Génération et mise à jour des résultats de contrôle - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Génération et mise à jour des résultats de contrôle

AWS Security Hub génère des résultats en effectuant des vérifications par rapport aux contrôles de sécurité. Ces résultats utilisent le format AWS de recherche de sécurité (ASFF). Notez que si la taille de recherche dépasse le maximum de 240 Ko, l'Resource.Detailsobjet est supprimé. Pour les contrôles basés sur des AWS Config ressources, vous pouvez consulter les détails des ressources sur la AWS Config console.

Security Hub facture normalement chaque contrôle de sécurité effectué pour un contrôle. Toutefois, si plusieurs contrôles utilisent la même AWS Config règle, Security Hub ne facture qu'une seule fois pour chaque vérification effectuée par rapport à la AWS Config règle. Si vous activez les résultats de contrôle consolidés, Security Hub génère un résultat unique pour un contrôle de sécurité, même lorsque le contrôle est inclus dans plusieurs normes activées.

Par exemple, la AWS Config règle iam-password-policy est utilisée par plusieurs contrôles de la norme Center for Internet Security (CIS) AWS Foundations Benchmark et de la norme Foundational Security Best Practices. Chaque fois que Security Hub effectue une vérification par rapport à cette AWS Config règle, il génère un résultat distinct pour chaque contrôle associé, mais ne facture qu'une seule fois pour le contrôle.

Conclusions de contrôle consolidées

Si les résultats de contrôle consolidés sont activés dans votre compte, Security Hub génère une seule nouvelle découverte ou mise à jour des résultats pour chaque contrôle de sécurité d'un contrôle, même si un contrôle s'applique à plusieurs normes activées. Pour consulter la liste des contrôles et des normes auxquelles ils s'appliquent, voirRéférence des contrôles Security Hub. Nous recommandons d'activer les résultats de contrôle consolidés afin de réduire le bruit de détection.

Si vous avez activé Security Hub Compte AWS avant le 23 février 2023, vous pouvez activer les résultats de contrôle consolidés en suivant les instructions fournies plus loin dans cette section. Si vous activez Security Hub le 23 février 2023 ou après cette date, les résultats de contrôle consolidés sont automatiquement activés dans votre compte. Toutefois, si vous utilisez l'intégration de Security Hub avec des comptes membres AWS Organizations ou si vous les invitez par le biais d'un processus d'invitation manuel, les résultats de contrôle consolidés ne sont activés dans les comptes membres que s'ils sont activés dans le compte administrateur. Si la fonctionnalité est désactivée dans le compte administrateur, elle est désactivée dans les comptes membres. Ce comportement s'applique aux comptes de membres nouveaux et existants.

Si vous désactivez les résultats de contrôle consolidés dans votre compte, Security Hub génère un résultat distinct par contrôle de sécurité pour chaque norme activée incluant un contrôle. Par exemple, si quatre normes activées partagent un contrôle avec la même AWS Config règle sous-jacente, vous recevez quatre résultats distincts après un contrôle de sécurité du contrôle. Si vous activez les résultats de contrôle consolidés, vous ne recevez qu'un seul résultat.

Lorsque vous activez les résultats de contrôle consolidés, Security Hub crée de nouveaux résultats indépendants des normes et archive les résultats standard d'origine. Certains champs et valeurs de recherche de contrôles vont changer et peuvent avoir un impact sur les flux de travail existants. Pour plus d'informations sur ces modifications, consultez Conclusions de contrôle consolidées — modifications apportées à l'ASFF.

L'activation des résultats de contrôle consolidés peut également affecter les résultats que les produits tiers intégrés reçoivent de Security Hub. La réponse de sécurité automatisée de la AWS version 2.0.0 prend en charge les résultats de contrôle consolidés.

Pour activer ou désactiver les résultats de contrôle consolidés, vous devez être connecté à un compte administrateur ou à un compte autonome.

Note

Une fois les résultats de contrôle consolidés activés, Security Hub peut avoir besoin de 24 heures pour générer de nouveaux résultats consolidés et archiver les résultats originaux basés sur des normes. De même, une fois les résultats de contrôle consolidés désactivés, Security Hub peut avoir besoin de 24 heures pour générer de nouveaux résultats normalisés et archiver les résultats consolidés. Pendant ces périodes, il est possible que vous constatiez une combinaison de résultats indépendants des normes et de résultats basés sur les normes dans votre compte.

Security Hub console
Pour activer ou désactiver les résultats de contrôle consolidés (console)
  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Dans le panneau de navigation, sélectionnez Settings (Paramètres).

  3. Choisissez l'onglet Général.

  4. Pour Contrôles, activez ou désactivez les résultats de contrôle consolidés.

  5. Choisissez Save (Enregistrer).

Security Hub API, AWS CLI
Pour activer ou désactiver les résultats des contrôles consolidés (API, AWS CLI)
  1. Utilisez l'UpdateSecurityHubConfigurationopération. Si vous utilisez le AWS CLI, exécutez la update-security-hub-configurationcommande.

  2. Définissez la control-finding-generator valeur égale à SECURITY_CONTROL pour permettre de consolider les résultats des contrôles. Définissez comme control-finding-generator égal à STANDARD_CONTROL pour désactiver les résultats de contrôle consolidés

    Par exemple, la AWS CLI commande suivante permet de consolider les résultats des contrôles. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

    $ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

    La AWS CLI commande suivante désactive les résultats de contrôle consolidés. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

    $ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

Génération de nouveaux résultats ou mise à jour de résultats existants

Security Hub exécute des contrôles de sécurité selon un calendrier. Une vérification ultérieure par rapport à un contrôle donné peut générer un nouveau résultat. Par exemple, le statut d'un contrôle peut passer de FAILED àPASSED. Dans ce cas, Security Hub génère une nouvelle découverte contenant le résultat le plus récent.

Si une vérification ultérieure par rapport à une règle donnée génère un résultat identique au résultat actuel, Security Hub met à jour le résultat existant. Aucun nouveau résultat n'est généré.

Security Hub archive automatiquement les résultats des contrôles si la ressource associée est supprimée, si la ressource n'existe pas ou si le contrôle est désactivé. Il est possible qu'une ressource n'existe plus car le service associé n'est pas utilisé actuellement. Les résultats sont archivés automatiquement en fonction de l'un des critères suivants :

  • Le résultat n'est pas mis à jour pendant 3 à 5 jours (notez que c'est le meilleur effort possible et que cela n'est pas garanti).

  • L' AWS Config évaluation associée a été renvoyéeNOT_APPLICABLE.

Contrôle, recherche, automatisation et suppression

Vous pouvez utiliser les règles d'automatisation du Security Hub pour mettre à jour ou supprimer des résultats de contrôle spécifiques. Lorsque vous supprimez un résultat, celui-ci est toujours accessible dans votre compte, mais cela indique que vous pensez qu'aucune action n'est nécessaire pour y remédier. En supprimant les résultats non pertinents, vous pouvez réduire le bruit de recherche. Par exemple, vous pouvez supprimer les résultats de contrôle générés dans les comptes de test. Vous pouvez également supprimer les résultats liés à des ressources spécifiques. Pour plus d'informations sur la mise à jour automatique ou la suppression des résultats, consultezComprendre les règles d'automatisation dans Security Hub.

Les règles d'automatisation sont appropriées lorsque vous souhaitez mettre à jour ou supprimer des résultats de contrôle spécifiques. Toutefois, si un contrôle n'est pas pertinent pour votre organisation ou votre cas d'utilisation, nous vous recommandons de le désactiver. Lorsque vous désactivez un contrôle, Security Hub n'effectue aucun contrôle de sécurité sur celui-ci et vous n'êtes pas débité.

Détails de conformité pour les résultats des contrôles

Pour les résultats générés par les contrôles de sécurité des contrôles, le Compliancechamp du format AWS de constatation de sécurité (ASFF) contient les détails relatifs aux résultats des contrôles. Le champ Compliance comprend les informations suivantes.

AssociatedStandards

Les normes activées dans lesquelles un contrôle est activé.

RelatedRequirements

La liste des exigences associées au contrôle dans toutes les normes activées. Les exigences proviennent du cadre de sécurité tiers pour le contrôle, tel que la norme de sécurité des données de l'industrie des cartes de paiement (PCIDSS).

SecurityControlId

Identifiant pour un contrôle des normes de sécurité prises en charge par Security Hub.

Status

Résultat de la dernière vérification effectuée par Security Hub pour un contrôle donné. Les résultats des vérifications antérieures sont archivés pendant 90 jours.

StatusReasons

Contient une liste des raisons expliquant la valeur deCompliance.Status. Pour chaque raison, StatusReasons comprend le code de motif et une description.

Le tableau suivant répertorie les codes de motif et les descriptions de statut disponibles. Les étapes de correction dépendent du contrôle qui a généré un résultat avec le code de motif. Choisissez un contrôle parmi les Référence des contrôles Security Hub pour voir les étapes de correction associées à ce contrôle.

Code de motif

Compliance.Status

Description

CLOUDTRAIL_METRIC_FILTER_NOT_VALID

FAILED

Le CloudTrail parcours multirégional ne possède pas de filtre métrique valide.

CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT

FAILED

Les filtres métriques ne sont pas présents pour le CloudTrail parcours multirégional.

CLOUDTRAIL_MULTI_REGION_NOT_PRESENT

FAILED

Le compte ne dispose pas d'un CloudTrail parcours multirégional avec la configuration requise.

CLOUDTRAIL_REGION_INVAILD

WARNING

Les CloudTrail sentiers multirégionaux ne se trouvent pas dans la région actuelle.

CLOUDWATCH_ALARM_ACTIONS_NOT_VALID

FAILED

Aucune action d'alarme valide n'est présente.

CLOUDWATCH_ALARMS_NOT_PRESENT

FAILED

CloudWatch les alarmes n'existent pas dans le compte.

CONFIG_ACCESS_DENIED

NOT_AVAILABLE

AWS Config le statut est ConfigError

AWS Config accès refusé.

Vérifiez qu'il AWS Config est activé et que des autorisations suffisantes ont été accordées.

CONFIG_EVALUATIONS_EMPTY

PASSED

AWS Config a évalué vos ressources en fonction de la règle.

La règle ne s'appliquait pas aux AWS ressources incluses dans son champ d'application, les ressources spécifiées ont été supprimées ou les résultats de l'évaluation ont été supprimés.

CONFIG_RECORDER_CUSTOM_ROLE

FAILED(pour Config.1)

L' AWS Config enregistreur utilise un IAM rôle personnalisé au lieu du rôle AWS Config lié au service, et le paramètre includeConfigServiceLinkedRoleCheck personnalisé de Config.1 n'est pas défini sur. false

CONFIG_RECORDER_DISABLED

FAILED(pour Config.1)

AWS Config n'est pas activé lorsque l'enregistreur de configuration est activé.

CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES

FAILED(pour Config.1)

AWS Config n'enregistre pas tous les types de ressources correspondant aux contrôles Security Hub activés. Activez l'enregistrement pour les ressources suivantes :Resources that aren't being recorded.

CONFIG_RETURNS_NOT_APPLICABLE

NOT_AVAILABLE

Le statut de conformité est NOT_AVAILABLE dû au fait que le statut « Non applicable » a été AWS Config renvoyé.

AWS Config ne fournit pas la raison du statut. Voici quelques raisons pouvant expliquer le statut Non applicable :

  • La ressource a été supprimée du champ d'application de la AWS Config règle.

  • La AWS Config règle a été supprimée.

  • La ressource a été supprimée.

  • La logique des AWS Config règles peut produire un statut Non applicable.

CONFIG_RULE_EVALUATION_ERROR

NOT_AVAILABLE

AWS Config le statut est ConfigError

Ce code de motif est utilisé pour plusieurs types d'erreur d'évaluation différents.

La description fournit des informations sur la raison spécifique.

Le type d'erreur peut être l'un des suivants :

  • Impossibilité d'effectuer l'évaluation en raison d'un manque d'autorisations. La description fournit l'autorisation spécifique manquante.

  • Valeur manquante ou non valide pour un paramètre. La description fournit le paramètre et les conditions requises pour la valeur du paramètre.

  • Erreur de lecture à partir d'un compartiment S3. La description identifie le compartiment et indique l'erreur spécifique.

  • AWS Abonnement manquant.

  • Un délai d'attente général pour l'évaluation.

  • Un compte suspendu.

CONFIG_RULE_NOT_FOUND

NOT_AVAILABLE

AWS Config le statut est ConfigError

La AWS Config règle est en cours de création.

INTERNAL_SERVICE_ERROR

NOT_AVAILABLE

Une erreur inconnue s'est produite.

LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE

FAILED

Security Hub n'est pas en mesure d'effectuer une vérification par rapport à un environnement d'exécution Lambda personnalisé.

S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION

WARNING

Le résultat est dans un WARNING état, car le compartiment S3 associé à cette règle se trouve dans une région ou un compte différent.

Cette règle ne prend pas en charge les vérifications entre régions ou entre comptes.

Il est recommandé de désactiver ce contrôle dans cette région ou ce compte. Exécutez-le uniquement dans la région ou le compte où se trouve la ressource.

SNS_SUBSCRIPTION_NOT_PRESENT

FAILED

Les filtres métriques CloudWatch Logs ne disposent pas d'un SNS abonnement Amazon valide.

SNS_TOPIC_CROSS_ACCOUNT

WARNING

Le résultat est en WARNING état.

Le SNS sujet associé à cette règle appartient à un autre compte. Le compte courant ne peut pas obtenir les informations d'abonnement.

Le compte propriétaire du SNS sujet doit accorder au compte courant l'sns:ListSubscriptionsByTopicautorisation pour le SNS sujet.

SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION

WARNING

Le résultat est invalide WARNING car le SNS sujet associé à cette règle se trouve dans une autre région ou dans un autre compte.

Cette règle ne prend pas en charge les vérifications entre régions ou entre comptes.

Il est recommandé de désactiver ce contrôle dans cette région ou ce compte. Exécutez-le uniquement dans la région ou le compte où se trouve la ressource.

SNS_TOPIC_INVALID

FAILED

Le SNS sujet associé à cette règle n'est pas valide.

THROTTLING_ERROR

NOT_AVAILABLE

L'APIopération en question a dépassé le taux autorisé.

ProductFields détails relatifs aux résultats des contrôles

Lorsque Security Hub exécute des contrôles de sécurité et génère des résultats de contrôle, l'ProductFieldsattribut ASFF inclut les champs suivants :

ArchivalReasons:0/Description

Décrit pourquoi Security Hub a archivé les résultats existants.

Par exemple, Security Hub archive les résultats existants lorsque vous désactivez un contrôle ou une norme et lorsque vous activez ou désactivez les résultats de contrôle consolidés.

ArchivalReasons:0/ReasonCode

Explique pourquoi Security Hub a archivé les résultats existants.

Par exemple, Security Hub archive les résultats existants lorsque vous désactivez un contrôle ou une norme et lorsque vous activez ou désactivez les résultats de contrôle consolidés.

StandardsGuideArn ou StandardsArn

Le ARN de la norme associée au contrôle.

Pour la norme CIS AWS Foundations Benchmark, le champ estStandardsGuideArn.

Pour PCI DSS les normes des meilleures pratiques de sécurité AWS fondamentales, le domaine estStandardsArn.

Ces champs sont supprimés au profit de Compliance.AssociatedStandards si vous activez les résultats de contrôle consolidés.

StandardsGuideSubscriptionArn ou StandardsSubscriptionArn

L'abonnement ARN du compte à la norme.

Pour la norme CIS AWS Foundations Benchmark, le champ estStandardsGuideSubscriptionArn.

Pour les normes PCI DSS et les meilleures pratiques de sécurité AWS fondamentales, le domaine estStandardsSubscriptionArn.

Ces champs sont supprimés si vous activez les résultats de contrôle consolidés.

RuleId ou ControlId

Identifiant du contrôle.

Pour la norme CIS AWS Foundations Benchmark, le champ estRuleId.

Pour les autres normes, le champ estControlId.

Ces champs sont supprimés au profit de Compliance.SecurityControlId si vous activez les résultats de contrôle consolidés.

RecommendationUrl

URLAux informations de correction pour le contrôle. Ce champ est supprimé au profit de Remediation.Recommendation.Url si vous activez les résultats de contrôle consolidés.

RelatedAWSResources:0/name

Nom de la ressource associée à la découverte.

RelatedAWSResource:0/type

Type de ressource associé au contrôle.

StandardsControlArn

Celui ARN de la commande. Ce champ est supprimé si vous activez les résultats de contrôle consolidés.

aws/securityhub/ProductName

Pour les résultats basés sur le contrôle, le nom du produit est Security Hub.

aws/securityhub/CompanyName

Pour les résultats basés sur le contrôle, le nom de l'entreprise est AWS.

aws/securityhub/annotation

Description du problème découvert par le contrôle.

aws/securityhub/FindingId

Identifiant de la découverte. Ce champ ne fait pas référence à une norme si vous activez les résultats de contrôle consolidés.

Niveau de gravité des résultats de contrôle

La sévérité attribuée à un contrôle Security Hub identifie l'importance du contrôle. La sévérité d'un contrôle détermine le label de gravité attribué aux résultats du contrôle.

Critères de sévérité

La sévérité d'un contrôle est déterminée sur la base d'une évaluation des critères suivants :

  • Est-il difficile pour un auteur de menaces de tirer parti de la faiblesse de configuration associée au contrôle ?

    La difficulté est déterminée par le degré de sophistication ou de complexité requis pour utiliser la faiblesse afin de réaliser un scénario de menace.

  • Quelle est la probabilité que cette faiblesse compromette vos ressources Comptes AWS ou celles de vos ressources ?

    La compromission de vos ressources Comptes AWS ou de vos ressources signifie que la confidentialité, l'intégrité ou la disponibilité de vos données ou de votre AWS infrastructure sont compromises d'une manière ou d'une autre.

    La probabilité d'une compromission indique la probabilité que le scénario de menace entraîne une interruption ou une violation de vos AWS services ou ressources.

À titre d'exemple, considérez les faiblesses de configuration suivantes :

  • Les clés d'accès des utilisateurs ne sont pas renouvelées tous les 90 jours.

  • IAMla clé utilisateur root existe.

Il est tout aussi difficile pour un adversaire de tirer parti de ces deux faiblesses. Dans les deux cas, l'adversaire peut avoir recours au vol d'informations d'identification ou à une autre méthode pour obtenir une clé utilisateur. Ils peuvent ensuite l'utiliser pour accéder à vos ressources de manière non autorisée.

Cependant, le risque de compromission est beaucoup plus élevé si l'auteur de la menace obtient la clé d'accès de l'utilisateur root, car cela lui donne un meilleur accès. Par conséquent, la faiblesse de la clé de l'utilisateur root est plus grave.

La gravité ne tient pas compte de la criticité de la ressource sous-jacente. La criticité est le niveau d'importance des ressources associées à la découverte. Par exemple, une ressource associée à une application critique est plus critique qu'une ressource associée à des tests hors production. Pour saisir des informations sur la criticité des ressources, utilisez le Criticality champ du format AWS Security Finding (ASFF).

Le tableau suivant décrit la difficulté d'exploitation et le risque de compromission des étiquettes de sécurité.

Compromis très probable

Compromis probable

Compromis peu probable

Compromis très peu probable

Très facile à exploiter

Critique

Critique

Élevé

Moyen

Assez facile à exploiter

Critique

Élevé

Moyen

Moyen

Assez difficile à exploiter

Élevé

Moyen

Moyen

Faible

Très difficile à exploiter

Moyen

Moyen

Faible

Faible

Définitions de gravité

Les étiquettes de gravité sont définies comme suit.

Critique — Le problème doit être résolu immédiatement pour éviter qu'il ne s'aggrave.

Par exemple, un compartiment S3 ouvert est considéré comme une résultat dont la gravité est critique. Étant donné que de nombreux acteurs malveillants recherchent des compartiments S3 ouverts, les données contenues dans les compartiments S3 exposés sont susceptibles d'être découvertes et d'être consultées par d'autres personnes.

En général, les ressources accessibles au public sont considérées comme des problèmes de sécurité critiques. Vous devez traiter les résultats critiques avec la plus grande urgence. Vous devez également tenir compte de l'importance de la ressource.

Élevé — Le problème doit être traité en priorité à court terme.

Par exemple, si un groupe VPC de sécurité par défaut est ouvert au trafic entrant et sortant, il est considéré comme très sévère. Il est assez facile pour un acteur de menace de compromettre VPC l'utilisation de cette méthode. Il est également probable que l'auteur de la menace soit en mesure de perturber ou d'exfiltrer les ressources une fois qu'elles se trouvent dans le. VPC

Security Hub vous recommande de traiter une constatation de gravité élevée comme une priorité à court terme. Vous devez prendre des mesures correctives immédiates. Vous devez également tenir compte de l'importance de la ressource.

Moyen — Le problème devrait être traité en priorité à moyen terme.

Par exemple, l'absence de chiffrement des données en transit est considérée comme une constatation de gravité moyenne. Une man-in-the-middle attaque sophistiquée est nécessaire pour tirer parti de cette faiblesse. En d'autres termes, c'est un peu difficile. Il est probable que certaines données soient compromises si le scénario de menace est réussi.

Security Hub vous recommande de rechercher la ressource impliquée dès que possible. Vous devez également tenir compte de l'importance de la ressource.

Faible — Le problème ne nécessite aucune action en soi.

Par exemple, l'absence de collecte d'informations médico-légales est considérée comme peu grave. Ce contrôle peut aider à prévenir de futurs compromis, mais l'absence de criminalistique ne mène pas directement à un compromis.

Il n'est pas nécessaire de prendre des mesures immédiates en cas de constatation de faible gravité, mais ils peuvent fournir un contexte lorsque vous les mettez en corrélation avec d'autres problèmes.

Information — Aucune faiblesse de configuration n'a été détectée.

En d'autres termes, le statut est PASSEDWARNING, ouNOT AVAILABLE.

Aucune action spécifique n'est recommandée. Les résultats fournis à titre informatif aident les clients à démontrer qu'ils sont dans un état de conformité.