Consolidamento dei risultati del controllo Compliancedettagli sui risultati del controllo ProductFieldsdettagli relativi ai risultati del controllo Assegnazione della gravità ai risultati del controllo Regole per l'aggiornamento dei risultati del controllo

Generazione e aggiornamento dei risultati di controllo

AWS Security Hub genera risultati eseguendo controlli rispetto ai controlli di sicurezza. Questi risultati utilizzano il AWS Formato dei risultati di sicurezza (ASFF). Notate che se la dimensione del risultato supera il massimo di 240 KB, l'Resource.Detailsoggetto viene rimosso. Per i controlli supportati da AWS Config risorse, è possibile visualizzare i dettagli delle risorse su AWS Config console.

Security Hub normalmente addebita un costo per ogni controllo di sicurezza. Tuttavia, se più controlli utilizzano lo stesso AWS Config regola, quindi Security Hub addebita solo una volta per ogni controllo rispetto al AWS Config regola. Se abiliti i risultati del controllo consolidato, Security Hub genera un singolo risultato per un controllo di sicurezza anche quando il controllo è incluso in più standard abilitati.

Ad esempio, AWS Config la regola iam-password-policy viene utilizzata da più controlli nel Center for Internet Security (CIS) AWS Lo standard Foundations Benchmark e lo standard Foundational Security Best Practices. Ogni volta che Security Hub esegue un controllo in merito. AWS Config regola, genera un risultato separato per ogni controllo correlato, ma addebita una sola volta per il controllo.

Consolidamento dei risultati del controllo

Se abiliti la funzionalità dei risultati del controllo consolidato nel tuo account, Security Hub genera un singolo nuovo risultato o aggiornamento dei risultati per ogni controllo di sicurezza di un controllo, anche se un controllo si applica a più standard abilitati. Per visualizzare un elenco dei controlli e degli standard a cui si applicano, consultaRiferimento ai controlli del Security Hub. Si consiglia di abilitare risultati di controllo consolidati per ridurre il rumore di rilevamento.

Se hai abilitato Security Hub per un Account AWS prima del 23 febbraio 2023, puoi abilitare i risultati del controllo consolidato seguendo le istruzioni riportate più avanti in questa sezione. Se attivi Security Hub a partire dal 23 febbraio 2023, i risultati del controllo consolidato vengono abilitati automaticamente nel tuo account. Tuttavia, se utilizzi l'integrazione del Security Hub con AWS Organizationso account membro invitati tramite una procedura di invito manuale, i risultati del controllo consolidato sono abilitati negli account dei membri solo se sono abilitati nell'account amministratore. Se la funzionalità è disabilitata nell'account amministratore, è disabilitata negli account dei membri. Questo comportamento si applica agli account membro nuovi ed esistenti.

Se disabiliti i risultati del controllo consolidato nel tuo account, Security Hub genera un risultato separato per ogni controllo di sicurezza per ogni standard abilitato che include un controllo. Ad esempio, se quattro standard abilitati condividono un controllo con lo stesso sottostante AWS Config regola, dopo un controllo di sicurezza del controllo si ottengono quattro risultati distinti. Se si abilitano i risultati del controllo consolidato, si riceve solo un risultato. Per ulteriori informazioni su come il consolidamento influisce sui risultati, vedere. Esempi di risultati di controllo in Security Hub

Quando abiliti i risultati del controllo consolidato, Security Hub crea nuovi risultati indipendenti dallo standard e archivia i risultati originali basati sullo standard. Alcuni campi e valori di ricerca dei controlli cambieranno e potrebbero influire sui flussi di lavoro esistenti. Per ulteriori informazioni su queste modifiche, vedi Risultati di controllo consolidati: modifiche ASFF.

L'attivazione dei risultati del controllo consolidato può influire anche sui risultati che le integrazioni di terze parti ricevono da Security Hub. Risposta di sicurezza automatizzata attiva AWS la versione 2.0.0 supporta i risultati del controllo consolidato.

Per abilitare o disabilitare i risultati del controllo consolidato, è necessario accedere a un account amministratore o a un account autonomo.

Nota

Dopo aver abilitato i risultati del controllo consolidato, Security Hub potrebbe impiegare fino a 24 ore per generare nuovi risultati consolidati e archiviare i risultati originali basati su standard. Allo stesso modo, dopo aver disabilitato i risultati del controllo consolidato, Security Hub potrebbe impiegare fino a 24 ore per generare nuovi risultati basati su standard e archiviare i risultati consolidati. Durante questi periodi, nel tuo account potresti visualizzare una combinazione di risultati indipendenti dagli standard e basati sugli standard.

`Compliance`dettagli sui risultati del controllo

Per i risultati generati dai controlli di sicurezza dei controlli, il Compliancecampo in AWS Security Finding Format (ASFF) contiene dettagli relativi ai risultati del controllo. Il campo Compliance include le seguenti informazioni:

AssociatedStandards: Gli standard abilitati in cui è abilitato un controllo.
RelatedRequirements: L'elenco dei requisiti correlati per il controllo in tutti gli standard abilitati. I requisiti provengono dal framework di sicurezza di terze parti per il controllo, come il Payment Card Industry Data Security Standard (PCIDSS).
SecurityControlId: L'identificatore per il controllo degli standard di sicurezza supportati da Security Hub.
Status: Il risultato del controllo più recente eseguito da Security Hub per un determinato controllo. I risultati dei controlli precedenti vengono conservati in un stato archiviato per 90 giorni.
StatusReasons: Contiene un elenco di motivi del valore diCompliance.Status. Per ogni motivo, StatusReasons include il codice motivo e una descrizione.

La tabella seguente elenca i codici e le descrizioni dei motivi dello stato disponibili. Le fasi di correzione dipendono dal controllo che ha generato un risultato con il codice motivo. Scegli un controllo tra i seguenti Riferimento ai controlli del Security Hub per visualizzare i passaggi di riparazione relativi a quel controllo.

Codice di motivo	Compliance.Status	Descrizione
`CLOUDTRAIL_METRIC_FILTER_NOT_VALID`	`FAILED`	Il CloudTrail percorso multiregionale non dispone di un filtro metrico valido.
`CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`	`FAILED`	I filtri metrici non sono presenti per il percorso multiregionale. CloudTrail
`CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`	`FAILED`	L'account non dispone di un CloudTrail percorso multiregionale con la configurazione richiesta.
`CLOUDTRAIL_REGION_INVAILD`	`WARNING`	I CloudTrail percorsi multiregione non si trovano nella regione attuale.
`CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`	`FAILED`	Non sono presenti operazioni di allarme valide.
`CLOUDWATCH_ALARMS_NOT_PRESENT`	`FAILED`	CloudWatch gli allarmi non esistono nell'account.
`CONFIG_ACCESS_DENIED`	`NOT_AVAILABLE` AWS Config lo stato è `ConfigError`	AWS Config accesso negato. Verifica che AWS Config è abilitato e dispone di autorizzazioni sufficienti.
`CONFIG_EVALUATIONS_EMPTY`	`PASSED`	AWS Config ha valutato le tue risorse in base alla regola. La regola non si applicava al AWS le risorse incluse nel relativo ambito, le risorse specificate sono state eliminate o i risultati della valutazione sono stati eliminati.
`CONFIG_RETURNS_NOT_APPLICABLE`	`NOT_AVAILABLE`	Lo stato di conformità è `NOT_AVAILABLE` dovuto al AWS Config ha restituito lo stato Non applicabile. AWS Config non fornisce il motivo dello stato. Ecco alcuni possibili motivi dello stato Non applicabile: La risorsa è stata rimossa dall'ambito di AWS Config regola. Il AWS Config la regola è stata eliminata. La risorsa è stata eliminata. Il AWS Config la logica delle regole può generare uno stato Non applicabile.
`CONFIG_RULE_EVALUATION_ERROR`	`NOT_AVAILABLE` AWS Config lo stato è `ConfigError`	Questo codice motivo viene utilizzato per diversi tipi di errori di valutazione. La descrizione fornisce le informazioni sul motivo specifico. Il tipo di errore può essere uno dei seguenti: Impossibilità di eseguire la valutazione a causa della mancanza di autorizzazioni. La descrizione fornisce l'autorizzazione specifica mancante. Valore mancante o non valido per un parametro. La descrizione fornisce il parametro e i requisiti per il valore del parametro. Errore durante la lettura di un bucket S3. La descrizione identifica il bucket e fornisce l'errore specifico. Un mancante AWS abbonamento. Timeout generale sulla valutazione. Un account sospeso.
`CONFIG_RULE_NOT_FOUND`	`NOT_AVAILABLE` AWS Config lo stato è `ConfigError`	Il AWS Config la regola è in fase di creazione.
`INTERNAL_SERVICE_ERROR`	`NOT_AVAILABLE`	Si è verificato un errore sconosciuto.
`LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`	FAILED	Security Hub non è in grado di eseguire un controllo rispetto a un runtime Lambda personalizzato.
`S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	Il risultato è in uno `WARNING` stato, perché il bucket S3 associato a questa regola si trova in una regione o in un account diverso. Questa regola non supporta controlli tra regioni o account. È consigliabile disabilitare questo controllo in questa regione o account. Esegui solo nella regione o nell'account in cui si trova la risorsa.
`SNS_SUBSCRIPTION_NOT_PRESENT`	`FAILED`	I filtri metrici CloudWatch Logs non dispongono di un abbonamento Amazon SNS valido.
`SNS_TOPIC_CROSS_ACCOUNT`	WARNING	Il ritrovamento è in uno `WARNING` stato. L'SNSargomento associato a questa regola è di proprietà di un altro account. L'account corrente non è in grado di ottenere le informazioni sull'abbonamento. L'account proprietario dell'SNSargomento deve concedere all'account corrente l'`sns:ListSubscriptionsByTopic`autorizzazione per l'SNSargomento.
`SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	Il risultato è in uno `WARNING` stato in cui l'SNSargomento associato a questa regola si trova in una regione o in un account diverso. Questa regola non supporta controlli tra regioni o account. È consigliabile disabilitare questo controllo in questa regione o account. Esegui solo nella regione o nell'account in cui si trova la risorsa.
`SNS_TOPIC_INVALID`	`FAILED`	L'SNSargomento associato a questa regola non è valido.
`THROTTLING_ERROR`	`NOT_AVAILABLE`	L'APIoperazione in questione ha superato la velocità consentita.

`ProductFields`dettagli relativi ai risultati del controllo

Quando Security Hub esegue controlli di sicurezza e genera risultati di controllo, l'ProductFieldsattributo in ASFF include i seguenti campi:

ArchivalReasons:0/Description

Descrive perché Security Hub ha archiviato i risultati esistenti.

Ad esempio, Security Hub archivia i risultati esistenti quando si disattiva un controllo o uno standard e quando si attivano o disattivano i risultati del controllo consolidato.

ArchivalReasons:0/ReasonCode

Fornisce il motivo per cui Security Hub ha archiviato i risultati esistenti.

Ad esempio, Security Hub archivia i risultati esistenti quando si disattiva un controllo o uno standard e quando si attivano o disattivano i risultati del controllo consolidato.

StandardsGuideArn o StandardsArn

Lo ARN standard associato al controllo.

Per il CIS AWS Lo standard Foundations Benchmark, il campo èStandardsGuideArn.

Per PCI DSS e AWS Standard fondamentali di Security Best Practices, il campo èStandardsArn.

Questi campi vengono rimossi a favore di Compliance.AssociatedStandards se si abilitano i risultati di controllo consolidati.

StandardsGuideSubscriptionArn o StandardsSubscriptionArn

La ARN sottoscrizione dell'account allo standard.

Per il CIS AWS Lo standard Foundations Benchmark, il campo èStandardsGuideSubscriptionArn.

Per la e PCI DSS AWS Standard fondamentali di Security Best Practices, il campo èStandardsSubscriptionArn.

Questi campi vengono rimossi se si abilitano i risultati del controllo consolidato.

RuleId o ControlId

L'identificatore del controllo.

Per il CIS AWS Lo standard Foundations Benchmark, il campo èRuleId.

Per altri standard, il campo èControlId.

Questi campi vengono rimossi a favore di Compliance.SecurityControlId se si abilitano i risultati di controllo consolidati.

RecommendationUrl

URLAlle informazioni di riparazione per il controllo. Questo campo viene rimosso a favore di Remediation.Recommendation.Url se si abilitano i risultati del controllo consolidato.

RelatedAWSResources:0/name

Il nome della risorsa associata al risultato.

RelatedAWSResource:0/type

Il tipo di risorsa associata al controllo.

StandardsControlArn

Il ARN tipo di controllo. Questo campo viene rimosso se si abilitano i risultati del controllo consolidato.

aws/securityhub/ProductName

Per i risultati basati sul controllo, il nome del prodotto è Security Hub.

aws/securityhub/CompanyName

Per i risultati basati sul controllo, il nome dell'azienda è AWS.

aws/securityhub/annotation

Una descrizione del problema rilevato dal controllo.

aws/securityhub/FindingId

L'identificatore del risultato. Questo campo non fa riferimento a uno standard se si abilitano i risultati di controllo consolidati.

Assegnazione della gravità ai risultati del controllo

La severità assegnata a un controllo Security Hub identifica l'importanza del controllo. La gravità di un controllo determina l'etichetta di gravità assegnata ai risultati del controllo.

Criteri di gravità

La gravità di un controllo è determinata sulla base di una valutazione dei seguenti criteri:

Quanto è difficile per un autore di minacce sfruttare la debolezza della configurazione associata al controllo?

La difficoltà è determinata dal livello di sofisticazione o complessità necessario per utilizzare la vulnerabilità per realizzare uno scenario di minaccia.
Quante probabilità ci sono che la debolezza porti a un compromesso Account AWS o risorse?

Un compromesso del tuo Account AWS o risorse significa che la riservatezza, l'integrità o la disponibilità dei dati o AWS l'infrastruttura è danneggiata in qualche modo.

La probabilità di compromissione indica la probabilità che lo scenario di minaccia provochi un'interruzione o una violazione del sistema AWS servizi o risorse.

Ad esempio, considera i seguenti punti deboli di configurazione:

Le chiavi di accesso utente non vengono ruotate ogni 90 giorni.
IAMla chiave utente root esiste.

Entrambe le debolezze sono ugualmente difficili da sfruttare per un avversario. In entrambi i casi, l'avversario può utilizzare il furto di credenziali o qualche altro metodo per acquisire una chiave utente. Possono quindi utilizzarlo per accedere alle tue risorse in modo non autorizzato.

Tuttavia, la probabilità di una compromissione è molto più elevata se l'autore della minaccia acquisisce la chiave di accesso dell'utente root, in quanto ciò gli offre un accesso maggiore. Di conseguenza, la vulnerabilità della chiave dell'utente root ha una gravità maggiore.

La gravità non tiene conto della criticità della risorsa sottostante. La criticità è il livello di importanza delle risorse associate alla scoperta. Ad esempio, una risorsa associata a un'applicazione mission critical è più importante di una associata a test non di produzione. Per acquisire informazioni sulla criticità delle risorse, utilizzare il Criticality campo di AWS Formato dei risultati di sicurezza (ASFF).

La tabella seguente associa la difficoltà di sfruttamento e la probabilità di compromissione alle etichette di sicurezza.

	Un compromesso è altamente probabile	Compromesso probabile	Compromesso improbabile	Compromesso altamente improbabile
Molto facile da sfruttare	Critico	Critico	Elevata	Media
Un po' facile da sfruttare	Critico	Elevata	Media	Media
Un po' difficile da sfruttare	Elevata	Media	Media	Bassa
Molto difficile da sfruttare	Media	Media	Bassa	Bassa

Definizioni di gravità

Le etichette di gravità sono definite come segue.

Critico: il problema deve essere risolto immediatamente per evitare che si aggravi.

Ad esempio, un bucket S3 aperto è considerato un risultato di gravità critica. Poiché così tanti autori delle minacce cercano bucket S3 aperti, è probabile che i dati contenuti nei bucket S3 esposti vengano scoperti e consultati da altri.

In generale, le risorse accessibili al pubblico sono considerate problemi di sicurezza critici. È necessario trattare i risultati critici con la massima urgenza. È inoltre necessario considerare la criticità della risorsa.

Alto: la questione deve essere affrontata come una priorità a breve termine.

Ad esempio, se un gruppo VPC di sicurezza predefinito è aperto al traffico in entrata e in uscita, viene considerato di elevata gravità. È piuttosto facile per un autore di minacce comprometterne uno VPC utilizzando questo metodo. È anche probabile che l'autore della minaccia sia in grado di interrompere o esfiltrare le risorse una volta entrate nel. VPC

Security Hub consiglia di considerare un rilevamento di elevata gravità come una priorità a breve termine. È necessario adottare misure correttive immediate. È inoltre necessario considerare la criticità della risorsa.

Medio: la questione dovrebbe essere affrontata come priorità a medio termine.

Ad esempio, la mancanza di crittografia per i dati in transito è considerata una rilevazione di gravità media. È necessario un man-in-the-middle attacco sofisticato per sfruttare questa debolezza. In altre parole, è piuttosto difficile. È probabile che alcuni dati vengano compromessi se lo scenario di minaccia ha esito positivo.

Security Hub consiglia di esaminare la risorsa implicata il prima possibile. È inoltre necessario considerare la criticità della risorsa.

Basso: il problema non richiede di per sé un'azione.

Ad esempio, la mancata raccolta di informazioni forensi è considerata di bassa gravità. Questo controllo può aiutare a prevenire future compromessi, ma l'assenza di analisi forensi non porta direttamente a un compromesso.

Non è necessario intervenire immediatamente sui risultati di bassa gravità, ma possono fornire un contesto quando li si correla con altri problemi.

Informativo: non è stato rilevato alcun punto debole nella configurazione.

In altre parole, lo stato è PASSEDWARNING, oNOT AVAILABLE.

Non vi è alcuna azione consigliata. I risultati informativi aiutano i clienti a dimostrare di essere conformi.

Regole per l'aggiornamento dei risultati del controllo

Un successivo controllo rispetto a una determinata regola potrebbe generare un nuovo risultato. Ad esempio, lo stato di «Evita l'uso dell'utente root» potrebbe cambiare da FAILED aPASSED. In tal caso, viene generato un nuovo risultato che contiene il risultato più recente.

Se un controllo successivo rispetto a una determinata regola genera un risultato identico a quello corrente, il risultato esistente viene aggiornato e nessun nuovo risultato viene generato.

Security Hub archivia automaticamente i risultati dei controlli se la risorsa associata viene eliminata, la risorsa non esiste o il controllo è disabilitato. Una risorsa potrebbe non esistere più perché il servizio associato non è attualmente utilizzato. I risultati vengono archiviati automaticamente in base a uno dei seguenti criteri:

I risultati non vengono aggiornati per tre-cinque giorni (si noti che si tratta del massimo impegno e non è garantito).
L'associato AWS Config valutazione restituitaNOT_APPLICABLE.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Pianificazione dell'esecuzione dei controlli di sicurezza

Stato di conformità e stato di controllo