Konsep Security Hub - AWS Security Hub

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konsep Security Hub

Topik ini menjelaskan konsep-konsep kunci dan terminologi di AWS Security Hub untuk membantu Anda memulai layanan ini.

Akun

Sebuah standar Amazon Web Services (AWS) akun yang berisi Anda AWS sumber daya. Anda dapat masuk ke AWS dengan akun Anda dan aktifkan Security Hub.

Akun dapat mengundang akun lain untuk mengaktifkan Security Hub dan menjadi terkait dengan akun tersebut di Security Hub. Menerima undangan keanggotaan bersifat opsional. Jika undangan diterima, akun menjadi akun administrator, dan akun yang ditambahkan adalah akun anggota. Akun administrator dapat melihat temuan di akun anggota mereka.

Jika Anda terdaftar di AWS Organizations, kemudian organisasi Anda menetapkan akun administrator Security Hub untuk organisasi tersebut. Akun administrator Security Hub dapat mengaktifkan akun organisasi lain sebagai akun anggota.

Akun tidak dapat berupa akun administrator dan akun anggota secara bersamaan. Akun hanya dapat memiliki satu akun administrator.

Untuk informasi selengkapnya, lihat Mengelola akun administrator dan anggota di Security Hub.

Akun Administrator

Akun di Security Hub yang diberikan akses untuk melihat temuan untuk akun anggota terkait.

Akun menjadi akun administrator dengan salah satu cara berikut:

  • Akun tersebut mengundang akun lain untuk dikaitkan dengannya di Security Hub. Ketika akun tersebut menerima undangan, mereka menjadi akun anggota, dan akun yang mengundang menjadi akun administrator mereka.

  • Akun ini ditetapkan oleh akun manajemen organisasi sebagai akun administrator Security Hub. Akun administrator Security Hub dapat mengaktifkan akun organisasi apa pun sebagai akun anggota, dan juga dapat mengundang akun lain untuk menjadi akun anggota.

Akun hanya dapat memiliki satu akun administrator. Akun tidak dapat berupa akun administrator dan akun anggota secara bersamaan.

Wilayah Agregasi

Menyetel Wilayah agregasi memungkinkan Anda melihat temuan keamanan dari beberapa Wilayah AWS dalam satu panel kaca.

Wilayah agregasi adalah Wilayah tempat Anda melihat dan mengelola temuan. Temuan dikumpulkan ke Wilayah agregasi dari Wilayah terkait. Pembaruan temuan direplikasi di seluruh Wilayah.

Di Wilayah agregasi, halaman standar Keamanan, Wawasan, dan Temuan mencakup data dari semua Wilayah terkait.

Lihat Memahami agregasi lintas wilayah di Security Hub.

Temuan yang diarsipkan

Temuan yang memiliki satu RecordState set keARCHIVED. Mengarsipkan temuan menunjukkan bahwa penyedia temuan percaya bahwa temuan tersebut tidak lagi relevan. Status rekaman terpisah dari status alur kerja, yang melacak status investigasi ke dalam temuan.

Penyedia pencarian dapat menggunakan BatchImportFindingspengoperasian Security Hub API untuk mengarsipkan temuan yang mereka buat. Security Hub secara otomatis mengarsipkan temuan untuk kontrol jika kontrol dinonaktifkan atau sumber daya terkait dihapus, berdasarkan salah satu kriteria berikut.

  • Temuan ini tidak diperbarui dalam tiga hingga lima hari (perhatikan bahwa ini adalah upaya terbaik dan tidak dijamin).

  • Yang terkait AWS Config evaluasi kembaliNOT_APPLICABLE.

Secara default, temuan yang diarsipkan dikecualikan dari daftar temuan di konsol Security Hub. Anda dapat memperbarui filter untuk menyertakan temuan yang diarsipkan.

GetFindingsPengoperasian Security Hub API mengembalikan temuan aktif dan diarsipkan. Anda dapat menyertakan filter untuk status rekaman.

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],
AWS Format Pencarian Keamanan (ASFF)

Format standar untuk konten temuan yang dikumpulkan atau dihasilkan oleh Security Hub. Bagian AWS Security Finding Format memungkinkan Anda menggunakan Security Hub untuk melihat dan menganalisis temuan yang dihasilkan oleh AWS layanan keamanan, solusi pihak ketiga, atau Security Hub sendiri dari menjalankan pemeriksaan keamanan. Untuk informasi selengkapnya, lihat AWS Format Pencarian Keamanan (ASFF).

Kontrol

Pengamanan atau penanggulangan yang ditentukan untuk sistem informasi atau organisasi yang dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan informasinya dan untuk memenuhi serangkaian persyaratan keamanan yang ditetapkan. Standar keamanan dikaitkan dengan kumpulan kontrol.

Istilah kontrol keamanan mengacu pada kontrol yang memiliki ID kontrol tunggal dan judul di seluruh standar. Istilah kontrol standar mengacu pada kontrol yang memiliki kontrol IDs dan judul khusus standar. Saat ini, Security Hub hanya mendukung kontrol standar di AWS GovCloud (US) Region dan Wilayah China. Kontrol keamanan didukung di semua Wilayah lainnya.

Tindakan kustom

Mekanisme Security Hub untuk mengirimkan temuan yang dipilih ke EventBridge. Tindakan kustom dibuat di Security Hub. Hal ini kemudian dikaitkan dengan EventBridge aturan. Aturan menentukan tindakan tertentu yang harus diambil saat temuan diterima yang terkait dengan ID tindakan kustom. Tindakan khusus dapat digunakan, misalnya, untuk mengirim temuan tertentu, atau serangkaian kecil temuan, ke alur kerja respons atau remediasi. Untuk informasi selengkapnya, lihat Membuat tindakan kustom.

Akun administrator yang didelegasikan (Organizations)

Dalam Organizations, akun administrator yang didelegasikan untuk suatu layanan dapat mengelola penggunaan layanan untuk organisasi.

Di Security Hub, akun administrator Security Hub juga merupakan akun administrator yang didelegasikan untuk Security Hub. Saat akun manajemen organisasi pertama kali menetapkan akun administrator Security Hub, Security Hub memanggil Organizations untuk menjadikan akun tersebut sebagai akun administrator yang didelegasikan.

Akun manajemen organisasi kemudian harus memilih akun administrator yang didelegasikan sebagai akun administrator Security Hub di semua Wilayah.

Temuan

Catatan yang dapat diamati dari pemeriksaan keamanan atau deteksi terkait keamanan. Security Hub menghasilkan temuan setelah menyelesaikan pemeriksaan keamanan kontrol. Ini disebut temuan kontrol. Temuan juga dapat berasal dari integrasi produk pihak ketiga.

Untuk informasi selengkapnya tentang temuan di Security Hub, lihatMembuat dan memperbarui temuan di Security Hub.

catatan

Temuan dihapus 90 hari setelah pembaruan terbaru atau 90 hari setelah tanggal pembuatan jika tidak ada pembaruan yang terjadi. Untuk menyimpan temuan selama lebih dari 90 hari, Anda dapat mengonfigurasi aturan yang EventBridge merutekan temuan ke bucket Amazon S3 Anda.

Agregasi Lintas Wilayah

Agregasi temuan, wawasan, status kepatuhan kontrol, dan skor keamanan dari Wilayah terkait ke Wilayah agregasi. Anda kemudian dapat melihat semua data Anda dari Wilayah agregasi dan memperbarui temuan dan wawasan dari Wilayah agregasi.

Lihat Memahami agregasi lintas wilayah di Security Hub.

Menemukan konsumsi

Impor temuan ke Security Hub dari yang lain AWS layanan dan dari penyedia mitra pihak ketiga.

Menemukan peristiwa konsumsi mencakup temuan baru dan pembaruan untuk temuan yang ada.

Wawasan

Kumpulan temuan terkait yang ditentukan oleh pernyataan agregasi dan filter opsional. Wawasan mengidentifikasi area keamanan yang membutuhkan perhatian dan intervensi. Security Hub menawarkan beberapa wawasan terkelola (default) yang tidak dapat Anda ubah. Anda juga dapat membuat wawasan Security Hub khusus untuk melacak masalah keamanan yang unik bagi Anda AWS lingkungan dan penggunaan. Untuk informasi selengkapnya, lihat Melihat wawasan di Security Hub.

Wilayah Tertaut

Saat Anda mengaktifkan agregasi Lintas wilayah, Wilayah tertaut adalah wilayah yang menggabungkan temuan, wawasan, mengontrol status kepatuhan, dan skor keamanan ke Wilayah agregasi.

Di Wilayah terkait, halaman Temuan dan Wawasan hanya berisi temuan dari Wilayah tersebut.

Lihat Memahami agregasi lintas wilayah di Security Hub.

Akun anggota

Akun yang telah memberikan izin kepada akun administrator untuk melihat dan mengambil tindakan atas temuan mereka.

Akun menjadi akun anggota dengan salah satu cara berikut:

  • Akun menerima undangan dari akun lain.

  • Untuk akun organisasi, akun administrator Security Hub mengaktifkan akun sebagai akun anggota.

Persyaratan terkait

Serangkaian persyaratan industri atau peraturan yang dipetakan ke kontrol.

Aturan

Seperangkat kriteria otomatis yang digunakan untuk menilai apakah suatu kontrol dipatuhi. Ketika aturan dievaluasi, itu bisa lulus atau gagal. Jika evaluasi tidak dapat menentukan apakah aturan lolos atau gagal, maka aturan tersebut dalam keadaan peringatan. Jika aturan tidak dapat dievaluasi, maka itu dalam keadaan tidak tersedia.

Pemeriksaan keamanan

point-in-time Evaluasi spesifik aturan terhadap sumber daya tunggal yang menghasilkanPASSED,FAILED,WARNING, atau NOT_AVAILABLE negara. Menjalankan pemeriksaan keamanan menghasilkan temuan.

Akun administrator Security Hub

Akun organisasi yang mengelola keanggotaan Security Hub untuk suatu organisasi.

Akun manajemen organisasi menunjuk akun administrator Security Hub di setiap Wilayah. Akun manajemen organisasi harus memilih akun administrator Security Hub yang sama di semua Wilayah.

Akun administrator Security Hub juga merupakan akun administrator yang didelegasikan untuk Security Hub in Organizations.

Akun administrator Security Hub dapat mengaktifkan akun organisasi apa pun sebagai akun anggota. Akun administrator Security Hub juga dapat mengundang akun lain untuk menjadi akun anggota.

Standar keamanan

Pernyataan yang diterbitkan tentang topik yang menentukan karakteristik, biasanya dapat diukur dan dalam bentuk kontrol, yang harus dipenuhi atau dicapai untuk kepatuhan. Standar keamanan dapat didasarkan pada kerangka peraturan, praktik terbaik, atau kebijakan internal perusahaan. Kontrol dapat dikaitkan dengan satu atau lebih standar yang didukung di Security Hub. Untuk mempelajari lebih lanjut tentang standar keamanan di Security Hub, lihatMemahami standar keamanan di Security Hub.

Kepelikan

Tingkat keparahan yang ditetapkan ke kontrol Security Hub mengidentifikasi pentingnya kontrol. Tingkat keparahan kontrol dapat Kritis, Tinggi, Sedang, Rendah, atau Informasi. Tingkat keparahan yang ditugaskan untuk mengontrol temuan sama dengan tingkat keparahan kontrol itu sendiri. Untuk mempelajari tentang cara Security Hub menetapkan tingkat keparahan pada kontrol, lihatMenetapkan tingkat keparahan untuk mengontrol temuan.

Status alur kerja

Status investigasi terhadap sebuah temuan. Dilacak menggunakan Workflow.Status atribut.

Status alur kerja pada awalnyaNEW. Jika Anda memberi tahu pemilik sumber daya untuk mengambil tindakan atas temuan tersebut, Anda dapat mengatur status alur kerja. NOTIFIED Jika temuan tidak menjadi masalah, dan tidak memerlukan tindakan apa pun, setel status alur kerja keSUPPRESSED. Setelah Anda meninjau dan memulihkan temuan, setel status alur kerja ke. RESOLVED

Secara default, sebagian besar daftar temuan hanya menyertakan temuan dengan status alur kerja NEW atauNOTIFIED. Menemukan daftar untuk kontrol juga mencakup RESOLVED temuan.

Untuk GetFindingsoperasi, Anda dapat menyertakan filter untuk status alur kerja.

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

Konsol Security Hub menyediakan opsi untuk mengatur status alur kerja untuk temuan. Pelanggan (atauSIEM, tiket, manajemen insiden, atau SOAR alat yang bekerja atas nama pelanggan untuk memperbarui temuan dari penyedia pencarian) juga dapat digunakan BatchUpdateFindingsuntuk memperbarui status alur kerja.