. Gemäß den bewährten Sicherheitsmethoden AWS empfiehlt es, schädliche Pakete zu entfernen, um Ihre Lambda-Funktion vor potenziellen Angriffen zu schützen.
**Entfernen Sie bösartige Pakete**
Sehen Sie sich die Informationen zu den bösartigen Paketen im Abschnitt **Referenzen auf** der Registerkarte **Sicherheitslücke** der betreffenden Eigenschaft an, um die Bedrohung besser zu verstehen. Entfernen Sie die identifizierten bösartigen Pakete aus Ihrem Funktionscode und Ihren Abhängigkeiten. Überprüfen Sie bei Funktionen, die Ebenen verwenden, ob die schädlichen Pakete in irgendwelchen Ebenen installiert sind, und entfernen Sie sie. Aktualisieren Sie Ihr Bereitstellungspaket oder Container-Image, um die schädlichen Pakete auszuschließen, und stellen Sie dann die aktualisierte Version bereit. Anweisungen finden Sie unter [Bereitstellen von Lambda-Funktionen als ZIP-Dateiarchive](https://docs.aws.amazon.com/lambda/latest/dg/configuration-function-zip.html) für .zip-Dateiarchive oder [Erstellen einer Lambda-Funktion mithilfe eines Container-Images für Container-Images](https://docs.aws.amazon.com/lambda/latest/dg/images-create.html).
### Die Lambda-Funktion weist Code-Schwachstellen auf
Der Anwendungscode der Lambda-Funktion enthält Sicherheitslücken, die von Bedrohungsakteuren ausgenutzt werden könnten. Zu den Sicherheitslücken im Code gehören Datenlecks, Injektionsfehler, fehlende Verschlüsselung und schwache Kryptografie, die durch automatisierte Codeanalyse identifiziert werden. Diese Sicherheitslücken stellen Sicherheitsrisiken für Ihre AWS Umgebung dar, da Angreifer sie ausnutzen können, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten zu gefährden oder auf andere Systeme zuzugreifen. Code-Schwachstellen stellen Sicherheitslücken dar, die mit anderen Angriffsvektoren verkettet werden können, um Ihre Funktion zu gefährden. Gemäß den bewährten Sicherheitsmethoden wird AWS empfohlen, diese Code-Schwachstellen zu beheben, um Ihre Funktion vor Angriffen zu schützen.
**Aktualisieren Sie die betroffenen Funktionen**
Sehen Sie sich den Abschnitt **Referenzen auf** der Registerkarte **Sicherheitslücke** des Merkmals an. Die Ergebnisse von Amazon Inspector können spezifische Anleitungen zur Problembehebung und Codefragmente enthalten, die die anfälligen Codestellen aufzeigen. Beheben Sie die identifizierten Sicherheitsprobleme in Ihrem Funktionscode mithilfe der bereitgestellten plug-and-play Codeblöcke oder durch die Implementierung sicherer Codierungsmethoden. Lesen Sie immer die Vorschläge zur Codebehebung, bevor Sie sie übernehmen, da Sie sie möglicherweise bearbeiten müssen, um sicherzustellen, dass Ihr Code wie beabsichtigt funktioniert. Nachdem Sie die Sicherheitslücken behoben haben, aktualisieren Sie den Lambda-Funktionscode, um die korrigierte Version zu verwenden. Anweisungen finden Sie unter [Aktualisieren des Funktionscodes](https://docs.aws.amazon.com/lambda/latest/dg/configuration-function-zip.html#configuration-function-update) im *AWS Lambda Entwicklerhandbuch*. Stellen Sie anschließend die aktualisierte Version bereit. Anweisungen finden Sie unter [Bereitstellen von Lambda-Funktionen als ZIP-Dateiarchive](https://docs.aws.amazon.com/lambda/latest/dg/configuration-function-zip.html) für .zip-Dateiarchive oder [Erstellen einer Lambda-Funktion mithilfe eines Container-Images für Container-Images](https://docs.aws.amazon.com/lambda/latest/dg/images-create.html). Weitere Informationen zum Scannen von Amazon Inspector-Code finden Sie unter [Amazon Inspector Lambda-Code-Scanning](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_code.html) im *Amazon Inspector Inspector-Benutzerhandbuch*.
# Behebung von Risiken für Amazon RDS-Instances und -Cluster
AWS Security Hub kann Risikopergebnisse für Amazon RDS-Instances und -Cluster generieren.
Auf der Security Hub Hub-Konsole sind die Amazon RDS-Instance oder der Amazon RDS-Cluster, die an einer Risikofeststellung beteiligt waren, und ihre identifizierenden Informationen im Abschnitt **Ressourcen** der Ergebnisdetails aufgeführt. Programmgesteuert können Sie Ressourcendetails mithilfe der [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)Security Hub CSPM-API abrufen.
Nachdem Sie die Ressource identifiziert haben, die an einer Risikofeststellung beteiligt war, können Sie die Ressource löschen, falls Sie sie nicht benötigen. Durch das Löschen einer nicht benötigten Ressource können Sie Ihr Expositionsprofil und Ihre AWS Kosten reduzieren. Wenn es sich bei der Ressource um eine wichtige Ressource handelt, befolgen Sie diese empfohlenen Abhilfemaßnahmen, um das Risiko zu minimieren. Die Themen zur Problembehebung sind nach der Art des Merkmals unterteilt.
Ein einziger Risikobefund umfasst Probleme, die in mehreren Problembehebungsthemen identifiziert wurden. Umgekehrt können Sie mit einem Problembehebungsproblem umgehen und dessen Schweregrad verringern, indem Sie sich mit nur einem Problembehebungsthema befassen. Ihr Ansatz zur Risikominderung hängt von den Anforderungen und der Arbeitsbelastung Ihres Unternehmens ab.
**Anmerkung**
Die in diesem Thema enthaltenen Hinweise zur Problembehebung erfordern möglicherweise zusätzliche Informationen in anderen Ressourcen. AWS
**Contents**
+ [Fehlkonfigurationsmerkmale für Amazon RDS-Instances und -Cluster](#rds-instance-cluster-misconfiguration)
+ [Die Amazon RDS-DB-Instance ist mit öffentlichem Zugriff konfiguriert.](#public-access-configured)
+ [Der Amazon RDS-DB-Cluster hat einen Snapshot, der öffentlich geteilt wird.](#publicly-available-rds-cluster-snapshot)
+ [Die Amazon RDS-DB-Instance hat einen Snapshot, der öffentlich geteilt wird.](#publicly-available-rds-database-snapshot)
+ [Die Amazon RDS-DB-Instance hat einen Snapshot, der im Ruhezustand nicht verschlüsselt ist.](#unencrypted-rds-database-snapshot)
+ [Der Amazon RDS-DB-Cluster hat einen Snapshot, der im Ruhezustand nicht verschlüsselt ist.](#unencrypted-rds-cluster-snapshot)
+ [Die Amazon RDS-DB-Instance hat eine offene Sicherheitsgruppe](#open-security-group)
+ [Für die Amazon RDS-DB-Instance ist die IAM-Datenbankauthentifizierung deaktiviert](#rds-instance-iam-authentication-disabled)
+ [Die Amazon RDS-DB-Instance verwendet den Standard-Admin-Benutzernamen.](#rds-instance-default-admin-name-used)
+ [Der Amazon RDS-DB-Cluster verwendet den Standard-Admin-Benutzernamen.](#rds-cluster-misconfiguration-db-cluster-uses-default-admin-username)
+ [Für die Amazon RDS-DB-Instance sind automatische Upgrades für kleinere Versionen deaktiviert](#rds-instance-minor-version-upgrades-disabled)
+ [Die Amazon RDS-DB-Instance hat automatische Backups deaktiviert](#rds-instance-backups-disabled)
+ [Für die Amazon RDS-DB-Instance ist der Löschschutz deaktiviert](#rds-instance-deletion-protection-disabled)
+ [Der Löschschutz für den Amazon RDS-DB-Cluster ist deaktiviert](#rds-cluster-misconfiguration-db-cluster-deletion-protection-disabled)
+ [Die Amazon RDS-DB-Instance verwendet den Standardport für die Datenbank-Engine.](#rds-instance-default-port-in-use)
+ [Die Amazon RDS-DB-Instance ist nicht durch einen Backup-Plan abgedeckt](#rds-instance-not-in-backup-plan)
## Fehlkonfigurationsmerkmale für Amazon RDS-Instances und -Cluster
Im Folgenden werden die Merkmale der Fehlkonfiguration und die Schritte zur Behebung von Amazon RDS-Instances und -Clustern beschrieben.
### Die Amazon RDS-DB-Instance ist mit öffentlichem Zugriff konfiguriert.
Amazon RDS-Instances mit öffentlichem Zugriff sind potenziell über das Internet über ihre Endpunkte zugänglich. Während für die Instance-Funktionalität manchmal ein öffentlicher Zugriff erforderlich ist, kann diese Konfiguration als potenzieller Angriffsvektor für unbefugte Benutzer verwendet werden, die versuchen, auf Ihre Datenbank zuzugreifen. Öffentlich zugängliche Datenbanken können Port-Scans, Brute-Force-Angriffen und Ausnutzungsversuchen ausgesetzt sein. Gemäß den üblichen Sicherheitsprinzipien empfehlen wir Ihnen, die öffentliche Nutzung Ihrer Datenbankressourcen zu begrenzen.
1. **Ändern Sie die Einstellungen für den öffentlichen Zugriff**
Öffnen Sie in der Expositionsanalyse die Ressource mit dem Hyperlink. Dadurch wird die betroffene DB-Instance geöffnet. Prüfen Sie anhand Ihrer Anwendungsarchitektur, ob die DB-Instance öffentlich zugänglich sein muss. Weitere Informationen finden Sie unter [Einrichtung eines öffentlichen oder privaten Zugriffs in Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/gettingstartedguide/security-public-private.html).
### Der Amazon RDS-DB-Cluster hat einen Snapshot, der öffentlich geteilt wird.
Auf öffentliche Snapshots kann jeder zugreifen AWS-Konto, wodurch sensible Daten möglicherweise unbefugten Benutzern zugänglich gemacht werden. Jeder AWS-Konto ist berechtigt, diese öffentlichen Snapshots zu kopieren und daraus DB-Instances zu erstellen, was zu Datenschutzverletzungen oder unberechtigtem Datenzugriff führen kann. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, den Zugriff auf Ihre Amazon RDS-Snapshots auf vertrauenswürdige Organisationen AWS-Konten und Organisationen zu beschränken.
**1. Einen Amazon RDS-Snapshot für privaten Zugriff konfigurieren**
Öffnen Sie die Ressource in der Risikoanalyse über den Hyperlink. Informationen zum Ändern der Einstellungen für das Teilen von Snapshots finden Sie unter [Teilen eines Snapshots](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-share-snapshot.html#aurora-share-snapshot.Sharing) im *Amazon Aurora Aurora-Benutzerhandbuch.* Informationen darüber, wie Sie das Teilen von Snapshots beenden können, finden Sie unter [Stoppen der Snapshot-Freigabe](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/share-snapshot-stop.html) im *Amazon Aurora Aurora-Benutzerhandbuch*. .
### Die Amazon RDS-DB-Instance hat einen Snapshot, der öffentlich geteilt wird.
Auf öffentliche Snapshots kann jeder zugreifen AWS-Konto, wodurch sensible Daten möglicherweise unbefugten Benutzern zugänglich gemacht werden. Jeder AWS-Konto ist berechtigt, diese öffentlichen Snapshots zu kopieren und daraus DB-Instances zu erstellen, was zu Datenschutzverletzungen oder unberechtigtem Datenzugriff führen kann. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, den Zugriff auf Ihre Amazon RDS-Snapshots auf vertrauenswürdige Organisationen AWS-Konten und Organisationen zu beschränken.
**Einen Amazon RDS-Snapshot für privaten Zugriff konfigurieren**
Öffnen Sie die Ressource in der Risikoanalyse über den Hyperlink. Informationen zum Ändern der Einstellungen für die gemeinsame Nutzung von Snapshots finden Sie unter [Freigeben eines DB-Snapshots](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html) im *Amazon RDS-Benutzerhandbuch.* Informationen zum Beenden der Freigabe von Snapshots finden Sie unter [Beenden der Freigabe eines DB-Snapshots](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html#USER_ShareSnapshot.Sharing.StopSharing) im *Amazon RDS-Benutzerhandbuch*. .
### Die Amazon RDS-DB-Instance hat einen Snapshot, der im Ruhezustand nicht verschlüsselt ist.
Unverschlüsselte Amazon RDS-DB-Instance-Snapshots können sensible Daten offenlegen, wenn unbefugter Zugriff auf die Speicherebene erfolgt. Ohne Verschlüsselung könnten Daten in Snapshots potenziell durch unbefugten Zugriff offengelegt werden. Dies birgt das Risiko von Datenverstößen und Compliance-Verstößen. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, alle Datenbankressourcen und ihre Backups zu verschlüsseln, um die Vertraulichkeit der Daten zu wahren.
****
Öffnen Sie in der Risikoprüfung die Ressource mit dem Hyperlink. Dadurch wird der betroffene Snapshot geöffnet. Sie können einen vorhandenen unverschlüsselten Snapshot nicht direkt verschlüsseln. Erstellen Sie stattdessen eine verschlüsselte Kopie des unverschlüsselten Snapshots. Ausführliche Anweisungen finden Sie unter [Kopieren und Verschlüsseln von Amazon RDS-Ressourcen von DB-Cluster-Snapshots](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-copy-snapshot.html) im *Amazon Aurora Aurora-Benutzerhandbuch*. ..
### Der Amazon RDS-DB-Cluster hat einen Snapshot, der im Ruhezustand nicht verschlüsselt ist.
Unverschlüsselte Amazon RDS-DB-Cluster-Snapshots können sensible Daten offenlegen, wenn unbefugter Zugriff auf die Speicherebene erfolgt. Ohne Verschlüsselung könnten Daten in Snapshots potenziell durch unbefugten Zugriff offengelegt werden. Dies birgt das Risiko von Datenverstößen und Compliance-Verstößen. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, alle Datenbankressourcen und ihre Backups zu verschlüsseln, um die Vertraulichkeit der Daten zu wahren.
**1. Erstellen Sie eine verschlüsselte Kopie des Snapshots**
Öffnen Sie in der Risikoprüfung die Ressource mit dem Hyperlink. Dadurch wird der betroffene Snapshot geöffnet. Sie können einen vorhandenen unverschlüsselten Snapshot nicht direkt verschlüsseln. Erstellen Sie stattdessen eine verschlüsselte Kopie des unverschlüsselten Snapshots. Ausführliche Anweisungen finden Sie unter [Kopieren und Verschlüsseln von Amazon RDS-Ressourcen von DB-Cluster-Snapshots](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-copy-snapshot.html) im *Amazon Aurora Aurora-Benutzerhandbuch*. ..
### Die Amazon RDS-DB-Instance hat eine offene Sicherheitsgruppe
Sicherheitsgruppen dienen als virtuelle Firewalls für Ihre Amazon RDS-Instances, um eingehenden und ausgehenden Datenverkehr zu kontrollieren. Offene Sicherheitsgruppen, die uneingeschränkten Zugriff von jeder IP-Adresse aus ermöglichen, können Ihre Datenbank-Instances unbefugtem Zugriff und potenziellen Angriffen aussetzen. Gemäß den Standardsicherheitsprinzipien empfehlen wir, den Zugriff von Sicherheitsgruppen auf bestimmte IP-Adressen und Ports zu beschränken, um das Prinzip der geringsten Rechte aufrechtzuerhalten.
**Überprüfen Sie die Sicherheitsgruppenregeln und bewerten Sie die aktuelle Konfiguration**
Öffnen Sie in der Sicherheitsanalyse die Ressource für die DB-Instance-Sicherheitsgruppe. Prüfen Sie, welche Ports offen und von weiten IP-Bereichen aus zugänglich sind, z. `(0.0.0.0/0 or ::/0)` B. Informationen zum Anzeigen von Sicherheitsgruppendetails finden Sie [DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html)in der *Amazon Elastic Compute Cloud API-Referenz*.
**Ändern Sie die Regeln für Sicherheitsgruppen**
Ändern Sie Ihre Sicherheitsgruppenregeln, um den Zugriff auf bestimmte vertrauenswürdige IP-Adressen oder Bereiche einzuschränken. Denken Sie bei der Aktualisierung Ihrer Sicherheitsgruppenregeln darüber nach, die Zugriffsanforderungen für verschiedene Netzwerksegmente zu trennen, indem Sie Regeln für jeden erforderlichen Quell-IP-Bereich erstellen oder den Zugriff auf bestimmte Ports einschränken. Informationen zum Ändern von Sicherheitsgruppenregeln finden [Sie unter Sicherheitsgruppenregeln konfigurieren](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html#add-remove-security-group-rules) im *Amazon EC2 EC2-Benutzerhandbuch*. Informationen zum Ändern des Standardports einer vorhandenen Amazon RDS-Datenbank-Instance finden Sie unter [Ändern des DB-Clusters mithilfe der Konsole, der CLI und der API]() im *Amazon Aurora Aurora-Benutzerhandbuch*.
### Für die Amazon RDS-DB-Instance ist die IAM-Datenbankauthentifizierung deaktiviert
Mit der IAM-Datenbankauthentifizierung können Sie sich mit IAM-Anmeldeinformationen anstelle von Datenbankkennwörtern bei Ihrer Amazon RDS-Datenbank authentifizieren. Dies bietet mehrere Sicherheitsvorteile, wie z. B. eine zentrale Zugriffsverwaltung, temporäre Anmeldeinformationen und den Wegfall der Speicherung von Datenbankkennwörtern im Anwendungscode. Die IAM-Datenbankauthentifizierung ermöglicht die Authentifizierung von Datenbankinstanzen mit einem Authentifizierungstoken anstelle eines Kennworts. Daher wird der Netzwerkverkehr zur und von der Datenbankinstanz mit SSL verschlüsselt. Ohne IAM-Authentifizierung verlassen sich Datenbanken in der Regel auf kennwortbasierte Authentifizierung, was zur Wiederverwendung von Passwörtern und zu schwachen Passwörtern führen kann. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, die IAM-Datenbankauthentifizierung zu aktivieren.
**Aktivieren Sie die IAM-Datenbankauthentifizierung**
Öffnen Sie in der Risikoprüfung die Ressource mit dem Hyperlink. Dadurch wird die betroffene DB-Instance geöffnet. Sie können die IAM-Datenbankauthentifizierung in den Datenbankoptionen aktivieren. Weitere Informationen finden Sie unter [Aktivieren und Deaktivieren der IAM-Datenbankauthentifizierung](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) im *Amazon RDS-Benutzerhandbuch*. Nachdem Sie die IAM-Authentifizierung aktiviert haben, aktualisieren Sie Ihre DB-Instances so, dass sie die IAM-Authentifizierung anstelle der kennwortbasierten Authentifizierung verwenden.
### Die Amazon RDS-DB-Instance verwendet den Standard-Admin-Benutzernamen.
Die Verwendung von Standardbenutzernamen (z. B. „admin“, „root“) für DB-Instances erhöht das Sicherheitsrisiko, da diese allgemein bekannt sind und häufig Ziel von Brute-Force-Angriffen sind. Standardbenutzernamen sind vorhersehbar und erleichtern es unbefugten Benutzern, sich Zugriff auf Ihre Datenbank zu verschaffen. Mit Standardbenutzernamen müssen sich Angreifer nur Passwörter beschaffen und benötigen nicht beide, um Zugriff auf Ihre Datenbank zu erhalten. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, eindeutige Administrator-Benutzernamen für Ihre Datenbank-Instance zu verwenden, um die Sicherheit durch Verschleierung zu erhöhen und das Risiko unberechtigter Zugriffsversuche zu verringern.
**Konfigurieren Sie einen eindeutigen Administratorbenutzernamen**
Öffnen Sie in der Risikoanalyse die Ressource mit dem Hyperlink. Dadurch wird die betroffene DB-Instance geöffnet. Überlegen Sie, welche Backup-Frequenz, Aufbewahrungsdauer und Lebenszyklusregeln für Ihre Anwendungen am besten geeignet sind.
### Der Amazon RDS-DB-Cluster verwendet den Standard-Admin-Benutzernamen.
Die Verwendung von Standardbenutzernamen (z. B. „admin“, „root“) für DB-Instances erhöht das Sicherheitsrisiko, da diese allgemein bekannt sind und häufig Ziel von Brute-Force-Angriffen sind. Standardbenutzernamen sind vorhersehbar und erleichtern es unbefugten Benutzern, sich Zugriff auf Ihre Datenbank zu verschaffen. Mit Standardbenutzernamen müssen sich Angreifer nur Passwörter beschaffen und benötigen nicht beide, um Zugriff auf Ihre Datenbank zu erhalten. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, eindeutige Administrator-Benutzernamen für Ihre Datenbank-Instance zu verwenden, um die Sicherheit durch Verschleierung zu erhöhen und das Risiko unberechtigter Zugriffsversuche zu verringern.
**Konfigurieren Sie einen eindeutigen Administratorbenutzernamen**
Öffnen Sie in der Risikoanalyse die Ressource mit dem Hyperlink. Dadurch wird die betroffene DB-Instance geöffnet. Sie können den Administrator-Benutzernamen einer vorhandenen Amazon RDS-DB-Instance nicht ändern. Um einen eindeutigen Administratornamen zu erstellen, müssen Sie eine neue DB-Instance mit einem benutzerdefinierten Benutzernamen erstellen und Ihre Daten migrieren.
### Für die Amazon RDS-DB-Instance sind automatische Upgrades für kleinere Versionen deaktiviert
Automatische Upgrades für Nebenversionen stellen sicher, dass Ihre Amazon RDS-Instances automatisch Upgrades für kleinere Engine-Versionen erhalten, sobald sie verfügbar sind. Diese Upgrades beinhalten häufig wichtige Sicherheitspatches und Bugfixes, die zur Aufrechterhaltung der Sicherheit und Stabilität Ihrer Datenbank beitragen. Es besteht das Risiko, dass Ihre Datenbank mit bekannten Sicherheitslücken läuft, die in neueren Nebenversionen behoben wurden. Ohne automatische Updates können sich bei Datenbankinstanzen Sicherheitslücken anhäufen, wenn neue entdeckt CVEs werden. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, automatische Upgrades für kleinere Versionen für alle Amazon RDS-Instances zu aktivieren.
**Aktivieren Sie automatische Upgrades für Nebenversionen**
Öffnen Sie in der Risikoprüfung die Ressource mit dem Hyperlink. Dadurch wird die betroffene DB-Instance geöffnet. Sie können die Einstellungen für automatische kleinere Upgrades auf der Registerkarte **Wartung und Backups** einsehen. Weitere Informationen finden Sie unter [Automatische Upgrades kleinerer Versionen für Amazon RDS for MySQL](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MySQL.Minor.html). Sie können Ihr Wartungsfenster auch so konfigurieren, dass es in Zeiten geringer Datenbankaktivität stattfindet.
### Die Amazon RDS-DB-Instance hat automatische Backups deaktiviert
Automatisierte Backups ermöglichen die point-in-time Wiederherstellung Ihrer Amazon RDS-Instances, sodass Sie Ihre Datenbank an einem beliebigen Punkt innerhalb Ihrer Aufbewahrungsfrist wiederherstellen können. Wenn automatische Backups deaktiviert sind, riskieren Sie den Verlust von Daten im Falle eines böswilligen Löschens, einer Datenbeschädigung oder anderer Datenverlustszenarien. Bei böswilligen Aktivitäten wie Ransomware-Angriffen, dem Löschen oder der Beschädigung von Datenbanktabellen reduziert die Möglichkeit, die Wiederherstellung zu einem Zeitpunkt vor dem Vorfall durchzuführen, den Zeitaufwand für die Wiederherstellung nach einem Vorfall. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, automatische Backups mit einer angemessenen Aufbewahrungsfrist für alle [Produktionsdatenbanken](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.Enabling.html) zu aktivieren.
### Für die Amazon RDS-DB-Instance ist der Löschschutz deaktiviert
Der Schutz vor dem Löschen von Datenbanken ist eine Funktion, die das Löschen Ihrer Datenbank-Instances verhindert. Wenn der Löschschutz deaktiviert ist, kann Ihre Datenbank von jedem Benutzer mit ausreichenden Berechtigungen gelöscht werden, was möglicherweise zu Datenverlust oder Anwendungsausfällen führen kann. Angreifer können Ihre Datenbank löschen, was zu Betriebsunterbrechungen, Datenverlust und verlängerter Wiederherstellungszeit führen kann. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, den Löschschutz für Ihre RDS-DB-Instances zu aktivieren, um böswilliges Löschen zu verhindern.
**Aktivieren Sie den Löschschutz für Ihren Amazon RDS-DB-Cluster**
Öffnen Sie in der Risikoprüfung die Ressource mit dem Hyperlink. Dadurch wird der betroffene DB-Cluster geöffnet.
### Der Löschschutz für den Amazon RDS-DB-Cluster ist deaktiviert
Der Schutz vor dem Löschen von Datenbanken ist eine Funktion, die das Löschen Ihrer Datenbank-Instances verhindert. Wenn der Löschschutz deaktiviert ist, kann Ihre Datenbank von jedem Benutzer mit ausreichenden Berechtigungen gelöscht werden, was möglicherweise zu Datenverlust oder Anwendungsausfällen führen kann. Angreifer können Ihre Datenbank löschen, was zu Betriebsunterbrechungen, Datenverlust und verlängerter Wiederherstellungszeit führen kann. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, den Löschschutz für Ihre RDS-DB-Cluster zu aktivieren, um böswilliges Löschen zu verhindern.
**Aktivieren Sie den Löschschutz für Ihren Amazon RDS-DB-Cluster**
Öffnen Sie in der Risikoprüfung die Ressource mit dem Hyperlink. Dadurch wird der betroffene DB-Cluster geöffnet.
### Die Amazon RDS-DB-Instance verwendet den Standardport für die Datenbank-Engine.
Amazon RDS-Instances, die Standardports für Datenbank-Engines verwenden, können erhöhten Sicherheitsrisiken ausgesetzt sein, da diese Standardports allgemein bekannt sind und häufig von automatisierten Scan-Tools angegriffen werden. Wenn Sie Ihre DB-Instance so ändern, dass sie nicht standardmäßige Ports verwendet, wird durch Unklarheit eine zusätzliche Sicherheitsebene geschaffen, wodurch es für unbefugte Benutzer schwieriger wird, automatisierte oder gezielte Angriffe auf Ihre Datenbank durchzuführen. Standardports werden häufig von Unbefugten gesucht und können dazu führen, dass Ihre DB-Instance ins Visier genommen wird. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, den Standardport durch einen benutzerdefinierten Port zu ersetzen, um das Risiko automatisierter oder gezielter Angriffe zu verringern.
****
Öffnen Sie in der Risikoanalyse die Ressource mit dem Hyperlink. Dadurch wird die betroffene DB-Instance geöffnet.
**Aktualisieren Sie die Verbindungszeichenfolgen der Anwendung**
Nachdem Sie den Port geändert haben, aktualisieren Sie alle Anwendungen und Dienste, die eine Verbindung zu Ihrer Amazon RDS-Instance herstellen, sodass sie die neue Portnummer verwenden.
### Die Amazon RDS-DB-Instance ist nicht durch einen Backup-Plan abgedeckt
AWS Backup ist ein vollständig verwalteter Backup-Service, der die Datensicherung zentralisiert und automatisiert. AWS-Services Wenn Ihre DB-Instance nicht durch einen Backup-Plan abgedeckt ist, riskieren Sie den Verlust von Daten im Falle eines böswilligen Löschens, einer Datenbeschädigung oder anderer Datenverlustszenarien. Bei böswilligen Aktivitäten wie Ransomware-Angriffen, dem Löschen oder der Beschädigung von Datenbanktabellen reduziert die Möglichkeit, die Wiederherstellung zu einem Zeitpunkt vor dem Vorfall durchzuführen, den Zeitaufwand für die Wiederherstellung nach einem Vorfall. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, Ihre Amazon RDS-Instances in einen Backup-Plan aufzunehmen, um den Datenschutz zu gewährleisten.
**Erstellen Sie einen Backup-Plan für Ihre DB-Instance und weisen Sie ihn zu**
Öffnen Sie in der Risikoprüfung die Ressource mit dem Hyperlink. Dadurch wird die betroffene DB-Instance geöffnet. Überlegen Sie, welche Backup-Frequenz, Aufbewahrungsdauer und Lebenszyklusregeln für Ihre Anwendungen am besten geeignet sind.
# Behebung von Risiken für Amazon S3 S3-Buckets
AWS Security Hub kann Risikopergebnisse für Amazon Simple Storage Service (S3) -Buckets generieren.
Auf der Security Hub Hub-Konsole sind der Amazon S3 S3-Bucket, der an einer Risikofeststellung beteiligt war, und seine identifizierenden Informationen im Abschnitt **Ressourcen** der Ergebnisdetails aufgeführt. Programmgesteuert können Sie Ressourcendetails mithilfe der [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)Security Hub CSPM-API abrufen.
Nachdem Sie die Ressource identifiziert haben, die an einer Risikofeststellung beteiligt war, können Sie die Ressource löschen, falls Sie sie nicht benötigen. Durch das Löschen einer nicht benötigten Ressource können Sie Ihr Expositionsprofil und Ihre AWS Kosten reduzieren. Wenn es sich bei der Ressource um eine wichtige Ressource handelt, befolgen Sie diese empfohlenen Abhilfemaßnahmen, um das Risiko zu minimieren. Die Themen zur Problembehebung sind nach der Art des Merkmals unterteilt.
Ein einzelnes Problembehebungsergebnis umfasst Probleme, die in mehreren Problembehebungsthemen identifiziert wurden. Umgekehrt können Sie mit einem Problembehebungsproblem umgehen und dessen Schweregrad verringern, indem Sie sich mit nur einem Problembehebungsthema befassen. Ihr Ansatz zur Risikominderung hängt von den Anforderungen und der Arbeitsbelastung Ihres Unternehmens ab.
**Anmerkung**
Die in diesem Thema enthaltenen Hinweise zur Problembehebung erfordern möglicherweise zusätzliche Informationen in anderen Ressourcen. AWS
**Contents**
+ [Fehlkonfigurationsmerkmale für Amazon S3 S3-Buckets](#misconfiguration)
+ [Für den Amazon S3 S3-Bucket ist die Versionierung deaktiviert](#versioning-disabled)
+ [Im Amazon S3 S3-Bucket ist Object Lock deaktiviert](#object-lock-disabled)
+ [Der Amazon S3 S3-Bucket ist im Ruhezustand nicht mit AWS KMS Schlüsseln verschlüsselt](#sse-kms-not-used)
+ [Das Löschen der Multi-Faktor-Authentifizierung (MFA) ist in einem versionierten Amazon S3 S3-Bucket deaktiviert](#mfa-delete-disabled)
+ [Der Amazon S3 S3-Bucket ermöglicht es Principals anderer AWS Konten, Bucket-Berechtigungen zu ändern](#external-aws-access-allowed)
+ [Erreichbarkeitsmerkmale für Amazon S3 S3-Buckets](#reachability)
+ [Der Amazon S3 S3-Bucket hat öffentlichen Lesezugriff](#public-read-allowed)
+ [Der Amazon S3 S3-Bucket hat öffentlichen Schreibzugriff](#public-write-allowed)
+ [Eigenschaften sensibler Daten für Amazon S3 S3-Buckets](#sensitive-data)
+ [Eigenschaften sensibler Daten für Amazon S3 S3-Buckets](#sensitive-data-present)
## Fehlkonfigurationsmerkmale für Amazon S3 S3-Buckets
Im Folgenden finden Sie Merkmale von Fehlkonfigurationen für Amazon S3 S3-Buckets und empfohlene Schritte zur Behebung.
### Für den Amazon S3 S3-Bucket ist die Versionierung deaktiviert
Amazon S3 Versioning hilft Ihnen, mehrere Varianten eines Objekts im selben Bucket zu verwalten. Wenn die Versionierung deaktiviert ist, speichert Amazon S3 nur die neueste Version jedes Objekts. Wenn Objekte versehentlich oder böswillig gelöscht oder überschrieben werden, können sie also nicht wiederhergestellt werden. Buckets mit aktivierter Versionierung bieten Schutz vor versehentlichem Löschen, Anwendungsausfällen und Sicherheitsvorfällen wie Ransomware-Angriffen, bei denen es zu unbefugten Änderungen oder Löschungen von Daten kommen kann. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, die Versionierung für Buckets zu aktivieren, die wichtige Daten enthalten, deren Wiederherstellung bei Verlust schwierig oder unmöglich wäre.
1. **Versionierung aktivieren** — Informationen zum Aktivieren der Amazon S3 S3-Versionierung für einen Bucket finden Sie unter [Aktivieren der Versionierung für Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html) im *Amazon Simple Storage Service-Benutzerhandbuch*. Wenn Sie die Versionierung aktivieren, sollten Sie die Implementierung von Lebenszyklusregeln zur Speicherverwaltung in Betracht ziehen, da bei der Versionierung mehrere Kopien von Objekten gespeichert werden.
### Im Amazon S3 S3-Bucket ist Object Lock deaktiviert
Amazon S3 Object Lock bietet ein write-once-read-many (WORM) -Modell für Amazon S3 S3-Objekte, das verhindert, dass diese für einen bestimmten Zeitraum oder auf unbestimmte Zeit gelöscht oder überschrieben werden. Wenn Object Lock deaktiviert ist, sind Ihre Objekte möglicherweise anfällig für versehentliches oder böswilliges Löschen, Ändern oder Verschlüsseln durch Ransomware. Object Lock ist besonders wichtig für die Einhaltung gesetzlicher Anforderungen, die einen unveränderlichen Datenspeicher erfordern, und für den Schutz vor ausgeklügelten Bedrohungen wie Ransomware, die versuchen könnten, Ihre Daten zu verschlüsseln. Durch die Aktivierung von Object Lock können Sie Aufbewahrungsrichtlinien als zusätzliche Datenschutzebene durchsetzen und eine unveränderliche Backup-Strategie für Ihre kritischen Daten erstellen. Gemäß den bewährten Sicherheitsmethoden empfehlen wir Ihnen, Object Lock zu aktivieren, um böswillige Änderungen an Ihren Objekten zu verhindern.
1. Beachten Sie, dass die Objektsperre nur aktiviert werden kann, wenn Sie einen neuen Bucket erstellen. Sie müssen also einen neuen Bucket mit aktivierter Objektsperre erstellen. Erwägen Sie bei großen Migrationen die Verwendung von Batch-Operationen, um Objekte in den neuen Bucket zu kopieren. Bevor Sie Objekte sperren, müssen Sie auch Amazon S3 Versioning und Object Lock für einen Bucket aktivieren. Da Object Lock nur für neue Buckets aktiviert werden kann, müssen Sie vorhandene Daten in einen neuen Bucket migrieren, bei dem Object Lock aktiviert ist. **Amazon S3 Object Lock konfigurieren** — Informationen zur Konfiguration von Object Lock für einen Bucket finden Sie unter [Konfiguration von Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html) im *Amazon Simple Storage Service-Benutzerhandbuch*. Wählen Sie nach der Einrichtung von Object Lock einen geeigneten Aufbewahrungsmodus für Ihre Umgebung.
### Der Amazon S3 S3-Bucket ist im Ruhezustand nicht mit AWS KMS Schlüsseln verschlüsselt
Amazon S3 wendet serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln als Standardverschlüsselungsebene für alle neuen Buckets an. Managed Keys von Amazon S3 bieten zwar einen starken Verschlüsselungsschutz, bieten jedoch nicht das gleiche Maß an Zugriffskontrolle und Auditfunktionen wie AWS Key Management Service Schlüssel. Bei Verwendung von KMS-Schlüsseln erfordert der Zugriff auf Objekte Berechtigungen sowohl für den Amazon S3 S3-Bucket als auch für den KMS-Schlüssel, mit dem das Objekt verschlüsselt wurde. Dies ist besonders wichtig für sensible Daten, bei denen Sie eine detaillierte Kontrolle darüber benötigen, wer auf die verschlüsselten Objekte zugreifen kann, und eine umfassende Auditprotokollierung der Verwendung von Verschlüsselungsschlüsseln benötigen. Gemäß den bewährten Sicherheitsmethoden empfehlen wir die Verwendung von KMS-Schlüsseln zur Verschlüsselung von Buckets mit vertraulichen Daten oder für Umgebungen mit strengen Compliance-Anforderungen.
1. **Amazon S3 S3-Bucket-Schlüssel konfigurieren**
Informationen zur Konfiguration eines Buckets für die Verwendung eines Amazon S3 S3-Bucket-Schlüssels für neue Objekte finden Sie unter [Konfiguration Ihres Buckets zur Verwendung eines Amazon S3 S3-Bucket-Schlüssels mit SSE-KMS für neue Objekte](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-bucket-key.html) im *Amazon Simple Storage Service-Benutzerhandbuch*. Informationen zum Verschlüsseln eines vorhandenen Objekts finden Sie unter [Verschlüsseln von Objekten mit Amazon S3 Batch Operations](https://aws.amazon.com/blogs/storage/encrypting-objects-with-amazon-s3-batch-operations/) im AWS Storage-Blog.
Beachten Sie bei der Implementierung der AWS KMS Verschlüsselung Folgendes:
+ **Schlüsselverwaltung** — Entscheiden Sie, ob Sie einen AWS verwalteten Schlüssel oder einen vom Kunden verwalteten Schlüssel (CMK) verwenden möchten. CMKs bieten Kunden die volle Kontrolle über den Lebenszyklus und die Verwendung ihrer Schlüssel. Weitere Informationen zum Unterschied zwischen diesen beiden Schlüsseltypen finden Sie unter [AWS KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) im *AWS Key Management Service Entwicklerhandbuch*.
+ **Schlüsselrotation** — Für zusätzliche Sicherheitsmaßnahmen aktivieren Sie die automatische Schlüsselrotation für Ihre KMS-Schlüssel. Weitere Informationen finden Sie unter [Automatische Schlüsselrotation aktivieren]() im *AWS Key Management Service Entwicklerhandbuch*.
### Das Löschen der Multi-Faktor-Authentifizierung (MFA) ist in einem versionierten Amazon S3 S3-Bucket deaktiviert
Das Löschen mit Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene für Ihren Amazon S3 S3-Bucket. Für destruktive Amazon S3 S3-Operationen ist eine Multi-Faktor-Authentifizierung erforderlich. Wenn MFA Delete deaktiviert ist, können Benutzer mit entsprechenden Berechtigungen Objektversionen dauerhaft löschen oder die Versionierung in Ihrem Bucket aussetzen, ohne dass zusätzliche Authentifizierungsherausforderungen erforderlich sind. Die Aktivierung von MFA Delete schützt vor unbefugtem oder versehentlichem Löschen Ihrer Daten und bietet so einen verbesserten Schutz vor Ransomware-Angriffen, Insider-Bedrohungen und Betriebsfehlern. Die MFA-Löschung ist besonders nützlich für Buckets mit kritischen oder Compliance-sensiblen Daten, die vor unbefugtem Löschen geschützt werden müssen. Gemäß den bewährten Sicherheitsmethoden empfehlen wir, MFA für Ihre Amazon S3 S3-Buckets zu aktivieren.
1. **Überprüfen Sie die MFA-Typen**
AWS unterstützt die folgenden [MFA-Typen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html#id_credentials_mfa-types). Obwohl die Authentifizierung mit einem physischen Gerät in der Regel einen strengeren Sicherheitsschutz bietet, ist die Verwendung einer beliebigen Art von MFA sicherer als die Deaktivierung von MFA.
1. **MFA auf der Ebene der Ressourcenrichtlinien durchsetzen**
Verwenden Sie den `aws:MultiFactorAuthAge` Bedingungsschlüssel in einer Bucket-Richtlinie, um MFA für sensible Operationen vorzuschreiben. Weitere Informationen finden Sie unter [Erforderliche MFA](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html#example-bucket-policies-MFA) im *Amazon Simple Storage Service-Benutzerhandbuch*.
1. **MFA aktivieren**
Um MFA Delete zu aktivieren, stellen Sie zunächst sicher, dass die Versionierung in Ihrem Amazon S3 S3-Bucket aktiviert ist. Das Löschen von MFA wird nur für Buckets unterstützt, für die die Versionierung aktiviert ist. Informationen zur Aktivierung der Amazon S3 S3-Versionierung finden Sie unter [Aktivieren der Versionierung für Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html) im *Amazon Simple Storage Service-Benutzerhandbuch*. Das Löschen von MFA kann nicht über die Amazon S3 S3-Konsole aktiviert werden. Sie müssen die Amazon S3 S3-API oder die verwenden AWS CLI. Weitere Informationen finden Sie unter [Konfiguration von MFA Delete](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
### Der Amazon S3 S3-Bucket ermöglicht es Principals anderer AWS Konten, Bucket-Berechtigungen zu ändern
Die Amazon S3 S3-Bucket-Richtlinien steuern den Zugriff auf Buckets und Objekte. Wenn Bucket-Richtlinien es Prinzipalen anderer AWS Konten ermöglichen, Bucket-Berechtigungen zu ändern, können nicht autorisierte Benutzer Ihren Bucket neu konfigurieren. Wenn externe Hauptanmeldedaten kompromittiert werden, können nicht autorisierte Benutzer die Kontrolle über Ihren Bucket erlangen, was zu Datenschutzverletzungen oder Serviceunterbrechungen führen kann. Gemäß den üblichen Sicherheitsprinzipien AWS empfiehlt es sich, die Aktionen zur Rechteverwaltung nur auf vertrauenswürdige Prinzipale zu beschränken.
1. **Überprüfen und identifizieren Sie Bucket-Richtlinien**
Identifizieren Sie in der Exposition den Amazon S3 S3-Bucket im ARN-Feld. Wählen Sie in der Amazon S3 S3-Konsole den Bucket aus und navigieren Sie zum Tab **Permissions**, um die Bucket-Richtlinie zu überprüfen. Überprüfen Sie die dem Bucket beigefügte Berechtigungsrichtlinie. Suchen Sie nach Richtlinienerklärungen, die Aktionen wie gewähren, `s3:PutBucketPolicy, s3:PutBucketAcl, s3:DeleteBucketPolicy, s3:* ` oder nach Richtlinienerklärungen, die Prinzipalen außerhalb Ihres Kontos Zugriff gewähren, wie in der Haupterklärung angegeben.
1. **Ändern Sie die Bucket-Richtlinie**
Ändern Sie die Bucket-Richtlinie, um Aktionen, die anderen AWS Konten gewährt wurden, zu entfernen oder einzuschränken:
+ Entfernen Sie Richtlinienerklärungen, die externen Konten Aktionen zur Verwaltung von Berechtigungen gewähren.
+ Wenn kontoübergreifender Zugriff erforderlich ist, ersetzen Sie allgemeine Berechtigungen `(s3:*)` durch spezifische Aktionen, die keine Verwaltung von Bucket-Berechtigungen beinhalten.
Informationen zum Ändern einer Bucket-Richtlinie finden Sie unter [Hinzufügen einer Bucket-Richtlinie mithilfe der Amazon S3 S3-Konsole](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
## Erreichbarkeitsmerkmale für Amazon S3 S3-Buckets
Im Folgenden finden Sie Merkmale der Erreichbarkeit für Amazon S3 S3-Buckets und empfohlene Schritte zur Problembehebung.
### Der Amazon S3 S3-Bucket hat öffentlichen Lesezugriff
Amazon S3 S3-Buckets mit öffentlichem Lesezugriff ermöglichen es jedem im Internet, den Inhalt Ihres Buckets einzusehen. Dies kann zwar für öffentlich zugängliche Websites oder gemeinsam genutzte Ressourcen erforderlich sein, kann jedoch Sicherheitsrisiken mit sich bringen, wenn der Bucket sensible Daten enthält. Öffentlicher Lesezugriff kann zu unberechtigtem Ansehen und Herunterladen führen, was zu Datenschutzverletzungen führen kann, wenn sensible Daten in diesen Buckets gespeichert werden. Es wird AWS empfohlen, den Zugriff auf Amazon S3 S3-Buckets gemäß den Standardsicherheitsprinzipien auf die erforderlichen Benutzer und Systeme zu beschränken.
1. **Blockieren Sie den öffentlichen Zugriff auf Bucket-Ebene**
Amazon S3 bietet Einstellungen für den Block Public Access, die sowohl auf Bucket- als auch auf Kontoebene konfiguriert werden können, um öffentlichen Zugriff unabhängig von Bucket-Richtlinien oder zu verhindern ACLs. Weitere Informationen finden Sie unter [Sperren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) im *Amazon Simple Storage Service-Benutzerhandbuch*. Nachdem Sie den öffentlichen Zugriff blockiert haben, überprüfen Sie die Konfiguration Ihrer Bucket-Zugriffskontrolle, um sicherzustellen, dass sie Ihren Zugriffsanforderungen entspricht. Lesen Sie dann Ihre Amazon S3 S3-Bucket-Richtlinie, um explizit zu definieren, wer auf Ihren Bucket zugreifen kann. Beispiele für Bucket-Richtlinien finden Sie unter [Beispiele für Amazon S3 S3-Bucket-Richtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
1. **Alternative Zugriffsmethoden**
Wenn öffentlicher Lesezugriff erforderlich ist, sollten Sie diese sichereren Alternativen in Betracht ziehen:
+ **CloudFront**— Verwendung CloudFront mit einer Origin Access Identity (OAI) oder Origin Access Control (OAC), um Lesezugriff von einem privaten Amazon S3 S3-Bucket aus zu ermöglichen. Diese Alternative schränkt den direkten Zugriff auf Ihren Amazon S3 S3-Bucket ein und ermöglicht gleichzeitig den öffentlichen Zugriff auf Inhalte über CloudFront. Weitere Informationen finden Sie unter [Beschränken des Zugriffs auf einen Amazon S3 S3-Ursprung](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) im *Amazon CloudFront Developer Guide*.
+ **Vorsigniert URLs** — Verwenden Sie Presigned URLs für den temporären Zugriff auf bestimmte Objekte. Weitere Informationen finden Sie unter [Objekte teilen mit vorsignierten URLs](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) im *Amazon CloudFront Developer Guide*.
### Der Amazon S3 S3-Bucket hat öffentlichen Schreibzugriff
Amazon S3 S3-Buckets mit öffentlichem Schreibzugriff ermöglichen es jedem Benutzer im Internet, Objekte in Ihrem Bucket hochzuladen, zu ändern oder zu löschen. Dies birgt erhebliche Sicherheitsrisiken, einschließlich der Möglichkeit, dass jemand schädliche Dateien hochlädt, bestehende Dateien ändert und Daten löscht. Öffentlicher Schreibzugriff führt zu Sicherheitslücken, die von Angreifern ausgenutzt werden können. Gemäß den Standardsicherheitsprinzipien wird AWS empfohlen, den Schreibzugriff auf Ihre Amazon S3 S3-Buckets auf die erforderlichen Benutzer und Systeme zu beschränken.
1. **Blockieren Sie den öffentlichen Zugriff auf Konto- und Bucket-Ebene**
Amazon S3 bietet Einstellungen zum Blockieren des öffentlichen Zugriffs, die sowohl auf Bucket- als auch auf Kontoebene konfiguriert werden können, um öffentlichen Zugriff unabhängig von Bucket-Richtlinien oder zu verhindern ACLs. Weitere Informationen finden Sie unter [Sperren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
1. **Bucket-Richtlinien ändern**
Einen detaillierteren Ansatz zum Entfernen des öffentlichen Schreibzugriffs finden Sie in der Bucket-Richtlinie. Sie können nach `s3:PutObject``s3:DeleteObject`, oder `s3:*` suchen. Weitere Informationen zur Verwaltung von Bucket-Richtlinien finden Sie unter [Bucket-Richtlinien für Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
1. **Alternative Zugriffsmethoden**
Wenn öffentlicher Lesezugriff erforderlich ist, sollten Sie diese sichereren Alternativen in Betracht ziehen:
+ **CloudFront**— Verwendung CloudFront mit einer Origin Access Identity (OAI) oder Origin Access Control (OAC), um Lesezugriff von einem privaten Amazon S3 S3-Bucket aus zu ermöglichen. Diese Alternative schränkt den direkten Zugriff auf Ihren Amazon S3 S3-Bucket ein und ermöglicht gleichzeitig den öffentlichen Zugriff auf Inhalte über CloudFront. Weitere Informationen finden Sie unter [Beschränken des Zugriffs auf einen Amazon S3 S3-Ursprung](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) im *Amazon CloudFront Developer Guide*.
+ **Vorsigniert URLs** — Verwenden Sie Presigned URLs für den temporären Zugriff auf bestimmte Objekte. Weitere Informationen finden Sie unter [Freigeben von Objekten mit URLs Vorsignierung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ShareObjectPreSignedURL.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
## Eigenschaften sensibler Daten für Amazon S3 S3-Buckets
Im Folgenden finden Sie die Merkmale sensibler Daten für Amazon S3 S3-Buckets und empfohlene Schritte zur Problembehebung.
### Eigenschaften sensibler Daten für Amazon S3 S3-Buckets
Wenn Macie sensible Daten in Ihren Amazon S3 S3-Buckets identifiziert, deutet dies auf potenzielle Sicherheits- und Compliance-Risiken hin, die sofortige Aufmerksamkeit erfordern.
Zu den sensiblen Daten können gehören:
+ Anmeldeinformationen
+ Persönlich identifizierbare Informationen
+ Finanzinformationen
+ Vertraulicher Inhalt, der geschützt werden muss
Wenn sensible Daten durch Fehlkonfigurationen oder unbefugten Zugriff offengelegt werden, kann dies zu Compliance-Verstößen, Datenschutzverletzungen, Identitätsdiebstahl oder finanziellen Verlusten führen. Befolgt bewährte Sicherheitsmethoden und AWS empfiehlt die ordnungsgemäße Klassifizierung von Daten und die kontinuierliche Überwachung sensibler Daten in Ihren Amazon S3 S3-Buckets.
**Implementieren Sie Kontrollen für sensible Daten**
Wählen Sie in der Expositionsanalyse die Option **Ressource öffnen** aus. Überprüfen Sie den Typ der erkannten sensiblen Daten und deren Position im Bucket. Hilfe bei der Interpretation von Macie-Ergebnissen finden Sie unter [Typen von Macie-Ergebnissen](https://docs.aws.amazon.com/macie/latest/user/findings-types.html) im *Amazon Macie Macie-Benutzerhandbuch*.
Implementieren Sie je nach Art der entdeckten sensiblen Daten die entsprechenden Sicherheitskontrollen:
+ **Beschränken Sie den Zugriff auf den Bucket** — Überprüfen Sie die Bucket-Berechtigungen, um sicherzustellen, dass sie dem Prinzip der geringsten Rechte entsprechen. Verwenden Sie IAM-Richtlinien, Bucket-Richtlinien und ACLs um den Zugriff einzuschränken. Weitere Informationen finden Sie unter [Identity and Access Management für Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-iam.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
+ **Serverseitige Verschlüsselung** aktivieren — Aktivieren Sie serverseitige Verschlüsselung mit KMS-Schlüsseln für zusätzlichen Schutz. Weitere Informationen finden Sie unter [Verwenden der serverseitigen Verschlüsselung mit AWS KMS-Schlüsseln (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
+ **Verwendung AWS Glue DataBrew — Wird** Glue DataBrew zur Datenvorbereitung und -bereinigung verwendet. Weitere Informationen finden Sie unter [Was ist AWS Glue DataBrew](https://docs.aws.amazon.com/databrew/latest/dg/what-is.html) im *AWS Glue DataBrew Entwicklerhandbuch enthalten*.
# Automatisierungen im Security Hub
Security Hub umfasst Funktionen, die Ergebnisse auf der Grundlage Ihrer Spezifikationen automatisch ändern und entsprechende Maßnahmen ergreifen.
Security Hub unterstützt derzeit die folgenden Arten von Automatisierungen:
+ **Automatisierungsregeln** — Automatisches Aktualisieren und Unterdrücken von Ergebnissen sowie Senden von Ergebnissen an Ticketing-Tools, und zwar nahezu in Echtzeit auf der Grundlage definierter Kriterien.
+ **Automatisierte Reaktion und Problembehebung** — Erstellen Sie benutzerdefinierte EventBridge Amazon-Regeln, die automatische Maßnahmen definieren, die auf der Grundlage bestimmter Ergebnisse und Erkenntnisse ergriffen werden sollen.
Automatisierungsregeln sind hilfreich, wenn Sie Suchfelder im Open Cybersecurity Schema Framework (OCSF) automatisch aktualisieren möchten. Sie können beispielsweise eine Automatisierungsregel verwenden, um den Schweregrad von Ergebnissen für Ressourcen mit einem bestimmten Tag zu aktualisieren. Durch die Verwendung der Automatisierungsregel entfällt die Notwendigkeit, den Schweregrad jedes Ergebnisses, das sich auf ein bestimmtes Tag bezieht, manuell zu aktualisieren. Sie können Automatisierungsregeln so konfigurieren, dass Tickets in Tools erstellt werden, z. B. Jira Cloud ServiceNow wenn Ergebnisse bestimmten Attributen entsprechen. Auf diese Weise können Ergebnisse in Tickets umgewandelt werden, sobald sie an Security Hub gesendet oder in Security Hub erstellt werden.
EventBridge Regeln sind hilfreich, wenn Sie außerhalb von Security Hub CSPM Maßnahmen in Bezug auf bestimmte Ergebnisse ergreifen oder bestimmte Ergebnisse zur Behebung oder weiteren Untersuchung an Tools von Drittanbietern senden möchten. Die Regeln können verwendet werden, um unterstützte Aktionen auszulösen, z. B. das Aufrufen einer AWS Lambda Funktion oder die Benachrichtigung eines Amazon Simple Notification Service (Amazon SNS) -Themas über ein bestimmtes Ergebnis.
Automatisierungsregeln werden wirksam, bevor EventBridge Regeln angewendet werden. Das heißt, Automatisierungsregeln werden ausgelöst und aktualisieren ein Ergebnis, bevor das Ergebnis EventBridge empfangen wird. EventBridge Die Regeln gelten dann für den aktualisierten Befund.
# Automatisierungsregeln in Security Hub
Mit Security Hub können Sie Aufgaben wie das Aktualisieren von Suchdetails und das Erstellen von Tickets für Integrationen von Drittanbietern automatisieren.
## Automatisierungsregeln und AWS-Regionen
Automatisierungsregeln können in einem erstellt AWS-Region und dann in allen konfigurierten Regeln angewendet werden AWS-Regionen. Wenn Sie die Regionsaggregation verwenden, können Sie Regeln nur in der Heimatregion erstellen. Wenn Sie Regeln in der Heimatregion erstellen, wird jede Regel, die Sie definieren, auf alle verknüpften Regionen angewendet, es sei denn, Ihre Regelkriterien schließen eine bestimmte verknüpfte Region aus. Sie müssen eine Automatisierungsregel für jede Region erstellen, die keine verknüpfte Region ist.
## Regelaktionen und Kriterien
Automatisierungsregeln in Security Hub verwenden Kriterien, um in Security Hub Hub-Ergebnissen auf OCSF-Attribute zu verweisen. Beispielsweise stimmen die für den `Criteria` Parameter in unterstützten Filter mit den Filtern [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRuleV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRuleV2.html)überein, die für den `Criteria` Parameter in [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)unterstützt werden. Das bedeutet, dass Filter, die in Automatisierungsregeln verwendet werden, verwendet werden können, um Ergebnisse zu erhalten. Security Hub unterstützt die folgenden OCSF-Felder für Automatisierungsregelkriterien.
| OCSF-Feld | Wert des Konsolenfilters | Filteroperatoren | Feldtyp |
| --- | --- | --- | --- |
| activity\$1name | Activity name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| class\$1name | Finding class name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| cloud.account.uid | Account ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| cloud.provider | Cloud provider | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| cloud.region | Region | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| comment | Comment | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| compliance.assessments.category | Assessment category | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| compliance.assessments.name | Assessment name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| compliance.control | Security control ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| compliance.standards | Applicable standards | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| compliance.status | Compliance status | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| finding\$1info.desc | Finding description | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| finding\$1info.related\$1events.product.uid | Related findings product ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| finding\$1info.related\$1events.title | Related findings title | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| finding\$1info.related\$1events.uid | Related findings ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| finding\$1info.src\$1url | Source URL | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| finding\$1info.types | Finding type | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| finding\$1info.uid | Provider ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| metadata.product.feature.uid | Generator ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| metadata.product.name | Product name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| metadata.product.uid | Product ARN | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| metadata.product.vendor\$1name | Company name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| metadata.uid | Finding ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| remediation.desc | Recommendation text | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| remediation.references | Recommendation URL | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| resources.cloud\$1partition | Resource partition | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| resources.name | Resource name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| resources.region | Resource region | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| resources.type | Resource type | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| resources.uid | Resource ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| severity | Severity | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| status | Status | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| vulnerabilities.fix\$1coverage | Software vulnerabilities coverage | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| finding\$1info.first\$1seen\$1time\$1dt | First observed at | Start, End, DateRange | Date (formatted as 2022-12-01T21:47:39.269Z) |
| finding\$1info.last\$1seen\$1time\$1dt | Last observed at | Start, End, DateRange | Date (formatted as 2022-12-01T21:47:39.269Z) |
| finding\$1info.modified\$1time\$1dt | Updated at | Start, End, DateRange | Date (formatted as 2022-12-01T21:47:39.269Z) |
| compliance.assessments.meets\$1criteria | Compliance assessment meets criteria | True, False | Boolean |
| vulnerabilities.is\$1exploit\$1available | Software vulnerabilities with exploit available | True, False | Boolean |
| vulnerabilities.is\$1fix\$1available | Software vulnerabilities with fix available | True, False | Boolean |
| activity\$1id | Activity ID | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| compliance.status\$1id | Compliance status ID | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| confidence\$1score | Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| severity\$1id | Severity ID | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| status\$1id | Status ID | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| finding\$1info.related\$1events\$1count | Related findings count | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| resources.tags | Resource tags | EQUALS | Map |
Bei Kriterien, die als Zeichenkettenfelder gekennzeichnet sind, wirkt sich die Verwendung verschiedener Filteroperatoren für dasselbe Feld auf die Bewertungslogik aus. Weitere Informationen finden Sie [StringFilter](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)in der *Security Hub Hub-API-Referenz*.
Jedes Kriterium unterstützt eine maximale Anzahl von Werten, anhand derer übereinstimmende Ergebnisse gefiltert werden können. Die Grenzen der einzelnen Kriterien finden Sie [OcsfFindingFilters](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_OcsfFindingFilters.html)in der *Security Hub API-Referenz*
**OCSF-Felder, die aktualisiert werden können**
Im Folgenden sind die OCSF-Felder aufgeführt, die mithilfe von Automatisierungsregeln aktualisiert werden können.
+ `Comment`
+ `SeverityId`
+ `StatusId`
## Wie Automatisierungsregeln Ergebnisse auswerten
Eine Automatisierungsregel wertet neue und aktualisierte Ergebnisse aus, die Security Hub generiert oder aufnimmt, nachdem Sie die Regel erstellt haben.
Automatisierungsregeln bewerten ursprüngliche, vom Anbieter bereitgestellte Ergebnisse. Durch die Integration mit Security Hub können Anbieter neue Erkenntnisse liefern und bestehende Erkenntnisse aktualisieren. Regeln werden nicht ausgelöst, wenn Sie Suchfelder nach der Regelerstellung im Rahmen des `BatchUpdateFindingsV2` Vorgangs aktualisieren. Wenn Sie eine Automatisierungsregel erstellen und eine `BatchUpdateFindingsV2` Aktualisierung vornehmen, die sich beide auf dasselbe Ergebnisfeld auswirken, legt die letzte Aktualisierung den Wert für dieses Feld fest. Nehmen wir das folgende Beispiel:
Sie verwenden`BatchUpdateFindingsV2`, um das `Status` Feld eines Befundes von bis `New` zu zu aktualisieren`In Process`. Wenn Sie aufrufen`GetFindingsV2`, hat das `Status` Feld jetzt den Wert`In Process`. Sie erstellen eine Automatisierungsregel, die das `Status` Feld des Ergebnisses von `New` zu ändert `Suppressed` (denken Sie daran, dass Regeln Aktualisierungen ignorieren, die mit vorgenommen wurden`BatchUpdateFindingsV2`). Der Suchprovider aktualisiert den Befund und ändert das `Status` Feld in`New`. Wenn Sie aufrufen`GetFindingsV2`, hat das `Status` Feld jetzt den Wert, `Suppressed` weil die Automatisierungsregel angewendet wurde und die Regel die letzte Aktion war, die auf das Ergebnis angewendet wurde.
Wenn Sie eine Regel auf der Security Hub Hub-Konsole erstellen oder bearbeiten, zeigt die Konsole eine Vorschau der Ergebnisse an, die den Regelkriterien entsprechen. Während Automatisierungsregeln die ursprünglichen Ergebnisse auswerten, die vom Anbieter für die Suche gesendet wurden, werden in der Konsolenvorschau die Ergebnisse in ihrem endgültigen Zustand wiedergegeben, so wie sie als Reaktion auf den `GetFindingsV2` API-Vorgang angezeigt würden (d. h. nachdem Regelaktionen oder andere Aktualisierungen auf das Ergebnis angewendet wurden).
## Wie sind die Automatisierungsregeln angeordnet
Jeder Automatisierungsregel wird eine Regelreihenfolge zugewiesen. Dies bestimmt die Reihenfolge, in der Security Hub Ihre Automatisierungsregeln anwendet, und ist wichtig, wenn sich mehrere Regeln auf dasselbe Ergebnis oder Findungsfeld beziehen.
Wenn sich mehrere Regelaktionen auf dasselbe Befund- oder Findungsfeld beziehen, gilt die Regel mit dem höchsten numerischen Wert für die Reihenfolge der Regeln zuletzt und hat die endgültige Wirkung.
Wenn Sie eine Regel in der Security Hub-Konsole erstellen, weist Security Hub automatisch die Regelreihenfolge auf der Grundlage der Reihenfolge der Regelerstellung zu. Die erste Regel, die Sie erstellen, hat die Regelreihenfolge 1. Wenn mehr als eine Regel vorhanden ist, hat jede anschließend erstellte Regel den nächsthöheren verfügbaren numerischen Wert für die Regelreihenfolge.
Wenn Sie eine Regel über [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRuleV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRuleV2.html)API oder erstellen AWS CLI, wendet Security Hub `RuleOrder` zuerst die Regel mit dem niedrigsten numerischen Wert an. Anschließend werden nachfolgende Regeln in aufsteigender Reihenfolge angewendet. Wenn mehrere Ergebnisse identisch sind`RuleOrder`, wendet Security Hub zuerst eine Regel mit einem früheren Wert für das `UpdatedAt` Feld an (d. h. die Regel, die zuletzt bearbeitet wurde, gilt zuletzt).
Sie können die Reihenfolge der Regeln jederzeit ändern.
**Beispiel für die Reihenfolge der Regeln**:
**Regel A (Regelreihenfolge ist`1`)**:
+ Kriterien für Regel A
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type` ist `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState` ist `NEW`
+ `Workflow.Status` = `ACTIVE`
+ Aktionen nach Regel A
+ Update `Confidence` auf `95`
+ Aktualisieren `Severity` auf `CRITICAL`
+ Aktualisieren `Comment` auf `This needs attention`
**Regel B (Reihenfolge der Regeln ist`2`)**:
+ Kriterien für Regel B
+ `AwsAccountId` = `123456789012`
+ Aktionen nach Regel B
+ Update `Severity` auf `INFORMATIONAL`
Erstens gelten die Aktionen nach Regel A für Security Hub Hub-Ergebnisse, die den Kriterien von Regel A entsprechen. Anschließend gelten die Aktionen nach Regel B für Security Hub Hub-Ergebnisse mit der angegebenen Konto-ID. Da Regel B in diesem Beispiel zuletzt gilt, lautet der Endwert von `Severity` in findings from the specified account ID`INFORMATIONAL`. Basierend auf der Regel A-Aktion ist der Endwert von `Confidence` in übereinstimmenden Ergebnissen`95`.
## Integrationen von Drittanbietern
Sie können Automatisierungsregeln verwenden, um Tickets für Integrationen mit Jira Cloud und ServiceNow ITSM zu erstellen. Weitere Informationen finden Sie unter [Regel für eine Drittanbieter-Integration erstellen](https://docs.aws.amazon.com/securityhub/latest/userguide/securithub-v2-automation-rules-create.html#integration).
## Szenarien, in denen Automatisierungsregeln nicht funktionieren
Im Folgenden sind Szenarien aufgeführt, in denen Automatisierungsregeln nicht funktionieren.
+ Das eigenständige Konto wird Mitglied einer Organisation mit einem delegierten Administrator
+ Das Organisationsverwaltungskonto entfernt den delegierten Administrator und richtet einen neuen delegierten Administrator ein
+ Die Aggregatorkonfiguration für den delegierten Administrator oder das eigenständige Konto ändert sich, wenn aus einer Region ohne Verknüpfung eine verknüpfte Region wird
In diesen Szenarien kann ein Mitglied einer Organisation Automatisierungsregeln mit Listen-, Abruf- und Löschvorgängen im oder verwalten. AWS CLI APIs
Wenn eine nicht verknüpfte Region zu einer verknüpften Region gemacht wird, kann der delegierte Administrator oder das eigenständige Konto Ressourcen in einer verknüpften Region mit Auflisten-, Abruf- und Löschvorgängen verwalten.
# Automatisierungsregeln in Security Hub erstellen
In diesem Thema wird beschrieben, wie Automatisierungsregeln erstellt werden. Sie können Automatisierungsregeln verwenden, um Details zu einem Ergebnis zu aktualisieren oder ein Ticket für eine Drittanbieter-Integration zu erstellen. Sie müssen Automatisierungsregeln individuell und dort erstellen AWS-Region , wo sie angewendet werden sollen. Wenn Sie jedoch eine Automatisierungsregel in einer Aggregationsregion erstellen, wird sie in allen Regionen angewendet. Andernfalls, wenn Sie eine Automatisierungsregel in einer nicht verknüpften Region erstellen, wird sie nur in dieser Region angewendet.
## Eine Regel erstellen, die die Suchdetails aktualisiert
Im folgenden Verfahren wird beschrieben, wie Sie eine Regel erstellen, die Funddetails aktualisiert.
1. Loggen Sie sich in Ihr AWS Konto ein. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Wählen Sie im Navigationsbereich unter **Verwaltung** die Option Automations aus.**
1. Wählen Sie **Regel erstellen** aus.
1. Geben Sie unter **Details** einen Namen für Ihre Automatisierungsregel ein.
1. (Optional) Geben Sie eine Beschreibung für Ihre Automatisierungsregel ein.
1. Wählen Sie unter **Aktionen** die Option **Ergebnisdetails aktualisieren** aus. Sie können nach Kriterien suchen und Kriterien in der Suchleiste hinzufügen. Um zu überprüfen, ob Ergebnisse Ihren Kriterien entsprechen, wählen Sie **Vorschau der passenden Ergebnisse** aus.
1. Wählen Sie unter **Ergebnisdetails aktualisieren** mindestens ein Ergebnisdetail aus, das aktualisiert werden soll, wenn ein Ergebnis Ihren Kriterien entspricht. Sie können **Schweregrad**, **Status** oder **Kommentar** wählen.
1. Wählen Sie unter **Regeleinstellungen** die Option **Aktiviert oder **Deaktiviert**** aus. Wenn Sie **Aktiviert** auswählen, ist die Automatisierungsregel aktiviert und verarbeitet neue Ergebnisse. Wenn Sie **Deaktiviert** auswählen, ist die Automatisierungsregel deaktiviert und verarbeitet keine Ergebnisse.
1. (Optional) Wählen Sie unter **Tags** die Option **Neues Tag hinzufügen** aus, um ein Schlüssel-Wert-Paar einzugeben, das auf Ihre Automatisierungsregel angewendet werden soll.
1. Wählen Sie **Regel erstellen** aus.
## Eine Regel für eine Drittanbieter-Integration erstellen
Im folgenden Verfahren wird beschrieben, wie Sie eine Regel erstellen, die ein Ticket für eine Drittanbieterintegration erstellt. Informationen zu den Integrationen, die Security Hub CSPM unterstützt, finden Sie unter [Integrationen von Drittanbietern für](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-adv-catalog-integrations.html) Security Hub CSPM.
1. Loggen Sie sich in Ihr Konto ein. AWS Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Wählen Sie im Navigationsbereich unter **Verwaltung** die Option Automations aus.**
1. Wählen Sie **Regel erstellen** aus.
1. Geben Sie unter **Details** einen Namen für Ihre Automatisierungsregel ein.
1. (Optional) Geben Sie eine Beschreibung für Ihre Automatisierungsregel ein.
1. Wählen Sie unter **Aktionen** die Option **Ticket erstellen** aus. Sie können nach Kriterien suchen und Kriterien in der Suchleiste hinzufügen. Um zu überprüfen, ob Ergebnisse Ihren Kriterien entsprechen, wählen Sie **Vorschau der passenden Ergebnisse** aus.
1. Wählen **Sie unter Ticket erstellen eine** IT-Ticketing-Integration aus der Dropdownliste aus und wählen Sie dann Integration **hinzufügen** aus.
1. **Wählen Sie unter **Regeleinstellungen die** Option **Aktiviert oder Deaktiviert** aus.** Wenn Sie **Aktiviert** auswählen, ist die Automatisierungsregel aktiviert und verarbeitet neue Ergebnisse. Wenn Sie **Deaktiviert** auswählen, ist die Automatisierungsregel deaktiviert und verarbeitet keine Ergebnisse.
1. (Optional) Wählen Sie unter **Tags** die Option **Neues Tag hinzufügen** aus, um ein Schlüssel-Wert-Paar einzugeben, das auf Ihre Automatisierungsregel angewendet werden soll.
1. Wählen Sie **Regel erstellen** aus.
# Details für Automatisierungsregeln in Security Hub anzeigen
In diesem Thema wird beschrieben, wie Sie Details zu Automatisierungsregeln anzeigen. Sie können die folgenden Details für eine Automatisierungsregel anzeigen:
+ Name und Beschreibung
+ Aktionen und Kriterien
+ Status der Regeln und bestehende Ergebnisse
+ Tags (Markierungen)
**Um Details zu einer Automatisierungsregel anzuzeigen**
1. Melden Sie sich bei Ihrem AWS Konto an. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Wählen Sie im Navigationsbereich unter **Verwaltung** die Option Automations aus.** Auf diesem Bildschirm werden alle von Ihnen erstellten Automatisierungsregeln angezeigt.
1. Wählen Sie die Automatisierungsregel aus, die Sie anzeigen möchten. Wählen Sie die Option **Details anzeigen** aus. Alternativ können Sie den Namen der Automatisierungsregel wählen, die Sie anzeigen möchten.
# Aktualisierung der Regelreihenfolge in Security Hub
In diesem Thema wird beschrieben, wie die Regelreihenfolge für Automatisierungsregeln in der Konsole aktualisiert wird. Informationen zum Bearbeiten der Kriterien für eine Automatisierungsregel finden Sie unter [Automatisierungsregeln in Security Hub bearbeiten](https://docs.aws.amazon.com/securityhub/latest/userguide/securithub-v2-automation-rules-edit.html).
Sie können die Regelreihenfolge für eine Automatisierungsregel nicht aktualisieren, ohne die Regelreihenfolge für jede Automatisierungsregel zu aktualisieren. Sie haben beispielsweise vier Automatisierungsregeln: Regel A (1), Regel B (2), Regel C (3) und Regel D (4). Sie möchten, dass Regel D zuerst angewendet wird. Dazu ändern Sie die Nummer von 4 auf 1. Infolgedessen erhält Regel A 2, Regel B erhält 3 und Regel C erhält 4.
**Um die Regelreihenfolge für Ihre Automatisierungsregeln zu aktualisieren**
1. Loggen Sie sich in Ihr AWS Konto ein. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Wählen Sie im Navigationsbereich unter **Verwaltung** die Option Automations aus.**
1. Wählen Sie die Automatisierungsregel aus, die Sie bearbeiten möchten. Wählen Sie unter **Bestellung** das Stiftsymbol neben der Bestellnummer aus. Verwenden Sie die Pfeile, um die neue Bestellnummer zu ermitteln. Wählen Sie zur Bestätigung das **✓** -Symbol. Wählen Sie das **X-Symbol**, um abzubrechen. Alternativ können Sie **Reihenfolge ändern** wählen, um die Automatisierungsregel in der Liste nach unten, nach oben oder an den Anfang zu verschieben.
# Automatisierungsregeln in Security Hub deaktivieren
In diesem Thema wird beschrieben, wie Automatisierungsregeln deaktiviert werden. Wenn Sie Automatisierungsregeln deaktivieren, wendet Security Hub sie nicht mehr an. Sie können Automatisierungsregeln jederzeit und dort deaktivieren, AWS-Region wo Sie sie erstellt haben.
**Um eine Regel zu deaktivieren**
1. Loggen Sie sich in Ihr AWS Konto ein. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Wählen Sie im Navigationsbereich unter **Verwaltung** die Option Automations aus.**
1. Wählen Sie die Automatisierungsregel aus, die Sie deaktivieren möchten. Wählen Sie unter **Status** das Stiftsymbol neben **Aktiviert** aus. Wählen Sie das Dropdownmenü und dann **Deaktiviert** aus. Wählen Sie zur Bestätigung das **✓** -Symbol. Wählen Sie das **X-Symbol**, um abzubrechen. Sie können auch „**Deaktivieren**“ aus dem Drop-down-Menü „**Aktionen**“ auswählen.
# Eine Automatisierungsregel in Security Hub aktivieren
In diesem Thema wird beschrieben, wie Automatisierungsregeln aktiviert werden. Wenn Sie Automatisierungsregeln aktivieren, setzt Security Hub ihre Anwendung fort. Sie können Automatisierungsregeln jederzeit und dort aktivieren, AWS-Region wo Sie sie erstellt haben.
**Um eine Regel zu aktivieren**
1. Loggen Sie sich in Ihr AWS Konto ein. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Wählen Sie im Navigationsbereich unter **Verwaltung** die Option Automations aus.**
1. Wählen Sie die Automatisierungsregel aus, die Sie aktivieren möchten. Wählen Sie unter **Status** das Stiftsymbol neben **Deaktiviert** aus. Wählen Sie das Dropdownmenü und dann **Aktiviert** aus. Wählen Sie zur Bestätigung das **✓** -Symbol. Wählen Sie das **X-Symbol**, um abzubrechen. Sie können auch „**Aktivieren**“ aus dem Drop-down-Menü „**Aktionen**“ auswählen.
# Duplizieren von Automatisierungsregeln in Security Hub
In diesem Thema wird beschrieben, wie Automatisierungsregeln dupliziert werden. Durch das Duplizieren von Automatisierungsregeln können Sie Zeit sparen, wenn Sie vermeiden möchten, sie von Grund auf neu zu erstellen. Wenn Sie Automatisierungsregeln duplizieren, können Sie Details, Aktionen, Regeleinstellungen und Tags aktualisieren. Sie können Automatisierungsregeln dort bearbeiten AWS-Region , wo Sie sie erstellt haben.
**Um eine Regel zu duplizieren**
1. Melden Sie sich bei Ihrem AWS Konto an und öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Wählen Sie im Navigationsbereich **Management** und dann Automations aus.**
1. Wählen Sie die Automatisierungsregel aus, die Sie duplizieren möchten. Wählen Sie dann **Aktionen** und anschließend **Duplizieren** aus.
1. Nehmen Sie Ihre Änderungen vor, überprüfen Sie sie und wählen Sie dann **Regel erstellen** aus.
# Automatisierungsregeln in Security Hub bearbeiten
In diesem Thema wird beschrieben, wie Automatisierungsregeln bearbeitet werden. Sie können Automatisierungsregeln dort bearbeiten AWS-Region , wo Sie sie erstellt haben.
Sie können Folgendes für Automatisierungsregeln bearbeiten:
+ Name und Beschreibung
+ Aktionen
+ Regeleinstellungen
Sie können keine Tags für Automatisierungsregeln bearbeiten.
**Um eine Regel zu bearbeiten**
1. Loggen Sie sich in Ihr AWS Konto ein. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Wählen Sie im Navigationsbereich unter **Verwaltung** die Option Automations aus.**
1. Wählen Sie die Automatisierungsregel aus, die Sie bearbeiten möchten. Wählen Sie **Actions** und anschließend **Bearbeiten**.
1. Nehmen Sie Ihre Änderungen vor und überprüfen Sie sie.
1. Wählen Sie **Änderungen speichern ** aus.
# Löschen von Automatisierungsregeln in Security Hub
In diesem Thema wird beschrieben, wie Automatisierungsregeln gelöscht werden. Sie können Automatisierungsregeln dort löschen AWS-Region , wo Sie sie erstellt haben.
**So löschen Sie eine Regel**
1. Melden Sie sich bei Ihrem AWS Konto an und öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Wählen Sie im Navigationsbereich **Management** und dann Automations aus.**
1. Wählen Sie die Automatisierungsregel aus, die Sie löschen möchten. Wählen Sie **Actions** und anschließend **Delete**.
1. Wählen Sie **Delete (Löschen)**.
# Automatisierungsregeln in EventBridge
Sie können Automatisierungsregeln in Amazon verwenden EventBridge , um auf Ergebnisse von Security Hub zu reagieren. Security Hub sendet Ergebnisse nahezu in Echtzeit EventBridge als Ereignisse an. Sie können Grundregeln schreiben, die angeben, welche automatisierten Aktionen ergriffen werden sollen, wenn ein Ereignis den Regeln entspricht. Zu den Aktionen, die automatisch ausgelöst werden können, gehören:
+ Konfiguration eines API-Ziels in EventBridge.
+ Aufrufen von EC2 Amazon-Run-Befehlen
+ Aufrufen von Lambda-Funktionen
+ Zustandsmaschinen von Step Functions aufrufen
+ Benachrichtigen eines Amazon SNS-Themas oder einer Amazon SQS-Warteschlange
+ Ereignisse an Kinesis Data Streams weiterleiten
+ Senden eines Funds an ein Ticketing-, Chat-, SIEM- oder Incident-Response- und Management-Tool eines Drittanbieters
+ [Senden eines Ereignisses an einen EventBridge Bus in einem anderen Konto AWS](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus-example-policy-cross-account-custom-bus-source.html)
Security Hub sendet neue Erkenntnisse und aktualisierte Ergebnisse EventBridge als Ereignisse an. Anschließend konfigurieren Sie EventBridge Regeln, um auf jedes Security Hub Hub-Ereignis zu reagieren. Weitere Informationen finden Sie unter [Was ist EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) im *EventBridge Benutzerhandbuch*.
**Anmerkung**
Wenn Sie EventBridge Regeln für Ergebnisse in Security Hub CSPM definiert haben, können sich die Regeln mit den für Security Hub definierten Regeln überschneiden. Um zu vermeiden, dass doppelte Ergebnisse gesendet werden, überprüfen Sie die Regeln, die Sie für Security Hub CSPM definiert haben, um festzustellen, ob sie sich mit den Regeln überschneiden, die Sie für Security Hub definiert haben. Deaktivieren Sie gegebenenfalls alle Security Hub CSPM-Regeln, die durch Security Hub Hub-Regeln ersetzt werden.
**Anmerkung**
Als bewährte Methode sollten Sie sicherstellen, dass Benutzer mit Zugriffsberechtigungen AWS Identity and Access Management Richtlinien EventBridge verwenden, die nur die erforderlichen Mindestberechtigungen gewähren. Weitere Informationen finden Sie unter [EventBridge und AWS Identity and Access Management](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-iam.html) im *EventBridge Benutzerhandbuch*.
# EventBridge Ereignistypen
Security Hub verwendet die folgenden EventBridge Amazon-Ereignistypen für die Integration EventBridge.
Auf dem EventBridge Dashboard für Security Hub umfasst **Alle Ereignisse all** diese Ereignistypen.
## Importierte Ergebnisse V2
Security Hub sendet automatisch alle neuen Ergebnisse und alle Aktualisierungen vorhandener Ergebnisse EventBridge als **Findings Imported V2**Ereignisse an. Jedes **Findings Imported V2**Ereignis enthält ein einzelnes Ergebnis.
Jedes Ergebnis, das importiert wird, und jedes Ergebnis, das durch eine [https://docs.aws.amazon.com/](https://docs.aws.amazon.com/)Anfrage aktualisiert wird, löst ein **Findings Imported V2**Ereignis aus.
Bei Administratorkonten EventBridge enthält der Event-Feed Ereignisse für Ergebnisse sowohl aus ihrem Konto als auch aus ihren Mitgliedskonten.
In einer Aggregationsregion enthält der Event-Feed Ereignisse für Ergebnisse aus der Aggregationsregion und den verknüpften Regionen. Regionsübergreifende Ergebnisse werden nahezu in Echtzeit in den Event-Feed aufgenommen.
Sie können Regeln definieren EventBridge , die Ergebnisse automatisch an einen Korrektur-Workflow, ein Drittanbieter-Tool oder ein [anderes unterstütztes EventBridge ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) Ziel weiterleiten. Die Regeln können Filter enthalten, die die Regel nur anwenden, wenn das Ergebnis bestimmte Attributwerte hat.
Sie verwenden diese Methode, um automatisch alle Ergebnisse oder alle Ergebnisse, die bestimmte Merkmale aufweisen, an einen Reaktions- oder Behebungsworkflow zu senden.
**Anmerkung**
Security Hub und Security Hub CSPM senden beide Ergebnisse an EventBridge unter der Quelle von. `aws.securityhub` Stellen Sie sicher, dass Ihre EventBridge Regeln den für Security Hub spezifischen Detailtyp verwenden, um doppelte Benachrichtigungen im Zusammenhang mit Security Hub CSPM-Ergebnissen zu vermeiden.
# EventBridge Veranstaltungsformate
Der **Findings Imported V2**Ereignistyp verwendet das folgende Ereignistyp.
**Beispiel**
Dieses Format wird verwendet, wenn Security Hub ein Ereignis an sendet EventBridge.
```
{
"version":"0",
"id":"CWE-event-id",
"detail-type":"Findings Imported V2",
"source":"aws.securityhub",
"account":"111122223333",
"time":"2019-04-11T21:52:17Z",
"region":"us-west-2",
"resources":[
"e51603d1054aad9d9f498d82d6e81acf4cf6bc88140e8ad2273123c73b81084"
],
"detail":{
"findings": [{
}]
}
}
```
Jedes Ereignis sendet ein einzelnes Ergebnis. ``ist der Inhalt des vom Ereignis gesendeten Ergebnisses in JSON.
Eine vollständige Liste der Suchattribute finden Sie unter [OCSF-Ergebnisse in Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-adv-ocsf-findings.html).
# Regeln konfigurieren für EventBridge
Sie können in Amazon eine Regel erstellen EventBridge , die eine Aktion definiert, die ausgeführt werden soll, wenn ein **Findings Imported V2**Ereignis eingeht. **Findings Imported V2**Ereignisse werden durch Aktualisierungen ausgelöst [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindingsV2.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindingsV2.html).
Jede Regel enthält ein Ereignismuster, das die Ereignisse identifiziert, die die Regel auslösen. Das Ereignismuster enthält immer die Ereignisquelle (`aws.securityhub`) und den Ereignistyp (**Findings Imported V2**). Das Ereignismuster kann auch Filter angeben, um die Ergebnisse zu identifizieren, für die die Regel gilt.
Die Ereignisregel identifiziert dann die Regelziele. Die Ziele sind die Aktionen, die ergriffen werden müssen, wenn ein Ereignis vom Typ **Findings Imported V2 EventBridge ** empfangen wird und das Ergebnis den Filtern entspricht.
Die hier bereitgestellten Anweisungen verwenden die EventBridge Konsole. Wenn Sie die Konsole verwenden, EventBridge wird automatisch die erforderliche ressourcenbasierte Richtlinie erstellt, die das Schreiben in Amazon CloudWatch Logs ermöglicht EventBridge .
Sie können auch den [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)Betrieb der EventBridge API verwenden. Wenn Sie jedoch die EventBridge API verwenden, müssen Sie die ressourcenbasierte Richtlinie erstellen. Informationen zu den erforderlichen Richtlinien finden Sie unter [CloudWatch Logs-Berechtigungen](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) im * EventBridge Amazon-Benutzerhandbuch*.
## Format des Ereignismusters
Das Format des Ereignismusters für **Findings Imported V2-Ereignisse** lautet wie folgt:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Findings Imported V2"
],
"detail": {
"findings": {
}
}
}
```
+ `source`identifiziert Security Hub als den Dienst, der das Ereignis generiert.
+ `detail-type`identifiziert den Ereignistyp.
+ `detail`ist optional und stellt die Filterwerte für das Ereignismuster bereit. Wenn das Ereignismuster kein `detail` Feld enthält, lösen alle Ergebnisse die Regel aus.
Sie können die Ergebnisse auf der Grundlage eines beliebigen Ergebnisattributs filtern. Für jedes Attribut geben Sie ein durch Kommas getrenntes Array mit einem oder mehreren Werten an.
```
"": [ "", ""]
```
Wenn Sie mehr als einen Wert für ein Attribut angeben, werden diese Werte durch verknüpft. `OR` Ein Ergebnis entspricht dem Filter für ein einzelnes Attribut, wenn das Ergebnis einen der aufgelisteten Werte enthält. Wenn Sie beispielsweise `INFORMATIONAL` sowohl als auch `LOW` als Werte für angeben`Severity.Label`, stimmt das Ergebnis überein, wenn es den Schweregrad entweder `INFORMATIONAL` oder hat`LOW`.
Die Attribute werden durch verknüpft`AND`. Ein Ergebnis stimmt überein, wenn es den Filterkriterien für alle angegebenen Attribute entspricht.
Wenn Sie einen Attributwert angeben, muss dieser die Position dieses Attributs innerhalb der Struktur des AWS Open Cybersecurity Schema Framework (OCSF) widerspiegeln.
Im folgenden Beispiel stellt das Ereignismuster Filterwerte für `ProductArn` und bereit`Severity.Label`, sodass ein Ergebnis zutrifft, wenn es von Amazon Inspector generiert wurde und den Schweregrad entweder `INFORMATIONAL` oder hat`LOW`.
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Findings Imported V2"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## Eine Ereignisregel erstellen
Sie können ein vordefiniertes oder ein benutzerdefiniertes Ereignismuster verwenden, um eine Regel in zu erstellen EventBridge. Wenn Sie ein vordefiniertes Muster auswählen, EventBridge wird automatisch `source` und ausgefüllt`detail-type`. EventBridge stellt außerdem Felder zur Angabe von Filterwerten für die folgenden Suchattribute bereit:
+ `cloud.account.uid`
+ `compliance.status`
+ `metadata.product.name`
+ `resources.uid`
+ `severity`
+ `status`
**Um eine EventBridge Regel zu erstellen (Konsole)**
1. Öffnen Sie die EventBridge Amazon-Konsole unter [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Erstellen Sie mit den folgenden Werten eine EventBridge Regel, die das Auffinden von Ereignissen überwacht:
+ Bei **Regeltyp** wählen Sie **Regel mit einem Ereignismuster** aus.
+ Wählen Sie aus, wie das Ereignismuster erstellt werden soll.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/securityhub-v2-cwe-event-rules.html)
+ Wählen Sie für **Zieltypen** die Option **AWS Service** und für Ziel **auswählen ein Ziel** aus, z. B. ein Amazon SNS-Thema oder eine Amazon AWS Lambda SNS-Funktion. Das Ziel wird ausgelöst, wenn ein Ereignis empfangen wird, das dem in der Regel definierten Ereignismuster entspricht.
Einzelheiten zum Erstellen von Regeln finden Sie im [* EventBridge Amazon-Benutzerhandbuch unter Erstellen von EventBridge Amazon-Regeln*, die auf Ereignisse reagieren](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html).
**Anmerkung**
Wenn Sie EventBridge Regeln für Ergebnisse in Security Hub CSPM definiert haben, können sich die Regeln mit den für Security Hub definierten Regeln überschneiden. Um zu vermeiden, dass doppelte Ergebnisse gesendet werden, überprüfen Sie die Regeln, die Sie für Security Hub CSPM definiert haben, um festzustellen, ob sie sich mit den Regeln überschneiden, die Sie für Security Hub definiert haben. Deaktivieren Sie gegebenenfalls alle Security Hub CSPM-Regeln, die durch Security Hub Hub-Regeln ersetzt werden.
# Integrationen von Drittanbietern für Security Hub
Sie können Ihre Sicherheitslage mit Integrationen von Drittanbietern für AWS Security Hub verbessern. Mit dieser Funktion können Sie Integrationen aktivieren, die Erkenntnisse aus Security Hub nutzen, sodass Sie Ihre Betriebs-, Untersuchungs- und Reaktionstools in Security Hub integrieren können. Derzeit unterstützt Security Hub die Integration mit Jira Cloud undServiceNow.
**Topics**
+ [Integrationen für AWS Security Hub Jira Cloud](jiracloud.md)
+ [Integrationen für ServiceNow](servicenow.md)
+ [Wichtige KMS-Richtlinien für Security Hub-Ticketintegrationen](securityhub-v2-integrations-key-policy.md)
+ [Testen konfigurierter Ticketing-Integrationen](securityhub-v2-test-ticket-integration.md)
# Integrationen für AWS Security Hub Jira Cloud
In diesem Thema wird beschrieben, wie Sie mit integrieren könnenJira Cloud. Bevor Sie eines der Verfahren in diesem Thema abschließen können, müssen Sie ein Jira Cloud Abonnement erwerben. Informationen zu Abonnementplänen finden Sie auf der Atlassian Website unter [Preise](https://www.atlassian.com/software/jira/pricing).
Diese Integration ermöglicht es Ihnen, Security Hub Hub-Ergebnisse manuell oder automatisch an Jira Cloud zu senden, sodass Sie sie als Teil Ihrer betrieblichen Workflows verwalten können. Sie können beispielsweise Problemen, die untersucht und behoben werden müssen, die Verantwortung zuweisen.
Für Konten in einer Organisation kann nur der delegierte Administrator eine Integration konfigurieren. Der delegierte Administrator kann die Funktion „Ticket erstellen“ manuell für alle Ergebnisse zu Mitgliedskonten verwenden. Darüber hinaus kann der delegierte Administrator mithilfe von [Automatisierungsregeln](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-automation-rules.html) automatisch Tickets für alle Ergebnisse im Zusammenhang mit Mitgliedskonten erstellen. Bei der Definition einer Automatisierungsregel kann der delegierte Administrator Kriterien festlegen, die alle Mitgliedskonten oder bestimmte Mitgliedskonten umfassen können. Informationen zum Einrichten eines delegierten Administrators finden Sie unter [Ein delegiertes Administratorkonto in Security](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-set-da.html) Hub einrichten.
Für Konten, die nicht zu einer Organisation gehören, sind alle Aspekte dieser Funktion verfügbar.
## Voraussetzungen
Bevor Sie Security Hub mit Ihrer Jira Cloud Umgebung verbinden, müssen Sie sicherstellen, dass die folgenden Konfigurationsschritte in Ihrer Jira-Umgebung ausgeführt werden.
+ Installieren Sie die Cloud-App AWS Security Hub für Jira.
+ Haben Sie mindestens ein Softwareentwicklungsprojekt, das vom Unternehmen verwaltet wird.
+ Ordnen Sie die AWS App den Softwareentwicklungsprojekten zu, für die Sie Ergebnisse von Security Hub erhalten möchten.
Die Schritte für jede dieser Voraussetzungen sind unten aufgeführt.
### 1. Installieren Sie den AWS Security Hub für die Jira Cloud App
Security Hub verfügt über eine App zur Unterstützung der Integration mit Jira. Diese App installiert benutzerdefinierte Felder und einen benutzerdefinierten Problemtyp, der es Security Hub b ermöglicht, bestimmte Attribute zu Security Hub Hub-Ergebnissen auszufüllen.
1. Melden Sie sich als Administrator Atlassian auf Ihrer Site an.
1. Wählen Sie **Einstellungen** und dann **Apps**.
1. Wenn Sie zur Marketplace-Seite weitergeleitet werden, wählen **Sie Neue Apps suchen**. Wenn Sie zur Apps-Seite weitergeleitet werden, wählen **Sie Apps entdecken** und suchen Sie dann nach *AWS Security Hub für Jira Cloud*. Wählen Sie dann **Jetzt herunterladen**.
### 2. Erstellen Sie ein Projekt oder überprüfen Sie bestehende Projekte
Dieser Schritt ist erforderlich, wenn Sie kein Projekt erstellt haben. Informationen zum Erstellen eines Projekts finden Sie in der Jira Cloud Support Dokumentation unter [Neues Projekt erstellen](https://support.atlassian.com/jira-software-cloud/docs/create-a-new-project/).
**Voraussetzungen für die Erstellung eines Projekts**
Stellen Sie sicher, dass Sie beim Erstellen eines neuen Projekts Folgendes beachten.
+ Wählen Sie **Softwareentwicklung** für die Projektvorlage aus.
+ Wählen Sie als Projekttyp vom **Unternehmen verwaltet** aus.
**Anforderungen für bestehende Projekte**
Bei allen bestehenden Projekten in Ihrer Jira-Umgebung, die in Security Hub integriert werden, muss es sich um ein vom **Unternehmen** verwaltetes Projekt handeln.
### 3. Fügen Sie Ihre Projekte zur AWS Security Hub for Jira Cloud App hinzu
Damit Security Hub Ergebnisse erfolgreich an Ihre Jira-Umgebung senden kann, muss jedes Projekt, das Sie mit Security Hub verwenden möchten, mit dem AWS Security Hub für Jira Cloud App verknüpft sein. Durch die Verknüpfung eines Jira-Projekts mit der App wird sichergestellt, dass die erforderlichen benutzerdefinierten Felder für dem Projekt zugeordnet sind und ausgefüllt werden können, wenn Security Hub Ergebnisse an das Projekt sendet.
1. Melden Sie sich als Administrator auf Ihrer Atlassian Site an.
1. Wählen Sie **Einstellungen** und dann **Apps**.
1. Wählen Sie in der Liste der Apps **AWS Security Hub for Jira Cloud** aus.
1. Wählen Sie den Tab **Connector-Einstellungen**.
1. Wählen Sie unter **Aktivierte Projekte** die Option **Jira-Projekt hinzufügen** aus.
1. Wählen Sie in der Dropdownliste die Option **Alle hinzufügen** oder wählen Sie ein Projekt aus. Wiederholen Sie diesen Teil des Schritts, wenn Sie mehr als ein Projekt hinzufügen möchten, aber nicht alle Projekte.
1. Wählen Sie **Speichern**.
Auf der Registerkarte **Installation Manager** können Sie überprüfen, welche Projekte erfolgreich installiert wurden. Auf der Registerkarte **Installation Manager** können Sie auch Konfigurationen für Felder, Bildschirme, Status und Workflows überprüfen.
Weitere Informationen Jira Cloud dazu finden Sie in den [Jira CloudRessourcen](https://support.atlassian.com/jira-software-cloud/resources/) auf der Atlassian Website.
## Empfehlungen
**Erstellen Sie ein spezielles Systemkonto für Ihre Jira-Umgebung**
Die Integration von Security Hub mit Jira Cloud verwendet eine OAuth Verbindung, die einem bestimmten Benutzer innerhalb Ihrer Jira-Instanz zugeordnet ist. Aus den folgenden Gründen wird für Ihre OAuth Verbindung empfohlen, ein spezielles Systemkonto für Ihre Security Hub Hub-Verbindung zu erstellen:
+ Ein dedizierter Systembenutzer stellt sicher, dass die Verbindung nicht mit einem Mitarbeiter verknüpft ist, dessen Berechtigungen für die Jira-Umgebung sich im Laufe der Zeit ändern könnten, was die Integrationsfähigkeit von Security Hub in Ihre Jira-Umgebung beeinträchtigen könnte.
+ Bei jedem Problem, das Security Hub in Jira erstellt, wird ein von diesem Benutzernamen erstellt, mit dem die OAuth Verbindung hergestellt wurde, angezeigt. Wenn Sie ein Systemkonto für die OAuth Verbindung verwenden, wird dieses Systemkonto als Ticketersteller angezeigt. Dadurch wird sichtbar, dass das Ergebnis über die Security Hub Hub-Integration und nicht manuell von einem anderen Jira-Benutzer erstellt wurde.
## Konfigurieren Sie eine Integration zwischen Security Hub und Jira Cloud
Das folgende Verfahren muss für jedes Ihrer Jira Cloud Projekte abgeschlossen werden, an das Sie Security Hub Hub-Ergebnisse senden möchten.
**Anmerkung**
Wenn Sie einen Jira Cloud Connector erstellen, werden Sie vom aktuellen AWS-Region zu weitergeleitet`"https://3rdp.oauth.console.api.aws"`, sodass Sie die Connector-Registrierung abschließen können. Danach kehren Sie zu dem Ort zurück, AWS-Region an dem der Konnektor erstellt wird.
**Um eine Integration zu konfigurieren für Jira Cloud**
1. Melden Sie sich mit Ihren Zugangsdaten bei Ihrem AWS Konto an und öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home? region=us-ost-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. **Wählen Sie im Navigationsbereich **Management und dann Integrationen** aus.**
1. Wählen Sie **HinzufügenJira Cloud** aus.
1. Geben Sie **unter Details** einen eindeutigen und aussagekräftigen Namen für Ihre Integration ein und legen Sie fest, ob Sie eine optionale Beschreibung für Ihre Integration eingeben möchten.
1. Wählen Sie **unter Verschlüsselungen** aus, wie Sie Ihre Anmeldeinformationen für die Integration in Security Hub verschlüsseln möchten.
+ Eigenen **Schlüssel verwenden AWS ** — Bei dieser Option wird ein Security Hub-eigener Serviceschlüssel verwendet, um Ihre Integrationsanmeldedaten innerhalb von Security Hub zu verschlüsseln.
+ **Wählen Sie einen anderen KMS-Schlüssel (erweitert)** — Mit dieser Option wählen Sie einen AWS KMS key , den Sie erstellt haben und den Sie für die Verschlüsselung Ihrer Integrationsdaten in Security Hub verwenden möchten. Informationen zum Erstellen eines AWS KMS Schlüssels finden Sie unter [Create a AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im * AWS Key Management Service Developer* Guide. Wenn Sie Ihren eigenen Schlüssel verwenden möchten, müssen Sie dem KMS-Schlüssel Richtlinienanweisungen hinzufügen, die Security Hub den Zugriff auf den Schlüssel ermöglichen. Einzelheiten zu den erforderlichen [Richtlinien finden Sie in den AWS KMS wichtigsten Richtlinien für Security Hub-Ticketintegrationen](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations-key-policy.html).
**Anmerkung**
Sie können diese Einstellungen nicht mehr ändern, sobald Sie diese Konfiguration abgeschlossen haben. Wenn Sie jedoch **Benutzerdefinierter Schlüssel** wählen, können Sie Ihre benutzerdefinierte Schlüsselrichtlinie jederzeit bearbeiten.
1. (Optional) Erstellen Sie für **Tags** ein Tag und fügen Sie es Ihrer Integration hinzu. Sie können bis zu 50 Tags hinzufügen.
1. Wählen Sie für **Autorisierungen** die Option **Connector erstellen und autorisieren** aus. Es erscheint ein Pop-up, in dem Sie **Zulassen** wählen, um die Autorisierung abzuschließen. Nachdem Sie die Autorisierung abgeschlossen haben, wird ein Kontrollkästchen angezeigt, das Sie darüber informiert, dass die Autorisierung erfolgreich war.
1. Geben Sie für **Konfigurationen** die Jira Cloud Projekt-ID ein.
1. Wählen Sie **Vollständige Konfiguration** aus. Nachdem Sie die Konfiguration abgeschlossen haben, können Sie Ihre konfigurierten Integrationen auf der Registerkarte **Konfigurierte Integrationen** einsehen.
Sobald Sie Ihre Integration mit Jira konfiguriert haben, können Sie die Verbindung testen, um sicherzustellen, dass in Ihrer Jira-Umgebung und in Security Hub alles richtig konfiguriert ist. Weitere Informationen finden Sie unter [Konfigurierte Ticketing-Integrationen testen](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-test-ticket-integration.html).
## Zusätzliche Informationen zur Jira-Integration
**Überlegungen zur Ratenbegrenzung**
Jira setzt API-Ratenbegrenzungen durch, um die Servicestabilität aufrechtzuerhalten und eine faire Nutzung auf der gesamten Plattform zu gewährleisten. Bei Verwendung der AWS Security Hub Hub-Integration mit Jira können sich diese Ratenbegrenzungen auf die Verarbeitung von Security Hub Hub-Ergebnissen auswirken, insbesondere in Umgebungen, in denen große Mengen an Ergebnissen generiert werden. Dies kann zu einer verzögerten Ticketerstellung führen, und in Szenarien mit extrem hohem Ergebnisvolumen werden einige Ergebnisse möglicherweise überhaupt nicht in Jira-Tickets verarbeitet. Um Ihre Integration zu optimieren, sollten Sie in Erwägung ziehen, Filter für Automatisierungsregeln in Security Hub zu implementieren, um das Ticketing bei den wichtigsten Ergebnissen zu priorisieren, Ihre Jira-API-Nutzung über deren Admin-Konsole zu überwachen und Ihren Workflow auf der Grundlage der spezifischen Ratenlimits Ihrer Jira-Lizenzstufe zu planen. Wenden Sie sich bei geschäftskritischen Implementierungen an Ihren Jira-Administrator, um Ihre Zuteilungen von Ratenlimits zu überprüfen.
Ausführliche Informationen zu den Ratenlimits der Jira-API findest du in der Dokumentation zur [Ratenbegrenzung auf der Website des Atlassian](http://developer.atlassian.com/cloud/jira/platform/rate-limiting/) Developers Guide.
**Authentifizierung und Sicherheit**
Die Jira-API-Authentifizierung erfordert eine korrekte OAuth 2.0-Konfiguration für einen sicheren Zugriff. Stelle sicher, dass deine Anwendung den bewährten Sicherheitsmethoden von Atlassian für die API-Integration entspricht.
Ressourcen:
+ Jira Rest v3: APi [https://developer.atlassian.com/cloud/jira/platform/rest/v3/intro/](https://developer.atlassian.com/cloud/jira/platform/rest/v3/intro/)
+ Implementierung von OAuth 2.0 (3LO): [https://developer.atlassian.com/cloud/oauth/getting-started/implementing-oauth-3lo/](https://developer.atlassian.com/cloud/oauth/getting-started/implementing-oauth-3lo/)
+ Jira Cloud-Apps verwalten: [https://support.atlassian.com/jira-cloud-administration/resources/](https://support.atlassian.com/jira-cloud-administration/resources/)
+ Jira-Berechtigungen verwalten: [https://support.atlassian.com/jira-cloud-administration/docs/manage-project-permissions/](https://support.atlassian.com/jira-cloud-administration/docs/manage-project-permissions/)
# Ein Ticket für eine Jira Cloud Integration erstellen
Nachdem Sie eine Integration mit erstellt habenJira Cloud, können Sie ein Ticket für einen Befund erstellen.
**Anmerkung**
Ein Ergebnis wird während seines gesamten Lebenszyklus immer einem einzelnen Ticket zugeordnet. Alle nachfolgenden Aktualisierungen eines Ergebnisses nach der ersten Erstellung werden an dasselbe Ticket gesendet. Wenn ein mit einer Automatisierungsregel verknüpfter Connector geändert wird, wird der aktualisierte Connector nur für neue und eingehende Ergebnisse verwendet, die den Regelkriterien entsprechen.
**Um ein Ticket für einen Befund zu erstellen**
1. Melden Sie sich mit Ihren Zugangsdaten bei Ihrem AWS Konto an und öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home? region=us-ost-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. **Wählen Sie im Navigationsbereich unter **Inventar** die Option Findings aus.**
1. Wählen Sie ein Ergebnis aus. Wählen Sie im Ergebnis die Option **Ticket erstellen** aus.
1. Öffnen Sie für **Integration** das Drop-down-Menü und wählen Sie eine Integration aus. Diese Integration ist die Integration, die Sie zuvor bei der Konfiguration des Jira Cloud Projekts erstellt haben. Wählen Sie die Integration aus, an die die Ergebnisse gesendet werden sollen.
1. Wählen Sie **Erstellen** aus.
# Ein Ticket für eine Jira Cloud Integration anzeigen
Nachdem Sie ein Ticket für einen Befund erstellt haben, können Sie das Ticket auf Ihrer Jira Cloud Instanz öffnen.
**Um einen Befund auf deiner Jira Cloud Instanz anzusehen**
1. Melden Sie sich mit Ihren Zugangsdaten bei Ihrem AWS Konto an und öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home? region=us-ost-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. **Wählen Sie im Navigationsbereich unter **Inventar** die Option Findings aus.**
1. Wählen Sie die Suche aus, in der Sie das Ticket erstellt haben.
1. Wählen Sie in der Suche die Ticket-ID aus, um das Ticket auf Ihrer Jira Cloud Instanz anzuzeigen, oder wählen Sie „**JSON anzeigen**“ aus.
# Integrationen für ServiceNow
In diesem Thema wird beschrieben, wie Sie auf die Security Hub Hub-Konsole zugreifen, um eine Integration für zu konfigurierenServiceNow ITSM. Bevor Sie eines der Verfahren in diesem Thema abschließen können, müssen Sie über ein Abonnement verfügen, ServiceNow ITSM bevor Sie diese Integration hinzufügen können. Weitere Informationen finden Sie auf [der Seite mit den Preisen](https://www.servicenow.com/lpgp/pricing-itsm.html) auf der ServiceNow Website.
Für Konten in einer Organisation kann nur der delegierte Administrator eine Integration konfigurieren. Der delegierte Administrator kann die Funktion „Ticket erstellen“ manuell für alle Ergebnisse zu Mitgliedskonten verwenden. Darüber hinaus kann der delegierte Administrator mithilfe von [Automatisierungsregeln](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-automation-rules.html) automatisch Tickets für alle Ergebnisse im Zusammenhang mit Mitgliedskonten erstellen. Bei der Definition einer Automatisierungsregel kann der delegierte Administrator Kriterien festlegen, die alle Mitgliedskonten oder bestimmte Mitgliedskonten umfassen können. Informationen zum Einrichten eines delegierten Administrators finden Sie unter [Ein delegiertes Administratorkonto in Security](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-set-da.html) Hub einrichten.
Für Konten, die nicht zu einer Organisation gehören, sind alle Aspekte dieser Funktion verfügbar.
## Voraussetzungen — ServiceNow Umgebung konfigurieren
Sie müssen die folgenden Voraussetzungen erfüllen, bevor Sie eine Integration für konfigurieren könnenServiceNow ITSM. Andernfalls funktioniert Ihre Integration zwischen ServiceNow ITSM und Security Hub nicht.
### 1. Installieren Sie die Security Hubfinds-Integration für IT Service Management (ITSM)
Das folgende Verfahren beschreibt, wie das Security Hub-Plugin installiert wird.
1. Melden Sie sich bei Ihrer ServiceNow ITSM Instance an und öffnen Sie dann den Anwendungsnavigator.
1. Navigieren Sie zum [ServiceNow Store](https://store.servicenow.com/store).
1. Suchen Sie nach *Security Hub Findings Integration for IT Service Management (ITSM)* und wählen Sie dann **Get**, um die Anwendung zu installieren.
**Anmerkung**
Wählen Sie in den Einstellungen für die Security Hub Hub-Anwendung aus, welche Aktion ausgeführt werden soll, wenn neue Security Hub Hub-Ergebnisse an Ihre ServiceNow ITSM Umgebung gesendet werden. Sie können „**Nichts tun**“, „**Vorfall erstellen**“, „**Problem erstellen**“ oder „**Beides erstellen“ (Vorfall/Problem**) wählen.
### 2. Konfigurieren Sie den Gewährungstyp „Client-Anmeldeinformationen“ für eingehende Anfragen OAuth
Sie müssen diesen Gewährungstyp für eingehende OAuth Anfragen konfigurieren. Weitere Informationen finden Sie auf der ServiceNow Support-Webseite unter Die [Art der Gewährung von Kundenanmeldeinformationen für eingehende Anrufe OAuth wird unterstützt](https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645212).
### 3. Erstellen Sie eine Anwendung OAuth
Wenn Sie bereits eine OAuth Anwendung erstellt haben, können Sie diese Voraussetzung überspringen. Informationen zum Erstellen einer OAuth Anwendung finden Sie unter [Einrichtung OAuth](https://www.servicenow.com/docs/csh?topicname=client-credentials.html&version=latest).
## Voraussetzungen — konfigurieren AWS Secrets Manager
Um die Integration von Security Hub mit nutzen zu können ServiceNow, müssen die Anmeldeinformationen für Ihre ServiceNow OAuth Anwendung in Secrets Manager gespeichert sein. Wenn Sie Ihre Anmeldeinformationen in Secrets Manager speichern, haben Sie die Kontrolle und den Überblick über die Verwendung der Anmeldeinformationen und ermöglichen es Security Hub gleichzeitig, die Anmeldeinformationen für die Integration in Ihre ServiceNow Instance zu verwenden. Um Ihre Anmeldeinformationen in Secrets Manager zu speichern, müssen Sie einen vom Kunden verwalteten AWS KMS Schlüssel verwenden, um die Geheimnisse zu schützen. Mit diesem AWS KMS Schlüssel können Sie die Geheimnisse schützen, während sie im Ruhezustand gespeichert sind. Außerdem können Sie dem Schlüssel eine Richtlinie zuordnen, die Security Hub Zugriff auf den Schlüssel gewährt, der das Geheimnis schützt.
Gehen Sie wie folgt vor, um Secrets Manager für Ihre ServiceNow Anmeldeinformationen zu konfigurieren.
### Schritt 1: Hängen Sie Ihrem AWS KMS Schlüssel eine Richtlinie an
Um Ihre ServiceNow Integration erfolgreich zu konfigurieren, müssen Sie Security Hub zunächst die Berechtigungen zur Verwendung des AWS KMS Schlüssels erteilen, der Ihren ServiceNow Anmeldeinformationen in Secrets Manager zugeordnet wird.
**So ändern Sie die AWS KMS Schlüsselrichtlinie für den Zugriff auf Ihre ServiceNow Anmeldeinformationen durch Security Hub**
1. Öffnen Sie die AWS KMS Konsole unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um die AWS Region zu ändern, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. *Wählen Sie einen vorhandenen AWS KMS Schlüssel aus oder führen Sie die Schritte zum [Erstellen eines neuen Schlüssels](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im AWS KMS Entwicklerhandbuch aus.*
1. Wählen Sie im Abschnitt **Key policy** (Schlüsselrichtlinie) die Option **Edit** (Bearbeiten) aus.
1. Wenn **Zur Richtlinienansicht wechseln** angezeigt wird, wählen Sie diese aus, um die Schlüsselrichtlinie anzuzeigen, und klicken Sie dann auf **Bearbeiten**.
1. Kopieren Sie den folgenden Richtlinienblock in Ihre AWS KMS Schlüsselrichtlinie, um Security Hub die Erlaubnis zu erteilen, Ihren Schlüssel zu verwenden.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::your-account-id:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow Security Hub connector service to decrypt secrets",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.your-region.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*"
}
}
}
]
}
```
1. Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte im Richtlinienbeispiel ersetzen:
+ *your-account-id*Ersetzen Sie es durch Ihre AWS Konto-ID.
+ *your-region*Ersetze es durch deine AWS Region (z. B.`us-east-1`).
1. Wenn Sie die Grundsatzerklärung vor der Schlusserklärung hinzugefügt haben, fügen Sie vor dem Hinzufügen dieser Erklärung ein Komma hinzu. Stellen Sie sicher, dass die JSON-Syntax Ihrer AWS KMS wichtigsten Richtlinie gültig ist.
1. Wählen Sie **Speichern**.
1. (Optional) Kopieren Sie den Schlüssel ARN auf einen Notizblock, um ihn in den späteren Schritten zu verwenden.
### Schritt 2: Erstellen Sie das Geheimnis in Secrets Manager
Erstellen Sie in Secrets Manager ein Geheimnis, in dem Ihre ServiceNow Anmeldeinformationen gespeichert werden. Security Hub greift bei der Interaktion mit Ihrer ServiceNow Umgebung auf dieses Geheimnis zu.
Folgen Sie den Anweisungen [zum Erstellen eines Geheimnisses](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) im *AWS Secrets Manager Benutzerhandbuch*. Nachdem Sie Ihr Secret erstellt haben, kopieren Sie den Secret ARN, da Sie ihn für die Erstellung Ihres Security Hub Hub-Connectors benötigen.
Achten Sie bei der Erstellung des Secrets darauf, dass Sie Folgendes konfigurieren:
**Geheimtyp**
Other type of secret (Andere Art von Secret)
**Schlüssel/Wert-Paare (Klartext-Format)**
```
{
"ClientId": "your-servicenow-client-id",
"ClientSecret": "your-servicenow-client-secret"
}
```
Die Feldnamen müssen exakt `ClientId` und `ClientSecret` (Groß- und Kleinschreibung beachten) sein. Security Hub benötigt genau diese Namen, um die Anmeldeinformationen abzurufen.
**Verschlüsselungsschlüssel**
Verwenden Sie den AWS KMS Schlüssel, den Sie in Schritt 1 konfiguriert haben
**Ressourcenrichtlinie**
Verwenden Sie die folgende Ressourcenrichtlinie:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id",
"aws:SourceArn": "arn:aws:securityhub:your-region:your-account-id:*"
}
}
}
]
}
```
Nachdem Ihr Secret konfiguriert ist, können Sie mithilfe der CreateConnector V2-API oder AWS -Konsole einen Security Hub Hub-Connector erstellen. Sie müssen Folgendes angeben:
+ **InstanceName**: Ihre ServiceNow Instanz-URL (zum Beispiel`your-instance.service-now.com`)
+ **SecretArn**: Der ARN des Secrets, das Sie in diesem Verfahren erstellt haben
## Konfigurieren Sie eine Integration für ServiceNow ITSM
Security Hub kann Vorfälle oder Probleme automatisch in erstellenServiceNow ITSM.
**Um eine Integration zu konfigurieren für ServiceNow ITSM**
1. Melden Sie sich mit Ihren Zugangsdaten bei Ihrem AWS Konto an und öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home? region=us-ost-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. **Wählen Sie im Navigationsbereich **Management und dann Integrationen** aus.**
1. Wählen Sie **ServiceNow ITSM**unter **Integration hinzufügen** aus.
1. Geben Sie unter **Details** einen Namen für Ihre Integration ein und legen Sie fest, ob Sie eine optionale Beschreibung für Ihre Integration eingeben möchten.
1. Wählen Sie **unter Verschlüsselungen** aus, wie Sie Ihre Anmeldeinformationen für die Integration in Security Hub verschlüsseln möchten.
+ Eigenen **Schlüssel verwenden AWS ** — Bei dieser Option wird ein Security Hub-eigener Serviceschlüssel verwendet, um Ihre Integrationsanmeldedaten innerhalb von Security Hub zu verschlüsseln.
+ **Wählen Sie einen anderen KMS-Schlüssel (erweitert)** — Mit dieser Option wählen Sie einen AWS KMS key , den Sie erstellt haben und den Sie für die Verschlüsselung Ihrer Integrationsdaten in Security Hub verwenden möchten. Informationen zum Erstellen eines AWS KMS Schlüssels finden Sie unter [Create a AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) im * AWS Key Management Service Developer* Guide. Wenn Sie Ihren eigenen Schlüssel verwenden möchten, müssen Sie dem KMS-Schlüssel Richtlinienanweisungen hinzufügen, die Security Hub den Zugriff auf den Schlüssel ermöglichen. Einzelheiten zu den erforderlichen [Richtlinien finden Sie in den AWS KMS wichtigsten Richtlinien für Security Hub-Ticketintegrationen](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations-key-policy.html).
**Anmerkung**
Sie können diese Einstellungen nicht mehr ändern, sobald Sie diese Konfiguration abgeschlossen haben. Wenn Sie jedoch **Benutzerdefinierter Schlüssel** wählen, können Sie Ihre benutzerdefinierte Schlüsselrichtlinie jederzeit bearbeiten.
1. Geben Sie unter **Anmeldeinformationen** Ihre ServiceNow ITSM URL und den ARN Ihres AWS Secrets Manager Geheimnisses ein, der im Abschnitt Voraussetzungen generiert wurde.
1. Legen Sie für **Tags** fest, ob Sie ein optionales Tag erstellen und zu Ihrer Integration hinzufügen möchten.
1. Wählen Sie **Add Integration** (Integration hinzufügen) aus. Nachdem Sie die Konfiguration abgeschlossen haben, können Sie Ihre konfigurierten Integrationen auf der Registerkarte **Konfigurierte Integrationen** einsehen.
Sobald Sie Ihre Integration mit konfiguriert haben, können ServiceNow Sie die Verbindung testen, um sicherzustellen, dass in Ihrer ServiceNow Umgebung und in Security Hub alles richtig konfiguriert ist. Weitere Informationen finden Sie unter [Konfigurierte Ticketing-Integrationen testen](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-test-ticket-integration.html).
# Ein Ticket für eine Integration erstellen ServiceNow ITSM
Nachdem Sie eine Integration mit erstellt habenServiceNow ITSM, können Sie ein Ticket für einen Befund erstellen.
**Anmerkung**
Ein Ergebnis wird während seines gesamten Lebenszyklus immer einem einzelnen Ticket zugeordnet. Alle nachfolgenden Aktualisierungen eines Ergebnisses nach der ersten Erstellung werden an dasselbe Ticket gesendet. Wenn ein mit einer Automatisierungsregel verknüpfter Connector geändert wird, wird der aktualisierte Connector nur für neue und eingehende Ergebnisse verwendet, die den Regelkriterien entsprechen.
**Um ein Ticket für einen Befund zu erstellen**
1. Melden Sie sich mit Ihren Zugangsdaten bei Ihrem AWS Konto an und öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home? region=us-ost-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. **Wählen Sie im Navigationsbereich unter **Inventar** die Option Findings aus.**
1. Wählen Sie ein Ergebnis aus. Wählen Sie im Ergebnis die Option **Ticket erstellen** aus.
1. Öffnen Sie für **Integration** das Drop-down-Menü und wählen Sie eine Integration aus.
1. Wählen Sie **Erstellen** aus.
# Ein Ticket für eine ServiceNow ITSM Integration anzeigen
Nachdem Sie ein Ticket für einen Befund erstellt haben, können Sie das Ticket auf Ihrer ServiceNow ITSM Instanz öffnen.
**Um einen Befund auf deiner ServiceNow ITSM Instanz anzusehen**
1. Melden Sie sich mit Ihren Zugangsdaten bei Ihrem AWS Konto an und öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home? region=us-ost-1](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1).
1. **Wählen Sie im Navigationsbereich unter **Inventar** die Option Findings aus.**
1. Wählen Sie die Suche aus, in der Sie das Ticket erstellt haben.
1. Wählen Sie in der Suche die Ticket-ID aus, um das Ticket auf Ihrer ServiceNow ITSM Instanz anzuzeigen, oder wählen Sie „**JSON anzeigen**“ aus.
# Wichtige KMS-Richtlinien für Security Hub-Ticketintegrationen
Bei der Verwendung von kundenverwalteten KMS-Schlüsseln mit Security Hub-Ticketintegrationen müssen dem KMS-Schlüssel zusätzliche Richtlinien hinzugefügt werden, damit Security Hub mit dem Schlüssel interagieren kann. Darüber hinaus müssen Richtlinien hinzugefügt werden, die dem Principal, der den Schlüssel zum Security Hub Hub-Connector hinzufügt, Zugriff auf den Schlüssel gewähren.
## Security Hub Hub-Berechtigungsrichtlinie
Die folgende Richtlinie beschreibt die Berechtigungen, die Security Hub benötigt, um auf den KMS-Schlüssel zugreifen und ihn verwenden zu können, der mit Ihrem Jira und Ihren ServiceNow Connectors verknüpft ist. Diese Richtlinie muss jedem KMS-Schlüssel hinzugefügt werden, der einem Security Hub Hub-Connector zugeordnet ist.
Die Richtlinie enthält die folgenden Berechtigungen:
+ Ermöglicht Security Hub, Tokens, die für die Kommunikation mit Ihren Ticketing-Integrationen verwendet werden, mithilfe des Schlüssels zu schützen, temporär darauf zuzugreifen oder sie zu aktualisieren. Die Berechtigungen sind über den Bedingungsblock, der den Quell-ARN und den Verschlüsselungskontext überprüft, auf Vorgänge im Zusammenhang mit bestimmten Security Hub Hub-Connectoren beschränkt.
+ Ermöglicht Security Hub, Metadaten über den KMS-Schlüssel zu lesen, indem der `DescribeKey` Vorgang zugelassen wird. Diese Berechtigung ist erforderlich, damit Security Hub den Status und die Konfiguration des Schlüssels überprüfen kann. Der Zugriff ist über die ARN-Quellbedingung auf bestimmte Security Hub Hub-Konnektoren beschränkt.
```
{
"Sid": "Allow Security Hub access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow Security Hub read access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
}
}
}
```
Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte im Richtlinienbeispiel ersetzen:
+ Ersetzen Sie *CloudProviderName* durch `JIRA_CLOUD` oder `SERVICENOW`
+ *AccountId*Ersetzen Sie es durch die Konto-ID, unter der Sie den Security Hub Hub-Connector erstellen.
+ *Region*Ersetzen Sie es durch Ihre AWS Region (z. B.`us-east-1`).
## IAM-Prinzipalzugriff für Security Hub Hub-Operationen
Jeder Principal, der einem Security Hub Hub-Connector vom Kunden verwaltete KMS-Schlüssel zuweist, muss über die erforderlichen Berechtigungen verfügen, um Schlüsseloperationen (Beschreiben, Generieren, Entschlüsseln, Erneut verschlüsseln und Aliase auflisten) für den Schlüssel auszuführen, der dem Connector hinzugefügt wird. Dies gilt für und. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html) APIs Die folgende Grundsatzerklärung sollte als Teil der Richtlinie für jeden Auftraggeber enthalten sein, der mit diesen zu tun hat APIs.
```
{
"Sid": "Allow permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow read permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
}
}
}
```
Bearbeiten Sie die Richtlinie, indem Sie die folgenden Werte im Richtlinienbeispiel ersetzen:
+ *RoleName*Ersetzen Sie es durch den Namen der IAM-Rolle, die Security Hub aufruft.
+ Ersetzen Sie *CloudProviderName* durch `JIRA_CLOUD` oder `SERVICENOW`.
+ *AccountId*Ersetzen Sie es durch die Konto-ID, unter der Sie den Security Hub Hub-Connector erstellen.
+ *Region*Ersetzen Sie es durch Ihre AWS Region (z. B.`us-east-1`).
# Testen konfigurierter Ticketing-Integrationen
Bei konfiguriertem Jira und ServiceNow Integrationen können Sie die Verbindung testen, um sicherzustellen, dass die gesamte Konfiguration in Security Hub und in Ihrer Jira- oder ServiceNow Umgebung abgeschlossen ist.
Die Testticket-Funktion erstellt ein Ticket mit dem Titel. `TESTING Test CreateTicketV2 Finding` Das Testticket enthält Beispieldaten wie Konto-ID und Region des Kontos, in dem der Test durchgeführt wird, Beispielressourcendetails und Beispiel für AWS Finding JSON.
## Integrationen mithilfe der Konsole testen
Verwenden Sie die folgenden Schritte, um Ihre Integration zu testen:
1. Wählen Sie im Security Hub-Navigationsbereich **Integrationen** aus.
1. Wählen Sie auf der Registerkarte **Konfigurierte Integrationen** die Integration aus, die Sie testen möchten.
1. Wählen Sie auf der Übersichtsseite für Ihre Integration die Option **Testticket erstellen** aus.
1. Wenn der Test erfolgreich war, wird eine Erfolgsmeldung zusammen mit einem Link zum Testticket angezeigt. Wenn der Test nicht erfolgreich war, wird ein Fehler für den Test angezeigt. Beheben Sie anhand der Fehlermeldung die Konfigurationsprobleme in Security Hub oder in Ihrer Jira- oder Service Now-Umgebung.
**Anmerkung**
Die Testticket-Funktion soll dabei helfen, die End-to-End-Funktionalität für die Einrichtung einer neuen Verbindung oder wenn Sie Änderungen an einer bestehenden Verbindung vornehmen, zu überprüfen. Diese Funktion erstellt bei jeder Nutzung ein neues Ticket in Ihrer Jira- oder Service Now-Umgebung und ist nicht für die regelmäßige Überprüfung Ihrer Verbindung vorgesehen.
## Testen mit dem AWS CLI
Um Ihre Integration mit dem zu testen AWS CLI, verwenden Sie den `create-ticket-v2` Befehl mit dem `--mode DRYRUN` Parameter:
```
aws securityhub create-ticket-v2 \
--mode DRYRUN \
--region \
--connector-id \
--finding-metadata-uid "TEST_FINDING"
```
**Beispiel**
Das folgende Beispiel zeigt, wie Sie eine Integration testen:
```
aws securityhub create-ticket-v2 \
--mode DRYRUN \
--region us-east-1 \
--connector-id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--finding-metadata-uid "TEST_FINDING"
```
**Erfolgreiche Antwort**
Eine erfolgreiche Antwort gibt Folgendes zurück:
```
{
"TicketId": "a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
"TicketSrcUrl": "https://your-instance.service-now.com/nav_to.do?uri=x_aws_se_0_finding.do?sys_id=a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6"
}
```
`TicketSrcUrl`In der Antwort finden Sie einen direkten Link zum Anzeigen des Testtickets in Ihrer Jira- oder ServiceNow Umgebung.
Wenn der Test fehlschlägt, wird eine Fehlermeldung angezeigt, die auf das Konfigurationsproblem hinweist, das behoben werden muss.
## Behebung von Fehlern bei der Jira-Cloud-Integration
Wenn Sie Ihre Integration in Jira Cloud von Security Hub aus testen, werden möglicherweise die folgenden Fehlermeldungen zurückgegeben. Diese Fehlermeldungen können Aufschluss darüber geben, wo das Konfigurationsproblem mit dem Connector liegen könnte und wie es behoben werden kann.
**Fehlermeldungen bei der Jira Cloud-Integration**
| Fehler | Fehlermeldung | Wahrscheinliche Ursache und Lösung |
| --- | --- | --- |
| ConflictException | Das Jira-Projekt kann nicht gefunden werden | **Wahrscheinlicher Grund:** Das Projekt auf dem Konnektor ist falsch oder credentials/permissions ein Problem verhindert, dass wir auf das Projekt zugreifen können. **Mögliche Lösung:** Fügen Sie dem Connector das richtige Projekt hinzu oder authentifizieren Sie sich erneut bei Jira mit den richtigen Anmeldeinformationen. |
| ConflictException | Der Security Hub Hub-Problemtyp wurde nicht gefunden | **Wahrscheinliche Ursache:** Das Problem oder der Problemtyp bei der App-Installation ist nicht mit dem Projekt verknüpft. **Mögliche Lösung:** Führen Sie den erforderlichen Schritt aus, um die Jira-App in Ihrer Jira-Umgebung zu installieren, und verknüpfen Sie die App mit dem Projekt. |
# Security Hub deaktivieren
## Security Hub für ein einzelnes Konto deaktivieren
Wenn Ihr Konto nicht Teil einer Organisation ist, können Sie Security Hub jederzeit in der Security Hub Hub-Konsole deaktivieren oder die [DisableSecurityHubV2-API](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableSecurityHubV2.html) verwenden. Wenn Sie Security Hub deaktivieren, werden keine Ergebnisse mehr von Erkennungsmodulen aufgenommen. Außerdem verlieren Sie den Zugriff auf vorhandene Ergebnisse, Integrationen und Konfigurationen.
**So deaktivieren Sie Security Hub**
1. Melden Sie sich mit Ihren Anmeldeinformationen bei Ihrem AWS Konto an und öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Wählen Sie im Navigationsbereich die Option Allgemein aus.**
1. Wählen Sie in Security Hub die Option **Deaktivieren** aus. Geben Sie im Popup-Fenster die Eingabetaste ein **Disable** und wählen Sie **Deaktivieren**.
## Security Hub unternehmensweit deaktivieren
Wenn Sie der delegierte Administrator einer AWS Organisation sind, haben Sie zwei Möglichkeiten, Security Hub für alle Mitgliedskonten zu deaktivieren.
### Option 1: Security Hub mit Erkennungsmodulen deaktivieren
Sie können die Bereitstellung und Richtlinie von **Security Hub (grundlegende und zusätzliche Funktionen)** aus dem Richtlinienkatalog in Ihrem delegierten Administratorkonto nutzen, um Security Hub zusammen mit Amazon Inspector für bestimmte Organisationseinheiten, Konten oder Regionen zu deaktivieren.
**Um Security Hub und Amazon Inspector mithilfe einer Richtlinie für alle Mitgliedskonten zu deaktivieren**
1. Melden Sie sich mit Ihrem AWS Konto mit Ihren delegierten Administratoranmeldedaten an. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Wählen Sie im Navigationsbereich **Management** und dann Configurations aus.**
1. Wählen Sie **Security Hub (grundlegende und zusätzliche Funktionen)** aus dem Konfigurationskatalog aus.
1. Geben Sie auf der Seite **Security Hub konfigurieren** im Abschnitt **Details** einen Namen und eine Beschreibung für die Richtlinie ein (z. B. „Security Hub Hub-Deaktivierungsrichtlinie“).
1. Wählen Sie im Bereich **Kontoauswahl** eine der folgenden Optionen aus. Wählen Sie **Alle Organisationseinheiten und Konten** aus, wenn Sie die Deaktivierung auf alle Organisationseinheiten und Konten anwenden möchten. Wählen Sie **Bestimmte Organisationseinheiten und Konten**, wenn Sie die Deaktivierung auf bestimmte Organisationseinheiten und Konten anwenden möchten. Wenn Sie diese Option wählen, verwenden Sie die Suchleiste oder den Organisationsstrukturbaum, um die Zielorganisationseinheiten und Konten anzugeben.
1. Wählen Sie im Abschnitt **Regionen** die Option **Alle Regionen deaktivieren**, um Security Hub in allen Regionen zu deaktivieren. Wählen Sie optional, ob neue Regionen automatisch deaktiviert werden sollen. Wählen **Sie „Regionen angeben**“, um auszuwählen, welche spezifischen Regionen Sie deaktivieren möchten.
1. (Optional) Informationen zu den **erweiterten Einstellungen** finden Sie in der Anleitung von AWS Organizations.
1. (Optional) Fügen Sie für **Resource-Tags** Tags als Schlüssel-Wert-Paare hinzu, damit Sie die Konfiguration leichter identifizieren können.
1. Wählen Sie **Weiter** aus.
1. **Überprüfen Sie Ihre Änderungen und wählen Sie dann Anwenden.** Ihre Zielkonten werden auf der Grundlage der Richtlinie konfiguriert. Der Konfigurationsstatus Ihrer Richtlinie wird oben auf der Seite Richtlinien angezeigt.
**Amazon GuardDuty und AWS Security Hub CSPM deaktivieren**
Für GuardDuty und Security Hub CSPM-Funktionen müssen Sie die Funktionen in den jeweiligen delegierten Administratorkonten manuell deaktivieren. GuardDuty und Security Hub CSPM verwenden Bereitstellungen (einmalige Aktionen) anstelle von Richtlinien, sodass die Deaktivierung manuell von den jeweiligen Konsolen aus durchgeführt werden muss.
### Option 2: Nur Security Hub deaktivieren
Wenn Sie über eine bestehende Security Hub-Richtlinie verfügen und nur Security Hub deaktivieren möchten, ohne Amazon Inspector oder Security Hub CSPM zu beeinträchtigen, gehen Sie wie folgt vor. GuardDuty
**Um Security Hub nur für Mitgliedskonten zu deaktivieren**
1. Melden Sie sich mit Ihrem AWS Konto mit Ihren delegierten Administratoranmeldedaten an. Öffnen Sie die Security Hub Hub-Konsole unter [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Wählen Sie im Navigationsbereich **Management** und dann Configurations aus.**
1. Wählen Sie eine Ihrer **Security Hub Hub-Richtlinien** aus den **konfigurierten Richtlinien** aus.
1. Klicken Sie auf **Richtlinie bearbeiten** und wählen Sie im Bereich **Kontoauswahl** eine der folgenden Optionen aus. Wählen Sie **Alle Organisationseinheiten und Konten** aus, wenn Sie die Deaktivierung auf alle Organisationseinheiten und Konten anwenden möchten. Wählen Sie **Bestimmte Organisationseinheiten und Konten**, wenn Sie die Deaktivierung auf bestimmte Organisationseinheiten und Konten anwenden möchten. Wenn Sie diese Option wählen, verwenden Sie die Suchleiste oder den Organisationsstrukturbaum, um die Zielorganisationseinheiten und Konten anzugeben.
1. Wählen Sie im Abschnitt **Regionen** die Option **Alle Regionen deaktivieren**, um Security Hub in allen Regionen zu deaktivieren. Wählen Sie optional, ob neue Regionen automatisch deaktiviert werden sollen. Wählen **Sie „Regionen angeben**“, um auszuwählen, welche spezifischen Regionen Sie deaktivieren möchten.
1. (Optional) Informationen zu den **erweiterten Einstellungen** finden Sie in den Anleitungen von AWS Organizations.
1. (Optional) Fügen Sie für **Ressourcen-Tags** Tags als Schlüssel-Wert-Paare hinzu, damit Sie die Konfiguration leichter identifizieren können.
1. Wählen Sie **Weiter** aus.
1. **Überprüfen Sie Ihre Änderungen und wählen Sie dann Anwenden.** Ihre Zielkonten werden auf der Grundlage der Richtlinie konfiguriert. Der Konfigurationsstatus Ihrer Richtlinie wird oben auf der Konfigurationsseite angezeigt.
**Auswirkungen auf andere Sicherheitsdienste**
Die Deaktivierung von Security Hub über eine Security Hub-Richtlinie hat **keine Auswirkungen auf die** Konfigurationen von Security Hub CSPM und Amazon GuardDuty Inspector.
Wenn Sie Amazon Inspector nur für Mitgliedskonten deaktivieren müssen, können Sie die **Vulnerability Management-Richtlinie** aus dem Security Hub-Konfigurationskatalog verwenden. Navigieren Sie zur Security Hub-Konfigurationsseite, wählen Sie **Vulnerability Management von Amazon Inspector aus** und erstellen Sie eine Deaktivierungsrichtlinie, indem Sie die Schritte befolgen, die dem oben beschriebenen Verfahren zur Deaktivierung von Security Hub ähneln.
# Sicherheit im AWS Security Hub
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivität unserer Sicherheitsmaßnahmen im Rahmen der [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/) regelmäßig. Informationen zu den Compliance-Programmen, die für Security Hub gelten, finden Sie unter [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Security Hub anwenden können. In den folgenden Themen erfahren Sie, wie Sie Security Hub so konfigurieren, dass Sie Ihre Sicherheits- und Compliance-Ziele erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, mit denen Sie Ihre Security Hub Hub-Ressourcen überwachen und sichern können.
**Topics**
+ [Datenschutz im AWS Security Hub](sh-data-protection.md)
+ [AWS Identity and Access Management für Security Hub](sh-security-iam.md)
+ [Konformitätsprüfung für AWS Security Hub](sh-securityhub-compliance.md)
+ [Resilienz im AWS Security Hub](sh-disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in AWS Security Hub](sh-infrastructure-security.md)
+ [AWS Security Hub und VPC-Schnittstellen-Endpunkte ()AWS PrivateLink](sh-security-vpc-endpoints.md)
# Datenschutz im AWS Security Hub
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der mit gilt für den Datenschutz in AWS Security Hub. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dazu gehört auch, wenn Sie mit Security Hub oder anderen AWS-Services über die Konsole AWS CLI, API oder arbeiten AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
Security Hub ist ein Serviceangebot für mehrere Mandanten. Um Ihre Daten zu schützen, verschlüsselt Security Hub ruhende Daten und Daten, die zwischen Komponentendiensten übertragen werden.
# Abmeldung von der Verwendung Ihrer Daten zur Serviceverbesserung
**Anmerkung**
Diese Dokumentationsseite gilt nur für den erweiterten AWS Security Hub, der am 2. Dezember 2025 gestartet wurde. Wenn Sie Kunde des ursprünglichen AWS Security Hub (jetzt AWS Security Hub CSPM) sind, gilt die unten beschriebene Datennutzung erst, nachdem Sie den erweiterten AWS Security Hub aktiviert haben.
Sie können sich dafür entscheiden, dass Ihre Daten (in den Security Hub-Nutzungsbedingungen als „Security Hub-Inhalt“ definiert) zur Entwicklung und Verbesserung von Security Hub und anderen AWS AWS Sicherheitsdiensten verwendet werden, indem Sie die Opt-Out-Richtlinie der AWS Organizations verwenden. Sie können sich auch dann abmelden, wenn Security Hub derzeit keine derartigen Inhalte sammelt. Weitere Informationen zur Deaktivierung finden Sie in den [Opt-Out-Richtlinien für KI-Services](orgs_manage_policies_ai-opt-out.html) im *Benutzerhandbuch für AWS Organizations *.
**Anmerkung**
Damit Sie die Opt-Out-Richtlinie nutzen können, müssen Ihre AWS Konten zentral von AWS Organizations verwaltet werden. Wenn Sie noch keine Organisation für Ihre AWS Konten erstellt haben, finden Sie [weitere Informationen unter Organisation erstellen und verwalten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) im *AWS Organizations Benutzerhandbuch*.
Opt-Out hat folgende Auswirkungen:
+ Security Hub löscht die gesammelten und gespeicherten Inhalte, um den Service zu verbessern, bevor Sie sich abmelden (falls vorhanden).
+ Nach Ihrer Abmeldung sammelt oder speichert Security Hub diese Inhalte nicht mehr zu Zwecken der Serviceverbesserung.
Im folgenden Abschnitt wird erklärt, wie Security Hub mit Ihren Inhalten umgeht, um den Service zu verbessern.
## AWS Nutzung von Security Hub Hub-Daten
Derzeit sammelt oder speichert AWS Security Hub keine Security Hub Hub-Inhalte zu Zwecken der Serviceverbesserung. In future kann Security Hub jedoch Sicherheitserkenntnisse Dritter, die Sie in Security Hub und anderen Formen von Security Hub-Inhalten (die Security Hub von Ihnen oder vorgelagerten Diensten zur Bereitstellung von Security Hub-Funktionen erhält) zusammenfassen, sammeln und verwenden, um Security Hub und andere AWS Sicherheitsdienstfunktionen zu verbessern.
Ihr Vertrauen, Ihre Privatsphäre und die Sicherheit Ihrer Inhalte haben für uns höchste Priorität. Wenn Security Hub in future damit beginnt, Security Hub Hub-Inhalte zu Zwecken der Serviceverbesserung zu sammeln, wird diese Seite aktualisiert, um diese Änderungen widerzuspiegeln und Einzelheiten darüber bereitzustellen, welche Daten gesammelt und wie sie verwendet werden. Sie können sich jederzeit von dieser Security Hub-Inhaltserfassung abmelden, indem Sie die oben beschriebene Opt-Out-Richtlinie für AWS Organizations verwenden. Weitere Informationen zu den AWS Datenschutzpraktiken finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/).
## Referenzen
Ähnliche Opt-Out-Verfahren in anderen AWS Sicherheitsdiensten finden Sie unter:
+ [Abmeldung von der Verwendung Ihrer Daten zur Serviceverbesserung](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-opting-out-using-data.html) im * GuardDuty Amazon-Benutzerhandbuch*.
+ [Abmeldung von der Verwendung Ihrer Daten zur Serviceverbesserung](https://docs.aws.amazon.com/security-lake/latest/userguide/opting-out-of-using-your-data.html) finden Sie im *Amazon Security Lake-Benutzerhandbuch*.
# AWS Identity and Access Management für Security Hub
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Security Hub Hub-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [So funktioniert Security Hub mit IAM](sh_security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](sh_security_iam_id-based-policy-examples.md)
+ [Serviceverknüpfte Rollen für AWS Security Hub](sh-using-service-linked-roles.md)
+ [AWS verwaltete Richtlinien für Security Hub](sh-security-iam-awsmanpol.md)
+ [Fehlerbehebung bei Identität und Zugriff auf AWS Security Hub](sh-security_iam_troubleshoot.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Identität und Zugriff auf AWS Security Hub](sh-security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Security Hub mit IAM](sh_security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](sh_security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# So funktioniert Security Hub mit IAM
Bevor Sie AWS Identity and Access Management (IAM) zur Verwaltung des Zugriffs auf AWS Security Hub verwenden, sollten Sie sich darüber informieren, welche IAM-Funktionen für die Verwendung mit Security Hub verfügbar sind.
**IAM-Funktionen, die Sie mit AWS Security Hub verwenden können**
| IAM-Feature | Security Hub Hub-Unterstützung |
| --- | --- |
| [Identitätsbasierte Richtlinien](#sh_security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#sh_security_iam_service-with-iam-resource-based-policies) | Nein |
| [Richtlinienaktionen](#sh_security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#sh_security_iam_service-with-iam-id-based-policies-resources) | Nein |
| [Bedingungsschlüssel für die Richtlinie](#sh_security_iam_service-with-iam-id-based-policies-conditionkeys) | Ja |
| [Zugriffskontrolllisten (ACLs)](#sh_security_iam_service-with-iam-acls) | Nein |
| [Attributbasierte Zugriffskontrolle (ABAC) — Tags in Richtlinien](#sh_security_iam_service-with-iam-tags) | Ja |
| [Temporäre Anmeldeinformationen](#sh_security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Forward Access Sessions (FAS)](#sh_security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#sh_security_iam_service-with-iam-roles-service) | Nein |
| [Serviceverknüpfte Rollen](#sh_security_iam_service-with-iam-roles-service-linked) | Ja |
Einen allgemeinen Überblick darüber, wie Security Hub und andere mit den meisten IAM-Funktionen AWS-Services funktionieren [AWS-Services , finden Sie im IAM-Benutzerhandbuch unter Diese funktionieren mit](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *IAM*.
## Identitätsbasierte Richtlinien für Security Hub
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
Security Hub unterstützt identitätsbasierte Richtlinien. Weitere Informationen finden Sie unter [Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](sh_security_iam_id-based-policy-examples.md).
## Ressourcenbasierte Richtlinien für Security Hub
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
Security Hub unterstützt keine ressourcenbasierten Richtlinien. Sie können eine IAM-Richtlinie nicht direkt an eine Security Hub Hub-Ressource anhängen.
## Richtlinienaktionen für Security Hub
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Richtlinienaktionen in Security Hub verwenden vor der Aktion das folgende Präfix:
```
securityhub:
```
Um einem Benutzer beispielsweise die Erlaubnis zu erteilen, Security Hub zu aktivieren, was eine Aktion ist, die dem `EnableSecurityHubV2` Betrieb der Security Hub Hub-API entspricht, nehmen Sie die `securityhub:EnableSecurityHubV2` Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Security Hub definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
```
"Action": "securityhub:EnableSecurityHubV2"
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata: Beispiel:
```
"Action": [
"securityhub:EnableSecurityHubV2",
"securityhub:CreateAutomationRuleV2"
```
Sie können auch mehrere Aktionen mithilfe von Platzhaltern (\$1) angeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Get` beginnen, einschließlich der folgenden Aktion:
```
"Action": "securityhub:Get*"
```
Als bewährte Methode sollten Sie jedoch Richtlinien erstellen, die dem Prinzip der geringsten Rechte folgen. Mit anderen Worten, Sie sollten Richtlinien erstellen, die nur die Berechtigungen enthalten, die zum Ausführen einer bestimmten Aufgabe erforderlich sind.
Eine Liste der Security Hub-Aktionen finden Sie unter [Von AWS Security Hub definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) in der *Serviceautorisierungsreferenz*. Beispiele für Richtlinien, die Security Hub Hub-Aktionen spezifizieren, finden Sie unter[Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](sh_security_iam_id-based-policy-examples.md).
## Richtlinienressourcen für Security Hub
**Unterstützt Richtlinienressourcen:** Nein
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Security Hub definiert die folgenden Ressourcentypen:
+ Hub (Hub)
+ Produkt
+ Finding-Aggregator, auch als *regionsübergreifender* Aggregator bezeichnet
+ Automatisierungsregel
Sie können diese Ressourcentypen in Richtlinien angeben, indem Sie ARNs
Eine Liste der Security Hub-Ressourcentypen und der ARN ARN-Syntax finden Sie unter [Von AWS Security Hub definierte Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssecurityhub.html#awssecurityhub-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen darüber, welche Aktionen Sie für jeden Ressourcentyp angeben können, finden Sie unter [Von AWS Security Hub definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) in der *Serviceautorisierungsreferenz*. Beispiele für Richtlinien, die Ressourcen spezifizieren, finden Sie unter[Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](sh_security_iam_id-based-policy-examples.md).
## Schlüssel für Richtlinienbedingungen für Security Hub
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Security Hub-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für AWS Security Hub](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssecurityhub.html#awssecurityhub-policy-keys) in der *Service Authorization Reference*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von AWS Security Hub definierte Aktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssecurityhub.html#awssecurityhub-actions-as-permissions). Beispiele für Richtlinien, die Bedingungsschlüssel verwenden, finden Sie unter[Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](sh_security_iam_id-based-policy-examples.md).
## Zugriffskontrolllisten (ACLs) in Security Hub
**Unterstützt ACLs:** Nein
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Security Hub unterstützt nicht ACLs, was bedeutet, dass Sie einer Security Hub Hub-Ressource keine ACL zuordnen können.
## Attributbasierte Zugriffskontrolle (ABAC) mit Security Hub
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
Sie können Tags an Security Hub Hub-Ressourcen anhängen. Sie können den Zugriff auf Ressourcen auch kontrollieren, indem Sie Tag-Informationen im `Condition` Element einer Richtlinie angeben.
Informationen zum Taggen von Security Hub Hub-Ressourcen finden Sie unter[Kennzeichnen von Security Hub Hub-Ressourcen](tagging-resources.md). Ein Beispiel für eine identitätsbasierte Richtlinie, die den Zugriff auf eine Ressource anhand von Tags steuert, finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM](sh_security_iam_id-based-policy-examples.md)
## Temporäre Anmeldeinformationen mit Security Hub verwenden
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie den Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
Security Hub unterstützt die Verwendung temporärer Anmeldeinformationen.
## Zugriffssitzungen für Security Hub weiterleiten
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Principals, der einen aufruft AWS-Service, kombiniert mit der Anfrage, Anfragen AWS-Service an nachgelagerte Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
Beispielsweise sendet Security Hub FAS-Anfragen an Downstream, AWS-Services wenn Sie Security Hub in Organizations integrieren AWS Organizations und wenn Sie das delegierte Security Hub-Administratorkonto für eine Organisation festlegen.
Für andere Aufgaben verwendet Security Hub eine dienstbezogene Rolle, um Aktionen in Ihrem Namen auszuführen. Einzelheiten zu dieser Rolle finden Sie unter[Serviceverknüpfte Rollen für AWS Security Hub](sh-using-service-linked-roles.md).
## Servicerollen für Security Hub
Security Hub übernimmt oder verwendet keine Servicerollen. Um Aktionen in Ihrem Namen durchzuführen, verwendet Security Hub eine dienstbezogene Rolle. Einzelheiten zu dieser Rolle finden Sie unter[Serviceverknüpfte Rollen für AWS Security Hub](sh-using-service-linked-roles.md).
**Warnung**
Das Ändern der Berechtigungen für eine Servicerolle kann zu Betriebsproblemen bei Ihrer Nutzung von Security Hub führen. Bearbeiten Sie Servicerollen nur, wenn Security Hub Sie dazu anleitet.
## Serviceverknüpfte Rollen für Security Hub
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Security Hub verwendet eine dienstbezogene Rolle, um Aktionen in Ihrem Namen durchzuführen. Einzelheiten zu dieser Rolle finden Sie unter[Serviceverknüpfte Rollen für AWS Security Hub](sh-using-service-linked-roles.md).
# Beispiele für identitätsbasierte Richtlinien für AWS Security Hub CSPM
Standardmäßig sind Benutzer und Rollen nicht berechtigt, Security Hub CSPM-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den -Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Best Practices für Richtlinien](#sh_security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Security Hub CSPM-Konsole](#sh_security_iam_id-based-policy-examples-console)
+ [Beispiel: Erteilen der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#sh_security_iam_id-based-policy-examples-view-own-permissions)
+ [Beispiel: Erlauben Sie Benutzern, Ergebnisse einzusehen](#sh_security_iam_id-based-policy-examples-view-findings)
+ [Beispiel: Erlauben Sie Benutzern, Automatisierungsregeln zu erstellen und zu verwalten](#sh_security_iam_id-based-policy-examples-create-automation-rule)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Security Hub Hub-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Security Hub CSPM-Konsole
Um auf die AWS Security Hub CSPM Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Security Hub CSPM-Ressourcen in Ihrem aufzulisten und anzuzeigen. AWS-Konto Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
Sie müssen Benutzern, die nur die API AWS CLI oder die API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. AWS Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.
Um sicherzustellen, dass diese Benutzer und Rollen die Security Hub CSPM-Konsole verwenden können, fügen Sie der Entität auch die folgende AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im*IAM-Benutzerhandbuch*:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
## Beispiel: Erteilen der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API oder. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Beispiel: Erlauben Sie Benutzern, Ergebnisse einzusehen
Dieses Beispiel zeigt, wie Sie eine IAM-Richtlinie erstellen könnten, die es einem Benutzer ermöglicht, die CSPM-Ergebnisse von Security Hub einzusehen.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReviewFindings",
"Effect": "Allow",
"Action": [
"securityhub:GetFindingsV2"
],
"Resource": "*"
}
]
}
```
## Beispiel: Erlauben Sie Benutzern, Automatisierungsregeln zu erstellen und zu verwalten
Dieses Beispiel zeigt, wie Sie eine IAM-Richtlinie erstellen könnten, die es einem Benutzer ermöglicht, Security Hub CSPM-Automatisierungsregeln zu erstellen, anzuzeigen, zu aktualisieren und zu löschen. Damit diese IAM-Richtlinie funktioniert, muss der Benutzer ein Security Hub CSPM-Administrator sein. Um Berechtigungen einzuschränken — z. B. um einem Benutzer zu erlauben, nur Automatisierungsregeln einzusehen — können Sie die Berechtigungen zum Erstellen, Aktualisieren und Löschen entfernen.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndUpdateAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:CreateAutomationRuleV2",
],
"Resource": "*"
},
{
"Sid": "ViewAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:ListAutomationRulesV2",
"securityhub:GetAutomationRuleV2"
],
"Resource": "*"
},
{
"Sid": "DeleteAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:DeleteAutomationRuleV2"
],
"Resource": "*"
}
]
}
```
# Serviceverknüpfte Rollen für AWS Security Hub
AWS Security Hub verwendet eine AWS Identity and Access Management (IAM) [-Serviceverknüpfte Rolle mit dem Namen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). `AWSServiceRoleForSecurityHubV2` Bei dieser serviceverknüpften Rolle handelt es sich um eine IAM-Rolle, die direkt mit Security Hub verknüpft ist. Es ist von Security Hub vordefiniert und beinhaltet alle Berechtigungen, die Security Hub benötigt, um andere AWS Ressourcen in Ihrem Namen anzurufen AWS-Services und zu überwachen. Security Hub verwendet diese dienstbezogene Rolle überall dort, AWS-Regionen wo Security Hub verfügbar ist.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Security Hub, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Security Hub definiert die Berechtigungen seiner dienstbezogenen Rolle, und sofern nicht anders definiert, kann nur Security Hub die Rolle übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und Sie können diese Berechtigungsrichtlinie keiner anderen IAM-Entität zuordnen.
Um die Details der dienstbezogenen Rolle zu überprüfen, können Sie die Security Hub Hub-Konsole verwenden. Wählen Sie im Navigationsbereich unter **Einstellungen** **die Option Allgemein** aus. Wählen Sie dann im Abschnitt **Dienstberechtigungen** die Option **Dienstberechtigungen anzeigen** aus.
Sie können die serviceverknüpfte Security Hub-Rolle erst löschen, nachdem Sie Security Hub in allen Regionen deaktiviert haben, in denen sie aktiviert ist. Dadurch werden Ihre Security Hub Hub-Ressourcen geschützt, da Sie nicht versehentlich Zugriffsberechtigungen entfernen können.
**Informationen zu anderen Diensten, die dienstbezogene Rollen unterstützen, finden Sie im *IAM-Benutzerhandbuch unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte* Dienstverknüpfte Rollen nach den Diensten, für die **Ja** steht.** Wählen Sie **Ja** mit einem Link aus, um die Dokumentation der dienstbezogenen Rollen für diesen Dienst zu lesen.
**Topics**
+ [Dienstbezogene Rollenberechtigungen für Security Hub](#sh-slr-permissions)
+ [Eine serviceverknüpfte Rolle für Security Hub erstellen](#sh-create-slr)
+ [Eine serviceverknüpfte Rolle für Security Hub bearbeiten](#sh-edit-slr)
+ [Löschen einer serviceverknüpften Rolle für Security Hub](#sh-delete-slr)
## Dienstbezogene Rollenberechtigungen für Security Hub
Security Hub verwendet die mit dem Dienst verknüpfte Rolle mit dem Namen`AWSServiceRoleForSecurityHubV2`. Es handelt sich um eine dienstbezogene Rolle, die AWS Security Hub benötigt, um auf Ihre Ressourcen zugreifen zu können. Diese dienstbezogene Rolle ermöglicht es Security Hub, Aufgaben wie das Empfangen von Ergebnissen von anderen auszuführen AWS-Services und die erforderliche AWS Config Infrastruktur für die Durchführung von Sicherheitsprüfungen für Kontrollen zu konfigurieren. Die serviceverknüpfte Rolle `AWSServiceRoleForSecurityHubV2` vertraut dem Service `securityhub.amazonaws.com`, sodass dieser die Rolle annehmen kann.
Die serviceverknüpfte Rolle `AWSServiceRoleForSecurityHubV2` verwendet die verwaltete Richtlinie [`AWSSecurityHubServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubservicerolepolicy).
Sie müssen einer IAM-Identität (z. B. einer Rolle, Gruppe oder einem Benutzer) Berechtigungen erteilen, um eine dienstverknüpfte Rolle zu erstellen, zu bearbeiten oder zu löschen. Damit die `AWSServiceRoleForSecurityHubV2` serviceverknüpfte Rolle erfolgreich erstellt werden kann, muss die IAM-Identität, die Sie für den Zugriff auf Security Hub verwenden, über die erforderlichen Berechtigungen verfügen. Um die erforderlichen Berechtigungen zu erteilen, fügen Sie die folgende Richtlinie an die IAM-Identität an.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
## Eine serviceverknüpfte Rolle für Security Hub erstellen
Die `AWSServiceRoleForSecurityHubV2` serviceverknüpfte Rolle wird automatisch erstellt, wenn Sie Security Hub zum ersten Mal aktivieren oder wenn Sie Security Hub in einer Region aktivieren, in der Sie sie zuvor nicht aktiviert haben. Sie können die `AWSServiceRoleForSecurityHubV2` serviceverknüpfte Rolle auch manuell mithilfe der IAM-Konsole, der IAM-CLI oder der IAM-API erstellen. Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*.
**Wichtig**
Die dienstbezogene Rolle, die für ein Security Hub-Administratorkonto erstellt wurde, gilt nicht für zugehörige Security Hub Hub-Mitgliedskonten.
## Eine serviceverknüpfte Rolle für Security Hub bearbeiten
Security Hub erlaubt es Ihnen nicht, die `AWSServiceRoleForSecurityHubV2` dienstverknüpfte Rolle zu bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Security Hub
Wenn Sie ein Feature oder einen Service nicht mehr benötigen, die bzw. der eine serviceverknüpfte Rolle erfordert, sollten Sie die Rolle löschen. Auf diese Weise ist keine ungenutzte Entität vorhanden, die nicht aktiv überwacht oder verwaltet wird.
Wenn Sie Security Hub deaktivieren, löscht Security Hub die `AWSServiceRoleForSecurityHubV2` dienstverknüpfte Rolle nicht automatisch für Sie. Wenn Sie Security Hub erneut aktivieren, kann der Dienst die bestehende dienstverknüpfte Rolle wieder verwenden. Wenn Sie Security Hub nicht mehr verwenden müssen, können Sie die serviceverknüpfte Rolle manuell löschen.
**Wichtig**
Bevor Sie die `AWSServiceRoleForSecurityHubV2` serviceverknüpfte Rolle löschen, müssen Sie Security Hub zunächst in allen Regionen deaktivieren, in denen sie aktiviert ist. Weitere Informationen finden Sie unter [Security Hub deaktivieren](securityhub-v2-disable.md). Wenn Security Hub nicht deaktiviert ist, wenn Sie versuchen, die serviceverknüpfte Rolle zu löschen, schlägt der Löschvorgang fehl.
Um die `AWSServiceRoleForSecurityHubV2` serviceverknüpfte Rolle zu löschen, können Sie die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
# AWS verwaltete Richtlinien für Security Hub
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AWSSecurityHubFullAccess
Sie können die `AWSSecurityHubFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Administratorberechtigungen, die einem Principal vollen Zugriff auf alle Security Hub Hub-Aktionen gewähren. Diese Richtlinie muss einem Prinzipal zugewiesen werden, bevor er Security Hub manuell für sein Konto aktiviert. Principals mit diesen Berechtigungen können beispielsweise den Status der Ergebnisse sowohl einsehen als auch aktualisieren. Sie können auch benutzerdefinierte Einblicke konfigurieren, Integrationen aktivieren sowie Standards und Kontrollen aktivieren und deaktivieren. Principals für ein Administratorkonto können auch Mitgliedskonten verwalten.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `securityhub`— Ermöglicht Prinzipalen vollen Zugriff auf alle Security Hub Hub-Aktionen.
+ `guardduty`— Ermöglicht Principals, Informationen zum Kontostatus bei Amazon GuardDuty abzurufen.
+ `iam`— Ermöglicht Prinzipalen, eine dienstbezogene Rolle für Security Hub zu erstellen.
+ `inspector`— Ermöglicht Principals, Informationen zum Kontostatus in Amazon Inspector abzurufen.
+ `pricing`— Ermöglicht Principals, eine Preisliste mit Produkten zu erhalten. AWS-Services
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## AWS verwaltete Richtlinie: AWSSecurityHubReadOnlyAccess
Sie können die `AWSSecurityHubReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt nur Leseberechtigungen, mit denen Benutzer Informationen in Security Hub anzeigen können. Principals, denen diese Richtlinie beigefügt ist, können keine Updates in Security Hub vornehmen. Principals mit diesen Berechtigungen können beispielsweise die mit ihrem Konto verknüpfte Ergebnisliste einsehen, den Status eines Fundes jedoch nicht ändern. Sie können die Ergebnisse von Insights einsehen, aber keine benutzerdefinierten Insights erstellen oder konfigurieren. Sie können keine Steuerungen oder Produktintegrationen konfigurieren.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `securityhub`— Ermöglicht Benutzern das Ausführen von Aktionen, bei denen eine Liste von Artikeln oder Details zu einem Artikel zurückgegeben wird. Dazu gehören API-Operationen, die mit `Get``List`, oder beginnen`Describe`.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSSecurityHubOrganizationsAccess
Sie können die `AWSSecurityHubOrganizationsAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Administratorberechtigungen zur Aktivierung und Verwaltung von Security Hub für eine Organisation in AWS Organizations. Die Berechtigungen für diese Richtlinie ermöglichen es dem Organisationsverwaltungskonto, das delegierte Administratorkonto für Security Hub festzulegen. Sie ermöglichen es dem delegierten Administratorkonto auch, Organisationskonten als Mitgliedskonten zu aktivieren.
Diese Richtlinie bietet nur Berechtigungen für AWS Organizations. Für das Organisationsverwaltungskonto und das delegierte Administratorkonto sind ebenfalls Berechtigungen für zugehörige Aktionen erforderlich. Diese Berechtigungen können mithilfe der `AWSSecurityHubFullAccess` verwalteten Richtlinie erteilt werden.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `organizations:ListAccounts`— Ermöglicht Prinzipalen das Abrufen der Liste der Konten, die Teil einer Organisation sind.
+ `organizations:DescribeOrganization`— Ermöglicht Prinzipalen das Abrufen von Informationen über die Organisation.
+ `organizations:ListRoots`— Ermöglicht Prinzipalen, den Stamm einer Organisation aufzulisten.
+ `organizations:ListDelegatedAdministrators`— Ermöglicht Prinzipalen, den delegierten Administrator einer Organisation aufzulisten.
+ `organizations:ListAWSServiceAccessForOrganization`— Ermöglicht Prinzipalen, diejenigen aufzulisten AWS-Services , die eine Organisation verwendet.
+ `organizations:ListOrganizationalUnitsForParent`— Ermöglicht Prinzipalen, die untergeordneten Organisationseinheiten (OU) einer übergeordneten OU aufzulisten.
+ `organizations:ListAccountsForParent`— Ermöglicht Prinzipalen, die untergeordneten Konten einer übergeordneten Organisationseinheit aufzulisten.
+ `organizations:ListParents`— Führt die Stamm- oder Organisationseinheiten (OUs) auf, die der angegebenen untergeordneten Organisationseinheit oder dem angegebenen untergeordneten Konto als unmittelbare übergeordnete Einheit dienen.
+ `organizations:DescribeAccount` – Ermöglicht Prinzipalen den Abruf von Informationen über ein Konto in der Organisation.
+ `organizations:DescribeOrganizationalUnit`— Ermöglicht Prinzipalen das Abrufen von Informationen über eine Organisationseinheit in der Organisation.
+ `organizations:ListPolicies`— Ruft die Liste aller Richtlinien in einer Organisation eines bestimmten Typs ab.
+ `organizations:ListPoliciesForTarget`— Führt die Richtlinien auf, die direkt mit dem angegebenen Zielstamm, der Organisationseinheit (OU) oder dem angegebenen Konto verknüpft sind.
+ `organizations:ListTargetsForPolicy`— Führt alle Stammverzeichnisse, Organisationseinheiten (OUs) und Konten auf, denen die angegebene Richtlinie zugeordnet ist.
+ `organizations:EnableAWSServiceAccess`— Ermöglicht Prinzipalen, die Integration mit Organizations zu ermöglichen.
+ `organizations:RegisterDelegatedAdministrator`— Ermöglicht es den Prinzipalen, das delegierte Administratorkonto festzulegen.
+ `organizations:DeregisterDelegatedAdministrator`— Ermöglicht Prinzipalen, das delegierte Administratorkonto zu entfernen.
+ `organizations:DescribePolicy`— Ruft Informationen zu einer Richtlinie ab.
+ `organizations:DescribeEffectivePolicy`— Gibt den Inhalt der gültigen Richtlinie für den angegebenen Richtlinientyp und das angegebene Konto zurück.
+ `organizations:CreatePolicy`— Erstellt eine Richtlinie eines bestimmten Typs, die Sie einem Stammkonto, einer Organisationseinheit (OU) oder einem einzelnen AWS Konto zuordnen können.
+ `organizations:UpdatePolicy`— Aktualisiert eine bestehende Richtlinie mit einem neuen Namen, einer neuen Beschreibung oder einem neuen Inhalt.
+ `organizations:DeletePolicy`— Löscht die angegebene Richtlinie aus Ihrer Organisation.
+ `organizations:AttachPolicy`— Fügt eine Richtlinie einem Stammkonto, einer Organisationseinheit (OU) oder einem Einzelkonto hinzu.
+ `organizations:DetachPolicy`— Trennt eine Richtlinie von einem Zielstamm, einer Organisationseinheit (OU) oder einem Zielkonto.
+ `organizations:EnablePolicyType`— Aktiviert einen Richtlinientyp in einem Stamm.
+ `organizations:DisablePolicyType`— Deaktiviert einen Organisationsrichtlinientyp in einem Stamm.
+ `organizations:TagResource`— Fügt einer angegebenen Ressource ein oder mehrere Tags hinzu.
+ `organizations:UntagResource`— Entfernt alle Tags mit den angegebenen Schlüsseln aus einer angegebenen Ressource.
+ `organizations:ListTagsForResource`— Listet Tags auf, die an eine angegebene Ressource angehängt sind.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AWSSecurityHubV2ServiceRolePolicy
**Anmerkung**
Security Hub befindet sich in der Vorschauversion und kann sich ändern.
Diese Richtlinie ermöglicht es Security Hub, AWS Config Regeln und Security Hub Hub-Ressourcen für Ihre Organisation und in Ihrem Namen zu verwalten. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es dem Dienst ermöglicht, Aktionen in Ihrem Namen durchzuführen. Sie können diese Richtlinie nicht an Ihre IAM-Identitäten anfügen. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollen für AWS Security Hub](sh-using-service-linked-roles.md).
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen:
+ `config`— Verwaltung von serviceverknüpften Konfigurationsrekordern für Security Hub Hub-Ressourcen.
+ `iam`— Erstellen Sie die serviceverknüpfte Rolle für. AWS Config
+ `organizations`— Ruft Informationen zu Konten und Organisationseinheiten (OU) für eine Organisation ab.
+ `securityhub`— Verwaltet die Security Hub Hub-Konfiguration.
+ `tag`— Ruft Informationen über Ressourcen-Tags ab.
Informationen zu den Berechtigungen für diese Richtlinie finden Sie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien*.
## Security Hub Hub-Updates für AWS verwaltete Richtlinien
Die folgende Tabelle enthält Einzelheiten zu Aktualisierungen der AWS verwalteten Richtlinien für AWS Security Hub, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS-Feed auf der [Security Hub Hub-Dokumentverlaufsseite](doc-history.md), um automatische Benachrichtigungen über Aktualisierungen der Richtlinien zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSSecurityHubOrganizationsAccess](#sh-security-iam-awsmanpol-awssecurityhuborganizationsaccess) – Richtlinie aktualisieren | Security Hub hat die Richtlinie aktualisiert, um Berechtigungen zur Beschreibung von Ressourcenrichtlinien zur Unterstützung von Security Hub Hub-Funktionen hinzuzufügen. Security Hub befindet sich in der Vorschauversion und kann sich ändern. | 12. November 2025 |
| [AWSSecurityHubFullAccess](#sh-security-iam-awsmanpol-awssecurityhubfullaccess) – Richtlinie aktualisieren | Security Hub hat die Richtlinie aktualisiert und Funktionen zur Verwaltung GuardDuty, Amazon Inspector und Kontoverwaltung hinzugefügt, um die Funktionen von Security Hub zu unterstützen. Security Hub befindet sich in der Vorschauversion und kann sich ändern. | 17. November 2025 |
| [AWSSecurityHubV2 ServiceRolePolicy — Aktualisierte](#sh-security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) Richtlinie | Security Hub hat die Richtlinie aktualisiert, um Messfunktionen für Amazon Elastic Container Registry und Amazon CloudWatch hinzuzufügen und Security Hub Hub-Funktionen AWS Identity and Access Management zu unterstützen. AWS Lambda Das Update fügte auch Unterstützung für globale AWS Config Rekorder hinzu. Security Hub befindet sich in der Vorschauversion und kann sich ändern. | 5. November 2025 |
| [AWSSecurityHubOrganizationsAccess](#sh-security-iam-awsmanpol-awssecurityhuborganizationsaccess) – Aktualisierung auf eine bestehende Richtlinie | Security Hub hat der Richtlinie neue Berechtigungen hinzugefügt. Die Berechtigungen ermöglichen es der Organisationsleitung, Security Hub und Security Hub CSPM für eine Organisation zu aktivieren und zu verwalten. | 17. Juni 2025 |
| [AWSSecurityHubFullAccess](#sh-security-iam-awsmanpol-awssecurityhubfullaccess) – Aktualisierung auf eine bestehende Richtlinie | Security Hub CSPM hat neue Berechtigungen hinzugefügt, die es Prinzipalen ermöglichen, eine dienstbezogene Rolle für Security Hub zu erstellen. | 17. Juni 2025 |
| [AWSSecurityHubV2 — Neue Richtlinie ServiceRolePolicy](#sh-security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) | Security Hub hat eine neue Richtlinie hinzugefügt, die es Security Hub ermöglicht, AWS Config Regeln und Security Hub Hub-Ressourcen für die Organisation eines Kunden und im Namen des Kunden zu verwalten. Security Hub befindet sich in der Vorschauversion und kann sich ändern. | 17. Juni 2025 |
| [AWSSecurityHubFullAccess](#sh-security-iam-awsmanpol-awssecurityhubfullaccess)— Aktualisierung einer bestehenden Richtlinie | Security Hub CSPM hat die Richtlinie aktualisiert, um Preisdetails für AWS-Services und Produkte zu erhalten. | 24. April 2024 |
| [AWSSecurityHubReadOnlyAccess](#sh-security-iam-awsmanpol-awssecurityhubreadonlyaccess)— Aktualisierung einer bestehenden Richtlinie | Security Hub CSPM hat diese verwaltete Richtlinie aktualisiert, indem ein Sid Feld hinzugefügt wurde. | 22. Februar 2024 |
| [AWSSecurityHubFullAccess](#sh-security-iam-awsmanpol-awssecurityhubfullaccess)— Aktualisierung einer bestehenden Richtlinie | Security Hub CSPM hat die Richtlinie aktualisiert, sodass festgestellt werden kann, ob Amazon GuardDuty und Amazon Inspector in einem Konto aktiviert sind. Dies hilft Kunden dabei, sicherheitsrelevante Informationen aus mehreren zusammenzuführen. AWS-Services | 16. November 2023 |
| [AWSSecurityHubOrganizationsAccess](#sh-security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Aktualisierung einer bestehenden Richtlinie | Security Hub CSPM hat die Richtlinie aktualisiert, um zusätzliche Berechtigungen für den schreibgeschützten Zugriff auf delegierte Administratorfunktionen zu AWS Organizations gewähren. Dazu gehören Details wie das Stammverzeichnis, die Organisationseinheiten (OUs), die Konten, die Organisationsstruktur und der Dienstzugriff. | 16. November 2023 |
| [AWSSecurityHubOrganizationsAccess](#sh-security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Neue Richtlinie | Security Hub CSPM hat eine neue Richtlinie hinzugefügt, die Berechtigungen gewährt, die für die Security Hub CSPM-Integration mit Organizations erforderlich sind. | 15. März 2021 |
| Security Hub CSPM hat begonnen, Änderungen zu verfolgen | Security Hub CSPM begann, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 15. März 2021 |
# Fehlerbehebung bei Identität und Zugriff auf AWS Security Hub
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit AWS Security Hub und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Security Hub durchzuführen](#sh-security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#sh-security_iam_troubleshoot-passrole)
+ [Ich möchte programmatischen Zugriff auf Security Hub](#sh-security_iam_troubleshoot-access-keys)
+ [Ich bin Administrator und möchte anderen den Zugriff auf Security Hub ermöglichen](#sh-security_iam_troubleshoot-admin-delegate)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Security Hub Hub-Ressourcen ermöglichen](#sh-security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in Security Hub durchzuführen
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
Der folgende Beispielfehler tritt auf, wenn der Benutzer `mateojackson` versucht, die Konsole zu verwenden, um Details zu einem anzuzeigen, *widget* aber nicht über die `securityhub:GetWidget` entsprechenden Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `my-example-widget` auf die Ressource `securityhub:GetWidget` zugreifen zu können.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Security Hub übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Security Hub auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte programmatischen Zugriff auf Security Hub
Benutzer benötigen programmatischen Zugriff, wenn sie mit AWS außerhalb des interagieren möchten. AWS-Managementkonsole Die Art und Weise, wie programmatischer Zugriff gewährt wird, hängt vom Benutzertyp ab, der zugreift. AWS
Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.
****
| Welcher Benutzer benötigt programmgesteuerten Zugriff? | Bis | Von |
| --- | --- | --- |
| IAM | (Empfohlen) Verwenden Sie Konsolenanmeldeinformationen als temporäre Anmeldeinformationen, um programmatische Anfragen an AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/sh-security_iam_troubleshoot.html) |
| Mitarbeiteridentität (Benutzer, die in IAM Identity Center verwaltet werden) | Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder AWS APIs zu signieren. | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/sh-security_iam_troubleshoot.html) |
| IAM | Verwenden Sie temporäre Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Folgen Sie den Anweisungen unter [Verwenden temporärer Anmeldeinformationen mit AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) im IAM-Benutzerhandbuch. |
| IAM | (Nicht empfohlen)Verwenden Sie langfristige Anmeldeinformationen, um programmatische Anfragen an das AWS CLI AWS SDKs, oder zu signieren. AWS APIs | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/securityhub/latest/userguide/sh-security_iam_troubleshoot.html) |
## Ich bin Administrator und möchte anderen den Zugriff auf Security Hub ermöglichen
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Security Hub Hub-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Security Hub diese Funktionen unterstützt, finden Sie unter[So funktioniert Security Hub mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im [IAM-Benutzerhandbuch unter Zugriff auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Konformitätsprüfung für AWS Security Hub
Informationen darüber, ob AWS-Service ein in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter [AWS-Services Umfang nach Compliance-Programm unter Umfang nach Compliance-Programm AWS-Services](https://aws.amazon.com/compliance/services-in-scope/) das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Resilienz im AWS Security Hub
Die AWS globale Infrastruktur basiert auf Availability AWS-Regionen Zones. Regionen stellen mehrere physisch getrennte und isolierte Availability Zones bereit, die über hoch redundante Netzwerke mit niedriger Latenz und hohen Durchsätzen verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu Availability Zones AWS-Regionen und Availability Zones finden Sie unter [AWS Globale Infrastruktur](https://aws.amazon.com/about-aws/global-infrastructure/).
# Infrastruktursicherheit in AWS Security Hub
Als verwalteter Dienst ist AWS Security Hub durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Security Hub zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
# AWS Security Hub und VPC-Schnittstellen-Endpunkte ()AWS PrivateLink
Sie können eine private Verbindung zwischen Ihrer VPC und AWS Security Hub herstellen, indem Sie einen *VPC-Schnittstellen-Endpunkt* erstellen. Schnittstellenendpunkte werden mit einer Technologie betrieben [AWS PrivateLink](https://aws.amazon.com/privatelink), die es Ihnen ermöglicht, privat auf Security Hub zuzugreifen, APIs ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine AWS Direct Connect-Verbindung zu benötigen. Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Security Hub APIs zu kommunizieren. Der Datenverkehr zwischen Ihrer VPC und Security Hub verlässt das Amazon-Netzwerk nicht.
Jeder Schnittstellenendpunkt wird durch eine oder mehrere [Elastic-Network-Schnittstellen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) in Ihren Subnetzen dargestellt. Weitere Informationen finden Sie unter [Zugreifen und AWS-Service Verwenden eines VPC-Endpunkts mit einer Schnittstelle](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) im *Amazon Virtual Private Cloud Guide*.
## Überlegungen zu Security Hub Hub-VPC-Endpunkten
Bevor Sie einen VPC-Schnittstellen-Endpunkt für Security Hub einrichten, stellen Sie sicher, dass Sie die Voraussetzungen und andere Informationen im [Amazon Virtual Private Cloud Guide](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) lesen.
Security Hub unterstützt Aufrufe aller API-Aktionen von Ihrer VPC aus.
## Erstellen eines VPC-Schnittstellen-Endpunkts für Security Hub
Sie können einen VPC-Endpunkt für den Security Hub-Service entweder mit der Amazon VPC-Konsole oder mit AWS Command Line Interface ()AWS CLI erstellen. Weitere Informationen finden Sie unter [Erstellen eines VPC-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) im *Amazon Virtual Private Cloud Cloud-Handbuch*.
Erstellen Sie einen VPC-Endpunkt für Security Hub mit dem folgenden Dienstnamen:
`com.amazonaws.region.securityhub`
Wo *region* ist der Regionalcode für den AWS-Region zutreffenden.
Wenn Sie privates DNS für den Endpunkt aktivieren, können Sie API-Anfragen an Security Hub stellen, indem Sie dessen Standard-DNS-Namen für die Region verwenden, z. B. `securityhub.us-east-1.amazonaws.com` für die Region USA Ost (Nord-Virginia).
## VPC-Endpunktrichtlinie für Security Hub erstellen
Sie können Ihrem VPC-Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf Security Hub steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Prinzipal, der die Aktionen ausführen kann.
+ Aktionen, die ausgeführt werden können
+ Die Ressourcen, für die Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *Amazon Virtual Private Cloud Cloud-Handbuch*.
**Beispiel: VPC-Endpunktrichtlinie für Security Hub Hub-Aktionen**
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für Security Hub. Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie allen Prinzipalen auf allen Ressourcen Zugriff auf die aufgelisteten Security Hub Hub-Aktionen.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"securityhub:getFindings",
"securityhub:getEnabledStandards",
"securityhub:getInsights"
],
"Resource":"*"
}
]
}
```
## Gemeinsam genutzte Subnetze
Sie können VPC-Endpunkte in Subnetzen, die mit Ihnen geteilt werden, nicht erstellen, beschreiben, ändern oder löschen. Sie können die VPC-Endpunkte jedoch in Subnetzen verwenden, die mit Ihnen geteilt werden. Informationen zur VPC-Sharing finden Sie unter [Teilen Sie Ihre VPC-Subnetze mit anderen Konten](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) im *Amazon Virtual Private* Cloud Cloud-Leitfaden.
# Security Hub Hub-API-Aufrufe protokollieren mit CloudTrail
ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Dienst in Security Hub ausgeführt wurden. CloudTrail erfasst API-Aufrufe für Security Hub als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der Security Hub Hub-Konsole und Code-Aufrufe an die Security Hub Hub-API-Operationen. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für Security Hub. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem auf der CloudTrail Konsole im **Ereignisverlauf** einsehen. Anhand der CloudTrail gesammelten Informationen können Sie die Anfrage, die an Security Hub gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen darüber CloudTrail, einschließlich der Konfiguration und Aktivierung, finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Security Hub Hub-Informationen in CloudTrail
CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Wenn unterstützte Ereignisaktivitäten in Security Hub auftreten, wird diese Aktivität zusammen mit anderen AWS Dienstereignissen im CloudTrail **Ereignisverlauf in einem Ereignis** aufgezeichnet. Sie können die neusten Ereignisse in Ihr -Konto herunterladen und dort suchen und anzeigen. Weitere Informationen finden Sie unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung von Ereignissen in Ihrem Konto, einschließlich Ereignissen für Security Hub, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Standardmäßig gilt ein in der Konsole erstellter Trail für alle AWS -Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Security Hub unterstützt die Protokollierung aller Security Hub Hub-API-Aktionen als Ereignisse in CloudTrail Protokollen. Eine Liste der Security Hub Hub-Operationen finden Sie in der [Security Hub Hub-API-Referenz](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).
Wenn Aktivitäten für die folgenden Aktionen protokolliert werden CloudTrail, `responseElements` ist der Wert für auf gesetzt`null`. Dadurch wird sichergestellt, dass vertrauliche Informationen nicht in den CloudTrail Protokollen enthalten sind.
+ `GetFindingsV2`
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anfrage mit Root- oder AWS Identity and Access Management (IAM-) Benutzeranmeldedaten gestellt wurde
+ Ob die Anfrage mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen föderierten Benutzer ausgeführt wurde
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde
Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Beispiel: Einträge in der Security Hub Hub-Protokolldatei
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `CreateAutomationRuleV2` Aktion demonstriert. In diesem Beispiel `TestAutomationRule` wird eine Automatisierungsregel namens erstellt. Die `Account ID` Attribute `Severity` und werden als **Kriterien** angegeben. Wenn die Regel erfüllt ist, `Severity` wird sie auf **Hoch** aktualisiert. Weitere Informationen zu Automatisierungsregeln finden Sie unter[Automatisierungsregeln in Security Hub](securityhub-v2-automation-rules.md).
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:Admin",
"arn": "arn:aws:sts::555555555555:assumed-role/Admin",
"accountId": "555555555555",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "aarn:aws:iam::555555555555:role/Admin",
"accountId": "555555555555",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-11-15T18:49:13Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2025-11-15T18:51:17Z",
"eventSource": "securityhub.amazonaws.com",
"eventName": "CreateAutomationRuleV2",
"awsRegion": "us-west-2",
"sourceIPAddress": "205.251.233.50",
"userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39",
"requestParameters": {
"Description": "Test Automation Rule",
"Actions": [
{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"SeverityId": 4
}
}
],
"RuleStatus": "ENABLED",
"Criteria": {
"OcsfFindingCriteria": {
"CompositeFilters": [
{
"Operator": "OR",
"StringFilters": [
{
"FieldName": "severity",
"Filter": {
"Value": "Medium",
"Comparison": "EQUALS"
}
}
]
},
{
"Operator": "OR",
"StringFilters": [
{
"FieldName": "cloud.account.uid",
"Filter": {
"Value": "111122223333",
"Comparison": "EQUALS"
}
}
]
}
],
"CompositeOperator": "AND"
}
},
"ClientToken": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"RuleOrder": 61,
"RuleName": "TestAutomationRule",
"Tags": {}
},
"responseElements": {
"RuleArn": "arn:aws:securityhub:us-west-2:555555555555:automation-rulev2/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleId": "c8bc6f90-29e9-4eb7-919f-b145e44eb8ec"
},
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "555555555555",
"eventCategory": "Management"
}
```