Generazione e aggiornamento dei risultati di controllo - AWS Security Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Generazione e aggiornamento dei risultati di controllo

AWS Security Hub genera risultati eseguendo controlli rispetto ai controlli di sicurezza. Questi risultati utilizzano il AWS Security Finding Format (ASFF). Notate che se la dimensione del risultato supera il massimo di 240 KB, l'Resource.Detailsoggetto viene rimosso. Per i controlli supportati da AWS Config risorse, è possibile visualizzare i dettagli delle risorse sulla AWS Config console.

Security Hub normalmente addebita un costo per ogni controllo di sicurezza. Tuttavia, se più controlli utilizzano la stessa AWS Config regola, Security Hub addebita una sola volta per ogni controllo rispetto alla AWS Config regola. Se abiliti i risultati del controllo consolidato, Security Hub genera un singolo risultato per un controllo di sicurezza anche quando il controllo è incluso in più standard abilitati.

Ad esempio, la AWS Config regola iam-password-policy viene utilizzata da più controlli nello standard Center for Internet Security (CIS) AWS Foundations Benchmark e nello standard Foundational Security Best Practices. Ogni volta che Security Hub esegue un controllo rispetto a tale AWS Config regola, genera un risultato separato per ogni controllo correlato, ma addebita una sola volta per il controllo.

Risultati di controllo consolidati

Se nel tuo account sono abilitati i risultati del controllo consolidato, Security Hub genera un singolo nuovo risultato o aggiornamento dei risultati per ogni controllo di sicurezza di un controllo, anche se un controllo si applica a più standard abilitati. Per visualizzare un elenco dei controlli e degli standard a cui si applicano, consultaRiferimento ai controlli del Security Hub. Si consiglia di abilitare risultati di controllo consolidati per ridurre il rumore di rilevamento.

Se hai abilitato Security Hub Account AWS prima del 23 febbraio 2023, puoi abilitare i risultati del controllo consolidato seguendo le istruzioni riportate più avanti in questa sezione. Se attivi Security Hub a partire dal 23 febbraio 2023, i risultati del controllo consolidato vengono abilitati automaticamente nel tuo account. Tuttavia, se utilizzi l'integrazione di Security Hub con AWS Organizations o gli account dei membri invitati tramite una procedura di invito manuale, i risultati del controllo consolidato sono abilitati negli account dei membri solo se sono abilitati nell'account amministratore. Se la funzionalità è disabilitata nell'account amministratore, è disabilitata negli account dei membri. Questo comportamento si applica agli account membro nuovi ed esistenti.

Se disabiliti i risultati del controllo consolidato nel tuo account, Security Hub genera un risultato separato per ogni controllo di sicurezza per ogni standard abilitato che include un controllo. Ad esempio, se quattro standard abilitati condividono un controllo con la stessa AWS Config regola sottostante, riceverai quattro risultati separati dopo un controllo di sicurezza del controllo. Se abiliti i risultati del controllo consolidato, riceverai solo un risultato.

Quando abiliti i risultati del controllo consolidato, Security Hub crea nuovi risultati indipendenti dallo standard e archivia i risultati originali basati sullo standard. Alcuni campi e valori di ricerca dei controlli cambieranno e potrebbero influire sui flussi di lavoro esistenti. Per ulteriori informazioni su queste modifiche, vedi Risultati di controllo consolidati: modifiche ASFF.

L'attivazione dei risultati del controllo consolidato può influire anche sui risultati che i prodotti integrati di terze parti ricevono da Security Hub. Automated Security Response nella AWS versione 2.0.0 supporta risultati di controllo consolidati.

Per abilitare o disabilitare i risultati del controllo consolidato, è necessario accedere a un account amministratore o a un account autonomo.

Nota

Dopo aver abilitato i risultati del controllo consolidato, Security Hub potrebbe impiegare fino a 24 ore per generare nuovi risultati consolidati e archiviare i risultati originali basati su standard. Allo stesso modo, dopo aver disabilitato i risultati del controllo consolidato, Security Hub potrebbe impiegare fino a 24 ore per generare nuovi risultati basati su standard e archiviare i risultati consolidati. Durante questi periodi, nel tuo account potresti visualizzare una combinazione di risultati indipendenti dagli standard e basati sugli standard.

Security Hub console
Per abilitare o disabilitare i risultati del controllo consolidato (console)
  1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

  2. Nel pannello di navigazione scegli Impostazioni.

  3. Scegli la scheda Generale.

  4. Per Controlli, attiva o disattiva i risultati del controllo consolidato.

  5. Seleziona Salva.

Security Hub API, AWS CLI
Per abilitare o disabilitare i risultati del controllo consolidato (API,) AWS CLI
  1. Usa l'UpdateSecurityHubConfigurationoperazione. Se stai usando AWS CLI, esegui il update-security-hub-configurationcomando.

  2. Imposta control-finding-generator uguale a per SECURITY_CONTROL abilitare i risultati del controllo consolidato. Impostare control-finding-generator uguale a per STANDARD_CONTROL disabilitare i risultati del controllo consolidato

    Ad esempio, il AWS CLI comando seguente abilita i risultati di controllo consolidati. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

    $ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

    Il AWS CLI comando seguente disabilita i risultati del controllo consolidato. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

    $ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

Generazione di nuovi risultati anziché aggiornamento dei risultati esistenti

Security Hub esegue i controlli di sicurezza in base a una pianificazione. Un controllo successivo rispetto a un determinato controllo può generare un nuovo risultato. Ad esempio, lo stato di un controllo potrebbe cambiare da FAILED aPASSED. In questo caso, Security Hub genera un nuovo risultato che contiene il risultato più recente.

Se un controllo successivo rispetto a una determinata regola genera un risultato identico al risultato corrente, Security Hub aggiorna il risultato esistente. e nessun nuovo risultato viene generato.

Security Hub archivia automaticamente i risultati dei controlli se la risorsa associata viene eliminata, la risorsa non esiste o il controllo è disabilitato. Una risorsa potrebbe non esistere più perché il servizio associato non è attualmente utilizzato. I risultati vengono archiviati automaticamente in base a uno dei seguenti criteri:

  • I risultati non vengono aggiornati per 3-5 giorni (tieni presente che si tratta del massimo impegno e non è garantito).

  • La AWS Config valutazione associata è stata restituitaNOT_APPLICABLE.

Controllo, ricerca, automazione e soppressione

È possibile utilizzare le regole di automazione di Security Hub per aggiornare o eliminare risultati di controllo specifici. Quando sopprimi un risultato, è ancora accessibile nel tuo account, ma ciò indica che ritieni che non sia necessaria alcuna azione per risolvere il problema. Eliminando i risultati non pertinenti, puoi ridurre il rumore delle scoperte. Ad esempio, è possibile sopprimere i risultati di controllo generati negli account di test. In alternativa, è possibile sopprimere i risultati relativi a risorse specifiche. Per ulteriori informazioni sull'aggiornamento o la soppressione automatica dei risultati, consulta. Comprendere le regole di automazione in Security Hub

Le regole di automazione sono appropriate quando si desidera aggiornare o eliminare risultati di controllo specifici. Tuttavia, se un controllo non è pertinente alla tua organizzazione o al tuo caso d'uso, ti consigliamo di disabilitarlo. Quando disabiliti un controllo, Security Hub non esegue controlli di sicurezza su di esso e non ti viene addebitato alcun costo.

Dettagli sulla conformità per i risultati del controllo

Per i risultati generati dai controlli di sicurezza, il Compliancecampo del AWS Security Finding Format (ASFF) contiene dettagli relativi ai risultati del controllo. Il campo Compliance include le seguenti informazioni:

AssociatedStandards

Gli standard abilitati in cui è abilitato un controllo.

RelatedRequirements

L'elenco dei requisiti correlati per il controllo in tutti gli standard abilitati. I requisiti provengono dal framework di sicurezza di terze parti per il controllo, come il Payment Card Industry Data Security Standard (PCIDSS).

SecurityControlId

L'identificatore per il controllo degli standard di sicurezza supportati da Security Hub.

Status

Il risultato del controllo più recente eseguito da Security Hub per un determinato controllo. I risultati dei controlli precedenti vengono conservati in un stato archiviato per 90 giorni.

StatusReasons

Contiene un elenco di motivi del valore diCompliance.Status. Per ogni motivo, StatusReasons include il codice motivo e una descrizione.

La tabella seguente elenca i codici e le descrizioni dei motivi dello stato disponibili. Le fasi di correzione dipendono dal controllo che ha generato un risultato con il codice motivo. Scegli un controllo tra i seguenti Riferimento ai controlli del Security Hub per visualizzare i passaggi di riparazione relativi a quel controllo.

Codice di motivo

Compliance.Status

Descrizione

CLOUDTRAIL_METRIC_FILTER_NOT_VALID

FAILED

Il CloudTrail percorso multiregionale non dispone di un filtro metrico valido.

CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT

FAILED

I filtri metrici non sono presenti per il percorso multiregionale. CloudTrail

CLOUDTRAIL_MULTI_REGION_NOT_PRESENT

FAILED

L'account non dispone di un CloudTrail percorso multiregionale con la configurazione richiesta.

CLOUDTRAIL_REGION_INVAILD

WARNING

I CloudTrail percorsi multiregione non si trovano nella regione attuale.

CLOUDWATCH_ALARM_ACTIONS_NOT_VALID

FAILED

Non sono presenti operazioni di allarme valide.

CLOUDWATCH_ALARMS_NOT_PRESENT

FAILED

CloudWatch gli allarmi non esistono nell'account.

CONFIG_ACCESS_DENIED

NOT_AVAILABLE

AWS Config lo stato è ConfigError

AWS Config accesso negato.

Verifica che AWS Config sia abilitato e che siano state concesse autorizzazioni sufficienti.

CONFIG_EVALUATIONS_EMPTY

PASSED

AWS Config ha valutato le tue risorse in base alla regola.

La regola non si applicava alle AWS risorse incluse nel suo ambito, le risorse specificate sono state eliminate o i risultati della valutazione sono stati eliminati.

CONFIG_RECORDER_CUSTOM_ROLE

FAILED(per Config.1)

Il AWS Config registratore utilizza un IAM ruolo personalizzato anziché il ruolo AWS Config collegato al servizio e il parametro includeConfigServiceLinkedRoleCheck personalizzato per Config.1 non è impostato su. false

CONFIG_RECORDER_DISABLED

FAILED(per Config.1)

AWS Config non è abilitato con il registratore di configurazione acceso.

CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES

FAILED(per Config.1)

AWS Config non registra tutti i tipi di risorse che corrispondono ai controlli abilitati del Security Hub. Attiva la registrazione per le seguenti risorse:Resources that aren't being recorded.

CONFIG_RETURNS_NOT_APPLICABLE

NOT_AVAILABLE

Lo stato di conformità è NOT_AVAILABLE dovuto al fatto che è stato AWS Config restituito lo stato Non applicabile.

AWS Config non fornisce il motivo dello stato. Ecco alcuni possibili motivi dello stato Non applicabile:

  • La risorsa è stata rimossa dall'ambito della AWS Config regola.

  • La AWS Config regola è stata eliminata.

  • La risorsa è stata eliminata.

  • La logica della AWS Config regola può generare lo stato Non applicabile.

CONFIG_RULE_EVALUATION_ERROR

NOT_AVAILABLE

AWS Config lo stato è ConfigError

Questo codice motivo viene utilizzato per diversi tipi di errori di valutazione.

La descrizione fornisce le informazioni sul motivo specifico.

Il tipo di errore può essere uno dei seguenti:

  • Impossibilità di eseguire la valutazione a causa della mancanza di autorizzazioni. La descrizione fornisce l'autorizzazione specifica mancante.

  • Valore mancante o non valido per un parametro. La descrizione fornisce il parametro e i requisiti per il valore del parametro.

  • Errore durante la lettura di un bucket S3. La descrizione identifica il bucket e fornisce l'errore specifico.

  • Un AWS abbonamento mancante.

  • Timeout generale sulla valutazione.

  • Un account sospeso.

CONFIG_RULE_NOT_FOUND

NOT_AVAILABLE

AWS Config lo stato è ConfigError

La AWS Config regola è in fase di creazione.

INTERNAL_SERVICE_ERROR

NOT_AVAILABLE

Si è verificato un errore sconosciuto.

LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE

FAILED

Security Hub non è in grado di eseguire un controllo rispetto a un runtime Lambda personalizzato.

S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION

WARNING

Il risultato è in uno WARNING stato, perché il bucket S3 associato a questa regola si trova in una regione o in un account diverso.

Questa regola non supporta controlli tra regioni o account.

È consigliabile disabilitare questo controllo in questa regione o account. Esegui solo nella regione o nell'account in cui si trova la risorsa.

SNS_SUBSCRIPTION_NOT_PRESENT

FAILED

I filtri metrici CloudWatch Logs non dispongono di un abbonamento Amazon SNS valido.

SNS_TOPIC_CROSS_ACCOUNT

WARNING

Il ritrovamento è in uno WARNING stato.

L'SNSargomento associato a questa regola è di proprietà di un altro account. L'account corrente non è in grado di ottenere le informazioni sull'abbonamento.

L'account proprietario dell'SNSargomento deve concedere all'account corrente l'sns:ListSubscriptionsByTopicautorizzazione per l'SNSargomento.

SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION

WARNING

Il risultato è in uno WARNING stato in cui l'SNSargomento associato a questa regola si trova in una regione o in un account diverso.

Questa regola non supporta controlli tra regioni o account.

È consigliabile disabilitare questo controllo in questa regione o account. Esegui solo nella regione o nell'account in cui si trova la risorsa.

SNS_TOPIC_INVALID

FAILED

L'SNSargomento associato a questa regola non è valido.

THROTTLING_ERROR

NOT_AVAILABLE

L'APIoperazione in questione ha superato la velocità consentita.

ProductFields dettagli relativi ai risultati del controllo

Quando Security Hub esegue controlli di sicurezza e genera risultati di controllo, l'ProductFieldsattributo in ASFF include i seguenti campi:

ArchivalReasons:0/Description

Descrive perché Security Hub ha archiviato i risultati esistenti.

Ad esempio, Security Hub archivia i risultati esistenti quando si disattiva un controllo o uno standard e quando si attivano o disattivano i risultati del controllo consolidato.

ArchivalReasons:0/ReasonCode

Fornisce il motivo per cui Security Hub ha archiviato i risultati esistenti.

Ad esempio, Security Hub archivia i risultati esistenti quando si disattiva un controllo o uno standard e quando si attivano o disattivano i risultati del controllo consolidato.

StandardsGuideArn o StandardsArn

Lo ARN standard associato al controllo.

Per lo standard CIS AWS Foundations Benchmark, il campo èStandardsGuideArn.

Per PCI DSS gli standard AWS Foundational Security Best Practices, il campo è. StandardsArn

Questi campi vengono rimossi a favore di Compliance.AssociatedStandards se si abilitano i risultati di controllo consolidati.

StandardsGuideSubscriptionArn o StandardsSubscriptionArn

La ARN sottoscrizione dell'account allo standard.

Per lo standard CIS AWS Foundations Benchmark, il campo èStandardsGuideSubscriptionArn.

Per PCI DSS gli standard AWS Foundational Security Best Practices, il campo è. StandardsSubscriptionArn

Questi campi vengono rimossi se si abilitano i risultati del controllo consolidato.

RuleId o ControlId

L'identificatore del controllo.

Per lo standard CIS AWS Foundations Benchmark, il campo è. RuleId

Per altri standard, il campo èControlId.

Questi campi vengono rimossi a favore di Compliance.SecurityControlId se si abilitano i risultati di controllo consolidati.

RecommendationUrl

URLAlle informazioni di riparazione per il controllo. Questo campo viene rimosso a favore di Remediation.Recommendation.Url se si abilitano i risultati del controllo consolidato.

RelatedAWSResources:0/name

Il nome della risorsa associata al risultato.

RelatedAWSResource:0/type

Il tipo di risorsa associata al controllo.

StandardsControlArn

Il ARN tipo di controllo. Questo campo viene rimosso se si abilitano i risultati del controllo consolidato.

aws/securityhub/ProductName

Per i risultati basati sul controllo, il nome del prodotto è Security Hub.

aws/securityhub/CompanyName

Per i risultati basati sul controllo, il nome dell'azienda è. AWS

aws/securityhub/annotation

Una descrizione del problema rilevato dal controllo.

aws/securityhub/FindingId

L'identificatore del risultato. Questo campo non fa riferimento a uno standard se si abilitano i risultati di controllo consolidati.

Livello di gravità dei risultati del controllo

La severità assegnata a un controllo Security Hub identifica l'importanza del controllo. La gravità di un controllo determina l'etichetta di gravità assegnata ai risultati del controllo.

Criteri di gravità

La gravità di un controllo è determinata sulla base di una valutazione dei seguenti criteri:

  • Quanto è difficile per un autore di minacce sfruttare la debolezza della configurazione associata al controllo?

    La difficoltà è determinata dal livello di sofisticazione o complessità necessario per utilizzare la vulnerabilità per realizzare uno scenario di minaccia.

  • Quanto è probabile che la debolezza porti a una compromissione delle vostre Account AWS risorse?

    Una compromissione delle vostre Account AWS risorse significa che la riservatezza, l'integrità o la disponibilità dei dati o dell' AWS infrastruttura vengono danneggiate in qualche modo.

    La probabilità di compromissione indica la probabilità che lo scenario di minaccia comporti un'interruzione o una violazione dei AWS servizi o delle risorse.

Ad esempio, considera i seguenti punti deboli della configurazione:

  • Le chiavi di accesso utente non vengono ruotate ogni 90 giorni.

  • IAMla chiave utente root esiste.

Entrambe le debolezze sono ugualmente difficili da sfruttare per un avversario. In entrambi i casi, l'avversario può utilizzare il furto di credenziali o qualche altro metodo per acquisire una chiave utente. Possono quindi utilizzarlo per accedere alle tue risorse in modo non autorizzato.

Tuttavia, la probabilità di una compromissione è molto più elevata se l'autore della minaccia acquisisce la chiave di accesso dell'utente root, in quanto ciò gli offre un accesso maggiore. Di conseguenza, la vulnerabilità della chiave dell'utente root ha una gravità maggiore.

La gravità non tiene conto della criticità della risorsa sottostante. La criticità è il livello di importanza delle risorse associate alla scoperta. Ad esempio, una risorsa associata a un'applicazione mission critical è più importante di una associata a test non di produzione. Per acquisire informazioni sulla criticità delle risorse, utilizzate il Criticality campo del AWS Security Finding Format ()ASFF.

La tabella seguente associa la difficoltà di sfruttamento e la probabilità di compromissione alle etichette di sicurezza.

Un compromesso è altamente probabile

Compromesso probabile

Compromesso improbabile

Compromesso altamente improbabile

Molto facile da sfruttare

Critico

Critico

Elevata

Media

Un po' facile da sfruttare

Critico

Elevata

Media

Media

Un po' difficile da sfruttare

Elevata

Media

Media

Bassa

Molto difficile da sfruttare

Media

Media

Bassa

Bassa

Definizioni di severità

Le etichette di gravità sono definite come segue.

Critico: il problema deve essere risolto immediatamente per evitare che si aggravi.

Ad esempio, un bucket S3 aperto è considerato un risultato di gravità critica. Poiché così tanti autori delle minacce cercano bucket S3 aperti, è probabile che i dati contenuti nei bucket S3 esposti vengano scoperti e consultati da altri.

In generale, le risorse accessibili al pubblico sono considerate problemi di sicurezza critici. È necessario trattare i risultati critici con la massima urgenza. È inoltre necessario considerare la criticità della risorsa.

Alto: la questione deve essere affrontata come una priorità a breve termine.

Ad esempio, se un gruppo VPC di sicurezza predefinito è aperto al traffico in entrata e in uscita, viene considerato di elevata gravità. È piuttosto facile per un autore di minacce comprometterne uno VPC utilizzando questo metodo. È anche probabile che l'autore della minaccia sia in grado di interrompere o esfiltrare le risorse una volta entrate nel. VPC

Security Hub consiglia di considerare un rilevamento di elevata gravità come una priorità a breve termine. È necessario adottare misure correttive immediate. È inoltre necessario considerare la criticità della risorsa.

Medio: la questione dovrebbe essere affrontata come priorità a medio termine.

Ad esempio, la mancanza di crittografia per i dati in transito è considerata una rilevazione di gravità media. È necessario un man-in-the-middle attacco sofisticato per sfruttare questa debolezza. In altre parole, è piuttosto difficile. È probabile che alcuni dati vengano compromessi se lo scenario di minaccia ha esito positivo.

Security Hub consiglia di esaminare la risorsa implicata il prima possibile. È inoltre necessario considerare la criticità della risorsa.

Basso: il problema non richiede di per sé un'azione.

Ad esempio, la mancata raccolta di informazioni forensi è considerata di bassa gravità. Questo controllo può aiutare a prevenire future compromessi, ma l'assenza di analisi forensi non porta direttamente a un compromesso.

Non è necessario intervenire immediatamente sui risultati di bassa gravità, ma possono fornire un contesto quando li si correla con altri problemi.

Informativo: non è stato rilevato alcun punto debole nella configurazione.

In altre parole, lo stato è PASSEDWARNING, oNOT AVAILABLE.

Non vi è alcuna azione consigliata. I risultati informativi aiutano i clienti a dimostrare di essere conformi.