Integrazione di Sistema di analisi degli accessi IAM con AWS Security Hub - AWS Identity and Access Management
Come Sistema di analisi degli accessi IAM invia i risultati a Security HubVisualizzazione dei risultati di Sistema di analisi degli accessi IAM in Security HubRisultato tipico da Sistema di analisi degli accessi IAMAbilitazione e configurazione dell'integrazioneCome interrompere l'invio di esiti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Integrazione di Sistema di analisi degli accessi IAM con AWS Security Hub

AWS Security Hub fornisce una visione completa dello stato di sicurezza in AWS. Consente di valutare l'ambiente rispetto agli standard e alle best practice del settore della sicurezza. Centrale di sicurezza raccoglie i dati di sicurezza da Account AWS, dai servizi e da prodotti partner supportati da terzi. Quindi analizza le tendenze di sicurezza e identifica i problemi di sicurezza più importanti.

L'integrazione di Sistema di analisi degli accessi IAM con Centrale di sicurezza consente di inviare i risultati da Sistema di analisi degli accessi IAM a Centrale di sicurezza. Centrale di sicurezza può quindi includere tali risultati nella sua analisi della posizione di sicurezza generale.

Come Sistema di analisi degli accessi IAM invia i risultati a Security Hub

Nella Centrale di sicurezza, i problemi di sicurezza vengono monitorati come esiti. Alcuni risultati provengono da problemi rilevati da altri Servizi AWS o da partner di terze parti. La Centrale di sicurezza dispone inoltre di una serie di regole che utilizza per rilevare problemi di sicurezza e generare esiti.

Security Hub fornisce strumenti per gestire i risultati da tutte queste fonti. È possibile visualizzare e filtrare gli elenchi di risultati e visualizzare informazioni dettagliate per ogni risultato. Per ulteriori informazioni, consulta Visualizzazione dei riscontri nella Guida per l'utenteAWS Security Hub. È inoltre possibile monitorare lo stato delle indagini in un risultato. Per ulteriori informazioni, consulta Azioni sugli esiti nella Guida per l'utente di AWS Security Hub.

Tutti i risultati in Security Hub utilizzano un formato JSON standard denominato AWS Security Finding Format (ASFF). L'ASFF include dettagli sull'origine del problema, sulle risorse interessate e sullo stato corrente del risultato. Per ulteriori informazioni, consulta AWS Security Finding Format (ASFF) nella Guida per l'utente di AWS Security Hub.

AWS Identity and Access Management Access Analyzer è uno dei Servizi AWS che invia i risultati a Centrale di sicurezza. Per gli accessi inutilizzati, Sistema di analisi degli accessi IAM rileva l'accesso inutilizzato concesso a ruoli o utenti IAM e genera un risultato per ognuno di essi. Sistema di analisi degli accessi IAM invia quindi questi risultati a Centrale di sicurezza.

Per gli accessi esterni, Sistema di analisi degli accessi IAM rileva le istruzioni della policy che consentono a un principale esterno l'accesso pubblico o l'accesso multi-account su risorse supportate nell'organizzazione o nell'account. Il Sistema di analisi degli accessi IAM genera un risultato per l'accesso pubblico e lo invia alla Centrale di sicurezza. Per l'accesso multi-account, il Sistema di analisi degli accessi IAM invia alla Centrale di sicurezza un singolo risultato per un principale esterno alla volta. Se sono presenti più risultati tra account nel Sistema di analisi degli accessi IAM, è necessario risolvere il risultato della Centrale di sicurezza per il singolo principale esterno prima che il Sistema di analisi degli accessi IAM fornisca il successivo risultato tra account. Per un elenco completo dei principali esterni con accesso multi-account al di fuori della zona di attendibilità per il sistema di analisi, è necessario visualizzare i risultati nel Sistema di analisi degli accessi IAM. I dettagli della policy di controllo delle risorse (RCP) sono disponibili nella sezione dei dettagli della risorsa.

Tipi di risultati inviati da Sistema di analisi degli accessi IAM

Sistema di analisi degli accessi IAM invia i risultati a Security Hub utilizzando il formato ASFF (Security Finding Format) di AWS. In ASFF, il Types campo fornisce il tipo di esito. I risultati ottenuti da Sistema di analisi degli accessi IAM possono avere i seguenti valori per Types.

  • Risultati degli accessi esterni: effetti/esposizione dei dati/accesso esterno concesso

  • Risultati degli accessi esterni: controlli software e configurazione/best practice AWS per la sicurezza/accesso esterno concesso

  • Risultati degli accessi inutilizzati: controlli software e configurazione/best practice di sicurezza per AWS/autorizzazioni inutilizzate

  • Risultati degli accessi inutilizzati: controlli software e configurazione/best practice AWS per la sicurezza/ruolo IAM inutilizzato

  • Risultati degli accessi inutilizzati: controlli software e configurazione/best practice AWS per la sicurezza/password utente IAM inutilizzata

  • Risultati degli accessi inutilizzati: controlli software e configurazione/best practice AWS per la sicurezza/chiave di accesso dell'utente IAM inutilizzata

Latenza per l'invio degli esiti

Quando Sistema di analisi degli accessi IAM crea un nuovo risultato, lo invia a Security Hub solitamente entro 30 minuti. Tuttavia, ci sono rari casi in cui il Sistema di analisi degli accessi IAM potrebbe non ricevere notifiche in merito a una modifica della policy. Ad esempio:

  • Le modifiche alle impostazioni di accesso pubblico in blocco a livello di account di Amazon S3 possono richiedere fino a 12 ore per essere applicate nel Sistema di analisi degli accessi IAM.

  • Le modifiche a una policy di controllo delle risorse (RCP) senza una modifica della policy del bucket non attivano una nuova scansione della risorsa riportata nel risultato. In questo caso, Sistema di analisi degli accessi IAM analizza la policy nuova o aggiornata durante la scansione periodica successiva che avviene entro 24 ore.

  • Se si verifica un problema di recapito con il recapito del log AWS CloudTrail, la modifica della policy potrebbe non attivare una nuova scansione della risorsa riportata nel risultato.

In questo caso, Sistema di analisi degli accessi IAM analizza la policy nuova o aggiornata durante la scansione periodica successiva.

Nuovo tentativo quando Security Hub non è disponibile

Se Security Hub non è disponibile, Sistema di analisi degli accessi IAM riprova a inviare i risultati su base periodica.

Aggiornamento degli esiti esistenti nella Centrale di sicurezza

Dopo aver inviato un risultato alla Centrale di sicurezza, Sistema di analisi degli accessi IAM continua a inviare aggiornamenti per riflettere ulteriori osservazioni dell'attività di ricerca a Centrale di sicurezza. Questi aggiornamenti vengono riflessi all'interno dello stesso risultato.

Per i risultati degli accessi esterni, il Sistema di analisi degli accessi IAM li raggruppa per risorsa. In Centrale di sicurezza, il risultato per una risorsa rimane attivo se almeno uno dei risultati per quella risorsa è attivo in Sistema di analisi degli accessi IAM. Se tutti i risultati in Sistema di analisi degli accessi IAM di una risorsa vengono archiviati o risolti, viene archiviato anche il risultato di Centrale di sicurezza. Il risultato di Centrale di sicurezza viene aggiornato quando si modifica l'accesso alla policy tra l'accesso pubblico e l'accesso multi-account. Questo aggiornamento può includere modifiche al tipo, al titolo, alla descrizione e alla gravità del risultato.

Per i risultati degli accessi inutilizzati, il Sistema di analisi degli accessi IAM non li raggruppa per risorsa. Se invece un risultato di accesso inutilizzato viene risolto nel Sistema di analisi degli accessi IAM, viene risolto anche il risultato della Centrale di sicurezza corrispondente. Il risultato di Security Hub viene aggiornato quando aggiorni l'utente o il ruolo IAM che ha generato il risultato di accesso inutilizzato.

Visualizzazione dei risultati di Sistema di analisi degli accessi IAM in Security Hub

Per visualizzare i risultati di Sistema di analisi degli accessi IAM in Security Hub, scegli Visualizza risultati nella sezione AWS: Sistema di analisi degli accessi IAM della pagina di riepilogo. In alternativa, è possibile scegliere Risultati dal pannello di navigazione. È quindi possibile filtrare i risultati per visualizzare solo AWS Identity and Access Management Access Analyzer i risultati scegliendo il campo Nome prodotto: con un valore pari a IAM Access Analyzer.

Interpretazione dei nomi dei risultati di Sistema di analisi degli accessi IAM in Security Hub

AWS Identity and Access Management Access Analyzer invia i risultati a Securiy Hub utilizzando AWS ASFF (Security Finding Format). In ASFF, il campo Tipi fornisce il tipo di risultato. I tipi ASFF utilizzano uno schema di denominazione diverso rispetto a AWS Identity and Access Management Access Analyzer. Nella tabella seguente sono riportati i dettagli su tutti i tipi ASFF associati ai risultati AWS Identity and Access Management Access Analyzer visualizzati in Security Hub.

Tipo di risultati ASFF Titolo del risultato di Security Hub Descrizione
Effetti/Esposizione dei dati/Accesso esterno concesso <resource ARN>consente l'accesso pubblico Una politica basata sulle risorse collegata alla risorsa consente l'accesso pubblico alla risorsa a tutte le entità esterne.
Controlli software e configurazione/AWSBest practice di sicurezza/Accesso esterno concesso <resource ARN> consente l'accesso tra account Una politica basata sulle risorse collegata alla risorsa consente l'accesso tra account alle entità esterne all'area di trust per l'analizzatore.
Controlli software e configurazione/best practice di sicurezza per AWS/autorizzazioni inutilizzate <resource ARN> contiene autorizzazioni inutilizzate Un utente o un ruolo contiene autorizzazioni di servizio e operazioni inutilizzate.
Controlli software e configurazione/best practice AWS per la sicurezza/ruolo IAM inutilizzato <resource ARN> contiene un ruolo IAM inutilizzato Un utente o un ruolo contiene un ruolo IAM inutilizzato.
Controlli software e configurazione/best practice AWS per la sicurezza/password utente IAM inutilizzata <resource ARN> contiene una password utente IAM inutilizzata Un utente o un ruolo contiene una password utente IAM inutilizzata.
Controlli software e configurazione/best practice AWS per la sicurezza/chiave di accesso dell'utente IAM inutilizzata <resource ARN> contiene una chiave di accesso dell'utente IAM inutilizzata Un utente o un ruolo contiene una chiave di accesso dell'utente IAM inutilizzata.

Risultato tipico da Sistema di analisi degli accessi IAM

Sistema di analisi degli accessi IAM invia i risultati a Security Hub utilizzando AWS Security Finding Format (ASFF).

Ecco un esempio di un tipico risultato da Sistema di analisi degli accessi IAM per i risultati degli accessi esterni.

{
    "SchemaVersion": "2018-10-08",
    "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::amzn-s3-demo-bucket",
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
    "GeneratorId": "aws/access-analyzer",
    "AwsAccountId": "111122223333",
    "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"],
    "CreatedAt": "2020-11-10T16:17:47Z",
    "UpdatedAt": "2020-11-10T16:43:49Z",
    "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
    },
    "Title": "AwsS3Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access",
    "Description": "AWS::S3::Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access from AWS 444455556666",
    "Remediation": {
        "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."}
    },
    "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798",
    "Resources": [
        {
            "Type": "AwsS3Bucket",
            "Id": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Details": {
                "Other": {
                    "External Principal Type": "AWS",
                    "Condition": "none",
                    "Action Granted": "s3:GetObject,s3:GetObjectVersion",
                    "External Principal": "444455556666"
                }
            }
        }
    ],
    "WorkflowState": "NEW",
    "Workflow": {"Status": "NEW"},
    "RecordState": "ACTIVE"
}

Ecco un esempio di un tipico risultato da Sistema di analisi degli accessi IAM per i risultati degli accessi inutilizzati.

{
    "Findings": [
    {
      "SchemaVersion": "2018-10-08",
      "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
      "ProductName": "IAM Access Analyzer",
      "CompanyName": "AWS",
      "Region": "us-west-2",
      "GeneratorId": "aws/access-analyzer",
      "AwsAccountId": "111122223333",
      "Types": [
        "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
      ],
      "CreatedAt": "2023-09-18T16:29:09.657Z",
      "UpdatedAt": "2023-09-21T20:39:16.651Z",
      "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
      },
      "Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions",
      "Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions",
      "Remediation": {
        "Recommendation": {
          "Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved."
        }
      },
      "SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole",
      "ProductFields": {
      "numberOfUnusedActions": "256",
      "numberOfUnusedServices": "15",
      "resourceOwnerAccount": "111122223333",
      "findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7",
      "findingType": "UnusedPermission",
      "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "aws/securityhub/ProductName": "AM Access Analyzer",
      "aws/securityhub/CompanyName": "AWS"
    },
    "Resources": [
    {
      "Type": "AwsIamRole",
      "Id": "arn:aws:iam::111122223333:role/TestRole"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
    },
  "RecordState": "ARCHIVED",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW"
    },
    "Types": [
    "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
    ]
  }
  }
]
}

Abilitazione e configurazione dell'integrazione

Per utilizzare l'integrazione con Security Hub, è necessario abilitare Security Hub. Per informazioni su come abilitare Security Hub, consulta Configurazione di Security Hub nella Guida per l'utente di AWS Security Hub.

Una volta abilitati Sistema di analisi degli accessi IAM e Security Hub, l'integrazione viene abilitata automaticamente. Sistema di analisi degli accessi IAM inizia immediatamente a inviare i risultati a Security Hub.

Come interrompere l'invio di esiti

Per interrompere l'invio dei risultati a Security Hub, puoi utilizzare la console o l'API di Security Hub.

Consulta Disabilitazione e abilitazione del flusso dei risultati da un'integrazione (console) o Disabilitazione del flusso di risultati da un'integrazione (API Security Hub, AWS CLI) nella Guida per l'utente di AWS Security Hub.