Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Introduzione a AWS Security Hub
AWS Security Hub è una soluzione di sicurezza cloud unificata che dà priorità ai problemi di sicurezza critici e ti aiuta a rispondere su larga scala. Security Hub rileva i problemi di sicurezza correlando e arricchendo automaticamente i segnali di sicurezza provenienti da più fonti, come la gestione della postura, la gestione delle vulnerabilità (Amazon Inspector), i dati sensibili (Amazon Macie) e il rilevamento delle minacce (Amazon). GuardDuty Ciò consente ai team di sicurezza di dare priorità ai rischi attivi nei loro ambienti cloud attraverso analisi automatizzate e approfondimenti contestuali. Attraverso visualizzazioni intuitive, Security Hub trasforma segnali di sicurezza complessi in informazioni fruibili, che consentono di prendere decisioni informate sulla sicurezza in modo rapido. Security Hub include anche flussi di lavoro di risposta automatizzati per aiutarti a correggere i rischi, migliorare la produttività del team e ridurre al minimo le interruzioni operative.
## Funzionalità
**Soluzione di sicurezza unificata**
Ottieni una maggiore visibilità sul tuo ambiente cloud attraverso la gestione centralizzata in una soluzione di sicurezza cloud unificata.
**Informazioni sulla sicurezza utilizzabili**
Ottieni informazioni utili sulla sicurezza attraverso analisi avanzate per conoscere i rischi di sicurezza associati al tuo ambiente.
**Tempi di risposta ridotti**
Semplifica i tempi di risposta con flussi di lavoro automatizzati e un sistema di ticketing integrato.
**Risultati dell'esposizione**
Security Hub mette in correlazione i risultati dei controlli di controllo CSPM di Security Hub, Amazon Inspector e altro Servizi AWS per rilevare le esposizioni associate alle risorse. AWS
**I risultati sono formattati nell'Open Cybersecurity Schema Framework (OCSF)**
Security Hub genera risultati in OCSF e riceve risultati in OCSF da Security Hub CSPM e altri: Servizi AWS
+ Amazon GuardDuty
+ Amazon Macie
+ Amazon Inspector
**Pannello di controllo**
La console Security Hub offre una visione completa delle esposizioni, delle minacce, della copertura di sicurezza e delle risorse, oltre a una visualizzazione interattiva chiamata grafico del percorso di attacco, che mostra come i potenziali aggressori possono accedere e assumere il controllo delle risorse associate a un rilevamento dell'esposizione.
**Integrazioni con prodotti di terze parti**
Puoi migliorare il tuo livello di sicurezza con le integrazioni di Security Hub. Ad esempio, se utilizzi Jira Cloud oServiceNow ITSM, puoi utilizzare questa funzione per creare ticket a partire dai risultati.
## Integrazioni
Security Hub riceve i risultati da quanto segue Servizi AWS.
+ AWS Security Hub CSPM
+ Amazon GuardDuty
+ Amazon Inspector
+ Amazon Macie
## Accessibilità
Security Hub è disponibile nella maggior parte AWS delle regioni. Per un elenco delle regioni in cui Security Hub è attualmente disponibile, consulta [Endpoint e quote del Security Hub](https://docs.aws.amazon.com/general/latest/gr/sechub.html) nel. *Riferimenti generali di AWS* *Per informazioni sulla gestione Regioni AWS del tuo account Account AWS, consulta [Specificare quale Regioni AWS account può utilizzare nella Gestione dell'account AWS Guida](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) di riferimento.*
Puoi abilitare Security Hub per singoli account o account della tua organizzazione. In ogni regione, puoi accedere e utilizzare Security Hub in uno dei seguenti modi:
**Console Security Hub**
La console Security Hub è un'interfaccia basata su browser che puoi utilizzare per creare e gestire AWS risorse. In questa console puoi accedere al tuo account, ai dati e alle risorse.
**API Security Hub**
L'API Security Hub ti offre l'accesso programmatico al tuo account, ai dati e alle risorse. Puoi inviare richieste HTTPS direttamente a Security Hub.
**AWS CLI**
[Con AWS CLI, è possibile eseguire comandi nella riga di comando del sistema per eseguire attività e creare script che eseguano attività.](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) In alcuni casi, AWS CLI può essere più utile della console Security Hub.
**AWS SDKs**
[AWS SDKs](https://aws.amazon.com/developertools/)sono costituiti da librerie e codice di esempio per vari linguaggi e piattaforme di programmazione (C\$1\$1, Go, Java, .NET e Python). Forniscono l'accesso programmatico a Security Hub e ad altro Servizi AWS nella lingua preferita e possono aiutarti a gestire attività come la gestione degli errori, la firma delle richieste e il ritentativo delle richieste.
## Prezzi
# Concetti relativi al Security Hub
In Security Hub, ci basiamo su AWS concetti e terminologia comuni e utilizziamo questi termini aggiuntivi.
**Account**
L' AWS account standard contenente AWS le tue risorse. Accedi AWS con il tuo AWS account per abilitare Security Hub.
Se l'account è registrato AWS Organizations, l'organizzazione designa un account amministratore di Security Hub. Questo account può abilitare altri account dell'organizzazione come account membro.
Un'organizzazione può avere un solo account amministratore. Un account non può essere contemporaneamente un account amministratore e un account membro.
Security Hub supporta i seguenti account:
+ Account di gestione dell'organizzazione: un AWS account che amministra un' AWS organizzazione.
+ Account amministratore delegato: un AWS account che gestisce l'uso di un account Servizio AWS per un' AWS organizzazione.
+ Account membro: un AWS account membro di un' AWS organizzazione.
+ Account autonomo: un AWS account non abilitato AWS Organizations
**Account amministratore**
Questo tipo di AWS account può visualizzare i risultati degli account dei membri associati.
Questo tipo di AWS account diventa un account amministratore quando l'account viene designato da un account di gestione dell'organizzazione come account amministratore del Security Hub. L'account amministratore di Security Hub può abilitare qualsiasi account dell'organizzazione come account membro e può anche invitare altri account a diventare account membro.
Un'organizzazione può avere un solo account amministratore. Un account non può essere contemporaneamente un account amministratore e un account membro.
**Regione di aggregazione**
Una regione di aggregazione consente di visualizzare i risultati di sicurezza provenienti da più parti Regioni AWS in un unico pannello di controllo.
La regione di aggregazione è l'area Regione AWS in cui è possibile visualizzare e gestire i risultati. I risultati vengono aggregati nella regione di aggregazione delle regioni collegate. I risultati aggiornati vengono replicati in tutte le regioni.
Nella regione di aggregazione, la dashboard e le pagine di inventario includono i dati di tutte le regioni collegate. La pagina delle automazioni può essere utilizzata solo per definire le regole di automazione nell'area di aggregazione. Le integrazioni di ticketing di terze parti possono essere configurate solo nella regione di aggregazione.
**Reperti archiviati**
Un risultato con uno status di. `ARCHIVED` Questi risultati indicano che il fornitore o il cliente che esamina il risultato ritiene che il risultato non sia più pertinente.
I fornitori di servizi di ricerca possono archiviare i risultati che creano. I clienti possono archiviare tutti i risultati che ritengono non più pertinenti utilizzando il funzionamento [BatchUpdateFindingsV2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindingsV2.html) dell'API Security Hub o aggiornando lo stato nella console Security Hub.
Nella console Security Hub, le impostazioni di filtro predefinite escludono i risultati archiviati dagli elenchi e dalle tabelle dei risultati. È possibile aggiornare i filtri per includere i risultati archiviati. Se si recuperano i risultati utilizzando l'operazione [GetFindingsV2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html), l'operazione recupera sia i risultati archiviati che quelli attivi. L'esempio seguente mostra come escludere i risultati archiviati nei risultati.
```
{
"StringFilters":
[
{
"FieldName": "status",
"Filter":
{
"Value": "Archived",
"Comparison": "EQUALS"
}
}
]
}
```
**Aggregazione tra regioni**
L'aggregazione dei risultati e delle risorse provenienti dalle regioni collegate a una regione di aggregazione. Puoi visualizzare tutti i dati della regione di aggregazione e aggiornare i risultati della regione di aggregazione.
**Account amministratore delegato**
In AWS Organizations, l'account amministratore delegato di un servizio è in grado di gestire l'uso di un servizio per l'organizzazione.
In Security Hub, l'account amministratore di Security Hub è anche l'account amministratore delegato per Security Hub. Quando l'account di gestione dell'organizzazione designa per la prima volta l'account amministratore di Security Hub, Security Hub chiama Organizations per rendere quell'account l'account amministratore delegato.
L'account di gestione dell'organizzazione deve quindi scegliere l'account amministratore delegato come account amministratore di Security Hub in tutte le regioni.
**Esposizione**
Le esposizioni sono punti deboli più ampi nei controlli di sicurezza, configurazioni errate o altre aree che potrebbero essere sfruttate dalle minacce attive.
Esempi di esposizioni includono:
+ Piano di controllo configurato in modo errato per una risorsa.
+ Presenza di una vulnerabilità del software con un elevato potenziale di sfruttabilità.
+ Risorsa accessibile al pubblico (rete o API).
**Rilevamento dell'esposizione**
Un tipo di risultato che descrive un'esposizione presente nell'ambiente. Un risultato sull'esposizione include caratteristiche e segnali. Un segnale può includere uno o più tipi di caratteristiche di esposizione. AWS Security Hub genera un risultato di esposizione quando i segnali provenienti da AWS Security Hub CSPM, Amazon Inspector, GuardDuty Amazon, Amazon Macie AWS o altri servizi indicano la presenza di un'esposizione. Una risorsa può essere coinvolta in uno o più risultati sull'esposizione. Se una risorsa non presenta caratteristiche di esposizione o presenta caratteristiche insufficienti, Security Hub non genera un risultato di esposizione per quella risorsa.
Un esempio di rilevamento dell'esposizione è: un'istanza EC2 raggiungibile da Internet e che presenta vulnerabilità software che hanno un'alta probabilità di sfruttamento.
**Risultato**
La registrazione osservabile di un controllo di sicurezza o di un rilevamento correlato alla sicurezza. Security Hub genera e aggiorna i risultati attraverso la correlazione di altri risultati di sicurezza. Questi sono chiamati *risultati sull'esposizione*. I risultati possono provenire anche da integrazioni con altri prodotti Servizi AWS e di terze parti.
**Individuazione dell'ingestione**
L'importazione dei risultati in Security Hub. Gli eventi di ingestione di Finding includono sia nuovi risultati che aggiornamenti dei risultati esistenti.
**Regione collegata**
Quando si abilita l'aggregazione tra aree geografiche, una regione collegata è un'area che aggrega i risultati e l'inventario delle risorse nella regione di aggregazione.
In una regione collegata, la dashboard e le pagine di inventario contengono solo i risultati relativi a tale area. Regione AWS
**Framework di schemi di sicurezza informatica aperto (OCSF)**
L'[Open Cybersecurity Schema Framework (OCSF)](https://schema.ocsf.io/) è uno sforzo collaborativo e open source di partner leader nel settore della sicurezza informatica. AWS OCSF fornisce uno schema standard per gli eventi di sicurezza più comuni, definisce i criteri di controllo delle versioni per facilitare l'evoluzione dello schema e include un processo di autogoverno per produttori e consumatori di registri di sicurezza. Per ulteriori informazioni, consulta i [risultati OCSF in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-ocsf.html).
**Account membro**
E Account AWS che ha concesso l'autorizzazione a un account amministratore di visualizzare i risultati e intervenire in base a tali risultati. Questo tipo di account Account AWS diventa membro quando l'account amministratore di Security Hub lo abilita come account membro.
**Segnale**
Una scoperta che contribuisce a un accertamento dell'esposizione. Un segnale può essere definito un *risultato che contribuisce*. Un segnale può avere origine in Security Hub CSPM o altro AWS Config Servizi AWS, come Amazon Inspector.
**Tratto**
Una deviazione di sicurezza che dà come risultato un rilevamento dell'esposizione. **I tipi di caratteristiche includono **presupponibilità**, **errata configurazione**, **raggiungibilità, **dati sensibili** e vulnerabilità**.** Una caratteristica è associata a un segnale e un segnale può contenere più caratteristiche. Ad esempio, un controllo CSPM di Security Hub indica che una politica gestita dal cliente consente il controllo amministrativo degli accessi. Questo segnale contiene una caratteristica di configurazione errata.
# AWS Stima dei costi del Security Hub
Lo stimatore dei costi di Security Hub è una funzionalità della console che fornisce stime delle funzionalità in tutto l' AWS ambiente. Lo strumento di stima dei costi mostra quali sono i costi individuali del servizio tra AWS Security Hub CSPM, Amazon Inspector e GuardDuty Amazon e quali sarebbero i costi stimati nei piani tariffari semplificati di Security Hub con Security Hub. Puoi modificare l'utilizzo stimato e il numero di risorse in base all' AWS utilizzo per aumentare la precisione della stima. Lo strumento di stima dei costi è disponibile in tutte le regioni in cui è disponibile Security Hub.
Lo strumento di stima dei costi stima i costi mensili per le funzionalità di sicurezza utilizzando due modelli di prezzo:
+ **Prezzi dei singoli servizi**: paga ogni funzionalità di sicurezza separatamente (Amazon InspectorGuardDuty, Security Hub CSPM).
+ **Prezzi semplificati di Security Hub**: prezzi unificati in 3 piani tariffari, piano Essentials con prezzi per risorsa, analisi delle minacce con prezzi per evento e per GB e scansione del codice Lambda con prezzi per risorsa.
AWS Cost Explorer Lo stimatore utilizza i dati quando disponibili. Quando i dati di Cost Explorer non sono disponibili, è possibile inserire manualmente i dati di utilizzo. Le stime dei costi si basano sull'utilizzo osservato e fornito dall'utente e sulle informazioni sui prezzi pubblici. Le stime potrebbero non riflettere gli sconti aziendali.
I principali vantaggi dello strumento di stima dei costi includono:
+ Scopri come il costo con prezzi unificati, abilitando Security Hub, si confronta con il costo di un servizio individuale senza abilitare Security Hub
+ Stima i costi prima di abilitare le funzionalità
+ Regola i parametri di utilizzo per modellare diversi scenari
+ Esporta le stime in formato PDF per la revisione da parte delle parti interessate
## Accesso per tipo di account
**Nota**
Per gli account amministratori e membri delegati, lo strumento di stima dei costi si apre in modalità di modifica per impostazione predefinita, consentendo di inserire immediatamente i dati di utilizzo. L'account di gestione e gli account autonomi si aprono in modalità di visualizzazione quando sono disponibili i dati di Cost Explorer.
Questa funzione recupera automaticamente le informazioni sull'utilizzo effettivo passato per stimare il costo di determinati tipi di account. Di seguito sono riportati i dettagli su ciascun tipo di account e i dati disponibili per ciascun tipo di account.
**Autorizzazioni di accesso per tipo di account**
| Tipo di account | Dati Cost Explorer | Inserimento dati | Scope |
| --- | --- | --- | --- |
| Account di gestione (MA) | Compilato automaticamente | Possibilità di sovrascrittura manuale | A livello di organizzazione |
| Amministratore delegato (DA) | Compilato automaticamente tramite il ruolo tra più account\$1 | È disponibile l'override manuale | A livello di organizzazione |
| Member Account | Compilato automaticamente tramite il ruolo tra più account\$1 | È disponibile l'override manuale | A livello di organizzazione |
| Account autonomo (SA) | Compilato automaticamente | Possibilità di sovrascrittura manuale | Account singolo |
\$1 Richiede la configurazione del ruolo IAM tra più account nell'account di gestione. Vedi la [Configurazione dell'accesso multi-account](setting-up-cross-account-access.md) sezione seguente.
## Prerequisiti
### Autorizzazioni IAM richieste
Per utilizzare tutte le funzionalità dello strumento di stima dei costi, il responsabile IAM deve disporre delle seguenti autorizzazioni:
**Autorizzazioni IAM richieste per Cost Estimator**
| Operazione API | Servizio | Scopo |
| --- | --- | --- |
| ce:GetCostAndUsage | AWS Cost Explorer | Recupera i dati storici sull'utilizzo e sui costi |
| pricing:GetProducts | AWS Prezzi | Ottieni le tariffe attuali |
| organizations:ListAccounts | AWS Organizzazioni | Conta gli account nell'organizzazione |
| organizations:DescribeOrganization | AWS Organizzazioni | Determina il tipo di account |
| securityhub:ListOrganizationAdminAccounts | Security Hub | Elenca gli account di amministrazione dell'organizzazione |
| iam:GetRole | IAM | Verifica l'esistenza del ruolo tra account diversi (solo account di gestione) \$1 |
| sts:AssumeRole | IAM | Assumi un ruolo interaccount (solo administrator/Member account delegato) \$1\$1 |
\$1 Richiesto solo agli utenti dell'account di gestione per verificare lo stato del ruolo tra account diversi.
\$1\$1 Obbligatorio solo per gli account Amministratore delegato e Membro dell'organizzazione che utilizzano l'accesso tra account diversi.
### Requisiti aggiuntivi
**Esploratore dei costi**
Deve essere abilitato per la compilazione automatica dei dati (ritardo di elaborazione di 24 ore dopo l'abilitazione).
# Configurazione dell'accesso multi-account
Gli account amministratore e membro delegati possono accedere ai AWS Cost Explorer dati di tutta l'organizzazione dall'account di gestione configurando un ruolo IAM tra più account. Questa configurazione consente a questi account di visualizzare i dati di utilizzo effettivi senza passare all'account di gestione.
## Prerequisiti
I seguenti elementi e informazioni sono necessari prima di configurare l'accesso tra più account per lo strumento di stima dei costi:
+ L'account di gestione deve essere abilitato AWS Cost Explorer .
+ Autorizzazioni IAM per creare ruoli nell'account di gestione.
+ Conoscenza dell'ID dell'amministratore delegato o dell'account membro a cui verrà concesso l'accesso su più account.
## Passaggi di impostazione
Lo strumento di stima dei costi fornisce istruzioni di configurazione guidate direttamente nella console. Per accedere alle istruzioni, accedi alla pagina dello strumento di stima dei costi all'indirizzo [https://console.aws.amazon.com/securityhub/v2/home\$1/CostEstimator](https://console.aws.amazon.com/securityhub/v2/home#/costEstimator) nell'account di gestione dell'organizzazione. Individua la **sezione Accesso su più account** e segui i passaggi descritti per configurare il ruolo tra account.
## Configurazione del ruolo
L'accesso da più account per lo strumento di stima dei costi richiede la configurazione di un ruolo IAM con una politica di fiducia e una politica di autorizzazioni. Il ruolo tra account diversi deve essere creato nell'account di gestione con la seguente configurazione:
**Nome del ruolo (è richiesto il nome esatto)** — AwsSecurityHubCostEstimatorCrossAccountRole
**Politica di fiducia consigliata:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{ACCOUNT_ID}:role/{ROLE_NAME}"
},
"Action": "sts:AssumeRole"
}
]
}
```
Modifica la politica sostituendo i seguenti valori nell'esempio della politica:
+ Sostituiscilo *\$1ACCOUNT\$1ID\$1* con l'ID dell'account amministratore delegato o membro a cui concedi l'accesso su più account.
+ Sostituiscilo *\$1ROLE\$1NAME\$1* con il nome del ruolo IAM nell'account amministratore delegato o membro a cui concedi l'accesso.
**Politica di autorizzazione consigliata:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ce:GetCostAndUsage",
"Resource": "*"
}
]
}
```
**Nota**
La politica di fiducia limita l'accesso a un account e a un ruolo specifici. Solo il principale IAM specificato può assumere questo ruolo, impedendo l'accesso non autorizzato.
## Verifica
Dopo aver creato il ruolo nell'account di gestione, segui i passaggi seguenti per confermare che la configurazione funzioni.
1. Accedi all'account amministratore o membro delegato.
1. [Passa allo strumento di stima dei costi di Security Hub su https://console.aws.amazon.com/securityhub/ v2/home\$1/CostEstimator](https://console.aws.amazon.com/securityhub/v2/home#/costEstimator)
1. La pagina dovrebbe automaticamente:
1. Rileva l'account di gestione nella tua organizzazione.
1. Assumi il ruolo interaccount.
1. Carica i dati di Cost Explorer utilizzandoli a livello di organizzazione.
In caso di successo, verranno visualizzati i dati di utilizzo effettivi anziché i campi di immissione manuale.
## Risoluzione dei problemi
Questa sezione descrive i problemi e le soluzioni comuni che possono verificarsi durante la configurazione dell'accesso tra account.
### I dati sull'utilizzo organizzativo non sono disponibili per questo account
Questo avviso indica che il ruolo tra account diversi non è accessibile. Le possibili cause di questo avviso sono:
1. **Il ruolo non esiste:** l'account di gestione non ha ancora creato il ruolo.
1. **Soluzione:** contatta l'amministratore dell'account di gestione per creare il ruolo utilizzando la guida alla configurazione.
1. **Mancata corrispondenza del nome del ruolo:** il nome del ruolo non corrisponde esattamente.
1. **Soluzione:** verifica che il nome del ruolo sia`AwsSecurityHubCostEstimatorCrossAccountRole`.
1. **La politica di fiducia non è corretta:** la politica di fiducia non consente al tuo account di assumere il ruolo.
1. **Soluzione: la** politica di fiducia di Verify include l'ID dell'account e il nome del ruolo.
1. ** AssumeRole Autorizzazione mancante:** manca il tuo responsabile IAM`sts:AssumeRole`.
1. **Soluzione:** contatta l'amministratore per aggiungere `sts:AssumeRole` l'autorizzazione.
**Per visualizzare istruzioni di configurazione dettagliate:** fai clic sul link «Visualizza istruzioni» nell'avviso per aprire una finestra modale con step-by-step linee guida e modelli di policy.
**Soluzione alternativa:** è comunque possibile utilizzare il Cost Estimator inserendo manualmente i valori di utilizzo in modalità di modifica.
# Utilizzo dello strumento di stima dei costi
## Accesso allo strumento di stima dei costi
**Per accedere a Cost Estimator dalla landing page di Security Hub**
1. Accedi al tuo AWS account con le credenziali dell'account di gestione AWS dell'organizzazione o amministratore delegato. [Apri la console Security Hub nella regione us-east-1 su v2/home. https://console.aws.amazon.com/securityhub/]( https://us-east-1.console.aws.amazon.com/securityhub/v2/home)
1. **Nella pagina di destinazione, individua la scheda Prezzi.**
1. Scegli **Costo stimato**.
**Per accedere al Cost Estimator durante le fasi di attivazione e configurazione di Security Hub**
1. Individua i **prezzi nella nuova scheda Security Hub** nell'interfaccia di onboarding.
1. Scegli **Visualizza stime**.
**Per accedere allo strumento di stima dei costi dalle console GuardDuty CSPM Amazon Inspector o Security Hub**
1. Vai alla dashboard o alla pagina di riepilogo del servizio.
1. Scegli **Confronta i prezzi** nella scheda informativa sui prezzi.
## Comprensione dell'interfaccia dello strumento di stima dei costi
### Layout della pagina
La pagina Cost Estimator contiene tre sezioni principali:
+ **Sezione panoramica**: illustra i vantaggi della gestione unificata della sicurezza e dell'ottimizzazione dei costi.
+ **Informazioni sui prezzi**: pannello espandibile con categorie di funzionalità e livelli di prezzo.
+ **Tabella di confronto dei prezzi**: confronto Side-by-side dei costi con dettagli sulle funzionalità.
### Tabella di confronto dei prezzi
L'intestazione della tabella include controlli di view/edit modalità e un'opzione di ripristino. La tabella mostra i costi in due colonne:
+ **Servizi individuali**: costi correnti o stimati per servizi di sicurezza separati.
+ **Security Hub**: costi stimati utilizzando un modello di prezzo semplificato.
### Area tariffaria
La prima colonna mostra le informazioni sul contesto dei prezzi, inclusa una nota che le stime utilizzano i prezzi us-east-1 per i calcoli. Un badge indica che gli sconti aziendali non sono inclusi nelle stime.
## Visualizzazione delle stime dei costi
Quando si utilizza lo strumento di stima dei costi, è possibile visualizzare, modificare, reimpostare ed esportare le stime.
Per impostazione predefinita, lo strumento di stima dei costi si apre in modalità di visualizzazione.
**Per visualizzare le stime dei costi**
1. Accedere allo strumento di stima dei costi utilizzando uno dei metodi descritti in[Accesso allo strumento di stima dei costi](#accessing-cost-estimator).
1. Controlla i costi mensili totali nella riga di riepilogo.
1. Esamina i gruppi di capacità e la loro suddivisione dettagliata dei costi.
1. Scegli i nomi delle funzionalità per visualizzare le descrizioni in un popover.
**Fonti di dati in modalità di visualizzazione**
Lo stimatore visualizza i dati provenienti da più fonti, indicati da etichette:
+ **Predefinito**: dati relativi a AWS Cost Explorer (ultimi 30 giorni).
+ **\$1-/mo** — Dati sui costi non disponibili (visualizzati quando l'accesso a Cost Explorer non è disponibile).
+ **Utilizzo personalizzato**: valori immessi dall'utente.
+ **Non abilitato**: mostra quando non esistono le autorizzazioni di Cost Explorer.
## Comportamento specifico dell'account
Di seguito viene descritto come funziona lo strumento di stima dei costi su diversi tipi, account e configurazioni.
### Account amministrativi e membri delegati
**Con l'accesso tra account diversi configurato:**
+ I dati di Cost Explorer sono disponibili per l'utilizzo a livello di organizzazione.
+ Si apre in modalità di visualizzazione per impostazione predefinita (come l'account di gestione). Può passare alla modalità di modifica per modificare le stime.
**Senza l'accesso tra account configurati:**
+ Viene visualizzato un avviso: «I dati sull'utilizzo organizzativo non sono disponibili per questo account».
+ Per impostazione predefinita, si apre in modalità di modifica per l'immissione manuale.
+ Fai clic su «Visualizza istruzioni» nell'avviso per una guida alla configurazione.
### Gestione dell'account
**Con la creazione di un ruolo tra account:**
+ La sezione «Accesso tra account» mostra lo stato configurato.
+ Visualizza le politiche consigliate per la verifica.
+ Fornisce il collegamento per visualizzare il ruolo nella console IAM.
**Senza la creazione di un ruolo tra account:**
+ La sezione «Accesso su più account» mostra la guida alla configurazione.
+ Fornisce step-by-step istruzioni con politiche precompilate.
+ Collegamento diretto alla console IAM per la creazione di ruoli.
**Impossibile verificare lo stato del ruolo:**
+ Se non è disponibile l'autorizzazione alla chiamata`iam:GetRole`, la console non è in grado di determinare se è stato creato il ruolo necessario.
+ Mostra «Impossibile verificare» con il messaggio di errore corrispondente.
### Account autonomo
**Senza la creazione di un ruolo tra account:**
+ Nessuna modifica al comportamento esistente.
+ I dati di Cost Explorer sono disponibili quando abilitati.
+ Si apre in modalità di visualizzazione per impostazione predefinita.
## Modifica dei valori di utilizzo
La modalità di modifica consente di modificare i valori delle dimensioni e visualizzare gli aggiornamenti dei costi in tempo reale.
**Per modificare i valori di utilizzo**
1. Scegliete **Modifica** nell'intestazione della tabella.
1. Immettete i valori nei campi di immissione delle dimensioni.
1. Visualizza automaticamente i costi aggiornati.
1. Scegli **Visualizza** per tornare alla modalità di visualizzazione.
**Importante**
Le modifiche non vengono salvate quando si esce dalla pagina dello strumento di stima dei costi
Le stime modificate utilizzano i prezzi us-east-1 (Virginia settentrionale) e non includono sconti aziendali
La modifica in modalità «Mostra solo il costo corrente» torna automaticamente alla modalità stimata
## Reimpostazione dello stimatore
Questa azione cancella tutti i valori personalizzati e ricarica i dati predefiniti da Cost Explorer.
**Per ripristinare tutti i valori ai valori predefiniti**
1. Scegli **Ripristina** nell'intestazione della tabella.
1. Nella finestra di dialogo di conferma, scegli **Reimposta**.
## Esportazione delle stime
Nel programma di stima dei costi, i dati della stima possono essere esportati in un file PDF.
**Per esportare le stime dei costi**
1. Assicurati di essere in modalità di visualizzazione.
1. Scegli **Scarica PDF** nell'intestazione della pagina.
Il PDF viene scaricato automaticamente con il nome del file:. `SecurityHub-Cost-Estimate-YYYY-MM-DD.pdf`
## Risoluzione dei problemi
Questa sezione descrive i problemi e le soluzioni comuni che possono verificarsi quando si utilizza lo strumento di stima dei costi
### Nessun dato Cost Explorer disponibile
**Problema**
L'avviso mostra «Nessun dato sui costi disponibile per il tuo account».
**Soluzioni per tipo di account**
La soluzione dipende dal tipo di account:
**Soluzioni per i dati mancanti di Cost Explorer**
| Tipo di account | Soluzione |
| --- | --- |
| Account di gestione | Abilita Cost Explorer e attendi 24 ore per l'elaborazione dei dati |
| Amministratore delegato | Contatta l'amministratore dell'account di gestione per richiedere l'accesso |
| Member Account | Contatta l'account di gestione o l'amministratore delegato per l'accesso |
| Account autonomo | Abilita Cost Explorer e attendi 24 ore per l'elaborazione dei dati |
**Soluzione alternativa**
Inserisci valori personalizzati in modalità di modifica.
### L'accesso da più account non funziona
**Problema**
«L'account amministratore o membro delegato visualizza l'avviso «I dati sull'utilizzo organizzativo non sono disponibili per questo account».
**Possibili cause e soluzioni**
1. Il ruolo tra account diversi non esiste nell'account di gestione.
1. **Soluzione:** contatta l'amministratore dell'account di gestione per creare il ruolo.
1. Lo strumento di stima dei costi fornisce istruzioni di configurazione guidate per gli utenti degli account di gestione.
1. Il nome del ruolo non corrisponde esattamente.
1. Nome del ruolo richiesto:`AwsSecurityHubCostEstimatorCrossAccountRole`.
1. **Soluzione:** verifica che il nome del ruolo nella console IAM corrisponda esattamente (distinzione tra maiuscole e minuscole).
1. La politica di fiducia non consente il tuo account.
1. **Soluzione:** Verify Trust Policy Principal includa l'ID dell'account e il nome del ruolo.
1. Formato:`arn:aws:iam::{YOUR_ACCOUNT_ID}:role/{YOUR_ROLE_NAME}`.
1. AssumeRole Autorizzazione mancante.
1. **Soluzione:** verifica che il responsabile IAM `sts:AssumeRole` disponga dell'autorizzazione.
1. Contatta l' AWS amministratore per aggiungere questa autorizzazione.
**Soluzione alternativa:**
Inserisci valori personalizzati in modalità di modifica per stimare manualmente i costi senza i dati di Cost Explorer.
**Ottenere istruzioni dettagliate**
+ Fai clic sul link «Visualizza istruzioni» nell'avviso per aprire una finestra modale con:
+ Step-by-step guida alla configurazione
+ Modelli di policy precompilati
+ Suggerimenti per la risoluzione dei problemi specifici relativi all'errore
### Errori di autorizzazione
**Problema**
Errore «Accesso negato» per operazioni API specifiche.
**Per risolvere gli errori di autorizzazione**
1. Nota l'operazione negata nel messaggio di errore (ad esempio,`ce:GetCostAndUsage`).
1. Scegli **Copia** per copiare i dettagli dell'errore.
1. Invia i dettagli dell'errore all' AWS amministratore.
1. Richiedi le autorizzazioni IAM richieste elencate in[Autorizzazioni IAM richieste](security-hub-cost-estimator.md#required-iam-permissions).
**Nota**
Puoi comunque utilizzare la modalità di modifica per inserire valori manuali quando mancano le autorizzazioni, tranne quando l'accesso all'API Pricing viene negato (impedisce tutte le stime dei costi).
### La funzionalità mostra «Non abilitato»
**Problema**
La funzionalità mostra lo stato «Non abilitato».
**Spiegazione**
Questo stato viene visualizzato quando si dispone dell'accesso a Cost Explorer ma la funzionalità non è attualmente attiva. Se invece vedi \$1-/mo, significa che i dati di Cost Explorer non sono disponibili per il tuo tipo di account.
**Per visualizzare le stime dei costi**
1. Scegli **Modifica** per accedere alla modalità di modifica.
1. Immettete i valori delle dimensioni per la capacità.
1. Visualizza le stime dei costi aggiornate.
### La funzionalità mostra «Non applicabile»
**Problema**
La funzionalità mostra «Non applicabile» nella colonna Servizi individuali.
**Spiegazione**
Questa funzionalità è disponibile solo tramite i prezzi semplificati di Security Hub, non come servizio autonomo.
### I costi modificati non corrispondono a Cost Explorer
**Problema**
I costi modificati differiscono dai valori originali di Cost Explorer.
**Spiegazione**
Le stime modificate utilizzano le tariffe di us-east-1 (Virginia settentrionale) e non includono sconti aziendali. I dati di Cost Explorer riflettono i costi effettivi con gli sconti applicabili.
## Note importanti
+ **Le stime si basano sull'utilizzo osservato e fornito dall'utente e su informazioni pubbliche sui prezzi**. I costi effettivi possono variare in base ai modelli di utilizzo e agli accordi aziendali
+ **Riepilogo a 30 giorni**: i dati di Cost Explorer riflettono gli ultimi 30 giorni di utilizzo
+ **Area tariffaria**: tutte le stime utilizzano le tariffe us-east-1 (Virginia settentrionale)
+ **Nessun impatto sulle impostazioni: le** modifiche nello stimatore non influiscono sulle configurazioni correnti del Security Hub o del servizio
+ **Sconti aziendali**: le stime modificate non includono gli sconti aziendali; solo i dati di Cost Explorer riflettono i costi effettivamente scontati
+ **Aggiornamento dei dati**: i dati di Cost Explorer vengono aggiornati quotidianamente; aggiorna la pagina per vedere i dati più recenti
## Informazioni correlate
+ [AWS Prezzi di Security Hub](https://aws.amazon.com/security-hub/pricing/)
+ [AWS Guida per l'utente di Cost Explorer](https://docs.aws.amazon.com/cost-management/latest/userguide/)
+ [AWS Riferimento all'API per i prezzi](https://docs.aws.amazon.com/aws-cost-management/latest/APIReference/)
+ [Abilitazione del Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)
# Abilitazione del Security Hub
Puoi abilitare Security Hub per qualsiasi Account AWS. Questa sezione della documentazione descrive tutti i passaggi necessari per abilitare Security Hub per un' AWS organizzazione o un account autonomo.
## Abilita Security Hub per un' AWS organizzazione
Questa sezione include tre passaggi:
+ Nella **Fase 1**, l'account di gestione AWS dell'organizzazione designa un amministratore delegato per la propria AWS organizzazione, crea la politica dell'amministratore delegato e, facoltativamente, abilita Security Hub per il proprio account.
+ Nella **Fase 2**, l'amministratore delegato dell'organizzazione abilita Security Hub per il proprio account.
+ Nella **Fase 3**, l'amministratore delegato dell'organizzazione configura tutti gli account dei membri dell'organizzazione, per Security Hub e altri servizi di sicurezza supportati.
### Passaggio 1. Delega di un account amministratore e, facoltativamente, attivazione di Security Hub nell'account di gestione dell' AWS organizzazione
**Nota**
Questo passaggio deve essere completato solo in una regione dell'account di gestione dell'organizzazione.
Quando si assegna l'account amministratore delegato per Security Hub, l'account che è possibile scegliere per l'amministratore delegato dipenderà da come è stato configurato un amministratore delegato per Security Hub CSPM. Se hai configurato un amministratore delegato per Security Hub CSPM e quell'account non è l'account di gestione dell'organizzazione, quell'account verrà automaticamente impostato come amministratore delegato di Security Hub e non sarà possibile scegliere un account diverso. Se l'account amministratore delegato per Security Hub CSPM è impostato come account di gestione dell'organizzazione o non lo è affatto, puoi scegliere quale account sarà il tuo account amministratore delegato di Security Hub, ad eccezione dell'account di gestione dell'organizzazione.
Per informazioni sulla designazione di un amministratore delegato in Security Hub, vedere [Designazione di un account amministratore delegato in Security](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-set-da.html) Hub. Per informazioni sulla creazione della politica di amministratore delegato in Security Hub, vedere [Creazione della politica di amministratore delegato in Security](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-policy-statement.html) Hub.
**Per designare un amministratore per Security Hub**
1. Accedi al tuo AWS account con le credenziali dell'account di gestione AWS dell'organizzazione. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. Dalla home page di Security Hub, seleziona **Security Hub** e scegli **Inizia**.
1. Nella sezione **Amministratore delegato**, scegli un account amministratore in base alle opzioni fornite. Come best practice, consigliamo di utilizzare lo stesso amministratore delegato per tutti i servizi di sicurezza per una governance coerente.
1. Scegli la casella di controllo **Accesso affidabile**. La scelta di questa opzione concede all'account amministratore delegato la possibilità di configurare determinate funzionalità, come la protezione GuardDuty da malware, sugli account dei membri. Se deselezioni questa opzione, Security Hub non sarà in grado di abilitare queste funzionalità per tuo conto e dovrai abilitarle direttamente tramite il servizio a cui è associata la funzionalità.
1. (Facoltativo) Per **abilitare l'account, seleziona** la casella per abilitare Security Hub per il tuo AWS account.
1. Per la **politica dell'amministratore delegato**, scegli una delle seguenti opzioni per aggiungere la dichiarazione sulla politica.
1. (Opzione 1) Scegli **Aggiorna questo per me.** Seleziona la casella sotto l'informativa sulla politica per confermare che Security Hub creerà automaticamente una politica di delega che conceda tutte le autorizzazioni richieste all'amministratore delegato.
1. (Opzione 2) Scegli **Voglio allegarlo manualmente**. Scegli **Copia e allega**. Nella AWS Organizations console, in **Amministratore delegato per AWS Organizations**, scegli **Delegato** e incolla la politica delle risorse nell'editor dei criteri di delega. Scegli **Crea policy**. Apri la scheda in cui ti trovi nella console Security Hub.
1. Scegli **Configura**.
### Passaggio 2. Abilita Security Hub nell'account amministratore delegato
L'account amministratore delegato completa questo passaggio. Dopo che l'account di gestione AWS dell'organizzazione ha designato un amministratore delegato per la propria organizzazione, l'amministratore delegato deve abilitare Security Hub per il proprio account prima di abilitarlo per l'intera organizzazione. AWS
**Per abilitare Security Hub nell'account amministratore delegato**
1. Accedi al tuo AWS account con le tue credenziali di amministratore delegato. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. Dalla home page di Security Hub e scegli **Inizia**.
1. La sezione sulle funzionalità di sicurezza descrive le funzionalità che vengono automaticamente abilitate e incluse nel prezzo base per risorsa di Security Hub
1. (Facoltativo) Per i **tag**, stabilite se aggiungere una coppia chiave-valore alla configurazione dell'account.
1. Scegli **Enable Security Hub** per completare l'abilitazione di Security Hub.
1. (Consigliato) dal popup scegli **Configura la mia organizzazione** e procedi al passaggio 3.
Dopo aver abilitato Security Hub, nell'account vengono creati un ruolo collegato al servizio chiamato [AWSServiceRoleForSecurityHubV2](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) e un registratore collegato al servizio. Il registratore collegato al servizio è un tipo di registratore gestito da un servizio in grado di AWS Config registrare i dati di configurazione su risorse specifiche del servizio. AWS Con un registratore collegato ai servizi, Security Hub consente un approccio basato sugli eventi per ottenere gli elementi di configurazione delle risorse necessari per l'analisi dell'esposizione, la copertura e la rendicontazione dell'inventario delle risorse. Un registratore collegato al servizio è configurato singolarmente. Account AWS Regione AWS Per i tipi di risorse globali, un registratore aggiuntivo collegato al servizio viene creato automaticamente nell'area principale per registrare le modifiche alla configurazione delle risorse globali, poiché registra AWS Config solo i tipi di risorse globali nella regione principale designata. [Per ulteriori informazioni, vedere [Considerazioni per i registratori di configurazione collegati ai servizi e Registrazione](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html#stop-start-recorder-considerations-service-linked) di risorse regionali e globali.](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)
### Fase 3. Crea una politica che abiliti Security Hub in tutti gli account dei membri
Dopo aver abilitato Security Hub nell'account amministratore delegato di un'organizzazione, è necessario creare una politica che definisca quali servizi e funzionalità sono abilitati negli account dei membri dell'organizzazione. Per ulteriori informazioni, vedere [Abilitazione di una configurazione con un tipo di politica](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-da-policy.html#securityhub-v2-configuration-enable-policy).
## Abilitare Security Hub in un account autonomo
Questa procedura descrive come abilitare Security Hub in un account autonomo. Un account autonomo è un account Account AWS che non ha abilitato AWS le organizzazioni.
**Per abilitare Security Hub in un account autonomo**
1. Accedi al tuo AWS account con le credenziali del tuo account. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. Dalla home page di Security Hub, seleziona **Inizia**.
1. Nella sezione **Funzionalità di sicurezza**, esegui una delle seguenti operazioni:
1. (Opzione 1) Scegli **Abilita tutte le funzionalità**. Ciò attiverà tutte le funzionalità essenziali del Security Hub, l'analisi delle minacce e le funzionalità aggiuntive.
1. **(Opzione 2) Scegli Personalizza le funzionalità.** Seleziona l'analisi delle minacce e le funzionalità aggiuntive che devono essere attivate. Non è possibile deselezionare alcuna funzionalità che fa parte delle funzionalità del piano essenziale di Security Hub.
1. Nella sezione **Regioni**, scegli **Abilita tutte le regioni** o **Abilita regioni specifiche**. Se scegli **Abilita tutte le regioni**, puoi determinare se abilitare automaticamente le nuove regioni. Se scegli **Abilita regioni specifiche**, devi scegliere quali regioni vuoi abilitare.
1. (Facoltativo) Per i **tag Resource**, aggiungete i tag come coppie chiave-valore per identificare facilmente la configurazione.
1. Scegliere **Enable Security Hub (Abilita Security Hub)**.
Dopo aver abilitato Security Hub, nell'account vengono creati un ruolo collegato al servizio chiamato [AWSServiceRoleForSecurityHubV2](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) e un registratore collegato al servizio. Il registratore collegato al servizio è un tipo di registratore gestito da un servizio in grado di AWS Config registrare i dati di configurazione su risorse specifiche del servizio. AWS Con un registratore collegato ai servizi, Security Hub consente un approccio basato sugli eventi per ottenere gli elementi di configurazione delle risorse necessari per l'analisi dell'esposizione, la copertura e la rendicontazione dell'inventario delle risorse. Un registratore collegato al servizio è configurato singolarmente. Account AWS Regione AWS Per i tipi di risorse globali, un registratore aggiuntivo collegato al servizio viene creato automaticamente nell'area principale per registrare le modifiche alla configurazione delle risorse globali, poiché registra AWS Config solo i tipi di risorse globali nella regione principale designata. [Per ulteriori informazioni, vedere [Considerazioni per i registratori di configurazione collegati ai servizi e Registrazione](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html#stop-start-recorder-considerations-service-linked) di risorse regionali e globali.](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all)
# Designazione di un amministratore delegato in Security Hub
Nell'account di gestione AWS dell'organizzazione, puoi designare un amministratore delegato per la tua organizzazione. Come best practice, consigliamo di utilizzare lo stesso amministratore delegato per tutti i servizi di sicurezza per una governance coerente.
La procedura in questo argomento descrive come designare un amministratore delegato in Security Hub. Si presuppone che tu abbia precedentemente abilitato Security Hub ma non abbia designato un amministratore delegato durante il flusso di lavoro di abilitazione.
**Considerazioni**
Quando si designa un amministratore delegato in Security Hub, si consideri quanto segue:
+ L'account di gestione AWS dell'organizzazione può designarsi come amministratore delegato in Security Hub CSPM. L'account di gestione AWS dell'organizzazione non può designarsi come amministratore delegato in Security Hub. In questo scenario, l'account di gestione AWS dell'organizzazione deve designarne un altro Account AWS come amministratore delegato in Security Hub. Come best practice, consigliamo di utilizzare lo stesso amministratore delegato per tutti i servizi di sicurezza per una governance coerente.
+ Se l'account di gestione AWS dell'organizzazione designa un amministratore delegato in Security Hub CSPM, tale amministratore delegato diventa automaticamente l'amministratore delegato in Security Hub. In questo scenario, Security Hub consente solo Account AWS a questo particolare di fungere da amministratore delegato.
**Nota**
Se l'account di gestione AWS dell'organizzazione utilizza lo stesso amministratore delegato in Security Hub utilizzato in Security Hub CSPM, rimuovendolo tramite la console CSPM di Security Hub o con l' AWS Organizations API lo rimuove anche in Security Hub. Allo stesso modo, rimuovendolo tramite la console Security Hub o con l'API AWS Organizations lo rimuove anche in Security Hub CSPM. Quando l'amministratore delegato viene rimosso da Security Hub CSPM, Central Configuration si disattiverà automaticamente.
## Designazione di un amministratore delegato dopo aver abilitato Security Hub
Questa procedura deve essere completata dall'account di gestione AWS dell'organizzazione. Si presuppone che l'account di gestione AWS dell'organizzazione abbia precedentemente abilitato Security Hub ma non abbia designato un amministratore delegato durante il flusso di lavoro di abilitazione.
**Nota**
Dopo aver completato questa procedura, è necessario creare una politica che consenta all'amministratore delegato dell'organizzazione di configurare Security Hub ed eseguire azioni specifiche in AWS Organizations. Per ulteriori informazioni, vedere [Creazione della politica di amministratore delegato in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-policy-statement.html).
**Per designare un amministratore delegato in Security Hub**
1. Accedi al tuo AWS account con le credenziali dell'account di gestione dell'organizzazione e apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Dal pannello di navigazione, scegli Generale.**
1. In **Amministratore delegato**, scegli **Configura**. Seleziona uno dei dati forniti Account AWS o inserisci il Account AWS numero di 12 cifre Account AWS che desideri designare come amministratore delegato dell'organizzazione. Scegli **Save** (Salva).
# Creazione della politica di amministratore delegato in Security Hub
L'account di gestione AWS dell'organizzazione può creare una politica che consenta all'amministratore delegato di configurare Security Hub ed eseguire azioni specifiche in AWS Organizations. La procedura riportata in questo argomento descrive come creare la policy. Una volta completata la procedura, puoi consentire a Security Hub di creare la policy per te o crearla manualmente. Ti consigliamo di consentire a Security Hub di creare la policy per te, a meno che tu non voglia personalizzare la policy per un caso d'uso particolare. L'account di gestione AWS dell'organizzazione deve completare questa procedura solo se ha abilitato Security Hub e ha designato un amministratore delegato, ma ha saltato la creazione della policy al termine del flusso di lavoro di [abilitazione](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-enable.html#securityhub-v2-enable-management-account). *Per informazioni su come aggiornare questa politica, consulta [Aggiornare una politica di delega basata sulle risorse](https://docs.aws.amazon.com/organizations/latest/userguide/orgs-policy-delegate-update.html) nella Guida per l'utente. AWS OrganizationsAWS Organizations *
**Nota**
Dopo aver completato questa procedura, l'amministratore delegato può creare una politica che gli consenta di gestire gli account dei membri dell'organizzazione. Per ulteriori informazioni, vedere [Creazione di una politica in qualità di amministratore delegato per la gestione degli account dei membri](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-da-policy.html).
**Per creare la politica dell'amministratore delegato**
1. Accedi al tuo AWS account con le credenziali dell'account di gestione dell'organizzazione. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Dal pannello di navigazione, scegli Generale.**
1. Per **Criteri di amministrazione delegati**, esegui una delle seguenti operazioni:
1. (Opzione 1) Scegli **Crea politica**. Seleziona la casella sotto l'informativa sulla politica per confermare che Security Hub creerà automaticamente una politica di delega che conceda tutte le autorizzazioni richieste all'amministratore delegato.
1. (Opzione 2) Aprire la policy. Scegli **Copia e allega**. Nella AWS Organizations console, in **Amministratore delegato per AWS Organizations**, scegli **Delegato** e incolla la politica delle risorse nell'editor dei criteri di delega. Scegli **Crea policy**. Apri la scheda in cui ti trovi nella console Security Hub e scegli **Configura**.
# Gestione della configurazione degli account dei membri in un' AWS organizzazione
L'amministratore delegato di un' AWS organizzazione può configurare le funzionalità di sicurezza tra gli account dei membri e le regioni. **Sono disponibili due tipi di configurazioni, **politiche** e distribuzioni.** Le **politiche** generano le politiche di AWS Organizations per account e regioni per AWS Security Hub e Amazon Inspector. Le **distribuzioni** sono un'azione unica per abilitare una funzionalità di sicurezza su account e regioni selezionati per Amazon e AWS Security GuardDuty Hub CSPM. A differenza delle politiche, non è possibile visualizzare o modificare le distribuzioni e le distribuzioni non si applicano ai nuovi account abilitati. In alternativa, le funzionalità di attivazione automatica, per gli account dei nuovi membri, sono disponibili in Amazon GuardDuty e AWS Security Hub CSPM.
## Catalogo di configurazione del Security Hub
Il catalogo di configurazione di Security Hub offre diverse opzioni per aiutarti a configurare gli account AWS dell'organizzazione per le funzionalità di sicurezza fornite da.
Di seguito sono riportate le opzioni disponibili nel catalogo di configurazione di Security Hub.
### Security Hub (funzionalità essenziali e aggiuntive)
Questa è la configurazione consigliata da implementare per Security Hub.
**Tipo**: policy e implementazioni
**Descrizione**: questa configurazione attiva le funzionalità essenziali di gestione della sicurezza, gestione della postura, analisi delle minacce e gestione delle vulnerabilità di Security Hub. Facoltativamente, abilita funzionalità aggiuntive.
### Analisi delle minacce da GuardDuty
**Tipo: Implementazione**
**Descrizione**: attiva GuardDuty funzionalità Amazon selezionate per monitorare, analizzare ed elaborare continuamente sorgenti di AWS dati e registri nel tuo AWS ambiente.
### Gestione della postura da AWS Security Hub (CSPM)
**Tipo: Implementazione**
**Descrizione**: questa configurazione attiva gli standard e i controlli di Security Hub CSPM che rilevano quando gli AWS account e le risorse si discostano dalle migliori pratiche di sicurezza.
### Gestione delle vulnerabilità con Amazon Inspector
**Tipo: Policy**
**Descrizione**: questa configurazione attiva funzionalità selezionate di Amazon Inspector che rilevano automaticamente carichi di lavoro, istanze, immagini dei container, ecc. e li analizza per individuare vulnerabilità ed esposizione della rete.
## Abilitazione di una configurazione con un tipo di policy
La procedura seguente descrive come creare una configurazione con un tipo di politica per gli account AWS dell'organizzazione. Per creare una politica di configurazione, è necessario creare la politica dell'amministratore delegato nell'account di gestione dell' AWS organizzazione. Per informazioni sulla creazione della politica di amministratore delegato in Security Hub, vedere [Creazione della politica di amministratore delegato in Security](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-policy-statement.html) Hub.
**Per creare una politica che abiliti e disabiliti gli account dei membri**
1. Accedi utilizzando il tuo AWS account con le tue credenziali di amministratore delegato. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?).
1. **Dal pannello di navigazione, scegli **Gestione**, quindi scegli Configurazioni.**
1. Scegli un elemento con un tipo di **politica** o **politica e distribuzione** dal catalogo di configurazione. Per configurare completamente Security Hub si consiglia di scegliere **Security Hub (funzionalità essenziali e aggiuntive)**.
1. Nella pagina **Configura Security Hub** nella sezione **Dettagli**, inserisci un nome e una descrizione per la policy.
1. Nella sezione **Funzionalità di sicurezza**, esegui una delle seguenti operazioni:
1. (Opzione 1) Scegli **Abilita tutte le funzionalità**. Ciò attiverà tutte le funzionalità essenziali del Security Hub, l'analisi delle minacce e le funzionalità aggiuntive.
1. **(Opzione 2) Scegli Personalizza le funzionalità.** Seleziona l'analisi delle minacce e le funzionalità aggiuntive da attivare. Non è possibile deselezionare alcuna funzionalità che fa parte delle funzionalità del piano essenziale di Security Hub.
1. Nella sezione **Selezione dell'account**, seleziona una delle seguenti opzioni. Scegli **Tutte le unità organizzative e gli account** se desideri applicare la configurazione a tutte le unità organizzative e gli account. Scegli **Unità organizzative e account specifici** se desideri applicare la configurazione a unità organizzative e account specifici. Se scegli questa opzione, utilizza la barra di ricerca o l'albero della struttura organizzativa per specificare le unità organizzative e gli account a cui verrà applicata la politica. Scegli **Nessuna unità organizzativa o account** se non desideri applicare la configurazione a nessuna unità organizzativa o account.
1. Nella sezione **Regioni**, scegli **Abilita tutte le regioni**, **Disabilita tutte le regioni** o **Specificare le regioni**. Se scegli **Abilita tutte le regioni**, puoi determinare se abilitare automaticamente le nuove regioni. Se scegli **Disabilita tutte le regioni**, puoi determinare se disabilitare automaticamente le nuove regioni. Se scegli **Specificare le regioni**, devi scegliere quali regioni vuoi abilitare e disabilitare.
1. (Facoltativo) Per **le impostazioni avanzate**, consulta la [guida](https://docs.aws.amazon.com/organizations/latest/userguide/policy-operators.html) di AWS Organizations.
1. (Facoltativo) Per i **tag Resource**, aggiungete i tag come coppie chiave-valore per identificare facilmente la configurazione.
1. Scegli **Next (Successivo)**.
1. **Controlla le modifiche, quindi scegli Applica.** I tuoi account target sono configurati in base alla politica. Lo stato di configurazione della politica verrà visualizzato nella parte superiore della pagina Politiche. Ciascuna funzionalità indicherà se è stata configurata o se si verificano errori di distribuzione. Per eventuali errori, fai clic sul collegamento relativo al messaggio di errore per visualizzare ulteriori dettagli. Per visualizzare la politica efficace a livello di account, puoi consultare la scheda **Organizzazione** nella pagina **Configurazioni**, dove puoi scegliere un account.
## Abilitazione di una configurazione con un tipo di distribuzione
La procedura seguente descrive come creare una configurazione con un tipo di distribuzione per gli account AWS dell'organizzazione.
**Per creare una distribuzione che abiliti e disabiliti gli account dei membri**
1. Accedi utilizzando il tuo AWS account con le tue credenziali di amministratore delegato. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?).
1. **Dal pannello di navigazione, scegli **Gestione**, quindi scegli Configurazioni.**
1. Scegli un elemento con un tipo di **distribuzione** dal catalogo di configurazione. Per configurare completamente Security Hub si consiglia di scegliere **Security Hub (funzionalità essenziali e aggiuntive)**.
1. Nella sezione **Funzionalità di sicurezza**, seleziona le funzionalità di sicurezza che devono essere attivate.
1. Nella sezione **Selezione dell'account**, seleziona una delle seguenti opzioni. Scegli **Tutte le unità organizzative e gli account** se desideri applicare la configurazione a tutte le unità organizzative e gli account. Scegli **Unità organizzative e account specifici** se desideri applicare la configurazione a unità organizzative e account specifici. Se scegli questa opzione, utilizza la barra di ricerca o l'albero della struttura organizzativa per specificare le unità organizzative e gli account a cui verrà applicata la politica. Scegli **Nessuna unità organizzativa o account** se non desideri applicare la configurazione a nessuna unità organizzativa o account.
1. Nella sezione **Regioni**, scegli **Abilita tutte le regioni**, **Disabilita tutte le regioni** o **Specificare le regioni**. Se scegli **Abilita tutte le regioni**, puoi determinare se abilitare automaticamente le nuove regioni. Se scegli **Disabilita tutte le regioni**, puoi determinare se disabilitare automaticamente le nuove regioni. Se scegli **Specificare le regioni**, devi scegliere quali regioni vuoi abilitare e disabilitare.
1. Scegli **Configura**.
## Modifica di una politica di configurazione
**È possibile modificare le funzionalità, le regioni e gli account associati alle configurazioni che hanno un tipo di politica.**
Di seguito viene descritto come modificare una politica di configurazione in Security Hub.
**Per creare, modificare una politica di configurazione**
1. Accedi utilizzando il tuo AWS account con le tue credenziali di amministratore delegato. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?).
1. **Dal pannello di navigazione, scegli **Gestione**, quindi scegli Configurazioni.**
1. Nella scheda **Politiche configurate**, seleziona il pulsante di opzione relativo alla politica che desideri modificare. Scegli **Modifica**.
1. Per apportare modifiche nella sezione **Selezione dell'account**, seleziona una delle seguenti opzioni. Scegli **Tutte le unità organizzative e gli account** se desideri applicare la configurazione a tutte le unità organizzative e gli account. Scegli **Unità organizzative e account specifici** se desideri applicare la configurazione a unità organizzative e account specifici. Se scegli questa opzione, utilizza la barra di ricerca o l'albero della struttura organizzativa per specificare le unità organizzative e gli account a cui verrà applicata la politica. Scegli **Nessuna unità organizzativa o account** se non desideri applicare la configurazione a nessuna unità organizzativa o account.
1. Per apportare modifiche nella sezione **Regioni**, scegli **Abilita tutte le regioni**, **Disabilita tutte le regioni** o **Specificare le regioni**. Se scegli **Abilita tutte le regioni**, puoi determinare se abilitare automaticamente le nuove regioni. Se scegli **Disabilita tutte le regioni**, puoi determinare se disabilitare automaticamente le nuove regioni. Se scegli **Specificare le regioni**, devi scegliere quali regioni vuoi abilitare e disabilitare.
1. Scegli **Next (Successivo)**.
1. Rivedere le modifiche, quindi scegliere **Update (Aggiorna)**. I tuoi account di destinazione sono configurati in base alla politica.
## Eliminazione di una politica di configurazione
È possibile eliminare la configurazione in cui si dispone di un tipo di **politica**. Quando si elimina una politica, tutti gli account e le unità organizzative collegati verranno rimossi dalla politica.
Di seguito viene descritto come eliminare una politica di configurazione in Security Hub.
**Per creare, eliminare una politica di configurazione**
1. Accedi utilizzando il tuo AWS account con le tue credenziali di amministratore delegato. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?).
1. **Dal pannello di navigazione, scegli **Gestione**, quindi scegli Configurazioni.**
1. Nella scheda **Politiche configurate**, seleziona il pulsante di opzione relativo alla politica che desideri modificare. Scegli il pulsante **Elimina**.
1. Digita **delete** nella casella di conferma. Scegli **Elimina**.
# Rimozione dell'account amministratore delegato in Security Hub
È possibile rimuovere l'account amministratore delegato nella console Security Hub in qualsiasi momento. Tuttavia, questa azione non solo rimuove l'amministratore delegato da Security Hub, ma anche dal Security Hub CSPM. Ti consigliamo di eseguire questa azione solo dopo aver confermato l'operazione con il tuo account di sicurezza.
**Nota**
Se utilizzi un account diverso dall'account di gestione dell'organizzazione come amministratore delegato CSPM di Security Hub, rimuovendolo tramite la console CSPM o l' AWS Organizations API lo rimuoverà anche da Security Hub.
Allo stesso modo, se rimuovi l'amministratore delegato di Security Hub tramite la console o l' AWS Organizations API di Security Hub, verrà rimosso anche dal CSPM di Security Hub. Quando l'amministratore delegato viene rimosso da CSPM, Central Configuration si disattiva automaticamente.
**Per rimuovere l'account amministratore delegato**
1. Accedi al tuo AWS account con le credenziali dell'account di gestione dell'organizzazione. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home?).
1. **Dal pannello di navigazione, scegli Generale.**
1. In **Amministratore delegato, scegli Rimuovi amministratore** **delegato.** **Nella finestra pop-up, inserisci *rimuovi e scegli Rimuovi*.**
# Riattivazione del Security Hub
Prima di riattivare Security Hub sugli account precedentemente disabilitati utilizzando una policy di Security Hub, devi prima scollegare la policy di disabilitazione. Se tenti di riattivare Security Hub mentre all'account o all'unità organizzativa è ancora associata una policy di disabilitazione, la policy di disabilitazione avrà la precedenza sull'attivazione e Security Hub rimarrà disabilitato.
**Per rimuovere la politica di disabilitazione di Security Hub per un'organizzazione o un account.**
1. Accedi utilizzando il tuo AWS account con le credenziali dell'account di gestione dell'organizzazione. Apri la console Security Hub su [https://console.aws.amazon.com/organizations/v2/home](https://console.aws.amazon.com/organizations/v2/home).
1. **Dal pannello di navigazione scegli AWS account.**
1. Se l'attuale politica di disabilitazione di Security Hub riguardava l'intera organizzazione, scegli **Root** nella **struttura organizzativa**. Se l'attuale politica di disabilitazione di Security Hub riguarda account specifici, scegli l'account specifico nella **struttura organizzativa** e segui i passaggi rimanenti per ogni account.
1. Nella scheda **Politiche**, trova la sezione intitolata Politiche del **Security Hub**.
1. Scegli il pulsante di opzione accanto alla politica che disabilita Security Hub. Scegli **Detatch**.
Una volta allegata la policy dall'organizzazione o dagli account, puoi riattivare Security Hub. Vedi [Gestione della configurazione degli account dei membri in un' AWS organizzazione](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-da-policy.html) per i dettagli sulla riattivazione di Security Hub.
# Raccomandazioni sul Security Hub
I seguenti servizi di sicurezza AWS inviano i risultati a Security Hub nel formato OCSF. Dopo aver abilitato Security Hub, ti consigliamo di abilitarli Servizi AWS per una maggiore sicurezza.
**Security Hub CSPM**
Quando [abiliti Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html), ottieni una visione completa del tuo stato di sicurezza in. AWS Questo ti aiuta a valutare il tuo ambiente rispetto agli standard e alle best practice del settore della sicurezza. Sebbene sia possibile iniziare a usare Security Hub senza abilitare Security Hub CSPM, consigliamo di abilitare Security Hub CSPM perché Security Hub correla i segnali di sicurezza di Security Hub CSPM per migliorare la gestione della postura.
Se [abiliti Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html), ti consigliamo anche di [abilitare lo standard AWS Foundational Security Best Practices](https://docs.aws.amazon.com/securityhub/latest/userguide/enable-standards.html) per il tuo account. Questo standard consiste in una serie di controlli che rilevano quando le tue risorse Account AWS e le tue risorse si discostano dalle migliori pratiche di sicurezza. Quando abiliti lo standard AWS Foundational Security Best Practices per il tuo account, AWS Security Hub CSPM abilita automaticamente tutti i suoi controlli, inclusi i controlli per i seguenti tipi di risorse:
+ Controlli dell'account
+ Controlli Amazon DynamoDB
+ Controlli Amazon Elastic Compute Cloud
+ AWS Identity and Access Management controlli (IAM)
+ AWS Lambda controlli
+ Controlli di Amazon Relational Database Service (Amazon RDS)
+ Controlli di Amazon Simple Storage Service
Puoi disabilitare qualsiasi controllo in questo elenco. Tuttavia, se si disabilita uno di questi controlli, non è possibile ricevere i risultati sull'esposizione per le risorse supportate. Per informazioni sui controlli che si applicano allo standard AWS Foundational Security Best Practices, consulta lo standard [AWS Foundational Security Best Practices v1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) (FSBP).
**GuardDuty**
Quando [abiliti GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html), puoi visualizzare tutte le minacce e i risultati della copertura di sicurezza nella dashboard della console Security Hub. Se abiliti GuardDuty, inizia GuardDuty automaticamente a inviare dati a Security Hub nel formato OCSF.
**Amazon Inspector**
Quando [attivi Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html), puoi visualizzare tutte le esposizioni e i risultati della copertura di sicurezza nella dashboard della console Security Hub. Se abiliti Amazon Inspector, Amazon Inspector inizia automaticamente a inviare dati a Security Hub nel formato OCSF.
Consigliamo di attivare la scansione Amazon EC2 e la scansione standard Lambda. Quando attivi la scansione di Amazon EC2, Amazon Inspector analizza le istanze Amazon EC2 nel tuo account alla ricerca di vulnerabilità dei pacchetti e problemi di raggiungibilità della rete. Quando attivi la scansione standard Lambda, Amazon Inspector analizza le funzioni Lambda alla ricerca di vulnerabilità software nelle dipendenze dei pacchetti. Per ulteriori informazioni, consulta [Attivazione di un tipo di scansione nella Guida](https://docs.aws.amazon.com/inspector/latest/user/activate-scans.html) per l'utente di *Amazon Inspector*.
**Macie**
Quando [abiliti Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html), puoi rilevare esposizioni aggiuntive per i tuoi bucket Amazon S3. Ti consigliamo di configurare il [rilevamento automatico dei dati sensibili](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-enable.html), in modo che Macie possa valutare il tuo inventario di bucket Amazon S3 su base giornaliera.
# Copertura dell'account in Security Hub
Security Hub consente di abilitare più funzionalità tra le regioni e gli account dell'organizzazione tramite policy e configurazioni. Alcune di queste funzionalità provengono da servizi esterni a Security Hub, tra cui Amazon Inspector, Amazon GuardDuty, AWS Security Hub CSPM e Amazon Macie. Puoi utilizzare la pagina di **copertura dell'account** per tenere traccia degli account e delle regioni coperti da queste funzionalità.
## Pagina di copertura dell'account
La pagina di copertura dell'account offre visibilità sull'attivazione delle funzionalità di sicurezza in tutti gli account AWS . Questa visualizzazione consente di identificare le lacune nella copertura di sicurezza e monitorare l'adozione delle funzionalità in tutta l'organizzazione.
**Per accedere alla pagina di **copertura dell'account** Security Hub**
1. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. Dal pannello di navigazione, in **Impostazioni** scegli Copertura **dell'account**.
### Sezione panoramica
La sezione **Panoramica** mostra le metriche di copertura di sicurezza aggregate per tutti gli account monitorati. Questa visualizzazione di alto livello mostra la percentuale di account con ciascuna funzionalità di sicurezza abilitata, offrendo una visione completa del livello di sicurezza. È possibile selezionare ogni percentuale di capacità coperta per filtrare i risultati della ricerca sulla copertura e visualizzare i risultati relativi alla copertura per quella funzionalità.
Le percentuali nella sezione Panoramica sono determinate utilizzando il seguente calcolo:
`(Count of number of accounts and regions the capability is enabled in)`/`((Total number of accounts Security Hub is enabled in)`\$1`(Number of regions the capability is available in))`
### Scheda Account
La scheda **Account** consente l'analisi della copertura specifica dell'account mediante il filtraggio in base alla funzionalità dell'account. Ogni funzionalità di sicurezza mostra una percentuale di copertura che, se selezionata, rivela un'analisi dettagliata delle singole funzionalità e della relativa percentuale di copertura nell'ambito di tale funzionalità. Quando si selezionano queste percentuali, il sistema filtra i risultati della ricerca della copertura per visualizzare quelli che indicano la copertura per quella funzionalità e per l'account in quella riga.
Le percentuali nella scheda Account vengono determinate utilizzando il seguente calcolo:
`(Count of number of regions the capability is enabled in)`/`(Number of regions the capability is available in)`
Esistono diversi casi in cui la percentuale di copertura potrebbe essere pari allo 0%:
+ Security Hub non è abilitato nell'account e pertanto non vengono acquisiti i risultati della copertura.
+ Security Hub è in attesa che vengano generati i risultati della copertura.
### Scheda Risultati della copertura
La scheda **Risultati della copertura mostra i risultati** informativi generati quando i controlli delle funzionalità di sicurezza rilevano funzionalità disattivate in un account. Questi risultati aiutano a identificare le aree in cui è possibile migliorare la copertura di sicurezza. Ogni risultato di copertura fornisce informazioni sul titolo del risultato di copertura, sul conto e sulla regione del risultato e sullo stato attuale del risultato. Ogni risultato ha anche un collegamento di configurazione che porta al servizio individuale in cui è possibile gestire la configurazione per tale funzionalità o alla pagina delle configurazioni del Security Hub in cui è possibile aggiornare le configurazioni correnti per i servizi di sicurezza.
Per ulteriori informazioni sui risultati della copertura, consulta [Risultati della copertura in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/coverage-findings.html).
## Widget di copertura di sicurezza
La copertura dell'account può essere visualizzata anche tramite il **widget Copertura di sicurezza** nella dashboard di riepilogo di Security Hub. Maggiori dettagli sul widget sono disponibili nella documentazione del [widget di copertura di sicurezza](https://docs.aws.amazon.com/securityhub/latest/userguide/dashboard-v2.html#security-hub-v2-dashboard-coverage-widget).
# Piano Security Hub Extended
Il piano Security Hub Extended aiuta a proteggere l'intero patrimonio aziendale su cloud, endpoint, rete, identità, dati, e-mail e browser con un'esperienza operativa di sicurezza integrata incentrata su AWS Security Hub. Con il piano Security Hub Extended, puoi selezionare soluzioni partner che soddisfino le tue esigenze di sicurezza e sottoscrivere pay-as-you-go prezzi flessibili senza investimenti iniziali o impegni a lungo termine. Puoi aggiungere o rimuovere soluzioni partner man mano che le tue esigenze aziendali si evolvono.
Il piano Security Hub Extended è disponibile per tutti i clienti che hanno abilitato il piano Security Hub Essentials. Gli addebiti per il piano Security Hub Extended vengono visualizzati sulla AWS fattura mensile con AWS il venditore registrato.
I prezzi del piano Security Hub Extended per tutte le soluzioni sono disponibili nella scheda Piano esteso della [pagina dei dettagli dei prezzi di Security Hub](https://aws.amazon.com/security-hub/pricing/#pricing_details).
## Autorizzazioni per il piano Security Hub Extended
Per abbonarsi a un prodotto partner del piano Security Hub Extended, sono necessarie le seguenti autorizzazioni, oltre alle autorizzazioni Security Hub:
+ `aws-marketplace:ViewSubscriptions`
+ `aws-marketplace:Subscribe`
Per annullare l'iscrizione a un prodotto partner dal piano Security Hub Extended, sono necessarie le seguenti autorizzazioni, oltre alle autorizzazioni Security Hub:
+ `license-manager:ListReceivedLicenses`
+ `aws-marketplace:ListAgreementCharges`
+ `aws-marketplace:Unsubscribe`
Per ulteriori informazioni sulle autorizzazioni AWS Marketplace, consulta [Controllare l'accesso agli abbonamenti AWS Marketplace](https://docs.aws.amazon.com/marketplace/latest/buyerguide/buyer-iam-users-groups-policies.html) nella *AWS Marketplace Buyer Guide*.
## Revisione e iscrizione ai partner del piano Extended
Il piano Security Hub Extended è accessibile tramite l'account amministratore delegato di Security Hub o gli account autonomi. Nella pagina del piano Security Hub Extended, puoi visualizzare i dettagli su ciascun partner, avviare un abbonamento a una soluzione partner e iniziare il processo di onboarding verso la soluzione di ciascun partner tramite la pagina di onboarding del partner.
**Per accedere al piano Security Hub Extended e iscriversi al prodotto di un partner**
1. Accedi alla Console di AWS gestione utilizzando le credenziali dell'account amministratore delegato o autonomo.
1. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. Nel riquadro di navigazione, scegli **Gestione**, quindi scegli Piano **esteso**.
1. Per ogni soluzione partner a cui desideri iscriverti, scegli **Visualizza prodotto**.
1. Controlla i dettagli sui prezzi del prodotto, quindi scegli **Abbonati** quando sei pronto per iniziare il processo di onboarding del prodotto partner.
1. Una volta completata la procedura di iscrizione, scegli **Configura il tuo account** per essere reindirizzato alla pagina di registrazione del partner.
1. Fornisci le informazioni necessarie per la pagina di registrazione del partner e segui i passaggi successivi, forniti dal partner, per completare i passaggi di onboarding.
**Importante**
La soluzione partner non ti verrà fatturata finché non avrai completato la procedura di onboarding per il prodotto partner.
## Annullamento dell'iscrizione a un partner con piano esteso
Se non desideri più utilizzare una soluzione partner con piano esteso, puoi annullare l'iscrizione all'elenco dei partner.
*Per annullare l'iscrizione a una soluzione partner, segui le istruzioni riportate nella sezione [Annullamento dell'abbonamento SaaS nella](https://docs.aws.amazon.com/marketplace/latest/buyerguide/cancel-subscription.html#cancel-saas-subscription) Marketplace Buyer Guide.AWS *
**Importante**
Oltre ad annullare l'abbonamento, segui tutti i passaggi aggiuntivi di offboarding necessari per la soluzione partner, in base a come hai configurato la soluzione per la tua azienda.
# Comprendere l'aggregazione interregionale in Security Hub
L'aggregazione tra regioni consente di aggregare risultati, risorse e tendenze provenienti da più AWS regioni in un'unica regione d'origine. È quindi possibile gestire tutti questi dati dalla regione di origine.
Supponiamo di impostare Stati Uniti orientali (Virginia settentrionale) come regione di origine e Stati Uniti occidentali (Oregon) e Stati Uniti occidentali (California settentrionale) come regioni collegate. Quando si visualizza la pagina Risultati negli Stati Uniti orientali (Virginia settentrionale), vengono visualizzati i risultati di tutte e tre le regioni. Gli aggiornamenti a tali risultati si riflettono anche in tutte e tre le regioni.
## Tipi di dati aggregati
Quando l'aggregazione tra regioni è abilitata con una o più regioni collegate, Security Hub replica i seguenti dati dalle regioni collegate alla regione principale. Ciò si verifica in tutti gli account in cui è abilitata l'aggregazione tra regioni.
+ Esiti
+ Resources
+ Tendenze
Oltre ai nuovi dati nell'elenco precedente, Security Hub replica anche gli aggiornamenti di questi dati tra le regioni collegate e la regione di origine. Gli aggiornamenti che si verificano in una regione collegata vengono replicati nella regione di origine. Gli aggiornamenti che si verificano nella regione di origine vengono replicati nella regione collegata. Se sono presenti aggiornamenti in conflitto nella regione di origine e nella regione collegata, viene utilizzato l'aggiornamento più recente.
Qualsiasi risultato esistente in una regione nel momento in cui diventa una regione collegata non verrà replicato nella regione d'origine a meno che non vi sia un aggiornamento del risultato. Una volta che una regione è collegata a una regione d'origine, ci sarà una differenza nei risultati tra la regione d'origine e la regione collegata fino a quando i risultati nella regione collegata non saranno aggiornati o non saranno obsoleti.
Tutte le risorse esistenti in una regione nel momento in cui diventa una regione collegata verranno replicate nella regione d'origine, in genere entro 24-48 ore dal collegamento della regione a una regione d'origine.
Quando si rimuove una regione collegata, tutte le scoperte o le risorse relative a quella regione rimarranno nella regione d'origine fino all'esaurimento del reperto o della risorsa.
I dati sulle tendenze si basano su risultati e risorse presenti nella regione a cui si riferisce la tendenza. I dati sulle tendenze in una regione d'origine rifletteranno lo stato attuale dei risultati e delle risorse che sono stati sincronizzati con la regione d'origine.
![\[Quando l'aggregazione tra aree geografiche è abilitata, Security Hub CSPM replica i risultati nuovi e aggiornati tra le regioni collegate e la regione di origine.\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/security-hub-region-aggregation-diagram.png)
L'aggregazione tra regioni non aumenta il costo di Security Hub. Non ti viene addebitato alcun costo quando Security Hub replica nuovi dati o aggiornamenti.
Nella regione di origine, la pagina di riepilogo fornisce una visualizzazione dei risultati e delle risorse attivi nelle regioni collegate.
Security Hub aggrega solo i dati delle regioni in cui un account ha Security Hub abilitato. Security Hub non è abilitato automaticamente per un account in base alla configurazione di aggregazione tra regioni.
È possibile abilitare l'aggregazione tra regioni senza selezionare alcuna regione collegata. In questo caso, non si verifica alcuna replica dei dati.
## Aggregazione per gli account degli amministratori e dei membri
Gli account autonomi e gli account amministratore possono configurare l'aggregazione tra regioni. Se configurata da un amministratore, la presenza dell'account amministratore è essenziale affinché l'aggregazione tra regioni funzioni negli account amministrati. Se l'account amministratore viene rimosso o dissociato da un account membro, l'aggregazione tra aree geografiche per l'account membro verrà interrotta oppure se l'account membro aveva una configurazione di aggregazione tra aree geografiche prima di essere associato a un amministratore, tale configurazione di aggregazione sarà nuovamente valida per l'account.
Quando un account amministratore abilita l'aggregazione tra regioni, Security Hub replica i dati generati dall'account amministratore in tutte le regioni collegate alla regione di origine. Inoltre, Security Hub identifica gli account membro associati a quell'amministratore e ogni account membro eredita le impostazioni di aggregazione interregionale dell'amministratore. Security Hub replica i dati generati da un account membro in tutte le regioni collegate alla regione di origine.
L'amministratore può accedere e gestire i risultati di sicurezza di tutti gli account dei membri all'interno delle regioni amministrate. Inoltre, l'amministratore può visualizzare l'inventario delle risorse di tutti gli account membri all'interno delle regioni amministrate.
In qualità di account membro di Security Hub, devi accedere alla regione di origine per visualizzare i dati aggregati del tuo account da tutte le regioni collegate. Gli account membro non dispongono delle autorizzazioni per visualizzare i dati degli altri account membri e non sono autorizzati a chiamare i `CreateAggregatorV2``DeleteAggregatorV2`, e. `GetAggregatorV2` APIs
## Regole di automazione e aggregazione tra regioni
Quando l'aggregazione tra regioni è abilitata, le regole di automazione possono essere create solo nella regione principale definita. Qualsiasi regola definita si applica a tutte le aree collegate, a meno che i criteri delle regole non si applichino a regioni specifiche. È necessario creare regole di automazione separate per qualsiasi regione che non sia un'area collegata.
Tutte le regole create nella regione di origine, prima di abilitare l'aggregazione tra regioni, diventano automaticamente applicabili nelle regioni collegate. Le regole create in precedenza nelle regioni collegate non verranno più applicate una volta creato un aggregatore. Le regole definite nelle regioni collegate riprenderanno ad applicarsi una volta eliminato l'aggregatore o quando la regione non sarà più collegata.
# Abilitazione dell'aggregazione tra regioni
È necessario abilitare l'aggregazione tra regioni dalla AWS regione che si desidera designare come regione di origine.
Per abilitare l'aggregazione tra regioni, si crea una risorsa Security Hub denominata aggregatore di ricerca. La risorsa Finding Aggregator specifica la tua regione di origine e le regioni collegate (se presenti).
Non puoi utilizzare una AWS regione disattivata per impostazione predefinita come regione d'origine. Per un elenco delle regioni che sono disabilitate per impostazione predefinita, vedi Abilitazione di una regione nella AWS Guida generale.
Quando abiliti l'aggregazione tra regioni, scegli di specificare una o più regioni collegate, se lo desideri. L'abilitazione dell'aggregazione tra regioni non abilita Security Hub in quella regione. Per abilitare Security Hub in una regione, consulta Creazione di una policy come amministratore delegato per la gestione degli account dei membri nella guida per l'utente di Security Hub.
**Per abilitare l'aggregazione tra regioni (console)**
1. [Dall'account amministratore o in un account autonomo, apri la console AWS Security Hub su https://console.aws.amazon.com/securityhub/ v2/home](https://console.aws.amazon.com/securityhub/v2/home)
1. Utilizzando il selettore AWS della regione, accedi alla regione che desideri utilizzare come regione di aggregazione.
1. Nel menu di navigazione di Security Hub, scegli **Impostazioni**, quindi **Generali**.
1. **Nella sezione Aggregazione tra regioni, scegli Configura.**
1. Per impostazione predefinita, la regione principale è impostata su **Nessuna regione di aggregazione**.
1. In **Area geografica**, seleziona l'opzione per designare la regione corrente come regione d'origine.
1. Facoltativamente, per le **regioni collegate**, seleziona le regioni da cui aggregare i dati.
1. Scegli **Save** (Salva).
# Revisione delle impostazioni di aggregazione tra regioni
È possibile visualizzare l'attuale configurazione di aggregazione interregionale in AWS Security Hub da qualsiasi AWS regione nell'account amministratore o in un account autonomo. Gli account dei membri non possono visualizzare la configurazione di aggregazione tra regioni. La configurazione include la regione principale e le regioni collegate (se presenti).
Segui i passaggi per visualizzare le impostazioni correnti di aggregazione tra le regioni
**Per visualizzare le impostazioni di aggregazione tra regioni (console)**
1. Apri la console AWS Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Nel pannello di navigazione, scegli **Impostazioni** e poi Generale.**
1. Se l'aggregazione tra regioni non è abilitata, nella pagina Generale viene visualizzata l'opzione per abilitare l'aggregazione tra regioni. Solo gli account amministratore e gli account autonomi possono abilitare l'aggregazione tra aree geografiche.
1. Se l'aggregazione tra regioni è abilitata, la scheda Regioni visualizza le seguenti informazioni:
+ La regione di origine
+ Se aggregare automaticamente risultati, risorse e tendenze provenienti da nuove regioni supportate da Security Hub e per le quali hai scelto di aderire
+ L'elenco delle regioni collegate (se selezionate)
# Aggiornamento delle impostazioni di aggregazione tra regioni
Puoi aggiornare le tue attuali impostazioni di aggregazione interregionale in AWS Security Hub modificando le Regioni collegate o la regione principale corrente.
Le modifiche all'aggregazione tra aree geografiche non vengono implementate per una regione attiva finché non abiliti la regione nel tuo account. AWS Le regioni AWS introdotte a partire dal 20 marzo 2019 o successivamente sono regioni opzionali.
Quando interrompi l'aggregazione dei dati da una regione collegata, AWS Security Hub non rimuove alcun dato aggregato esistente da quella regione accessibile nella regione di origine.
Non puoi utilizzare le procedure di aggiornamento in questa sezione per modificare la regione di origine. Per cambiare la regione d'origine, devi fare quanto segue:
1. Elimina l'attuale configurazione di aggregazione tra regioni. Per istruzioni, consulta [Eliminazione dell'aggregazione tra regioni](sh-finding-aggregation-delete.md).
1. Passa alla regione che desideri utilizzare come nuova regione di origine.
1. Abilita l'aggregazione tra regioni. Per istruzioni, consulta [Eliminazione dell'aggregazione tra regioni](sh-finding-aggregation-delete.md).
È necessario aggiornare la configurazione di aggregazione tra aree geografiche dalla regione principale corrente.
**Per modificare le regioni collegate (console)**
1. Dall'account amministratore o in un account autonomo, apri la console AWS Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. Accedi alla regione di aggregazione corrente.
1. Nel menu di navigazione di Security Hub, scegli **Impostazioni**, quindi scegli **Generale**.
1. **Per l'aggregazione tra regioni, scegli Modifica.**
1. Per le **regioni collegate**, aggiorna le aree collegate selezionate.
1. Scegli **Save** (Salva).
# Eliminazione dell'aggregazione tra regioni
Se non desideri che AWS Security Hub aggreghi i dati, puoi eliminare il tuo aggregatore di risultati. In alternativa, puoi mantenere l'aggregatore di risultati ma non collegare alcuna regione alla AWS regione d'origine aggiornando l'aggregatore esistente in modo che non abbia selezionato alcuna regione collegata.
Per cambiare la tua regione di residenza, devi eliminare l'attuale aggregatore di risultati e crearne uno nuovo.
Quando elimini il tuo aggregatore di risultati, Security Hub interrompe l'aggregazione dei dati. Non rimuove alcun dato aggregato esistente dalla regione di origine.
**Eliminazione dell'aggregatore di ricerca (console)**
Puoi eliminare l'aggregatore di risultati solo dalla regione di residenza corrente.
Nelle regioni diverse dalla regione di origine, il pannello di aggregazione Finding sulla console Security Hub visualizza un messaggio che indica che è necessario modificare la configurazione nella regione di origine. Scegli questo messaggio per visualizzare un collegamento per passare alla regione d'origine.
**Per interrompere l'aggregazione tra regioni (console)**
1. Apri la console AWS Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. Assicurati di aver effettuato l'accesso alla tua regione di residenza attuale.
1. Nel menu di navigazione di Security Hub, scegli **Impostazioni**, quindi scegli **Generale**.
1. **In Aggregazione tra regioni, scegli Modifica.**
1. In Regione di **aggregazione, scegli **Nessuna** regione** di aggregazione.
1. Scegli **Save** (Salva).
1. Nella finestra di dialogo di conferma, nel campo di conferma, digita. **Confirm**
1. Scegli **Conferma**.
# Utilizzo della dashboard di riepilogo di Security Hub
La dashboard di **riepilogo** nella console Security Hub mostra una panoramica delle esposizioni, delle minacce, delle risorse e della copertura di sicurezza tra i widget di sicurezza. Puoi personalizzare la dashboard aggiungendo e rimuovendo widget e creando e applicando set di filtri per recuperare i dati in ogni widget.
## Considerazioni
Considera quanto segue prima di interagire con la dashboard:
+ Le personalizzazioni, come i set di filtri salvati o le modifiche al layout dei widget, vengono salvate automaticamente.
+ I dati si aggiornano automaticamente ogni volta che apri la dashboard.
+ Se configuri l'aggregazione tra aree geografiche, la dashboard include i risultati di tutte le aree collegate (quando visualizzi la dashboard nella tua area geografica).
Considera quanto segue se il tuo account è un account amministratore delegato per un'organizzazione, un account membro di un'organizzazione o un account autonomo.
+ Le personalizzazioni effettuate da un account amministratore delegato verranno salvate indipendentemente dalle personalizzazioni effettuate dagli account dei membri. Le personalizzazioni possono includere set di filtri salvati o modifiche al layout dei widget.
+ Se il tuo account è l'account amministratore delegato di un'organizzazione, i dati includono i risultati relativi al tuo account e agli account dei membri.
+ Se il tuo account è un account membro di un'organizzazione o un account autonomo, i dati includono i risultati solo per il tuo account.
Come procedura ottimale, consigliamo di non includere informazioni riservate, sensibili o di identificazione personale (PII) nei set di filtri salvati, nei widget personalizzati o in altri campi di testo correlati in formato libero.
## Widget disponibili
****Puoi interagire con diversi widget nelle schede **Executive** e Triage del pannello di controllo Riepilogo.**** La scheda **Executive** include widget che visualizzano i dati sulle tendenze relative a esposizioni, minacce e risorse e il widget **Security Coverage per monitorare la copertura** dell'account attraverso diverse funzionalità di sicurezza. La scheda **Triage** include widget che mostrano un riepilogo delle esposizioni, delle minacce e delle risorse. Tuttavia, puoi aggiungere widget, rimuovere widget e gestire la posizione di ciascun widget in entrambe le schede per personalizzare la tua esperienza.
### Widget di tendenza
I seguenti widget visualizzano i dati sulle tendenze relativi a esposizioni, minacce e risorse, in modo da poterli analizzare nel tempo.
#### Widget di panoramica delle tendenze
![\[Esempio di widget per la panoramica delle tendenze.\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/trends-overview-widget.png)
Questo widget mostra una panoramica delle esposizioni, delle minacce, delle risorse e dei risultati nei seguenti periodi di tempo:
+ **M onth-over-month** riflette il period-over-period conteggio degli ultimi due mesi.
+ **W eek-over-week** riflette il period-over-period conteggio delle ultime due settimane.
+ **D ay-over-day** riflette il period-over-period conteggio degli ultimi 2 giorni.
Il numero accanto alla percentuale riflette il period-over-period conteggio medio fino ad oggi. Scegliendo questo numero si accede alla dashboard corrispondente nella console. Se accedi a un'altra dashboard che mostra i dati sulle tendenze, la dashboard mostra solo i dati sulle tendenze degli ultimi 90 giorni o nel periodo di tempo più adatto se l'account non contiene risultati o risorse più vecchi di 30 giorni.
**Nota**
Per ricevere dati in questo widget, devi abilitare i seguenti servizi di sicurezza:
**AWS Security Hub CSPM** — Per ricevere dati sulle esposizioni
**Amazon Inspector**: per ricevere dati sulle esposizioni
**GuardDuty**— Per ricevere dati sulle minacce
#### Widget sulle tendenze di ricerca dell'esposizione
![\[Esempio di widget sulle tendenze di rilevamento dell'esposizione.\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/exposure-finding-trends-widget.png)
Questo widget mostra la gravità dei risultati dell'esposizione nei seguenti periodi di tempo:
+ **5 giorni**
+ **30 giorni**
+ **90 giorni**
+ **6 mesi**
+ **1 anno**
La visualizzazione mostra il conteggio medio dei risultati nel periodo di tempo selezionato.
**Filtri di severità**
È possibile aggiornare il grafico includendo o escludendo i seguenti filtri di gravità:
+ **Fatale**
+ **Critico**
+ **Elevate**
+ **Medio**
+ **Bassa**
+ **Informativo**
+ **Other (Altro)**
+ **Sconosciuto**
I filtri di gravità applicati vengono visualizzati nella parte inferiore della visualizzazione in diverse caselle. Puoi passare il mouse sulla visualizzazione per esaminare il conteggio medio dei risultati per momenti specifici. Puoi anche esaminare il conteggio medio dei risultati che corrispondono a ciascun filtro di gravità applicato.
Puoi scegliere **Visualizza tutti i risultati attuali sull'esposizione** per essere indirizzato al pannello di controllo **Esposizione**. Per impostazione predefinita, la dashboard **Esposizione** mostra solo i dati sulle tendenze degli ultimi 90 giorni. Se il tuo account non contiene risultati di esposizione più vecchi di 30 giorni, la dashboard mostra i dati sulle tendenze in base al periodo di tempo più adatto.
**Nota**
Per ricevere dati in questo widget, devi abilitare [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/getting_started.html) and [Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) CSPM.
#### Widget sulle tendenze di rilevamento delle minacce
![\[Esempio di widget sulle tendenze di rilevamento delle minacce.\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/threat-finding-trends-widget.png)
Questo widget mostra la gravità delle rilevazioni delle minacce nei seguenti periodi di tempo:
+ **5 giorni**
+ **30 giorni**
+ **90 giorni**
+ **6 mesi**
+ **1 anno**
La visualizzazione mostra il conteggio medio dei risultati nel periodo di tempo selezionato.
**Filtri di severità**
È possibile aggiornare il grafico includendo o escludendo i seguenti filtri di gravità:
+ **Fatale**
+ **Critico**
+ **Elevate**
+ **Medio**
+ **Bassa**
+ **Informativo**
+ **Other (Altro)**
+ **Sconosciuto**
I filtri di gravità applicati vengono visualizzati nella parte inferiore della visualizzazione in diverse caselle. Puoi passare il mouse sulla visualizzazione per esaminare il conteggio medio dei risultati per momenti specifici. Puoi anche esaminare il conteggio medio dei risultati che corrispondono a ciascun filtro di gravità applicato.
Puoi scegliere **Visualizza tutti i risultati attuali sulle minacce** per essere indirizzato alla dashboard di **Exposure**. Per impostazione predefinita, la dashboard **delle minacce** mostra solo i dati sulle tendenze degli ultimi 90 giorni. Se il tuo account non contiene rilevazioni di minacce risalenti a più di 30 giorni, la dashboard mostra i dati sulle tendenze in base al periodo di tempo più adatto.
**Nota**
Per ricevere dati in questo widget, devi [GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)abilitarlo.
#### Widget sulle tendenze delle risorse
![\[Esempio di widget sulle tendenze delle risorse.\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/resource-trends-widget.png)
Questo widget mostra un inventario delle tue risorse nei seguenti periodi di tempo:
+ **5 giorni**
+ **30 giorni**
+ **90 giorni**
+ **6 mesi**
+ **1 anno**
La visualizzazione mostra il conteggio medio delle risorse nel periodo di tempo selezionato. Puoi passare il mouse sulla visualizzazione per rivedere il numero medio di risorse per momenti specifici.
Puoi scegliere **Visualizza le risorse correnti** per essere indirizzato alla dashboard **Risorse**. Per impostazione predefinita, la dashboard **Risorse** mostra solo i dati sulle tendenze degli ultimi 90 giorni. Se il tuo account non contiene risorse più vecchie di 30 giorni, la dashboard mostra i dati sulle tendenze in base al periodo di tempo più adatto.
Questo widget mostra un inventario delle tue risorse nei seguenti periodi di tempo:
+ **5 giorni**
+ **30 giorni**
+ **90 giorni**
+ **6 mesi**
+ **1 anno**
#### Conservazione dei dati per le tendenze
Security Hub conserva i dati sulle tendenze per un anno per tutti i paesi Account AWS in cui Security Hub è abilitato. Dopo che i dati sulle tendenze sono stati conservati per un anno, vengono eliminati dal Security Hub.
I dati Trends per gli account amministratori delegati e autonomi vengono eliminati dopo la disattivazione di Security Hub o se gli account vengono chiusi.
Scenari di conservazione dei dati Trends per gli account dei membri con Security Hub abilitato:
+ Se un account membro lascia la sua organizzazione, Security Hub continuerà a archiviare i dati sulle tendenze, fino a quando l'account ha lasciato l'organizzazione, per un anno.
+ Se Security Hub è disabilitato per un account membro, i dati sulle tendenze, fino a quando l'account è stato disabilitato, verranno conservati per un anno.
+ Se un account membro viene chiuso, i dati sulle tendenze verranno dissociati dall'account chiuso (ad esempio, l'AccountID chiuso verrà eliminato) e il resto dei dati sulle tendenze verrà conservato per un anno.
### Widget di riepilogo
I seguenti widget mostrano un riepilogo delle esposizioni, delle minacce e delle risorse.
#### Widget di sintesi dell'esposizione
![\[Esempio di widget di riepilogo della copertura dell'esposizione.\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/exposure-summary-widget-operations.png)
Questo widget mostra le esposizioni in base alla gravità. L'esposizione si basa su un'analisi dei risultati e delle caratteristiche di Security Hub e di altri servizi AWS di sicurezza, come Amazon Inspector. L'elenco delle esposizioni in questo widget è limitato alle otto esposizioni con la massima gravità. Le esposizioni con maggiore severità vengono visualizzate per prime nell'elenco. Se due o più esposizioni hanno la stessa gravità, l'elenco raggruppa automaticamente tali esposizioni in base alle esposizioni più recenti. **Scegliendo **Visualizza tutte le esposizioni si accede alla dashboard Esposizione**.**
**Nota**
Per ricevere dati in questo widget, devi abilitare [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/getting_started.html) and [Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) CSPM.
#### Widget di sintesi delle minacce
![\[Esempio di widget di riepilogo delle minacce.\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/threat-summary-widget-operations.png)
Questo widget mostra le minacce in base alla gravità. Una minaccia si riferisce ad attività dannose o sospette che possono compromettere la sicurezza dell'ambiente. L'elenco delle minacce in questo widget è limitato alle otto minacce con la massima gravità. Le minacce con maggiore gravità vengono visualizzate per prime nell'elenco. Se due o più minacce hanno la stessa gravità, l'elenco raggruppa automaticamente le minacce relative alle minacce più recenti. Scegliendo **Visualizza tutte le minacce** si accede alla dashboard delle **minacce**.
**Nota**
Per ricevere dati in questo widget, devi [ GuardDutyabilitarlo](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html).
#### widget di riepilogo delle risorse
![\[Esempio di widget di riepilogo delle risorse.\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/resource-summary-widget-operations.png)
Questo widget mostra le risorse per tipo e i risultati associati alle risorse. Alle risorse viene assegnata la priorità in base alle esposizioni e alle sequenze di attacco. **Scegliendo **Visualizza tutte le risorse si accede alla dashboard delle risorse**.**
#### Widget di copertura di sicurezza
![\[Esempio di widget di copertura di sicurezza.\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/security-coverage-widget.png)
Il widget mostra un riepilogo della copertura dell'account per le seguenti funzionalità di sicurezza:
+ Gestione delle vulnerabilità tramite Amazon Inspector
+ Rilevamento delle minacce da parte di Amazon GuardDuty
+ Rilevamento di dati sensibili tramite Amazon Macie
+ Gestione della postura tramite AWS Security Hub CSPM
Le percentuali nella colonna **Copertura dell'account** rappresentano il numero di controlli di copertura superati e non riusciti per ciascuna funzionalità di sicurezza in tutti i settori in Account AWS Regioni AWS cui Security Hub è abilitato. Puoi verificare quali controlli di copertura sono stati superati e quali non sono riusciti per una funzionalità di sicurezza scegliendo una percentuale. **Coperto** indica che il controllo di copertura è stato superato. **Non coperto** indica che il controllo di copertura non è riuscito. Quando si esaminano le percentuali relative al numero di controlli di copertura superati e non riusciti, ogni percentuale in **Coverato** rappresenta la percentuale di risultati di copertura coperti per una funzionalità di sicurezza. In alcuni casi, le percentuali relative ai controlli di copertura vengono arrotondate al numero intero più vicino.
**Risultati di copertura soppressi**
Se uno qualsiasi dei risultati della copertura in Security Hub viene eliminato, il widget visualizza un messaggio che informa che la copertura è stata esclusa:
*La copertura per le funzionalità di sicurezza è stata esclusa mediante risultati di copertura soppressi.*
Per ulteriori informazioni sui risultati della copertura, consulta [Risultati della copertura in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/coverage-findings.html).
## Filtri disponibili
Puoi applicare filtri ai widget di sicurezza utilizzando la **barra Aggiungi filtri**.
![\[Esempio di filtri di riepilogo.\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/summary-filters.png)
I filtri sono organizzati nelle seguenti categorie:
+ **Filtri condivisi**: si applica a tutti i widget di sicurezza
+ **Filtri di ricerca**: si applica ai widget di sicurezza che visualizzano dati di ricerca
+ **Filtri di risorse**: si applica ai widget di sicurezza che visualizzano i dati delle risorse
È possibile creare un set di filtri collegando i filtri utilizzando gli operatori **e**/**o** e quindi scegliendo **Salva nuovo set di filtri** nel menu a discesa.
### Filtri applicati al widget Tendenze di rilevamento dell'esposizione e al widget Tendenze di rilevamento delle minacce
Attualmente, i filtri supportati per questi widget includono quanto segue:
+ **ID account**
+ **Trovare il nome della classe**
+ **Tipo di risultato**
+ **Product name (Nome del prodotto)**
+ **Region**
+ **Stato**
### Filtri applicati al widget Resource trends
Attualmente, i filtri supportati per questo widget includono quanto segue:
+ **ID account**
+ **Region**
+ **Categoria di risorse**
+ **Tipo di risorsa**
### Filtri non applicati ai widget
![\[Esempio di filtro di riepilogo che non può essere applicato.\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/images/filter-not-applied.png)
Se un widget non supporta un filtro, il filtro non viene applicato al widget. In questo caso, il widget visualizza un messaggio di avviso che indica quanti filtri non sono stati applicati ed elenca i nomi dei filtri che non supporta.
# Visualizzazione dei dettagli sulle risorse in Security Hub
La pagina **Risorse** tiene traccia delle risorse comuni dell'account e dell'organizzazione. È possibile accedere alla pagina **Risorse** nella console Security Hub scegliendo **Risorse** nel riquadro di navigazione. Il vantaggio della pagina **Risorse** è che consente di monitorare il livello di sicurezza, organizzare le risorse e rivedere i dettagli sulle risorse. Quando si sceglie un tipo di risorsa, è possibile esaminare tutte le risorse associate al tipo di risorsa. È possibile esaminare tutti i risultati associati a una risorsa. I tipi di risorse disponibili nella pagina **Risorse** includono tutte le risorse dei tuoi account coperte dai servizi AWS di sicurezza che contribuiscono ai risultati di Security Hub.
**Nota**
L'amministratore delegato può visualizzare tutte le risorse associate agli account dei membri. Se hai configurato una home page Regione AWS, puoi visualizzare tutte le risorse della tua home page Regione AWS da Linked Regioni AWS.
Se scegli una risorsa, puoi esaminarne i dettagli. Questi dettagli includono il nome, l'ID, l'ARN, il tipo e la categoria della risorsa. Puoi controllare l'ID dell'account associato alla risorsa, quando è stata creata la risorsa (timestamp) e dove è stata creata la risorsa ().Regione AWSÈ inoltre possibile esaminare ulteriori dettagli di configurazione relativi alla risorsa. Questi dettagli sono disponibili in uno snippet JSON che puoi copiare.
Se passi dalla scheda **Panoramica** alla scheda **Risultati**, puoi esaminare tutti i risultati associati alla risorsa. La scheda **Risultati** mostra il nome di ogni risultato, il tipo di ogni risultato e la gravità di ogni risultato. Puoi raggruppare i risultati in base a campi diversi e cercare i risultati utilizzando i filtri. Se scegli un risultato, puoi visualizzare una panoramica del risultato, che include informazioni sulla conformità e su come risolvere i problemi associati al risultato. La scheda **Caratteristiche** mostra ogni caratteristica identificata della risorsa. È possibile visualizzare le caratteristiche che contribuiscono a creare un risultato di esposizione per la risorsa. Puoi anche visualizzare le caratteristiche contestuali, che sono altri elementi di sicurezza identificati per la risorsa ma che non hanno contribuito direttamente ai risultati dell'esposizione. Se si torna alla risorsa, è possibile scegliere **Apri risorsa per esaminare la risorsa** nella console in base al tipo di risorsa. Ad esempio, se la risorsa è una risorsa IAM, puoi aprirla nella console IAM.
La pagina delle risorse offre diversi modi per organizzare e cercare le risorse. È possibile raggruppare le risorse per tipo. Ad esempio, è possibile raggruppare le risorse per ID account, tipo di ricerca Regione AWS, categoria di risorsa, nome della risorsa e tipo di risorsa. I filtri rapidi consentono di esaminare le risorse per categoria, account e tipi di ricerca.
# Security Hub e Open Cybersecurity Findings Format (OCSF)
## Panoramica OCSF
I risultati di Security Hub sono formattati utilizzando OCSF, un progetto open source che offre un framework estensibile per lo sviluppo di schemi, insieme a uno schema di sicurezza di base indipendente dal fornitore. I fornitori e gli altri produttori di dati possono adottare ed estendere lo schema per i loro domini specifici. I produttori di dati possono mappare diversi schemi per aiutare i team di sicurezza a semplificare l'inserimento e la normalizzazione dei dati, in modo che i data scientist e gli analisti possano lavorare con un linguaggio comune per il rilevamento e l'indagine delle minacce. L'obiettivo è fornire uno standard aperto, adottato in qualsiasi ambiente, applicazione o soluzione, integrando al contempo gli standard e i processi di sicurezza esistenti.
Il framework è composto da un insieme di tipi di dati, un dizionario degli attributi e la tassonomia. Non è limitato al dominio della sicurezza informatica né agli eventi, tuttavia l'obiettivo iniziale del framework è stato uno schema per gli eventi di sicurezza informatica. OCSF è agnostico rispetto al formato di archiviazione, alla raccolta dei dati e ai processi (ETL). Extract-Transform-Load Lo schema di base per gli eventi di sicurezza informatica è pensato per essere agnostico rispetto alle implementazioni. I file di definizione del framework dello schema e lo schema normativo risultante sono scritti come JSON.
Security Hub attualmente supporta i risultati dello schema OCSF versione 1.6.
## Risorse correlate
Per ulteriori informazioni su OCSF e la sua implementazione, consulta le seguenti risorse:
+ [Documentazione OCSF pubblica](https://schema.ocsf.io/)
+ [Documentazione sull'utilizzo dell'estensione OCSF](https://schema.ocsf.io/1.0.0/extensions/)
+ [Riferimento allo schema di base OCSF](https://schema.ocsf.io/1.0.0/)
+ [Registro delle estensioni OCSF](https://github.com/ocsf/ocsf-schema/tree/main/extensions)
# AWS estensione per OCSF
[Gli schemi](https://schema.ocsf.io/) OCSF possono essere estesi aggiungendo nuovi attributi, oggetti, categorie, profili e classi di eventi. Uno schema è l'aggregazione di entità ed estensioni principali dello schema.
Le estensioni a OCSF consentono a un particolare fornitore o cliente di potenziare uno schema esistente aggiungendo attributi per fornire personalizzazioni specifiche del dominio, migliorare l'interoperabilità dei dati e aggiungere un contesto più dettagliato per l'analisi della sicurezza.
L' AWS Extension for Open Cybersecurity Schema Framework (OCSF) fornisce definizioni degli attributi per le risorse cloud all'interno degli eventi OCSF. Questa estensione introduce un nuovo `cloud_resources` profilo che estende l'`resource_details`oggetto OCSF standard con attributi di risorse completi specifici per il cloud, consentendo ai team di sicurezza di ottenere informazioni più approfondite sulle configurazioni delle risorse, sulle potenziali vulnerabilità e sui metadati critici essenziali per il rilevamento e l'indagine efficaci delle minacce negli ambienti cloud.
## Oggetto esteso `resource_details`
L' AWS estensione estende l'`resource_details`oggetto con gli attributi menzionati nell'elenco dei riferimenti agli attributi riportato di seguito. Questi attributi garantiscono l'identificazione e la classificazione corrette delle risorse cloud tra diversi provider all'interno di framework di eventi standardizzati.
## AWS Estensione per il riferimento agli attributi OCSF
Le sezioni [Attributi di base](https://docs.aws.amazon.com/securityhub/latest/userguide/aws-extension-basic-attributes.html) e [Oggetti specifici delle risorse](https://docs.aws.amazon.com/securityhub/latest/userguide/aws-extension-resource-specific-objects.html) forniscono esempi di ciascuno degli attributi che fanno parte dell'estensione AWS OCSF a resource\$1details.
Ciascuna delle definizioni degli attributi contiene uno stato OCSF che delinea la sua relazione attuale con lo schema OCSF pubblico:
+ **Esistente**: questo attributo era già nello standard OCSF resource\$1details e ora fa parte dell'estensione. AWS
+ **Nuovo**: l'attributo non fa parte di OCSF ed è stato introdotto come parte dell'estensione. AWS Non esiste nello schema OCSF di base.
+ **Aggiunto a resource\$1details**: l'attributo è definito in OCSF ma non fa parte di resource\$1details.
# Attributi di base
Si tratta di attributi fondamentali utilizzati per l'identificazione delle risorse, la posizione e i metadati di base. Sono costituiti da tipi di dati semplici come stringhe, timestamp e array.
## Partizione cloud
La partizione cloud in cui si trova la risorsa.
**Requisito**
Consigliato
**Tipo**
Stringa
**Stato OCSF**
Esistente
**Esempio**
```
{
"resources": [
{
"cloud_partition": "aws"
}
]
}
```
## ID dell'account del proprietario
Un identificatore di account a 12 cifre a cui appartiene la risorsa.
**Requisito**
Consigliato
**Tipo**
Stringa
**Stato OCSF**
Esistente
**Esempio**
```
{
"resources": [
{
"owner": {
"account": {
"uid": "123456789012"
}
}
}
]
}
```
## Tipo di risorsa
Il tipo di AWS CloudFormation risorsa che identifica il servizio e la risorsa specifici.
**Requisito**
Richiesto
**Tipo**
Stringa
**Formato**
Deve seguire la convenzione di denominazione dei tipi di AWS CloudFormation risorsa: `AWS::::`
**Stato OCSF**
Esistente
**Esempio**
```
{
"resources": [
{
"type": "AWS::EC2::Instance"
}
]
}
```
## Identificatore di risorsa
L'identificatore univoco per la risorsa cloud (ad esempio i-1234567890abcdef0).
**Requisito**
Consigliato
**Tipo**
Stringa
**Formato**
Deve essere un identificatore di risorsa valido. Lunghezza minima pari a 1. Lunghezza massima di 768.
**Stato OCSF**
Esistente
**Esempio**
```
{
"resources": [
{
"uid": "i-1234567890abcdef0"
}
]
}
```
## Identificatore di risorsa alternativo
L'identificatore univoco per la risorsa cloud, in genere Amazon Resource Name (ARN).
**Requisito**
Consigliato
**Tipo**
Stringa
**Formato**
Dovrebbe essere un AWS ARN valido. I modelli più comuni includono:
+ `"arn:partition:service:region:account-id:resource-id"`
+ `"arn:partition:service:region:account-id:resource-type/resource-id"`
+ `"arn:partition:service:region:account-id:resource-type:resource-id"`
Nota: alcuni servizi come S3 utilizzano varianti come arn:aws:s3: :bucket-name (senza regione o account-id).
**Stato OCSF**
Esistente
**Esempi**
```
{
"resources": [
{
"uid_alt": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
}
]
}
```
```
"{
"resources": [
{
"uid_alt": "arn:aws:s3:::my-bucket-name"
}
]
}"
```
## Nome risorsa
Il nome univoco della risorsa cloud.
**Requisito**
Consigliato
**Tipo**
Stringa
**Formato**
Nomi creati dall'utente i cui valori dipenderanno dall'ambiente.
**Stato OCSF**
Esistente
**Esempio**
```
{
"resources": [
{
"name": "My-Server-1"
}
]
}
```
## Regione cloud
La AWS regione in cui si trova la risorsa.
**Requisito**
Consigliato
**Tipo**
Stringa
**Formato**
Identificatore di regione cloud valido (ad es. us-east-1, eu-west-1, ap-southeast-2)
**Stato OCSF**
Esistente
**Esempio**
```
{
"resources": [
{
"region": "us-west-2"
}
]
}
```
## Ora di creazione delle risorse
L'ora in cui è stata creata la risorsa.
**Requisito**
Consigliato
**Tipo**
Time stamp
**Formato**
Timestamp Unix in millisecondi dall'epoca (1 gennaio 1970, 00:00:00 UTC)
**Stato OCSF**
Esistente
**Esempio**
```
{
"resources": [
{
"created_time": 1762019193000
}
]
}
```
## Tag
Coppie chiave-valore per i metadati e l'organizzazione delle risorse.
**Requisito**
Consigliato
**Tipo**
Matrice di oggetti chiave:valore
**Formato**
Un oggetto generico che consente di definire una coppia chiave:valore.
**Stato OCSF**
Esistente
**Esempio**
```
{
"resources": [
{
"tags": [
{
"name": "Environment",
"value": "Production"
},
{
"name": "Owner",
"value": "SecurityTeam"
}
]
}
]
}
```
## Indirizzo IP
L'indirizzo IP associato all'istanza in uno dei due formati IPv4 . IPv6
**Requisito**
Facoltativo
**Tipo**
Stringa
**Formato**
IPv6 Indirizzo IPv4 o valido
**Stato OCSF**
Esistente
**Esempio**
```
{
"resources": [
{
"ip": "10.0.1.25"
}
]
}
```
## Indirizzi IP
Un array di indirizzi IP (IPv4 o IPv6) associati al dispositivo. Questi possono includere indirizzi IP pubblici e privati.
**Requisito**
Facoltativo
**Tipo**
Matrice di indirizzi IP
**Stato OCSF**
Novità
**Esempio**
```
{
"resources": [
{
"ip_addresses": ["10.0.1.25", "52.12.34.56"]
}
]
}
```
## ID VPC
L'ID VPC in cui si trova la risorsa.
**Requisito**
Facoltativo
**Tipo**
Stringa
**Formato**
Identificatore VPC (ad esempio vpc-12345678900)
**Stato OCSF**
Aggiunto a `resource_details`
**Esempio**
```
{
"resources": [
{
"vpc_uid": "vpc-0a1b2c3d4e5f6g7h8"
}
]
}
```
## Esempio di oggetto risorsa con attributi di base
```
{
"resources": [
{
"cloud_partition": "aws",
"owner": {
"account": {
"uid": "123456789012"
}
},
"region": "us-east-1",
"type": "AWS::EC2::NetworkInterface",
"uid": "eni-03e6c892dd45e836c",
"uid_alt": "arn:aws:ec2:us-east-1:123456789012:network-interface/eni-03e6c892dd45e836c",
"zone": "us-east-1f",
"vpc_uid": "vpc-0ef6045717b0362f6"
}
]
}
```
# Oggetti specifici della risorsa
Si tratta di oggetti nidificati complessi che forniscono informazioni dettagliate per tipi di risorse e servizi specifici. Ogni oggetto contiene più campi e sottooggetti con configurazione e metadati specifici del servizio.
## Dispositivo
Attributi avanzati delle istanze cloud per le risorse di calcolo, tra cui dettagli di crittografia, informazioni sulle immagini, profilo dell'istanza e ora di avvio.
**Requisito**
Facoltativo
**Tipo**
Oggetto
**Stato OCSF**
Aggiunto a. `resource_details` Vedi la definizione dell'oggetto del [dispositivo](https://schema.ocsf.io/1.6.0/objects/device) OCSF.
AWS L'estensione aggiunge i seguenti attributi a questo oggetto:
+ `encryption_details`- I dettagli di crittografia della risorsa
+ `image`- Informazioni sull'immagine
+ `instance_profile`- Il profilo dell'istanza IAM da associare all'istanza
+ `launch_time`- L'ora in cui è stata avviata l'istanza
+ `uid_alt`- Amazon Resource Name (ARN) della risorsa
**Esempio**
```
{
"device": {
"image": {
"uid": "ami-99999999",
"name": "LoadTestAMI-Current"
},
"instance_profile": {
"uid": "LoadTestingInstanceProfileId",
"uid_alt": "arn:aws:iam::012345678999:instance-profile/generated"
},
"launch_time": 1762019193000,
"launch_time_dt": "2025-08-02T02:05:06Z",
"model": "m3.xlarge",
"network_interfaces": [
{
"ip": "198.51.100.0",
"security_groups": [
{
"name": "LoadTestingSecurityGroupName",
"uid": "LoadTestingSecurityId"
}
],
"uid": "eni-abcdef12"
}
],
"type": "Virtual",
"type_id": 6,
"uid": "i-99999999"
}
}
```
## Interfaccia di rete
Dettagli e configurazione dell'interfaccia di rete, inclusi allegati e gruppi di sicurezza.
**Requisito**
Facoltativo
**Tipo**
Oggetto
**Stato OCSF**
Aggiunto a. `resource_details` Vedi la definizione dell'oggetto dell'[interfaccia di rete](https://schema.ocsf.io/1.6.0/objects/network_interface) OCSF.
AWS L'estensione aggiunge i seguenti attributi a questo oggetto:
+ `attachments`- Informazioni sugli allegati dell'interfaccia di rete
+ `security_groups`- Matrice di identificatori univoci dei gruppi di sicurezza
+ `uid_alt`- Amazon Resource Name (ARN) della risorsa
**Esempio**
```
{
"network_interface": {
"uid": "eni-0a1b2c3d4e5f6g7h8",
"uid_alt": "arn:aws:ec2:us-east-1:123456789012:network-interface/eni-0a1b2c3d4e5f6g7h8",
"name": "prod-web-server-eni",
"attachments": [
{
"uid": "eni-attach-0abcd1234efgh5678",
"instance_uid": "i-0123456789abcdef0",
"name": "/dev/eth0",
"state": "attached",
"attach_time": 1762019193000
}
],
"security_groups": [
{
"uid": "sg-0a1b2c3d4e5f6g7h8",
"name": "web-server-sg"
},
{
"uid": "sg-9i8h7g6f5e4d3c2b1",
"name": "ssh-access-sg"
}
]
}
}
```
## Dispositivo di archiviazione
Dettagli del dispositivo di storage, tra cui allegati, crittografia e informazioni sulle istantanee.
**Requisito**
Facoltativo
**Tipo**
Oggetto
**Stato OCSF**
Novità
L'oggetto del dispositivo di storage include i seguenti attributi:
+ `name`- Il nome del dispositivo di archiviazione
+ `uid`- L'identificatore univoco dei dispositivi di archiviazione
+ `attachments`- Gli allegati del dispositivo di archiviazione
+ `encryption_details`- La chiave di crittografia del dispositivo di archiviazione
+ `is_encrypted`- Se il dispositivo di archiviazione è crittografato (richiesto)
+ `snapshot_id`- L'identificatore dell'istantanea del dispositivo di archiviazione
+ `uid_alt`- Amazon Resource Name (ARN) della risorsa
**Esempio**
```
{
"storage_device": {
"is_encrypted": false,
"name": "LocalVolumeDeviceName1",
"snapshot_id": "snap-12345678901234567",
"uid": "vol-09d5050dea915943d",
"uid_alt": "arn:aws:ec2:us-west-2:123456789000:volume/vol-09d5050dea915943d"
}
}
```
## Database
Attributi dell'istanza del database, tra cui tipo di motore, endpoint e informazioni sull'utente.
**Requisito**
Facoltativo
**Tipo**
Oggetto
**Stato OCSF**
Aggiunto a. `resource_details` Vedi la definizione dell'oggetto del [database](https://schema.ocsf.io/1.6.0/objects/database) OCSF.
AWS L'estensione aggiunge i seguenti attributi a questo oggetto:
+ `cluster_uid`- L'identificatore del cluster di database
+ `db_endpoint`- L'endpoint del database
+ `encryption_details`- I dettagli della crittografia del database
+ `engine`- Il nome del motore di database (ad esempio mysql)
+ `is_encrypted`- Se il database è crittografato
+ `is_iam_authentication`- Se l'autenticazione IAM è abilitata
+ `is_public`- Se il database è accessibile al pubblico
+ `port`- Il numero di porta del database
+ `security_groups`- Array di gruppi di sicurezza VPC associati all'istanza del database
+ `snapshot_details`- I dettagli dell'istantanea del database
+ `status`- Lo stato del database (ad esempio disponibile)
+ `subnet_group`- Un gruppo di sottoreti del database è una raccolta di sottoreti in un VPC
+ `uid_alt`- Amazon Resource Name (ARN) della risorsa
+ `user`- L'utente del database
+ `version`- La versione del database
**Esempio**
```
{
"database": {
"cluster_uid": "SampleDBClusterId",
"engine": "mysql",
"is_iam_authentication": true,
"is_public": false,
"type": "Relational",
"type_id": 1,
"uid": "SampleDBId",
"version": "13.6"
}
}
```
## Cluster di database
Attributi dell'istanza di database, tra cui tipo di motore, endpoint e informazioni sull'utente.
**Requisito**
Facoltativo
**Tipo**
Oggetto
**Stato OCSF**
Novità
L'oggetto del database include i seguenti attributi:
+ `uid`- L'identificatore univoco del cluster di database
+ `uid_alt`- Amazon Resource Name (ARN) della risorsa
+ `name`- Il nome del cluster di database
+ `status`- Lo stato del cluster di database
+ `engine`- Il motore associato al cluster
+ `version`- La versione del cluster di database
+ `cluster_members`- Elenco delle istanze di database che fanno parte del cluster
+ `security_groups`- Matrice di gruppi di sicurezza associati al cluster
+ `is_encrypted`- Se il cluster di database è crittografato
+ `is_iam_authentication`- Se l'autenticazione IAM è abilitata
+ `encryption_details`- I dettagli della crittografia del cluster di database
+ `subnet_group`- Il gruppo di sottoreti associato al cluster
+ `port`- Il numero di porta del cluster di database
+ `zones`- Elenco delle zone di disponibilità
+ `db_endpoint`- L'endpoint del cluster di database
+ `snapshot_details`- Dettagli dell'istantanea del database
**Esempio**
```
{
"db_cluster": {
"uid": "production-aurora-cluster",
"uid_alt": "arn:aws:rds:us-east-1:123456789012:cluster:production-aurora-cluster",
"name": "production-aurora-cluster",
"status": "available",
"engine": "aurora-mysql",
"version": "8.0.mysql_aurora.3.04.0",
"cluster_members": [
"instance-1",
"instance-2"
],
"security_groups": [
{
"uid": "sg-0a1b2c3d4e5f6g7h8",
"name": "db-security-group"
}
],
"is_encrypted": true,
"is_iam_authentication": true,
"encryption_details": {
"key_uid": "arn:aws:kms:us-east-1:123456789012:key/12345678-1234-1234-1234-123456789012"
},
"subnet_group": {
"uid": "production-db-subnet-group"
},
"port": 3306,
"zones": [
"us-east-1a",
"us-east-1b",
"us-east-1c"
],
"db_endpoint": {
"name": "production-aurora-cluster.cluster-abc123xyz.us-east-1.rds.amazonaws.com",
"port": 3306
}
}
}
```
## Funzione cloud
Attributi delle funzioni cloud per funzioni serverless tra cui gestore, livelli e configurazione di runtime.
**Requisito**
Facoltativo
**Tipo**
Oggetto
**Stato OCSF**
Novità
L'oggetto della funzione cloud include i seguenti attributi:
+ `name`- Il nome della funzione cloud
+ `uid`- L'identificatore univoco della funzione cloud
+ `uid_alt`- Amazon Resource Name (ARN) della risorsa
+ `encryption_details`- I dettagli di crittografia della funzione cloud
+ `handler`- Il metodo nel codice funzionale che elabora gli eventi
+ `layers`- L'elenco dei livelli di funzioni cloud che contengono codice o dati supplementari
+ `runtime`- L'ambiente specifico del linguaggio delle funzioni cloud
+ `security_groups`- Matrice di gruppi di sicurezza associati alla funzione cloud
+ `subnet_info_list`- Dettagli sulle sottoreti associate alla funzione cloud
+ `user`- Dettagli sull'entità IAM che concede l'autorizzazione cloud\$1function per accedere ai servizi
+ `version`- La versione della funzione cloud
+ `vpc_uid`- L'identificatore univoco del VPC se la funzione cloud è in un VPC
**Esempio**
```
{
"cloud_function": {
"name": "my-lambda-function",
"uid": "my-lambda-function",
"uid_alt": "arn:aws:lambda:us-east-1:123456789012:function:my-lambda-function",
"handler": "index.handler",
"runtime": "python3.11",
"version": "$LATEST",
"layers": [
{
"name": "my-layer",
"uid_alt": "arn:aws:lambda:us-east-1:123456789012:layer:my-layer:1",
"version": "1"
}
],
"security_groups": [
{
"name": "lambda-security-group",
"uid": "sg-0123456789abcdef0"
}
],
"subnet_info_list": [
{
"uid": "subnet-0a1b2c3d4e5f6g7h8"
}
],
"vpc_uid": "vpc-0ef6045717b0362f6"
}
}
```
## Bucket dati
Bucket S3 o attributi di archiviazione dei dati.
**Requisito**
Facoltativo
**Tipo**
Oggetto
**Stato OCSF**
Aggiunto a. `resource_details` Vedi la definizione dell'oggetto OCSF [Databucket](https://schema.ocsf.io/1.6.0/objects/databucket).
Nota: questo oggetto viene aggiunto a resource\$1details dall'estensione. AWS L'oggetto principale OCSF Databucket viene utilizzato senza attributi aggiuntivi.
**Esempio**
```
{
"databucket": {
"type": "S3",
"type_id": 1,
"uid": "my-bucket-name"
}
}
```
## Immagine
Informazioni sulle immagini per le risorse di calcolo, inclusi dettagli sulla piattaforma e sull'utilizzo.
**Requisito**
Facoltativo
**Tipo**
Oggetto
**Stato OCSF**
Aggiunto a. `resource_details` Vedi la definizione dell'oggetto OCSF [Image](https://schema.ocsf.io/1.6.0/objects/image).
AWS L'estensione aggiunge i seguenti attributi a questo oggetto:
+ `platform`- La piattaforma del sistema operativo dell'immagine
+ `in_use_count`- Numero di risorse che utilizzano questa immagine
**Esempio**
```
{
"image": {
"uid": "ami-0abcdef1234567890",
"uid_alt": "arn:aws:ec2:us-east-1:123456789012:image/ami-0abcdef1234567890",
"name": "my-custom-ami",
"platform": "AMAZON_LINUX_2",
"in_use_count": 2
}
}
```
## Informazioni sulla sottorete
Dettagli sulla sottorete in cui si trova la risorsa.
**Requisito**
Facoltativo
**Tipo**
Oggetto
**Stato OCSF**
Novità
L'oggetto informativo sulla sottorete include i seguenti attributi:
+ `uid`- L'identificatore univoco della sottorete
+ `uid_alt`- Amazon Resource Name (ARN) della risorsa
+ `name`- Il nome della sottorete
+ `zone`- La zona di disponibilità
+ `ip_count`- Il numero di indirizzi IP nella sottorete
+ `cidr_block`- Il blocco CIDR della sottorete
+ `is_default`- Se questa è la sottorete predefinita
+ `is_public`- Se la sottorete è accessibile al pubblico
+ `state`- Lo stato della sottorete
+ `vpc_uid`- L'ID VPC in cui si trova la sottorete
**Esempio**
```
{
"subnet_info": {
"uid": "subnet-0a1b2c3d4e5f6g7h8",
"uid_alt": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0a1b2c3d4e5f6g7h8",
"name": "production-web-subnet-1a",
"zone": "us-east-1a",
"ip_count": 251,
"cidr_block": "10.0.1.0/24",
"is_default": false,
"is_public": true,
"state": "available",
"vpc_uid": "vpc-0123456789abcdef0"
}
}
```
## Utente
Attributi utente IAM, inclusi profili e policy delle istanze.
**Requisito**
Facoltativo
**Tipo**
Oggetto
**Stato OCSF**
Aggiunto a. `resource_details` Vedi la definizione dell'oggetto [utente](https://schema.ocsf.io/1.6.0/objects/user) OCSF.
L'oggetto utente include i seguenti attributi:
+ `instance_profiles`- Elenco di profili di istanza collegati a un'istanza cloud
+ `policies`- Politiche che assegnano autorizzazioni per utenti, gruppi, ruoli e risorse
**Esempio**
```
{
"user": {
"type_id": 1,
"uid": "AIDACKCEVSQ6C2EXAMPLE",
"uid_alt": "arn:aws:iam::123456789012:user/developers/john.doe",
"name": "john.doe",
"type": "User",
"groups": [
{
"name": "Developers"
},
{
"name": "ReadOnlyAccess"
}
],
"policies": [
{
"name": "AmazonS3ReadOnlyAccess"
},
{
"name": "AmazonEC2ReadOnlyAccess"
}
]
}
}
```
# Risultati della copertura in Security Hub
I risultati sulla copertura per Security Hub forniscono visibilità su quali funzionalità di AWS sicurezza sono abilitate e dove potrebbero esserci lacune nella copertura in un account autonomo o tra gli account dei membri di un'organizzazione. I risultati della copertura attualmente supportano la segnalazione di quali servizi e funzionalità sono abilitati per Amazon GuardDuty, Amazon Inspector, Amazon Macie e Security AWS Hub CSPM. Questi esiti vengono visualizzati nel widget Security Coverage sulla dashboard di Security Hub, con la possibilità di accedere a visualizzazioni più dettagliate per funzionalità di sicurezza specifiche.
**Limitazioni**
+ Per gli account dei membri, le informazioni sulla copertura sono aggregate tra i vari account collegati Regioni AWS, ma solo per quell'account membro.
+ Le informazioni sulla copertura non vengono visualizzate per gli account non registrati su Security Hub.
## Risultati della copertura per AWS Security Hub CSPM
I risultati della copertura CSPM di Security Hub valutano se in un account è abilitato uno standard di sicurezza qualificato per la gestione della postura. L'abilitazione di qualsiasi standard CSPM di Security Hub è valida, ad eccezione degli standard Resource AWS Control Tower Tagging.
Possono essere necessarie fino a 24 ore per rilevare gli standard abilitati di default quando si abilita Security Hub CSPM.
## Risultati della copertura per Amazon GuardDuty
GuardDuty i risultati della copertura valutano se GuardDuty è abilitato e quali GuardDuty funzionalità sono abilitate in un Account AWS:
+ GuardDuty Protezione da malware per Amazon EC2 : analizza le EC2 istanze Amazon alla ricerca di potenziali malware
+ GuardDuty Protezione Amazon EKS: monitora i log di controllo di Kubernetes per rilevare eventuali minacce nei cluster Amazon EKS
+ GuardDuty Protezione Lambda: analizza le chiamate alla funzione Lambda per potenziali minacce
+ GuardDuty Protezione Amazon S3: analizza gli eventi relativi ai dati per individuare potenziali minacce ai bucket Amazon S3
+ GuardDuty Protezione Amazon RDS: monitora le minacce ai database Amazon RDS
+ GuardDuty Monitoraggio del runtime: fornisce il monitoraggio in tempo reale del comportamento di runtime nelle EC2 istanze Amazon
+ GuardDuty Foundational Coverage: GuardDuty funzionalità di base che vengono attivate automaticamente quando sono abilitate GuardDuty
**Nota**
Per GuardDuty Foundational Coverage, i risultati di copertura che indicano che la funzione è disattivata significano GuardDuty che non sono abilitati nell'account per la rilevazione della copertura.
Possono essere necessarie fino a 24 ore prima che gli aggiornamenti della GuardDuty copertura si riflettano su tutti gli account dei membri di un'organizzazione.
## Risultati della copertura per Amazon Inspector
I risultati della copertura di Amazon Inspector valutano se Amazon Inspector è abilitato e quali funzionalità sono abilitate in un account:
+ Inspector EC2 Scanning: analizza le istanze EC2 Amazon alla ricerca di vulnerabilità
+ Inspector ECR Scanning: analizza le immagini dei container Amazon ECR alla ricerca di vulnerabilità
+ Inspector Lambda Standard Scanning: analizza le funzioni Lambda alla ricerca di vulnerabilità
+ Inspector Lambda Code Scanning: analizza le funzioni del codice Lambda alla ricerca di vulnerabilità del codice
## Risultati della copertura per Amazon Macie
I risultati della copertura di Macie valutano se Macie è abilitato su: Account AWS
+ Macie Automated Sensitive Data Discovery Coverage: valuta continuamente il tuo patrimonio di dati Amazon S3 alla ricerca di dati sensibili.
Possono essere necessarie fino a 24 ore prima che gli aggiornamenti all'individuazione automatica dei dati sensibili di Macie affinché i risultati sulla copertura si riflettano su tutti gli account membri di un'organizzazione.
## Eliminazione dei risultati della copertura
Per impostazione predefinita, i risultati della copertura di sicurezza valutano quali funzionalità CSPM di Amazon GuardDuty, Amazon Inspector, Amazon Macie e Security AWS Hub sono abilitate per un account e una regione. Se alcune funzionalità di sicurezza non sono applicabili o rappresentano un rischio accettato, puoi utilizzare la funzionalità di soppressione per eliminare i risultati di copertura simili a tutti gli altri risultati. Quando un risultato di copertura viene eliminato, non viene incluso nei calcoli di copertura all'interno del widget di copertura di sicurezza e nel widget viene visualizzato il messaggio «La *copertura per le funzionalità di sicurezza è stata esclusa» tramite i risultati di copertura soppressi*, seguito dal conteggio di quanti risultati sono stati eliminati.
**Per eliminare una rilevazione di copertura in Security Hub**
1. Quando visualizzi il widget di copertura di sicurezza, scegli il link relativo alla **percentuale di copertura**.
1. Dal popup sulla copertura, scegli **Visualizza i risultati della copertura**. Ogni risultato con lo stato **Nuovo** sarà un risultato che delinea un divario di copertura osservato.
1. Fai clic sulla casella di controllo accanto a ogni risultato che desideri eliminare.
1. **Nella parte superiore della pagina, scegli **Aggiorna stato**, quindi scegli Soppresso.**
1. Nella finestra di dialogo **Imposta lo stato su Sospeso**, inserisci facoltativamente una nota che descriva in dettaglio il motivo della modifica dello stato. Quindi scegliete **Imposta** stato.
# Esiti relativi alle esposizioni in Security Hub
Un risultato di esposizione in Security Hub rappresenta la correlazione di più segnali di sicurezza che identificano i potenziali rischi per la sicurezza nell' AWS ambiente in uso. I risultati sull'esposizione aiutano a comprendere e dare priorità ai rischi per la sicurezza analizzando automaticamente le combinazioni di vulnerabilità, configurazioni, minacce e relazioni tra le risorse. Un risultato sull'esposizione include caratteristiche e segnali. Un segnale può includere uno o più tipi di caratteristiche di esposizione. Security Hub genera un risultato di esposizione quando i segnali provenienti da Security Hub CSPM, Amazon Inspector GuardDuty, Macie o AWS altri servizi indicano la presenza di un'esposizione. Una risorsa può essere la risorsa principale in, al massimo, un rilevamento dell'esposizione. Se una risorsa non presenta caratteristiche di esposizione o presenta caratteristiche insufficienti, Security Hub non genera un risultato di esposizione per quella risorsa.
## Come funzionano i risultati dell'esposizione
Security Hub genera risultati sull'esposizione mediante:
+ **Analisi dei segnali provenienti da più servizi AWS di sicurezza**: Security Hub raccoglie e analizza continuamente i segnali di sicurezza da più AWS servizi di sicurezza. Acquisisce i risultati GuardDuty per il rilevamento delle minacce, Amazon Inspector per la valutazione delle vulnerabilità, Security Hub CSPM per i controlli di configurazione e Macie per l'esposizione dei dati sensibili. Questi segnali vengono elaborati tramite motori di correlazione avanzati per identificare potenziali rischi per la sicurezza.
+ **Valutazione delle configurazioni e delle relazioni tra le risorse**: il sistema esegue una valutazione dettagliata delle configurazioni delle risorse rispetto alle migliori pratiche di sicurezza. Esamina le impostazioni specifiche del servizio, i requisiti di conformità e i controlli di sicurezza. Questa analisi aiuta a identificare configurazioni errate che potrebbero portare a vulnerabilità di sicurezza se combinate con altri fattori.
+ **Valutazione della raggiungibilità della rete**: una componente cruciale dei risultati sull'esposizione è la valutazione della raggiungibilità della rete. Il sistema valuta sia l'esposizione a Internet che i percorsi di accesso alla rete interna. Analizza le configurazioni dei gruppi di sicurezza e le impostazioni ACL di rete per determinare i potenziali vettori di attacco. Questa analisi aiuta a identificare le risorse che potrebbero essere inavvertitamente esposte ad accessi non autorizzati.
+ **Correlazione dei problemi di sicurezza correlati**: il motore di correlazione mappa le relazioni tra le AWS risorse, analizzando il modo in cui interagiscono e identificando le potenziali implicazioni per la sicurezza. Esamina le autorizzazioni, i ruoli e i modelli di accesso alle risorse di IAM per comprendere il contesto di sicurezza più ampio. Questo processo aiuta a identificare i rischi per la sicurezza che potrebbero esistere a causa della combinazione di configurazioni individuali apparentemente innocenti.
## Componenti di un rilevamento dell'esposizione
Ciascun risultato dell'esposizione include:
+ **Titolo e descrizione del potenziale rischio per la sicurezza**: ogni risultato di esposizione include un titolo chiaro e descrittivo che illustra immediatamente la natura del rischio per la sicurezza. La descrizione fornisce informazioni dettagliate sul potenziale impatto sulla sicurezza, sulle risorse interessate e sul contesto più ampio dell'esposizione. Queste informazioni aiutano i team addetti alla sicurezza a comprendere e valutare rapidamente il rischio.
+ **Classificazione della gravità (critica, alta, media, bassa)**:
+ **La gravità critica** indica che è necessaria un'attenzione immediata a causa dell'elevata probabilità di exploit e del significativo impatto potenziale. Questi risultati rappresentano in genere vulnerabilità facilmente individuabili e sfruttabili.
+ Un'**elevata severità** suggerisce che è necessaria un'attenzione prioritaria, con una probabilità di exploit da moderata a elevata e un impatto potenziale sostanziale. Questi risultati potrebbero essere relativamente facili da sfruttare, ma potrebbero richiedere condizioni specifiche.
+ Una **severità media** indica che è necessaria un'attenzione programmata, con una minore probabilità di exploit e un impatto potenziale moderato. Questi risultati richiedono in genere metodi di sfruttamento più complessi.
+ Un livello di **severità basso** indica che è necessaria un'attenzione di routine, con un potenziale di exploit limitato e un impatto minore. Questi risultati sono in genere difficili da sfruttare e presentano un rischio minimo.
+ **Caratteristiche che hanno contribuito all'esposizione: le** caratteristiche che contribuiscono rappresentano i fattori principali che hanno portato alla scoperta dell'esposizione. Questi includono vulnerabilità dirette di sicurezza, problemi di configurazione, condizioni di esposizione della rete e impostazioni di autorizzazione delle risorse. Ogni caratteristica fornisce dettagli specifici su come contribuisce al rischio complessivo per la sicurezza.
+ Visualizzazione del **percorso di attacco: la visualizzazione** del percorso di attacco fornisce un diagramma interattivo che mostra come i potenziali aggressori potrebbero sfruttare l'esposizione identificata. Mappa le relazioni tra le risorse, i percorsi di rete e il potenziale flusso di impatto, aiutando i team di sicurezza a comprendere l'intera portata del rischio e a pianificare strategie di riparazione efficaci.
+ **Linee guida dettagliate sulla correzione**: ogni risultato sull'esposizione include linee guida dettagliate sulla correzione con misure specifiche e attuabili per affrontare i rischi identificati. Questa guida include raccomandazioni sulle migliori pratiche, passaggi di correzione della configurazione e azioni prioritarie. La guida è personalizzata in base allo scenario di esposizione specifico e considera i AWS servizi coinvolti.
+ **Dettagli sulla configurazione delle** risorse: configurazione della risorsa al momento della creazione del risultato e configurazione corrente della risorsa nella dashboard dell'inventario delle risorse di Security Hub.
+ **Caratteristiche contestuali che forniscono un contesto di sicurezza aggiuntivo**: le caratteristiche contestuali sono indicatori di sicurezza aggiuntivi che sono stati identificati da Security Hub ma non sono stati utilizzati per creare un risultato di esposizione.
## Classificazione della gravità
I risultati dell'esposizione sono classificati in base a:
+ Facilità di scoperta
+ Facilità di sfruttamento
+ Probabilità di sfruttamento
+ Sensibilizzazione del pubblico
+ Impatto potenziale
Per ulteriori informazioni, vedere [Classificazione della gravità dei risultati sull'esposizione](https://docs.aws.amazon.com/securityhub/latest/userguide/exposure-findings-severity.html).
## Vantaggi dei risultati dell'esposizione
+ **Analisi manuale ridotta grazie alla correlazione automatizzata**: i risultati dell'esposizione riducono significativamente il tempo e l'impegno necessari per l'analisi della sicurezza attraverso la correlazione automatizzata e l'assegnazione intelligente delle priorità dei rischi. Security Hub monitora continuamente l' AWS ambiente, identificando e correlando automaticamente i rischi per la sicurezza che potrebbero essere ignorati attraverso la revisione manuale.
+ **Visualizzazione prioritaria dei rischi per la sicurezza: Security** Hub utilizza sofisticati algoritmi di valutazione del rischio per dare priorità alle esposizioni in base a gravità, impatto, criticità delle risorse e probabilità di exploit. Questo aiuta i team addetti alla sicurezza a concentrare i propri sforzi innanzitutto sui rischi più significativi, migliorando l'efficienza delle operazioni di sicurezza.
## Fonti di rilevazione dell'esposizione
I risultati sull'esposizione comprendono dati provenienti da:
+ ** GuardDuty L'integrazione con Amazon** offre funzionalità di rilevamento continuo delle minacce all'interno dei risultati di esposizione. Monitora attività dannose, potenziali compromissioni degli account e anomalie comportamentali. Il sistema incorpora queste scoperte sulle minacce in un'analisi più ampia dell'esposizione, aiutando a identificare quando le minacce si combinano con altri problemi di sicurezza per creare rischi significativi.
+ **Amazon Inspector** fornisce dati cruciali sulla valutazione delle vulnerabilità ai risultati dell'esposizione. Fornisce informazioni dettagliate sulla raggiungibilità della rete, sulle vulnerabilità del software e sulle violazioni delle best practice di sicurezza. Questa integrazione aiuta a capire come le vulnerabilità potrebbero essere sfruttate attraverso percorsi di attacco identificati.
+ **AWS Security Hub CSPM** garantisce che la conformità della configurazione e gli standard di sicurezza siano presi in considerazione nell'analisi dell'esposizione. Valuta le risorse rispetto ai controlli di sicurezza e alle migliori pratiche consolidati, fornendo una base per comprendere i rischi basati sulla configurazione.
+ **Amazon Macie** migliora i risultati dell'esposizione con funzionalità di individuazione e classificazione dei dati sensibili. Identifica dove sono presenti dati sensibili all'interno dell' AWS ambiente e valuta i potenziali rischi per la privacy, aiutando a comprendere il potenziale impatto delle esposizioni identificate.
## Best practice
+ **Esamina regolarmente i risultati sull'esposizione**: una gestione efficace dell'esposizione richiede processi di revisione strutturati. Le organizzazioni devono implementare revisioni giornaliere delle esposizioni critiche, valutazioni settimanali dello stato di esposizione complessivo, analisi mensili delle tendenze e valutazioni trimestrali del livello di sicurezza. Questo approccio a più livelli garantisce un'attenzione adeguata sia ai rischi immediati che alle tendenze di sicurezza a lungo termine.
+ **Dai priorità alle esposizioni critiche e ad alta gravità: una gestione efficace dell'esposizione dipende** da un'efficace prioritizzazione dei rischi. Le organizzazioni dovrebbero concentrarsi innanzitutto sulle esposizioni critiche, considerando al contempo la criticità delle risorse e l'impatto aziendale. Questo approccio basato sul rischio aiuta a garantire che gli sforzi di sicurezza siano in linea con le priorità aziendali e a massimizzare la riduzione del rischio.
+ **Implementazione delle fasi correttive consigliate**: la correzione dell'esposizione deve seguire un approccio sistematico. Le organizzazioni devono implementare con attenzione le misure correttive consigliate, conservare una documentazione dettagliata delle modifiche, condurre test approfonditi delle modifiche e convalidare l'efficacia delle correzioni implementate. Questo approccio metodico aiuta a garantire un'efficace mitigazione del rischio evitando al contempo conseguenze indesiderate.
+ **Configura le regole di risposta automatizzate**: massimizzare il valore dei risultati dell'esposizione richiede un'automazione efficace. Le organizzazioni devono implementare regole di risposta automatizzate, configurare notifiche appropriate, stabilire flussi di lavoro efficienti e mantenere audit trail completi. Questa automazione aiuta a garantire una risposta coerente e tempestiva alle esposizioni identificate, riducendo al contempo lo sforzo manuale.
# Tipi di risorse supportati per i risultati dell'esposizione in Security Hub
AWS Security Hub genera risultati sull'esposizione per i seguenti tipi di AWS risorse:
+ `AWS::DynamoDB::Table`
+ `AWS::EC2::Instance`
+ `AWS::ECS::Service`
+ `AWS::EKS::Cluster`
+ `AWS::IAM::User`
+ `AWS::Lambda::Function`
+ `AWS::RDS::DBInstance`
+ `AWS::S3::Bucket`
Security Hub genera un rilevamento dell'esposizione per risorsa principale. Se una risorsa non presenta caratteristiche di esposizione o presenta caratteristiche insufficienti, Security Hub non genera un risultato di esposizione per quella risorsa.
# Tipi di caratteristiche supportati in Security Hub
AWS Security Hub genera un risultato di esposizione quando i risultati del controllo CSPM di AWS Security Hub e i risultati generati da altri supporti Servizi AWS, come Amazon Inspector, contengono caratteristiche di esposizione per una risorsa. La tabella seguente fornisce informazioni sui tipi di caratteristiche supportati.
| Tipo di tratto | Description | Origine | Risorse interessate |
| --- | --- | --- | --- |
| Presupponibilità | Indica una risorsa con autorizzazioni fornite AWS Identity and Access Management | Configurazione delle risorse da AWS Config | AWS risorse con AWS Identity and Access Management ruoli associati |
| Configurazione errata | Indica una risorsa configurata in modo errato | AWS Risultati del controllo CSPM di Security Hub, rilevazioni delle GuardDuty minacce Amazon e informazioni sulla conferma delle risorse in. AWS Config | Tutti i tipi di risorse |
| Raggiungibilità | Indica i percorsi di rete aperti verso una risorsa | AWS Risultati del controllo CSPM di Security Hub, rilevazioni delle GuardDuty minacce di Amazon e risultati della raggiungibilità della rete Amazon Inspector. | Istanze Amazon EC2, cluster Amazon EKS, funzioni Lambda e bucket Amazon S3 |
| Dati sensibili | Indica che una risorsa contiene dati sensibili | Rilevamenti di dati sensibili di Macie | Bucket Amazon S3 |
| Vulnerabilità | Indica che una risorsa presenta un punto debole che potrebbe essere sfruttato da una fonte di minaccia. | Rilevamenti di vulnerabilità del pacchetto Amazon Inspector e risultati di malware Amazon Amazon EC2 GuardDuty . | Istanze Amazon EC2, servizi Amazon ECS, cluster Amazon EKS e funzioni Lambda |
Ogni caratteristica può essere associata a più titoli che forniscono dettagli sull'esposizione che influisce sulla risorsa. Ad esempio, potresti vedere il titolo **Exploit Available** per il tratto **Vulnerabilità** nei dettagli di un risultato di esposizione EC2.
# Generazione di risultati sull'esposizione
Security Hub genera risultati sull'esposizione quasi in tempo reale. Man mano che vengono acquisiti nuovi risultati di sicurezza e aggiornati i risultati esistenti, Security Hub genera o aggiorna i risultati sull'esposizione quasi in tempo reale. Security Hub genera un rilevamento dell'esposizione per ID di risorsa.
Se una risorsa non presenta caratteristiche di esposizione o presenta caratteristiche insufficienti, Security Hub non genera un risultato di esposizione per quella risorsa. Security Hub non pubblica i risultati dell'esposizione per tipi di risorse non supportati dai risultati dell'esposizione. Quando una risorsa presenta un numero e una combinazione significativi di caratteristiche, Security Hub genera un risultato di esposizione. Il numero e la combinazione di caratteristiche determinano anche il livello di gravità del risultato dell'esposizione.
# Rilevamento dell'esposizione del campione
AWS Security Hub normalizza i risultati di esposizione nell'Open Cybersecurity Schema Framework (OCSF).
**Rilevamento dell'esposizione a campioni**
Nei seguenti risultati relativi all'esposizione del campione, il `related_events` parametro contiene dettagli esclusivi relativi all'esposizione, come i risultati che contribuiscono all'esposizione. I risultati che contribuiscono sono i tratti e i segnali associati a un dato relativo all'esposizione. Un singolo risultato che contribuisce può includere uno o più tratti. Il `observables` parametro identifica la risorsa associata al risultato che contribuisce. Questo può essere diverso dal `resources` parametro, che identifica la risorsa associata al risultato dell'esposizione.
```
{
"activity_id": 1,
"activity_name": "Create",
"category_name": "Findings",
"category_uid": 2,
"class_name": "Detection Finding",
"class_uid": 2004,
"cloud": {
"account": {
"uid": "123456789012",
"name": "production-application"
},
"cloud_partition": "aws",
"provider": "AWS",
"region": "us-east-1"
},
"finding_info": {
"analytic": {
"name": "Exposure",
"type": "Rule",
"type_id": 1,
"uid": "0.0.1"
},
"created_time_dt": "2024-11-15T21:39:26.337224100Z",
"desc": "Publicly invocable Lambda function executed outside of VPC has vulnerability with known exploit that can be exploited from remote network",
"finding.info.modified_time_dt": "2024-11-15T21:39:26.337224100Z",
"related_events_count": 3,
"related_events": [
{
"tags": [
{
"name": "Vulnerability",
"values": [
"Attack Vector Network",
"EPSS Level >= High",
"EPSS Level >= Medium",
"Exploit Available",
"No Privileges Required",
"No User Interaction Required",
"Vulnerable"
]
}
],
"product": {
"uid": "arn:aws:securityhub:us-east-1::productv2/aws/inspector"
},
"observables": [
{
"type": "Resource UID",
"type_id": 10,
"value": "arn:aws:lambda:us-east-1:123456789012:application-function"
}
],
"type": "Finding",
"title": "CVE-2023-33246 - org.apache.rocketmq:rocketmq-controller",
"uid": "arn:aws:inspector2:us-east-1:123456789012:finding/1234567890abcdef0"
},
{
"tags": [
{
"name": "Reachability",
"values": [
"Publicly Invocable"
]
}
],
"product": {
"uid": "arn:aws:securityhub:us-east-1::productv2/aws/securityhub"
},
"observables": [
{
"type": "Resource UID",
"type_id": 10,
"value": "arn:aws:lambda:us-east-1:123456789012:application-function"
}
],
"type": "Finding",
"title": "Lambda function policies should prohibit public access",
"uid": "arn:aws:securityhub:us-east-1:123456789012:security-control/Lambda.1/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
},
{
"tags": [
{
"name": "Misconfiguration",
"values": [
"Deployed outside VPC"
]
}
],
"product": {
"uid": "arn:aws:securityhub:us-east-1::productv2/aws/securityhub"
},
"observables": [
{
"type": "Resource UID",
"type_id": 10,
"value": "arn:aws:lambda:us-east-1:123456789012:application-function"
}
],
"type": "Finding",
"title": "Lambda functions should be in a VPC",
"uid": "arn:aws:securityhub:us-east-1:123456789012:security-control/Lambda.3/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
],
"title": "Publicly invocable Lambda function executed outside of VPC has vulnerability with known exploit that can be exploited from remote network",
"types": [
"Exposure/Potential Impact/Resource Hijacking"
],
"uid": "arn:aws:securityhub:us-east-1:123456789012:risk:1234f781c7ae7507f01e2fb460f15ca8fe7f9c95e257698a092cb74a4ea84a42"
},
"metadata": {
"product": {
"name": "Security Hub Exposure Analysis",
"uid": "arn:aws:securityhub:us-east-1::productv2/aws/securityhub-risk",
"vendor_name": "Amazon"
},
"processed_time_dt": "2024-11-15T21:39:58.819Z",
"profiles": [
"cloud",
"datetime"
],
"version": "1.4.0-dev"
},
"resources": [
{
"cloud_partition": "aws",
"region": "us-east-1",
"tags": [
{
"name": "aws:cloudformation:stack-name",
"value": "LambdaProdStack"
},
{
"name": "aws:cloudformation:stack-id",
"value": "arn:aws:cloudformation:us-east-1:123456789012:stack/LambdaProdStack/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"
},
{
"name": "aws:cloudformation:logical-id",
"value": "lambdar3function94D10D40"
}
],
"type": "AwsLambdaFunction",
"uid": "arn:aws:lambda:us-east-1:123456789012:application-function"
}
],
"severity": "Critical",
"severity_id": 5,
"status": "New",
"status_id": 1,
"time": 1731706766337,
"time_dt": "2024-11-15T21:39:26.337224100Z",
"type_name": "Detection Finding: Create",
"type_uid": 200401,
"vendor_attributes": {
"severity_id": 5,
"severity": "Critical"
}
}
```
# Determinazione del livello di gravità di un rilevamento dell'esposizione
AWS Security Hub assegna a ogni esposizione rilevando una gravità predefinita di `CRITICAL``HIGH`,`MEDIUM`, o`LOW`. I risultati dell'esposizione con una gravità di `INFORMATIONAL` non vengono pubblicati. Security Hub utilizza diversi fattori per determinare il livello di gravità predefinito di un rilevamento dell'esposizione:
+ **Consapevolezza**: la misura in cui l'esposizione non è teorica, ma presenta exploit disponibili al pubblico o automatizzati. Questo vale per i risultati di esposizione per le istanze EC2 e le funzioni Lambda.
+ **Facilità di rilevamento**: indipendentemente dal fatto che siano disponibili strumenti automatizzati, come la scansione delle porte o la ricerca su Internet, per individuare la risorsa a rischio.
+ **Facilità di sfruttamento**: la facilità con cui un autore di minacce può sfruttare l'esposizione. Ad esempio, se esistono percorsi di rete aperti o metadati configurati in modo errato, un autore della minaccia può sfruttare più facilmente l'esposizione.
+ **Probabilità di sfruttamento: la** probabilità che l'esposizione venga sfruttata nei prossimi 30 giorni. Questo fattore corrisponde all'Exploit Protection Scoring System (EPSS) e si applica ai risultati sull'esposizione per le istanze Amazon EC2 e le funzioni Lambda.
+ **Impatto**: il danno causato dall'esecuzione dell'exploit. Ad esempio, un'esposizione potrebbe portare alla perdita di responsabilità, alla perdita di disponibilità, alla perdita di riservatezza derivante dall'esposizione dei dati o alla perdita di integrità a causa del danneggiamento dei dati.
# Revisione dei risultati dell'esposizione
Puoi esaminare tutti i risultati relativi all'esposizione nella console Security Hub e con l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)API. La pagina **Esposizioni** nella console Security Hub mostra tutti i risultati dell'esposizione attiva. I risultati dell'esposizione sono elencati in ordine decrescente di gravità. Puoi filtrare i risultati dell'esposizione aggiungendo e rimuovendo filtri con la barra di ricerca **Aggiungi filtro**. Puoi raggruppare i risultati dell'esposizione con il menu a discesa **Raggruppa per**. Puoi anche filtrare i risultati dell'esposizione con il menu **Filtri rapidi**.
## Dettagli sui risultati dell'esposizione
È possibile visualizzare molti dettagli relativi ai risultati dell'esposizione. Questi dettagli sono suddivisi tra le schede della console Security Hub. La scheda **Panoramica** fornisce dettagli chiave sul rilevamento dell'esposizione. La scheda **Caratteristiche** elenca le caratteristiche e i segnali associati a un rilevamento dell'esposizione. La scheda **Risorse** fornisce dettagli sulla risorsa e sui tag delle risorse associati a un risultato dell'esposizione. L'elenco seguente fornisce le descrizioni dei dettagli dei risultati relativi all'esposizione.
+ **Titolo del risultato**: il titolo del risultato dell'esposizione.
+ **Livello di gravità**: il livello di gravità del risultato dell'esposizione. Security Hub utilizza il numero e la combinazione di caratteristiche di una risorsa per determinare il livello di gravità di un rilevamento dell'esposizione. Il livello di gravità può essere`CRITICAL`, `HIGH``MEDIUM`, o`LOW`. Security Hub non pubblica risultati sull'esposizione con una gravità di`INFORMATIONAL`. È possibile aggiornarlo `Severity` tramite la console Security Hub o con l'operazione [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindingsV2.html)API.
+ **Descrizione**: la descrizione dei risultati relativi all'esposizione.
+ **Tipo**: il nome del tipo di rilevamento dell'esposizione. Ad esempio, il nome potrebbe essere simile a. `Exposure/Potential Impact/Resource Hijacking`
+ **Account**: l'ID del Account AWS luogo in cui è stato generato il risultato dell'esposizione.
+ **Età**: indica da quanto tempo il risultato dell'esposizione è attivo.
+ **Ora di creazione**: un timestamp che indica quando è stato creato il risultato dell'esposizione.
+ **Ora modificata**: un timestamp che indica quando il risultato dell'esposizione è stato aggiornato l'ultima volta.
+ **Regione**: il Regione AWS luogo in cui è stato generato il risultato dell'esposizione.
+ **Nome del prodotto**: il nome del prodotto che ha generato il risultato dell'esposizione. Questo sarà sempre **Security Hub Exposure Detection**.
+ **Nome dell'azienda**: il nome della società che ha generato il risultato sull'esposizione. Così sarà sempre **AWS**.
+ **Nome dell'attività**: il nome dell'ultima attività eseguita rispetto al risultato.
+ **Stato**: lo stato di questo risultato sull'esposizione.
+ **Finding ID**: un identificatore univoco associato al risultato dell'esposizione.
+ **Percorso di attacco potenziale (solo console)**: una visualizzazione interattiva che mostra come i potenziali aggressori possono accedere e assumere il controllo delle risorse associate a un rilevamento dell'esposizione. Per ulteriori informazioni, consulta [Visualizzazione delle esposizioni in Security Hub con il grafico del percorso del potenziale attacco](potential-attack-path-graph.md).
+ **Caratteristiche**: identifica i tipi di caratteristiche e i titoli delle caratteristiche associati al risultato dell'esposizione. Nella console Security Hub, puoi visualizzare le caratteristiche per tipo di caratteristica o segnale. Ciò consente di analizzare i risultati che contribuiscono al contesto della relativa esposizione.
+ **Correzione**: collegamenti alla documentazione di correzione specifica per le caratteristiche identificate nell'esposizione.
+ **Risorse**: identifica la risorsa associata alla rilevazione dell'esposizione.
# Revisione dei dettagli relativi ai risultati dell'esposizione
Questo argomento descrive come esaminare i dettagli sui risultati dell'esposizione nella console AWS Security Hub e con l'API.
## Esame dei dettagli relativi a un rilevamento dell'esposizione nella console Security Hub
**Per visualizzare i dettagli di un rilevamento dell'esposizione nella console Security Hub**
1. Accedi utilizzando le tue credenziali e apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home]( https://console.aws.amazon.com/securityhub/v2/home).
1. **Dal pannello di navigazione, scegli Esposizioni.**
1. Scegliete un'esposizione di cui desiderate visualizzare i dettagli.
## Analisi dei dettagli relativi a un risultato dell'esposizione con l'API
Puoi esaminare i risultati dell'esposizione con l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)API o con AWS CLI. Puoi filtrare tutti i risultati dell'esposizione con il `metadata.product.feature.uid` campo con il `security-hub/Exposure` valore. Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html).
**Esempio di comando**
Di seguito è riportato un AWS CLI esempio che recupera i 10 risultati di esposizione generati più di recente nel tuo account. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
aws securityhub get-findings-v2 \
--max-results '10' \
--filter '{"CompositeFilters": [{"StringFilters": [{"FieldName":"metadata.product.feature.uid","Filter": {"Value":"security-hub/Exposure","Comparison":"EQUALS"}} ]}]}'
```
# Visualizzazione delle esposizioni in Security Hub con il grafico del percorso del potenziale attacco
Il grafico del percorso di attacco potenziale è una visualizzazione interattiva che mostra come i potenziali aggressori possono accedere e assumere il controllo delle risorse associate a un rilevamento dell'esposizione. È possibile accedere a questo grafico solo nella console Security Hub e dalla pagina **Esposizioni**. Quando si visualizzano i dettagli di un risultato di esposizione, la scheda **Panoramica** include una sezione chiamata Percorso **potenziale di attacco**.
In questa sezione della scheda **Panoramica**, puoi scegliere e trascinare AWS le risorse nel grafico del potenziale percorso di attacco. Puoi concentrarti su aree specifiche del grafico del percorso di attacco con le icone di ingrandimento e riduzione. Puoi espandere il grafico del percorso di attacco attivando e disattivando la modalità a schermo intero tramite l'icona a schermo intero. La legenda codifica la risorsa principale, la risorsa coinvolta e il conteggio delle caratteristiche che contribuiscono per colore e mostra le categorie di caratteristiche e il numero di tratti nel grafico del percorso di attacco. È possibile visualizzare i dettagli di una risorsa selezionando una risorsa e selezionando **Visualizza** i dettagli della risorsa. Puoi anche copiare l'ID e il Account AWS numero associati a una risorsa. I risultati dell'esposizione con una caratteristica di raggiungibilità mostrano la rete Internet pubblica e il percorso di rete compresso nel grafico del percorso di attacco. È possibile visualizzare questi dettagli scegliendo il nodo del percorso di rete compresso.
# Correzione dei risultati relativi all'esposizione
Gli argomenti di questa sezione descrivono le fasi di correzione dei risultati dell'esposizione in diversi settori. Servizi AWS
Il `Remediation` campo del [formato OCSF](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-ocsf-findings.html) contiene due campi: e. `remediation` `references`
```
"Remediation": {
"Recommendation": {
"remediation":{"desc":"String",
"references":["string array"]}
}
},
```
**Nota**
Le linee guida sulla riparazione fornite nelle sezioni seguenti potrebbero richiedere ulteriori consultazioni in altre risorse. AWS
# Correzione delle esposizioni per le tabelle DynamoDB
AWS Security Hub può generare risultati di esposizione per le tabelle DynamoDB.
**Nella console Security Hub, la tabella DynamoDB coinvolta in un rilevamento dell'esposizione e le relative informazioni identificative sono elencate nella sezione Risorse dei dettagli del risultato.** A livello di codice, è possibile recuperare i dettagli delle risorse con il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)funzionamento dell'API CSPM Security Hub.
Dopo aver identificato la risorsa coinvolta in un rilevamento dell'esposizione, puoi eliminare la risorsa se non ti serve. L'eliminazione di una risorsa non essenziale può ridurre il profilo di esposizione e AWS i costi. Se la risorsa è essenziale, segui questi passaggi correttivi consigliati per mitigare il rischio. Gli argomenti relativi alla correzione sono suddivisi in base al tipo di caratteristica.
Un singolo risultato sull'esposizione contiene i problemi identificati in diversi argomenti relativi alla correzione. Al contrario, è possibile risolvere un problema di esposizione e ridurne il livello di gravità affrontando un solo argomento di correzione. L'approccio alla risoluzione dei rischi dipende dai requisiti organizzativi e dai carichi di lavoro.
**Nota**
Le linee guida sulla correzione fornite in questo argomento potrebbero richiedere ulteriori consultazioni in altre risorse. AWS
**Contents**
+ [Caratteristiche di errata configurazione in DynamoDB](#misconfiguration)
+ [La tabella DynamoDB ha il ripristino disabilitato point-in-time](#point-in-time-recovery-disabled)
+ [La tabella DynamoDB non è coperta da un piano di backup](#backup-plan-disabled)
+ [La tabella DynamoDB ha la protezione da eliminazione disattivata](#deletion-protection-disabled)
## Caratteristiche di errata configurazione in DynamoDB
Di seguito vengono descritte le caratteristiche di configurazione errata e i passaggi di correzione per le tabelle DynamoDB.
### La tabella DynamoDB ha il ripristino disabilitato point-in-time
**Abilita il ripristino DynamoDB point-in-time**
Il ripristino point-in-time DynamoDB fornisce backup automatici continui per i dati delle tabelle DynamoDB. *Per informazioni su come ripristinare una tabella DynamoDB in un point-in-time, consulta [Restoring a DynamoDB table to a point-in-time nella Amazon DynamoDB User](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.Tutorial.html) Guide.*
### La tabella DynamoDB non è coperta da un piano di backup
AWS Backup fornisce un servizio centralizzato per configurare, gestire e automatizzare i backup su tutti i AWS servizi, incluso DynamoDB. Senza un piano di backup, la tabella non dispone di backup programmati e automatizzati con periodi di conservazione personalizzabili, il che crea rischi significativi per la sicurezza. Un utente malintenzionato potrebbe danneggiare o eliminare intenzionalmente i dati della tabella. Senza backup adeguati, è possibile che non sia disponibile alcuna opzione di ripristino oltre alla finestra di Point-in-Time ripristino (se abilitata), con il rischio di una perdita permanente dei dati. Seguendo le migliori pratiche di protezione dei dati, consigliamo di coprire le tabelle DynamoDB con un piano di backup.
**Crea un piano di backup**
Prima di creare un piano di backup, stabilisci la frequenza di backup e i periodi di conservazione appropriati per i tuoi dati. Per informazioni su come creare un piano di backup, consulta [Assegnare risorse a un piano di backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) nella *Amazon DynamoDB User* Guide.
### La tabella DynamoDB ha la protezione da eliminazione disattivata
La protezione da eliminazione impedisce l'eliminazione accidentale delle tabelle DynamoDB. Quando la protezione da eliminazione è disabilitata, le tabelle DynamoDB sono vulnerabili all'eliminazione involontaria tramite azioni della console, chiamate API, comandi CLI o processi automatizzati. Ciò può esporre AWS l'ambiente alla perdita di dati, in quanto un'entità non autorizzata con accesso all' AWS ambiente potrebbe eliminare intenzionalmente le tabelle, con conseguenti interruzioni del servizio e perdita permanente dei dati. Seguendo le migliori pratiche di protezione dei dati, consigliamo di abilitare la protezione dei dati per le tabelle DynamoDB.
**Enable deletion protection (Abilita protezione da eliminazione)**
Se gestisci più tabelle, prendi in considerazione l'utilizzo CloudFormation per aggiornare le proprietà delle tabelle in blocco. Puoi modificare i CloudFormation modelli per includere `DeletionProtectionEnabled` proprietà e aggiornare gli stack. **Dopo aver completato la riparazione, verifica che la protezione da eliminazione sia abilitata nel menu a discesa Informazioni **aggiuntive** nella scheda Impostazioni della tabella.**
# Riparazione delle esposizioni per le istanze EC2
AWS Security Hub può generare risultati sull'esposizione per le istanze Amazon Elastic Compute Cloud (EC2).
Sulla console Security Hub, l'istanza EC2 coinvolta in un rilevamento dell'esposizione e le relative informazioni identificative sono elencate nella sezione **Risorse** dei dettagli del risultato. A livello di codice, è possibile recuperare i dettagli delle risorse con il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)funzionamento dell'API CSPM Security Hub.
Dopo aver identificato la risorsa coinvolta in un rilevamento dell'esposizione, puoi eliminare la risorsa se non ti serve. L'eliminazione di una risorsa non essenziale può ridurre il profilo di esposizione e AWS i costi. Se la risorsa è essenziale, segui questi passaggi correttivi consigliati per mitigare il rischio. Gli argomenti relativi alla correzione sono suddivisi in base al tipo di caratteristica.
Un singolo risultato sull'esposizione contiene i problemi identificati in diversi argomenti relativi alla correzione. Al contrario, è possibile risolvere un problema di esposizione e ridurne il livello di gravità affrontando un solo argomento di correzione. L'approccio alla risoluzione dei rischi dipende dai requisiti organizzativi e dai carichi di lavoro.
**Nota**
Le linee guida sulla correzione fornite in questo argomento potrebbero richiedere ulteriori consultazioni in altre risorse. AWS
**Contents**
+ [Caratteristiche di errata configurazione per le istanze EC2](#misconfiguration)
+ [L'istanza EC2 consente l'accesso a IMDS utilizzando la versione 1](#metadata-misconfiguration)
+ [Il ruolo IAM associato all'istanza Amazon EC2 ha una politica di accesso amministrativo](#administrative-access-policy)
+ [Il ruolo IAM associato all'istanza Amazon EC2 ha una politica di amministrazione del servizio](#service-admin-policy)
+ [L'istanza Amazon EC2 ha un gruppo di sicurezza o un ACL di rete che consente l'accesso SSH o RDP.](#remote-access-allowed)
+ [L'istanza Amazon EC2 ha un gruppo di sicurezza aperto](#open-security-group)
+ [Caratteristiche di raggiungibilità per le istanze EC2](#reachability)
+ [L'istanza EC2 è raggiungibile tramite Internet](#internet-reachable)
+ [Caratteristiche di vulnerabilità per le istanze EC2](#vulnerability)
+ [L'istanza EC2 presenta vulnerabilità software sfruttabili in rete con un'alta probabilità di sfruttamento](#high-priority-vulnerability)
+ [L'istanza Amazon EC2 presenta vulnerabilità software](#low-priority-vulnerability)
+ [L'istanza EC2 ha un sistema operativo End-Of-Life](#end-of-life-operating-system-detected)
+ [L'istanza EC2 contiene pacchetti software dannosi](#malicious-package)
+ [L'istanza EC2 contiene file dannosi](#malicious-file)
## Caratteristiche di errata configurazione per le istanze EC2
Ecco le caratteristiche di configurazione errata per le istanze EC2 e le procedure di correzione suggerite.
### L'istanza EC2 consente l'accesso a IMDS utilizzando la versione 1
I metadati dell'istanza sono dati sull'istanza Amazon EC2 che le applicazioni possono utilizzare per configurare o gestire l'istanza in esecuzione. Il servizio di metadati dell'istanza (IMDS) è un componente dell'istanza utilizzato dal codice sull'istanza per accedere in modo sicuro ai metadati dell'istanza. Se l'IMDS non è adeguatamente protetto, può diventare un potenziale vettore di attacco, in quanto fornisce l'accesso a credenziali temporanee e ad altri dati di configurazione sensibili. IMDSv2 fornisce una maggiore protezione contro lo sfruttamento attraverso l'autenticazione orientata alla sessione, richiedendo un token di sessione per le richieste di metadati e limitando la durata della sessione. Seguendo i principi di sicurezza standard, AWS consiglia di configurare le istanze Amazon EC2 per l'uso IMDSv2 e la disabilitazione. IMDSv1
**Verifica la compatibilità delle applicazioni**
Prima dell'implementazione IMDSv2, verifica l'istanza per verificarne la compatibilità con IMDSv2. Alcune applicazioni o script potrebbero richiedere funzionalità IMDSv1 di base e una configurazione aggiuntiva. Per ulteriori informazioni sugli strumenti e sui percorsi consigliati per testare la compatibilità delle applicazioni, consulta la [Transizione all'utilizzo di Instance Metadata Service versione 2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html) nella *Amazon Elastic Compute Cloud User Guide*.
**Aggiorna l'istanza da usare IMDSv2**
Modifica le istanze esistenti da utilizzare IMDSv2. Per ulteriori informazioni, consulta [Modificare le opzioni dei metadati delle istanze per le istanze esistenti](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-IMDS-existing-instances.html) nella *Amazon Elastic Compute Cloud User Guide*.
**Applica aggiornamenti alle istanze in un gruppo di Auto Scaling**
Se l'istanza fa parte di un gruppo Auto Scaling, aggiorna il modello di lancio o la configurazione di avvio con una nuova configurazione ed esegui un aggiornamento dell'istanza.
### Il ruolo IAM associato all'istanza Amazon EC2 ha una politica di accesso amministrativo
Le politiche di accesso amministrativo forniscono alle istanze Amazon EC2 ampie autorizzazioni e risorse. Servizi AWS Queste politiche in genere includono autorizzazioni non richieste, ad esempio per alcune funzionalità. Fornire un'identità IAM con una politica di accesso amministrativo su un'istanza Amazon EC2 (anziché il set minimo di autorizzazioni richiesto dal ruolo associato al profilo dell'istanza) può aumentare la portata di un attacco se l'istanza Amazon EC2 viene compromessa. Se un'istanza viene compromessa, gli aggressori potrebbero utilizzare queste autorizzazioni eccessive per spostarsi lateralmente all'interno dell'ambiente, accedere ai dati o manipolare le risorse. Seguendo i principi di sicurezza standard, ti consigliamo di concedere i privilegi minimi, il che significa che concedi solo le autorizzazioni necessarie per eseguire un'attività.
**Rivedi e identifica le politiche amministrative**
Nella dashboard IAM, trova il ruolo con il nome del ruolo. Rivedi la politica di autorizzazione allegata al ruolo IAM. Se la policy è una policy AWS gestita, cerca `AdministratorAccess` o`IAMFullAccess`. Altrimenti, nel documento sulla politica, cerca le dichiarazioni con `"Effect": "Allow", "Action": "*"` e`"Resource": "*"`.
**Implementazione dell'accesso con privilegi minimi**
Sostituisci le politiche amministrative con politiche che concedono solo le autorizzazioni specifiche necessarie per il funzionamento dell'istanza. *Per ulteriori informazioni sulle best practice di sicurezza per i ruoli IAM, consulta [Applica le autorizzazioni con privilegi minimi in Security best practice in the](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) User Guide.AWS Identity and Access Management * Per identificare le autorizzazioni non necessarie, puoi utilizzare IAM Access Analyzer per capire come modificare la tua policy in base alla cronologia degli accessi. *Per ulteriori informazioni, consulta [Findings for external and inused access](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html) nella Guida per l'AWS Identity and Access Management utente.* In alternativa, puoi creare un nuovo ruolo IAM per evitare di influire su altre applicazioni che utilizzano il ruolo esistente. In questo scenario, crea un nuovo ruolo IAM, quindi associa il nuovo ruolo IAM all'istanza. Per istruzioni su come sostituire un ruolo IAM per un'istanza, consulta [Collegare un ruolo IAM a un'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/attach-iam-role.html) nella *Amazon Elastic Compute Cloud User Guide*.
**Considerazioni sulla configurazione sicura**
Se per l'istanza sono necessarie autorizzazioni amministrative a livello di servizio, prendi in considerazione l'implementazione di questi controlli di sicurezza aggiuntivi per mitigare i rischi:
+ **Considerazioni sulla configurazione sicura**
+ **Autenticazione a più fattori (MFA)**: l'MFA aggiunge un ulteriore livello di sicurezza richiedendo una forma di autenticazione aggiuntiva. Questo aiuta a prevenire l'accesso non autorizzato anche se le credenziali sono compromesse. Per ulteriori informazioni, consulta [Richiedere l'autenticazione a più fattori (MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users)) nella Guida per *AWS Identity and Access Management l'*utente.
+ **Condizioni IAM**: la configurazione degli elementi delle condizioni consente di limitare quando e come le autorizzazioni amministrative possono essere utilizzate in base a fattori come l'IP di origine o l'età della MFA. Per ulteriori informazioni, consulta [Usa le condizioni nelle politiche IAM per limitare ulteriormente l'accesso nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) l'*AWS Identity and Access Management utente*.
+ **Limiti delle autorizzazioni**: i limiti delle autorizzazioni stabiliscono le autorizzazioni massime che un ruolo può avere, fornendo barriere per i ruoli con accesso amministrativo. *Per ulteriori informazioni, consulta [Utilizzare i limiti delle autorizzazioni per delegare la gestione delle autorizzazioni all'interno di un account nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-permissions-boundaries) l'utente.AWS Identity and Access Management *
**Applica gli aggiornamenti alle istanze in un gruppo con scalabilità automatica**
Per le istanze Amazon EC2 in un gruppo di AWS auto scaling, aggiorna il modello di avvio o la configurazione di avvio con il nuovo profilo di istanza ed esegui un aggiornamento dell'istanza. Per informazioni sull'aggiornamento di un modello di lancio, consulta [Modificare un modello di lancio (gestire le versioni dei modelli di lancio)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html) nella *Amazon Elastic Compute Cloud User Guide*. Per ulteriori informazioni, consulta [Utilizzare un aggiornamento dell'istanza per aggiornare le istanze in un gruppo di Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/asg-instance-refresh.html). Per ulteriori informazioni sull'utilizzo dei ruoli IAM con i gruppi Auto Scaling, consulta il [ruolo IAM per le applicazioni eseguite su istanze Amazon EC2 nella Amazon](https://docs.aws.amazon.com/autoscaling/ec2/userguide/us-iam-role.html) EC2 *Auto Scaling* User Guide.
### Il ruolo IAM associato all'istanza Amazon EC2 ha una politica di amministrazione del servizio
Le policy di accesso ai servizi forniscono alle istanze Amazon EC2 ampie autorizzazioni per AWS servizi e risorse. Queste politiche in genere includono autorizzazioni che non sono richieste, ad esempio per quanto riguarda la funzionalità. Fornire un'identità IAM con una politica di accesso amministrativo su un'istanza Amazon EC2 anziché il set minimo di autorizzazioni richiesto dal ruolo associato al profilo dell'istanza può aumentare la portata di un attacco se un'istanza viene compromessa. Seguendo i principi di sicurezza standard, ti consigliamo di concedere i privilegi minimi, il che significa che concedi solo le autorizzazioni necessarie per eseguire un'attività.
**Rivedi e identifica le politiche amministrative**
Nella dashboard IAM, trova il ruolo con il nome del ruolo. Rivedi la politica di autorizzazione allegata al ruolo IAM. Se la policy è una policy AWS gestita, cerca `AdministratorAccess` o`IAMFullAccess`. Altrimenti, nel documento sulla politica, cerca le dichiarazioni con `"Effect": "Allow", "Action": "*"` e`"Resource": "*"`.
**Implementazione dell'accesso con privilegi minimi**
Sostituisci le politiche di amministrazione del servizio con quelle che concedono solo le autorizzazioni specifiche necessarie per il funzionamento dell'istanza. *Per ulteriori informazioni sulle best practice di sicurezza per i ruoli IAM, consulta [Applica le autorizzazioni con privilegi minimi in Security best practice in the](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) User Guide.AWS Identity and Access Management * Per identificare le autorizzazioni non necessarie, puoi utilizzare IAM Access Analyzer per capire come modificare la tua policy in base alla cronologia degli accessi. *Per ulteriori informazioni, consulta [Findings for external and inused access](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html) nella Guida per l'AWS Identity and Access Management utente.* In alternativa, puoi creare un nuovo ruolo IAM per evitare di influire su altre applicazioni che utilizzano il ruolo esistente. In questo scenario, crea un nuovo ruolo IAM, quindi associa il nuovo ruolo IAM all'istanza. Per informazioni sulla sostituzione di un ruolo IAM per un'istanza, consulta [Collegare un ruolo IAM a un'istanza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/attach-iam-role.html) nella *Amazon Elastic Compute Cloud User Guide*
**Considerazioni sulla configurazione sicura**
Se per l'istanza sono necessarie autorizzazioni amministrative a livello di servizio, prendi in considerazione l'implementazione di questi controlli di sicurezza aggiuntivi per mitigare i rischi:
**Considerazioni sulla configurazione sicura**
Se per l'istanza sono necessarie autorizzazioni amministrative a livello di servizio, prendi in considerazione l'implementazione di questi controlli di sicurezza aggiuntivi per mitigare i rischi:
+ **Autenticazione a più fattori (MFA)**: l'MFA aggiunge un ulteriore livello di sicurezza richiedendo una forma di autenticazione aggiuntiva. Questo aiuta a prevenire l'accesso non autorizzato anche se le credenziali sono compromesse. Per ulteriori informazioni, consulta [Richiedere l'autenticazione a più fattori (MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users)) nella Guida per *AWS Identity and Access Management l'*utente.
+ **Condizioni IAM**: l'impostazione degli elementi delle condizioni consente di limitare quando e come le autorizzazioni amministrative possono essere utilizzate in base a fattori come l'IP di origine o l'età dell'MFA. Per ulteriori informazioni, consulta [Usa le condizioni nelle politiche IAM per limitare ulteriormente l'accesso nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) l'*AWS Identity and Access Management utente*.
+ **Limiti delle autorizzazioni**: i limiti delle autorizzazioni stabiliscono le autorizzazioni massime che un ruolo può avere, fornendo barriere per i ruoli con accesso amministrativo. *Per ulteriori informazioni, consulta [Utilizzare i limiti delle autorizzazioni per delegare la gestione delle autorizzazioni all'interno di un account nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-permissions-boundaries) l'utente.AWS Identity and Access Management *
**Applica gli aggiornamenti alle istanze nel gruppo Auto Scaling**
Per le istanze Amazon EC2 in un gruppo di AWS auto scaling, aggiorna il modello di avvio o la configurazione di avvio con il nuovo profilo di istanza ed esegui un aggiornamento dell'istanza. Per informazioni sull'aggiornamento di un modello di lancio, consulta [Modificare un modello di lancio (gestire le versioni dei modelli di lancio)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/manage-launch-template-versions.html) nella *Amazon Elastic Compute Cloud User Guide*. Per ulteriori informazioni, consulta [Utilizzare un aggiornamento dell'istanza per aggiornare le istanze in un gruppo di Auto Scaling](https://docs.aws.amazon.com/autoscaling/ec2/userguide/asg-instance-refresh.html). Per ulteriori informazioni sull'utilizzo dei ruoli IAM con i gruppi Auto Scaling, consulta il [ruolo IAM per le applicazioni eseguite su istanze Amazon EC2 nella Amazon](https://docs.aws.amazon.com/autoscaling/ec2/userguide/us-iam-role.html) EC2 *Auto Scaling* User Guide.
### L'istanza Amazon EC2 ha un gruppo di sicurezza o un ACL di rete che consente l'accesso SSH o RDP.
I protocolli di accesso remoto come SSH e RDP consentono agli utenti di connettersi e gestire istanze Amazon EC2 da postazioni esterne. Quando i gruppi di sicurezza consentono l'accesso illimitato a questi protocolli da Internet, aumentano la superficie di attacco delle istanze Amazon EC2 consentendo l'accesso a Internet all'istanza. Seguendo i principi di sicurezza standard, AWS consiglia di limitare l'accesso remoto a intervalli o indirizzi IP specifici e affidabili.
1. **Modifica le regole dei gruppi di sicurezza**
Limita l'accesso alle tue istanze Amazon EC2 a indirizzi IP affidabili specifici. Limita l'accesso SSH e RDP a specifici indirizzi IP affidabili o usa la notazione CIDR per specificare gli intervalli IP (ad esempio, 198.168.1.0/24). Per modificare le regole dei gruppi di sicurezza, consulta [Configura le regole dei gruppi di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html#add-remove-security-group-rules) nella *Amazon Elastic Compute Cloud User Guide*.
### L'istanza Amazon EC2 ha un gruppo di sicurezza aperto
I gruppi di sicurezza fungono da firewall virtuali per le istanze Amazon EC2 per controllare il traffico in entrata e in uscita. I gruppi di sicurezza aperti, che consentono l'accesso illimitato da qualsiasi indirizzo IP, possono esporre le istanze ad accessi non autorizzati. Seguendo i principi di sicurezza standard, AWS consiglia di limitare l'accesso dei gruppi di sicurezza a indirizzi IP e porte specifici.
**Rivedi le regole del gruppo di sicurezza e valuta la configurazione corrente**
Valuta quali porte sono aperte e accessibili da ampi intervalli IP, ad esempio`(0.0.0.0/0 or ::/0)`. Per istruzioni sulla visualizzazione dei dettagli dei gruppi di sicurezza, consulta [DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html)il *Porting Assistant for .NET API Reference*.
**Modifica le regole del gruppo di sicurezza**
Modifica le regole del gruppo di sicurezza per limitare l'accesso a intervalli o indirizzi IP affidabili specifici. Quando aggiorni le regole del gruppo di sicurezza, prendi in considerazione la possibilità di separare i requisiti di accesso per i diversi segmenti di rete creando regole per ogni intervallo IP di origine richiesto o limitando l'accesso a porte specifiche. Per modificare le regole dei gruppi di sicurezza, consulta [Configura le regole dei gruppi di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html#add-remove-security-group-rules) nella Guida per l'*utente di Amazon EC2*.
## Caratteristiche di raggiungibilità per le istanze EC2
Di seguito sono riportati i tratti di raggiungibilità per le istanze EC2 e le procedure di correzione suggerite.
### L'istanza EC2 è raggiungibile tramite Internet
Le istanze Amazon EC2 con porte raggiungibili da Internet tramite un gateway Internet (incluse le istanze basate su Application Load Balancer o Classic Load Balancer), una connessione peering VPC o un gateway virtuale VPN possono esporre l'istanza a Internet. Seguendo i principi di sicurezza standard, consigliamo di implementare controlli di accesso alla rete con privilegi minimi limitando il traffico in entrata solo alle fonti e alle porte necessarie.
**Modifica o rimuovi le regole dei gruppi di sicurezza**
Nella scheda **Risorse**, apri la risorsa per il gruppo di sicurezza Amazon EC2. Verifica se è necessario l'accesso a Internet per il funzionamento dell'istanza. Modifica o rimuovi le regole dei gruppi di sicurezza in entrata che consentono l'accesso illimitato (`0.0.0.0/0`o`::/0`). Implementa regole più restrittive basate su intervalli IP o gruppi di sicurezza specifici. Se è necessario un accesso pubblico limitato, limita l'accesso a porte e protocolli specifici necessari per la funzione dell'istanza. Per istruzioni sulla gestione delle regole dei gruppi di sicurezza, consulta [Configura le regole dei gruppi di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html#add-remove-security-group-rules) nella Guida per l'*utente di Amazon EC2*.
**Aggiorna rete ACLs**
Rivedi e modifica gli elenchi di controllo degli accessi alla rete (ACLs) associati alla sottorete dell'istanza. Verificate che le impostazioni ACL siano in linea con le modifiche del gruppo di sicurezza e non consentano involontariamente l'accesso pubblico. Per istruzioni su come modificare la rete ACLs, consulta [Work with network ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/nacl-tasks.html) nella *Amazon VPC* User Guide.
**Metodi di accesso alternativi**
Considerate le seguenti opzioni per metodi di accesso alternativi:
+ **Usa NAT Gateway per la connettività Internet in uscita**: per esempio in sottoreti private che richiedono l'accesso a Internet (ad esempio, per scaricare gli aggiornamenti), prendi in considerazione l'utilizzo di un gateway NAT anziché assegnare un indirizzo IP pubblico. Un gateway NAT consente alle istanze in sottoreti private di avviare connessioni in uscita a Internet impedendo al contempo le connessioni in entrata da Internet.
+ **Usa Systems Manager Session Manager**: Session Manager fornisce un accesso sicuro alla shell alle istanze Amazon EC2 senza la necessità di porte in ingresso, gestione di chiavi SSH o manutenzione di host bastion.
+ **Usa WAF ed Elastic Load Balancing o Application Load Balancer**: per le istanze che eseguono applicazioni Web, prendi in considerazione l'utilizzo di un LB AWS combinato con Web Application Firewall (WAF). LBs può essere configurato per consentire l'esecuzione delle istanze in sottoreti private mentre LB viene eseguito in una sottorete pubblica e gestisce il traffico Internet. L'aggiunta di un WAF al sistema di bilanciamento del carico offre una protezione aggiuntiva contro gli exploit Web e i bot.
## Caratteristiche di vulnerabilità per le istanze EC2
Di seguito sono riportati i tratti di vulnerabilità delle istanze EC2 e le procedure di correzione suggerite.
### L'istanza EC2 presenta vulnerabilità software sfruttabili in rete con un'alta probabilità di sfruttamento
I pacchetti software installati sulle istanze EC2 possono essere esposti a vulnerabilità ed esposizioni comuni (). CVEs I rischi critici CVEs comportano rischi significativi per la sicurezza dell'ambiente. AWS I responsabili non autorizzati possono sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi. Le vulnerabilità critiche con un'elevata probabilità di sfruttamento rappresentano minacce immediate alla sicurezza, poiché il codice di exploit potrebbe già essere disponibile al pubblico e utilizzato attivamente dagli aggressori o dagli strumenti di scansione automatizzati. Ti consigliamo di correggere queste vulnerabilità per proteggere la tua istanza.
**Aggiorna le istanze interessate**
Consultate la sezione **Riferimenti** nella scheda **Vulnerabilità** della caratteristica. La documentazione del fornitore può includere indicazioni specifiche sulla correzione. Segui la correzione appropriata utilizzando queste linee guida generali:
Usa Systems Manager Patch Manager per applicare le patch sia per i sistemi operativi che per le applicazioni. Patch Manager consente di selezionare e distribuire automaticamente le patch del sistema operativo e del software su grandi gruppi di istanze. Se non hai configurato Patch Manager, aggiorna manualmente il sistema operativo su ogni istanza interessata.
Aggiorna le applicazioni interessate alle versioni sicure più recenti seguendo le procedure consigliate dal fornitore. Per gestire gli aggiornamenti delle applicazioni su più istanze, prendete in considerazione l'utilizzo di Systems Manager State Manager per mantenere il software in uno stato coerente. Se gli aggiornamenti non sono disponibili, prendete in considerazione la possibilità di rimuovere o disabilitare l'applicazione vulnerabile fino al rilascio di una patch o di adottare altre misure di mitigazione, come la limitazione dell'accesso di rete all'applicazione o la disabilitazione delle funzionalità vulnerabili.
Segui i consigli di riparazione specifici forniti nei risultati di Amazon Inspector. Ciò potrebbe comportare la modifica delle regole dei gruppi di sicurezza, la modifica delle configurazioni delle istanze o la regolazione delle impostazioni dell'applicazione.
Controlla se l'istanza fa parte di Auto Scaling Group. L'applicazione di patch sostitutive alle AMI viene eseguita su infrastrutture immutabili aggiornando l'ID AMI configurato per distribuire nuove istanze Amazon EC2 in un gruppo di Auto Scaling. Se utilizzi un' custom/golden AMI, crea un'istanza con la nuova AMI, quindi personalizza l'istanza e crea una nuova AMI dorata. Per ulteriori informazioni, vedi Applicazione delle [patch agli aggiornamenti AMI (utilizzo di patched AMIs per i gruppi di Auto Scaling](https://docs.aws.amazon.com/managedservices/latest/userguide/patching-method-immutable.html)).
**Considerazioni future**
Per prevenire situazioni future, prendi in considerazione l'implementazione di un programma di gestione delle vulnerabilità. Amazon Inspector può essere configurato per eseguire automaticamente la scansione delle CVEs istanze. Amazon Inspector può anche essere integrato con Security Hub per le riparazioni automatiche. Prendi in considerazione l'implementazione di una pianificazione regolare delle patch utilizzando Systems Manager Maintenance Windows per ridurre al minimo le interruzioni delle istanze.
### L'istanza Amazon EC2 presenta vulnerabilità software
I pacchetti software installati sulle istanze Amazon EC2 possono essere esposti a vulnerabilità ed esposizioni comuni (). CVEs I punti deboli non critici CVEs rappresentano punti deboli di sicurezza con gravità o sfruttabilità inferiori rispetto a quelli critici. CVEs Sebbene queste vulnerabilità rappresentino un rischio meno immediato, gli aggressori possono comunque sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi. Seguendo le best practice di sicurezza, AWS consiglia di correggere queste vulnerabilità per proteggere l'istanza dagli attacchi.
**Aggiorna le istanze interessate**
Usa AWS Systems Manager Patch Manager per applicare le patch ai sistemi operativi. Patch Manager consente di selezionare e distribuire automaticamente le patch del sistema operativo e del software su grandi gruppi di istanze. Se non hai configurato Patch Manager, aggiorna manualmente il sistema operativo su ogni istanza interessata.
Aggiorna le applicazioni interessate alle versioni sicure più recenti seguendo le procedure consigliate dal fornitore. Per gestire gli aggiornamenti delle applicazioni su più istanze, prendi in considerazione l'utilizzo di AWS Systems Manager State Manager per mantenere il software in uno stato coerente. Se gli aggiornamenti non sono disponibili, prendete in considerazione la possibilità di rimuovere o disabilitare l'applicazione vulnerabile fino al rilascio di una patch o di adottare altre misure di mitigazione, come la limitazione dell'accesso di rete all'applicazione o la disabilitazione delle funzionalità vulnerabili.
Segui i consigli di riparazione specifici forniti nei risultati di Amazon Inspector. Ciò potrebbe comportare la modifica delle regole dei gruppi di sicurezza, la modifica delle configurazioni delle istanze o la regolazione delle impostazioni dell'applicazione.
Controlla se l'istanza fa parte di Auto Scaling Group. L'applicazione di patch sostitutive alle AMI viene eseguita su infrastrutture immutabili aggiornando l'ID AMI configurato per distribuire nuove istanze Amazon EC2 in un gruppo di Auto Scaling. Se utilizzi un' custom/golden AMI, crea un'istanza con la nuova AMI, quindi personalizza l'istanza e crea una nuova AMI dorata. Per ulteriori informazioni, vedi Applicazione delle [patch agli aggiornamenti AMI (utilizzo di patched AMIs per i gruppi di Auto Scaling](https://docs.aws.amazon.com/managedservices/latest/userguide/patching-method-immutable.html)).
**Considerazioni future**
Per prevenire situazioni future, prendi in considerazione l'implementazione di un programma di gestione delle vulnerabilità. Amazon Inspector può essere configurato per eseguire automaticamente la scansione delle CVEs istanze. Amazon Inspector può anche essere integrato con Security Hub per le riparazioni automatiche. Prendi in considerazione l'implementazione di una pianificazione regolare delle patch utilizzando Systems Manager Maintenance Windows per ridurre al minimo le interruzioni delle istanze.
### L'istanza EC2 ha un sistema operativo End-Of-Life
L'istanza EC2 esegue un sistema end-of-life operativo che non è più supportato o gestito dallo sviluppatore originale. Ciò espone l'istanza a vulnerabilità di sicurezza e potenziali attacchi. Quando i sistemi operativi arrivano end-of-life, i fornitori in genere smettono di rilasciare nuovi avvisi di sicurezza. Gli avvisi di sicurezza esistenti possono anche essere rimossi dai feed dei fornitori. Di conseguenza, Amazon Inspector potrebbe potenzialmente smettere di generare risultati noti CVEs, creando ulteriori lacune nella copertura di sicurezza.
Consulta [i sistemi operativi fuori produzione](https://docs.aws.amazon.com/inspector/latest/user/supported.html#formerly-supported-os) nella *Amazon Inspector User* Guide per informazioni sui sistemi operativi che hanno raggiunto la fine del ciclo di vita che possono essere rilevati da Amazon Inspector.
**Aggiornamento a una versione del sistema operativo supportata**
Si consiglia l'aggiornamento a una versione supportata del sistema operativo. Nel rilevamento dell'esposizione, aprite la risorsa per accedere alla risorsa interessata. Prima di aggiornare la versione del sistema operativo sulla tua istanza, consulta le versioni disponibili in [Supported Operating Systems](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os) nella *Amazon Inspector User Guide* per un elenco delle versioni del sistema operativo attualmente supportate.
### L'istanza EC2 contiene pacchetti software dannosi
I pacchetti dannosi sono componenti software che contengono codice dannoso progettato per compromettere la riservatezza, l'integrità e la disponibilità dei sistemi e dei dati. I pacchetti dannosi rappresentano una minaccia attiva e critica per l'istanza, in quanto gli aggressori possono eseguire codice dannoso automaticamente senza sfruttare una vulnerabilità. Seguendo le best practice di sicurezza, AWS consiglia di rimuovere i pacchetti dannosi per proteggere l'istanza da potenziali attacchi.
**Rimuovi i pacchetti dannosi**
Esamina i dettagli del pacchetto dannoso nella sezione **Riferimenti** della scheda **Vulnerabilità** della caratteristica per comprendere la minaccia. Rimuovi i pacchetti dannosi identificati utilizzando il gestore di pacchetti appropriato. Per un esempio, consulta [lo strumento di gestione dei pacchetti](https://docs.aws.amazon.com/linux/al2023/ug/package-management.html) nella *Guida per l'utente di Amazon Linux 2023*. Dopo aver rimosso i pacchetti dannosi, valuta la possibilità di eseguire una scansione per verificare che tutti i pacchetti che potrebbero essere stati installati dal codice dannoso siano stati rimossi. Per ulteriori informazioni, consulta [Avvio della scansione del malware su richiesta GuardDuty in](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-getting-started-on-demand-scan.html). **
### L'istanza EC2 contiene file dannosi
I file dannosi contengono codice dannoso progettato per compromettere la riservatezza, l'integrità e la disponibilità dei sistemi e dei dati. I file dannosi rappresentano una minaccia attiva e critica per l'istanza, in quanto gli aggressori possono eseguire codice dannoso automaticamente senza sfruttare una vulnerabilità. Seguendo le best practice di sicurezza, AWS ti consigliamo di rimuovere i file dannosi per proteggere l'istanza da potenziali attacchi.
**Rimuovi i file dannosi**
Per identificare lo specifico volume Amazon Elastic Block Store (Amazon EBS) che contiene file dannosi, consulta la sezione Risorse **dei dettagli** relativi alla scoperta della caratteristica. Una volta identificato il volume con il file dannoso, rimuovi i file dannosi identificati. Dopo aver rimosso i file dannosi, valuta la possibilità di eseguire una scansione per verificare che tutti i file che potrebbero essere stati installati dal file dannoso siano stati rimossi. Per ulteriori informazioni, consulta [Avvio della scansione antimalware su richiesta GuardDuty in](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-getting-started-on-demand-scan.html). **
# Correzione delle esposizioni per i servizi Amazon ECS
AWS Security Hub può generare risultati sull'esposizione per i servizi Amazon Elastic Container Service (Amazon ECS).
Il servizio Amazon ECS coinvolto in un rilevamento dell'esposizione e le relative informazioni identificative sono elencati nella sezione **Risorse** dei dettagli del risultato. È possibile recuperare questi dettagli delle risorse sulla console di Security Hub o a livello di codice con il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)funzionamento dell'API CSPM di Security Hub.
Dopo aver identificato la risorsa coinvolta in un rilevamento dell'esposizione, puoi eliminare la risorsa se non ti serve. L'eliminazione di una risorsa non essenziale può ridurre il profilo di esposizione e AWS i costi. Se la risorsa è essenziale, segui questi passaggi correttivi consigliati per mitigare il rischio. Gli argomenti relativi alla correzione sono suddivisi in base al tipo di caratteristica.
Un singolo risultato sull'esposizione contiene i problemi identificati in diversi argomenti relativi alla correzione. Al contrario, è possibile risolvere un problema di esposizione e ridurne il livello di gravità affrontando un solo argomento di correzione. L'approccio alla risoluzione dei rischi dipende dai requisiti organizzativi e dai carichi di lavoro.
**Nota**
Le linee guida sulla correzione fornite in questo argomento potrebbero richiedere ulteriori consultazioni in altre risorse. AWS
**Contents**
+ [Caratteristiche di configurazione errate per i servizi Amazon ECS](#ecs-service-misconfiguration)
+ [Il servizio Amazon ECS utilizza una definizione di attività che consente ai contenitori di accedere ai file system root.](#root-access-to-filesystem)
+ [Il servizio Amazon ECS utilizza una definizione di attività configurata per condividere lo spazio dei nomi di processo di un host.](#exposed-namespace)
+ [Il servizio Amazon ECS utilizza una definizione di attività configurata con credenziali in chiaro nelle variabili di ambiente.](#cleartext-credentials-present)
+ [Il servizio Amazon ECS ha un gruppo di sicurezza aperto](#open-security-group)
+ [Il servizio Amazon ECS dispone di indirizzi IP pubblici](#public-ip-assigned)
+ [Il servizio Amazon ECS utilizza una definizione di attività configurata con la modalità di rete host abilitata.](#host-networking-mode-enabled)
+ [Il ruolo IAM associato al servizio Amazon ECS ha una politica di accesso amministrativo.](#administrative-access-policy)
+ [Il ruolo IAM associato al servizio ECS ha una policy di amministrazione del servizio](#service-admin-policy)
+ [Caratteristiche di vulnerabilità per i servizi Amazon ECS](#vulnerability)
+ [Il servizio Amazon ECS dispone di un contenitore con vulnerabilità software sfruttabili in rete con un'elevata probabilità di sfruttamento](#high-priority-vulnerability)
+ [Il servizio Amazon ECS dispone di un contenitore con vulnerabilità software](#low-priority-vulnerability)
+ [Il servizio Amazon ECS dispone di un contenitore con un End-Of-Life sistema operativo](#end-of-life-operating-system-detected)
+ [Il servizio Amazon ECS dispone di un contenitore con pacchetti software dannosi](#malicious-package)
## Caratteristiche di configurazione errate per i servizi Amazon ECS
Di seguito sono riportate le caratteristiche di errata configurazione dei servizi Amazon ECS e le procedure di correzione suggerite.
### Il servizio Amazon ECS utilizza una definizione di attività che consente ai contenitori di accedere ai file system root.
I contenitori Amazon ECS con accesso al filesystem root dell'host possono potenzialmente leggere, modificare o eseguire file critici sul sistema host. Questa configurazione aumenta il rischio che un contenitore compromesso possa essere utilizzato per accedere o modificare risorse al di fuori dell'ambito previsto, esponendo potenzialmente dati sensibili sul file system host. Seguendo i principi di sicurezza standard, si AWS consiglia di concedere i privilegi minimi, il che significa che si concedono solo le autorizzazioni necessarie per eseguire un'attività.
**Rivedi e modifica i contenitori con accesso al file system host**
Nel rilevamento dell'esposizione, identificare l'ARN della definizione dell'attività. Apri la definizione dell'attività nella console Amazon ECS. Cerca la sezione dei volumi nella definizione dell'attività che definisce le mappature dei percorsi degli host. Esamina la definizione dell'attività per determinare se l'accesso al file system host è necessario per la funzionalità del contenitore. Se non è richiesto l'accesso al file system host, create una nuova revisione della definizione del task e rimuovete tutte le definizioni di volume che utilizzano percorsi host. Se è richiesto l'accesso al file system host, prendete in considerazione la possibilità di configurare il contenitore per utilizzare un file system di sola lettura per evitare modifiche non autorizzate.
### Il servizio Amazon ECS utilizza una definizione di attività configurata per condividere lo spazio dei nomi di processo di un host.
I contenitori Amazon ECS in esecuzione con namespace esposti possono potenzialmente accedere alle risorse del sistema host e ad altri namespace di container. Questa configurazione potrebbe consentire a un contenitore compromesso di superare il limite di isolamento, il che potrebbe portare all'accesso a processi, interfacce di rete o altre risorse al di fuori dell'ambito previsto. Uno spazio dei nomi PID (Process ID) fornisce la separazione tra i processi. Impedisce la visibilità dei processi di sistema e ne consente PIDs il riutilizzo, incluso il PID 1. Se lo spazio dei nomi PID dell'host è condiviso con i contenitori, consentirebbe ai contenitori di visualizzare tutti i processi sul sistema host. Ciò riduce i vantaggi dell'isolamento a livello di processo tra l'host e i contenitori. Questi fattori potrebbero portare all'accesso non autorizzato ai processi sull'host stesso, inclusa la possibilità di manipolarli e terminarli. Seguendo i principi di sicurezza standard, AWS consiglia di mantenere un adeguato isolamento dello spazio dei nomi per i contenitori.
**Aggiorna le definizioni delle attività con namespace esposti**
Apri la scheda **Risorse** dell'esposizione, identifica la definizione dell'attività con lo spazio dei nomi esposto. Apri la definizione dell'attività nella console Amazon ECS. Cerca le impostazioni PIDMode con il valore host, che condividerebbe i namespace degli ID del processo con l'host. Rimuovi le impostazioni di PidMode: host dalle definizioni delle attività per garantire che i contenitori funzionino con il corretto isolamento dello spazio dei nomi.
### Il servizio Amazon ECS utilizza una definizione di attività configurata con credenziali in chiaro nelle variabili di ambiente.
I contenitori Amazon ECS con credenziali in chiaro nelle variabili di ambiente espongono informazioni di autenticazione sensibili che potrebbero essere compromesse se un utente malintenzionato accede alla definizione dell'attività, all'ambiente del contenitore o ai log del contenitore. Ciò crea un rischio significativo per la sicurezza, poiché le credenziali trapelate potrebbero essere utilizzate per accedere ad altri servizi o risorse. AWS
**Sostituisci le credenziali in chiaro**
Nel rilevamento dell'esposizione, identificate la definizione dell'attività con credenziali in chiaro. Apri la definizione dell'attività nella console Amazon ECS. Cerca le variabili di ambiente nella definizione del contenitore che contengono valori sensibili come chiavi di AWS accesso, password del database o token API.
Considerate le seguenti alternative per passare le credenziali:
+ Invece di utilizzare le chiavi di AWS accesso, utilizza i ruoli di esecuzione delle attività e i ruoli di attività IAM per concedere le autorizzazioni ai contenitori.
+ Memorizza le credenziali come segreti Gestione dei segreti AWS e fai riferimento ad esse nella definizione dell'attività.
**Aggiornare le definizioni dell'attività**
Crea una nuova revisione della definizione dell'attività che gestisca in modo sicuro le credenziali. Quindi aggiorna il tuo servizio Amazon ECS per utilizzare la nuova revisione della definizione delle attività.
### Il servizio Amazon ECS ha un gruppo di sicurezza aperto
I gruppi di sicurezza fungono da firewall virtuali per le attività di Amazon ECS volte a controllare il traffico in entrata e in uscita. I gruppi di sicurezza aperti, che consentono l'accesso illimitato da qualsiasi indirizzo IP, possono esporre i contenitori ad accessi non autorizzati, aumentando il rischio di esposizione a strumenti di scansione automatizzati e attacchi mirati. Seguendo i principi di sicurezza standard, AWS consiglia di limitare l'accesso dei gruppi di sicurezza a indirizzi IP e porte specifici.
**Rivedi le regole del gruppo di sicurezza e valuta la configurazione corrente**
Apri la risorsa per Amazon ECS Security Group. Valuta quali porte sono aperte e accessibili da ampi intervalli di indirizzi IP, ad esempio`(0.0.0.0/0 or ::/0)`.
**Modifica le regole del gruppo di sicurezza**
Modifica le regole del gruppo di sicurezza per limitare l'accesso a intervalli o indirizzi IP affidabili specifici. Quando aggiorni le regole del gruppo di sicurezza, prendi in considerazione la possibilità di separare i requisiti di accesso per i diversi segmenti di rete creando regole per ogni intervallo IP di origine richiesto o limitando l'accesso a porte specifiche.
**Modifica le regole dei gruppi di sicurezza**
Considerate le seguenti opzioni per metodi di accesso alternativi:
+ Session Manager fornisce un accesso sicuro alla shell alle istanze Amazon EC2 senza la necessità di porte in ingresso, gestione di chiavi SSH o manutenzione di host bastion.
+ NACLs forniscono un ulteriore livello di sicurezza a livello di sottorete. A differenza dei gruppi di sicurezza, NACLs sono prive di stato e richiedono la definizione esplicita di regole in entrata e in uscita.
### Il servizio Amazon ECS dispone di indirizzi IP pubblici
I servizi Amazon ECS con indirizzi IP pubblici assegnati alle loro attività sono accessibili direttamente da Internet. Sebbene ciò possa essere necessario per servizi che devono essere disponibili al pubblico, aumenta la superficie di attacco e il potenziale di accesso non autorizzato.
**Identifica i servizi con indirizzi IP pubblici**
Nel rilevamento dell'esposizione, identifica il servizio Amazon ECS a cui sono assegnati indirizzi IP pubblici alle sue attività. Cerca l'`assignPublicIp`impostazione con il valore di `ENABLED` nella configurazione del servizio.
**Aggiornare le definizioni dell'attività**
Crea una nuova revisione della definizione dell'attività che disabiliti gli indirizzi IP pubblici. Quindi aggiorna il tuo servizio Amazon ECS per utilizzare la nuova revisione della definizione delle attività.
**Implementa modelli di accesso alla rete privata**
Per le istanze che eseguono applicazioni Web, prendi in considerazione l'utilizzo di un Load Balancer (LB). LBs può essere configurato per consentire l'esecuzione delle istanze in sottoreti private mentre LB viene eseguito in una sottorete pubblica e gestisce il traffico Internet.
### Il servizio Amazon ECS utilizza una definizione di attività configurata con la modalità di rete host abilitata.
I contenitori Amazon ECS in esecuzione con la modalità di rete host condividono lo spazio dei nomi di rete con l'host, consentendo l'accesso diretto alle interfacce di rete, alle porte e alle tabelle di routing dell'host. Questa configurazione aggira l'isolamento di rete fornito dai container, esponendo potenzialmente i servizi in esecuzione sul contenitore direttamente alle reti esterne e consentendo ai contenitori di modificare le impostazioni della rete host. Seguendo i principi di sicurezza standard, AWS consiglia di mantenere un adeguato isolamento di rete per i contenitori.
**Disattiva la modalità di rete dell'host**
Nel rilevamento dell'esposizione, identifica la definizione dell'attività con la modalità di rete host. Apri la definizione dell'attività nella console Amazon ECS. Cerca l'impostazione NetworkMode con il valore host nella definizione dell'attività.
Considerate le seguenti opzioni per disabilitare la modalità di rete host:
+ La modalità `awsvpc` di rete offre il massimo livello di isolamento della rete assegnando a ciascuna attività la propria elastic network interface.
+ La modalità `bridge` di rete fornisce l'isolamento e consente al contempo la mappatura delle porte per esporre specifiche porte container all'host.
**Aggiornare le definizioni dell'attività**
Crea una nuova revisione della definizione dell'attività con la configurazione della modalità di rete aggiornata. Quindi aggiorna il tuo servizio Amazon ECS per utilizzare la nuova revisione della definizione delle attività.
### Il ruolo IAM associato al servizio Amazon ECS ha una politica di accesso amministrativo.
I ruoli IAM con politiche di accesso amministrativo collegate alle attività di Amazon ECS forniscono autorizzazioni ampie che superano quelle normalmente richieste per il funzionamento dei container. Questa configurazione aumenta il rischio che un contenitore compromesso possa essere utilizzato per accedere o modificare le risorse in tutto l'ambiente. AWS Seguendo i principi di sicurezza standard, AWS consiglia di implementare l'accesso con privilegi minimi concedendo solo le autorizzazioni necessarie per il funzionamento di un'attività.
**Rivedi e identifica le politiche amministrative**
Nel **Resource ID**, identifica il nome del ruolo IAM. Vai alla dashboard IAM e seleziona il ruolo identificato. Rivedi la politica di autorizzazione allegata al ruolo IAM. Se la policy è una policy AWS gestita, cerca`AdministratorAccess`. Altrimenti, nel documento sulla politica, cerca le dichiarazioni che contengono le dichiarazioni `"Effect": "Allow", "Action": "*", and "Resource": "*"` insieme.
**Implementazione dell'accesso con privilegi minimi**
Sostituite le politiche amministrative con quelle che concedono solo le autorizzazioni specifiche necessarie per il funzionamento dell'istanza. Per identificare le autorizzazioni non necessarie, puoi utilizzare IAM Access Analyzer per capire come modificare la tua policy in base alla cronologia degli accessi. In alternativa, puoi creare un nuovo ruolo IAM per evitare di influire su altre applicazioni che utilizzano il ruolo esistente. In questo scenario, crea un nuovo ruolo IAM, quindi associa il nuovo ruolo IAM all'istanza.
**Considerazioni sulla configurazione sicura**
Se per l'istanza sono necessarie autorizzazioni amministrative a livello di servizio, prendi in considerazione l'implementazione di questi controlli di sicurezza aggiuntivi per mitigare i rischi:
+ L'MFA aggiunge un ulteriore livello di sicurezza richiedendo una forma di autenticazione aggiuntiva. Questo aiuta a prevenire l'accesso non autorizzato anche se le credenziali sono compromesse.
+ La configurazione degli elementi delle condizioni consente di limitare quando e come le autorizzazioni amministrative possono essere utilizzate in base a fattori come l'IP di origine o l'età della MFA.
**Aggiornare le definizioni dell'attività**
Crea una nuova revisione della definizione del task che faccia riferimento ai ruoli IAM nuovi o aggiornati. Quindi aggiorna il tuo servizio Amazon ECS per utilizzare la nuova revisione della definizione delle attività.
### Il ruolo IAM associato al servizio ECS ha una policy di amministrazione del servizio
Le policy di amministrazione dei servizi forniscono alle attività e ai servizi di Amazon ECS le autorizzazioni per eseguire tutte le azioni all'interno di servizi specifici AWS . Queste politiche includono in genere le autorizzazioni necessarie per la funzionalità delle attività di Amazon ECS. Fornire un ruolo IAM con una policy di amministrazione del servizio per le attività di Amazon ECS, anziché il set minimo di autorizzazioni necessarie, può aumentare la portata di un attacco se un container viene compromesso. Seguendo i principi di sicurezza standard, AWS consiglia di concedere i privilegi minimi, il che significa concedere solo le autorizzazioni necessarie per eseguire un'attività.
**Rivedi e identifica le politiche amministrative**
Nel **Resource ID**, identifica il ruolo dell'attività di Amazon ECS e i nomi dei ruoli di esecuzione. Vai alla [dashboard IAM](https://console.aws.amazon.com/iam/home/#roles) e seleziona i ruoli identificati. Rivedi le politiche di autorizzazione associate a questi ruoli IAM. Cerca le dichiarazioni politiche che garantiscono l'accesso completo ai servizi (ad esempio,`"s3": "*", "ecr": "*"`). Per istruzioni sulla modifica delle policy IAM, consulta [Modifica delle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html#edit-policy-details) nella *IAM User Guide*.
**Implementazione dell'accesso con privilegi minimi**
Sostituisci le politiche di amministrazione del servizio con quelle che concedono solo le autorizzazioni specifiche necessarie per il funzionamento delle attività di Amazon ECS. Per identificare le autorizzazioni non necessarie, puoi utilizzare IAM Access Analyzer per capire come modificare la tua policy in base alla cronologia degli accessi. In alternativa, puoi creare un nuovo ruolo IAM per evitare di influire su altre applicazioni che utilizzano il ruolo esistente. In questo scenario, crea un nuovo ruolo IAM, quindi associa il nuovo ruolo IAM all'istanza.
**Considerazioni sulla configurazione sicura**
Se sono necessarie autorizzazioni amministrative a livello di servizio per le attività di Amazon ECS, valuta la possibilità di implementare questi controlli di sicurezza aggiuntivi:
+ **Condizioni IAM**: configura gli elementi delle condizioni per limitare quando e come le autorizzazioni amministrative possono essere utilizzate in base a fattori come endpoint VPC o cluster Amazon ECS specifici. *Per ulteriori informazioni, consulta [Utilizzare le condizioni nelle politiche IAM per limitare ulteriormente l'accesso nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) l'utente IAM.*
+ **Limiti di autorizzazione**: stabilisci le autorizzazioni massime che un ruolo può avere, fornendo barriere per i ruoli con accesso amministrativo. *Per ulteriori informazioni, consulta [Utilizzare i limiti delle autorizzazioni per delegare la gestione delle autorizzazioni all'interno di un account](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-permissions-boundaries) nella Guida per l'utente IAM.*
**Aggiornare le definizioni dell'attività**
Crea una nuova revisione della definizione del task che faccia riferimento ai ruoli IAM nuovi o aggiornati. Quindi aggiorna il tuo servizio Amazon ECS per utilizzare la nuova revisione della definizione delle attività.
## Caratteristiche di vulnerabilità per i servizi Amazon ECS
Di seguito sono riportati i tratti di vulnerabilità per Amazon ECS e le procedure di correzione suggerite.
### Il servizio Amazon ECS dispone di un contenitore con vulnerabilità software sfruttabili in rete con un'elevata probabilità di sfruttamento
1. **Comprendi l'esposizione**
I risultati delle vulnerabilità dei pacchetti identificano i pacchetti software presenti AWS nell'ambiente che sono esposti a vulnerabilità ed esposizioni comuni (). CVEs Gli aggressori possono sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi. Le immagini dei contenitori ECR possono contenere rilevazioni di vulnerabilità dei pacchetti.
1. **Correggi l'esposizione**
1. **Aggiorna la versione del pacchetto**
Esamina la rilevazione della vulnerabilità del pacchetto per l'immagine del tuo contenitore ECR. Aggiorna la versione del pacchetto come suggerito da Amazon Inspector. Per ulteriori informazioni, consulta [Visualizzazione dei dettagli relativi ai risultati di Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-details.html) nella Amazon *Inspector User Guide*. La sezione **Remediation** dei dettagli di ricerca nella console Amazon Inspector indica quali comandi è possibile eseguire per aggiornare il pacchetto.
1. **Aggiorna le immagini dei contenitori di base**
Ricostruisci e aggiorna regolarmente le immagini dei contenitori di base per mantenerli aggiornati. Quando ricostruisci un'immagine, non includere componenti non necessari per ridurre la superficie di attacco. Per istruzioni su come ricostruire l'immagine di un contenitore, consulta [Ricostruire spesso le](https://docs.docker.com/build/building/best-practices/#rebuild-your-images-often) immagini.
### Il servizio Amazon ECS dispone di un contenitore con vulnerabilità software
I pacchetti software installati sui contenitori Amazon ECS possono essere esposti a vulnerabilità ed esposizioni comuni (). CVEs Le vulnerabilità a bassa priorità rappresentano punti deboli di sicurezza con gravità o sfruttabilità inferiori rispetto alle vulnerabilità ad alta priorità. Sebbene queste vulnerabilità rappresentino un rischio meno immediato, gli aggressori possono comunque sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi.
**Aggiorna le immagini dei container interessati**
Consultate la sezione **Riferimenti** nella scheda **Vulnerabilità** della caratteristica. La documentazione del fornitore può includere linee guida specifiche per la correzione.
Applica la riparazione appropriata seguendo queste linee guida generali:
+ Aggiorna le immagini dei contenitori per utilizzare le versioni con patch dei pacchetti interessati.
+ Aggiorna le dipendenze interessate nell'applicazione alle versioni sicure più recenti.
Dopo aver aggiornato l'immagine del contenitore, inseriscila nel registro dei contenitori e aggiorna la definizione dell'attività Amazon ECS per utilizzare la nuova immagine.
**Considerazioni future**
Per rafforzare ulteriormente il livello di sicurezza delle immagini dei container, prendi in considerazione l'idea di seguire le best practice di Amazon ECS per le attività e la sicurezza dei container. Amazon Inspector può essere configurato per eseguire la scansione automatica dei CVEs contenitori. Amazon Inspector può anche essere integrato con Security Hub per le riparazioni automatiche. Prendi in considerazione l'implementazione di un programma di patch regolare utilizzando Systems Manager Maintenance Windows per ridurre al minimo le interruzioni dei container.
### Il servizio Amazon ECS dispone di un contenitore con un End-Of-Life sistema operativo
Il contenitore Amazon ECS si basa su un sistema end-of-life operativo che non è più supportato o gestito dallo sviluppatore originale. Ciò espone il contenitore a vulnerabilità di sicurezza e potenziali attacchi. Quando i sistemi operativi arrivano end-of-life, i fornitori in genere smettono di rilasciare nuovi avvisi di sicurezza. Gli avvisi di sicurezza esistenti possono anche essere rimossi dai feed dei fornitori. Di conseguenza, Amazon Inspector potrebbe potenzialmente smettere di generare risultati noti CVEs, creando ulteriori lacune nella copertura di sicurezza.
Consulta [i sistemi operativi fuori produzione](https://docs.aws.amazon.com/inspector/latest/user/supported.html#formerly-supported-os) nella *Amazon Inspector User* Guide per informazioni sui sistemi operativi che hanno raggiunto la fine del ciclo di vita che possono essere rilevati da Amazon Inspector.
**Esegui l'aggiornamento a una versione del sistema operativo supportata**
Si consiglia l'aggiornamento a una versione supportata del sistema operativo. Nel rilevamento dell'esposizione, aprite la risorsa per accedere alla risorsa interessata. Prima di aggiornare la versione del sistema operativo nell'immagine del contenitore, consulta le versioni disponibili in [Supported Operating Systems](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os) nella *Amazon Inspector User Guide* per un elenco delle versioni del sistema operativo attualmente supportate. Dopo aver aggiornato l'immagine del contenitore, inseriscila nel registro dei contenitori e aggiorna la definizione dell'attività Amazon ECS per utilizzare la nuova immagine.
### Il servizio Amazon ECS dispone di un contenitore con pacchetti software dannosi
I pacchetti dannosi sono componenti software che contengono codice dannoso progettato per compromettere la riservatezza, l'integrità e la disponibilità dei sistemi e dei dati. I pacchetti dannosi rappresentano una minaccia attiva e critica per le immagini dei container Amazon ECS, poiché gli aggressori possono eseguire codice dannoso automaticamente senza sfruttare una vulnerabilità. Seguendo le migliori pratiche di sicurezza, AWS consiglia di rimuovere i pacchetti dannosi per proteggere i contenitori da potenziali attacchi.
**Rimuovi i pacchetti dannosi**
Esamina i dettagli del pacchetto dannoso nella sezione **Riferimenti** della scheda **Vulnerabilità** della caratteristica per comprendere la minaccia. Rimuovi i pacchetti dannosi identificati dalle immagini del contenitore, quindi ricostruiscili. Per ulteriori informazioni, consulta [ContainerDependency](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_ContainerDependency.html) nel *AWS Riferimento sull’API di Amazon ECS*. Dopo aver aggiornato l'immagine del contenitore, inseriscila nel registro dei contenitori e aggiorna la definizione dell'attività Amazon ECS per utilizzare la nuova immagine. Per ulteriori informazioni, consulta la sezione [Aggiornamento di una definizione di attività Amazon ECS utilizzando la console](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition-console-v2.html) nella *AWS Amazon ECS Developer Guide.*
# Correzione delle esposizioni per i cluster Amazon EKS
AWS Security Hub può generare risultati di esposizione per i cluster Amazon Elastic Kubernetes Service (Amazon EKS).
Il cluster Amazon EKS coinvolto in un rilevamento dell'esposizione e le relative informazioni identificative sono elencati nella sezione **Risorse** dei dettagli del risultato. È possibile recuperare questi dettagli delle risorse sulla console di Security Hub o a livello di codice con il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)funzionamento dell'API CSPM di Security Hub.
Dopo aver identificato la risorsa coinvolta in un rilevamento dell'esposizione, puoi eliminare la risorsa se non ti serve. L'eliminazione di una risorsa non essenziale può ridurre il profilo di esposizione e AWS i costi. Se la risorsa è essenziale, segui questi passaggi correttivi consigliati per mitigare il rischio. Gli argomenti relativi alla correzione sono suddivisi in base al tipo di caratteristica.
Un singolo risultato sull'esposizione contiene i problemi identificati in diversi argomenti relativi alla correzione. Al contrario, è possibile risolvere un problema di esposizione e ridurne il livello di gravità affrontando un solo argomento di correzione. L'approccio alla risoluzione dei rischi dipende dai requisiti organizzativi e dai carichi di lavoro.
**Nota**
Le linee guida sulla correzione fornite in questo argomento potrebbero richiedere ulteriori consultazioni in altre risorse. AWS
**Contents**
+ [Caratteristiche di errata configurazione per i cluster Amazon EKS](#eks-cluster-misconfiguration)
+ [Il cluster Amazon EKS consente l'accesso pubblico](#internet-reachable)
+ [Il cluster Amazon EKS utilizza una versione di Kubernetes non supportata](#unsupported-kubernetes-version)
+ [Il cluster Amazon EKS utilizza segreti Kubernetes non crittografati](#unencrypted-kubernetes-secrets)
+ [Caratteristiche di vulnerabilità per i cluster Amazon EKS](#vulnerability)
+ [Il cluster Amazon EKS dispone di un contenitore con vulnerabilità software sfruttabili in rete con un'elevata probabilità di sfruttamento](#high-priority-vulnerability)
+ [Il cluster Amazon EKS dispone di un contenitore con vulnerabilità software](#low-priority-vulnerability)
+ [Il cluster Amazon EKS dispone di un contenitore con un sistema End-Of-Life operativo](#end-of-life-operating-system-detected)
+ [Il cluster Amazon EKS dispone di un contenitore con pacchetti software dannosi](#malicious-package)
+ [Il cluster EKS contiene file dannosi](#malicious-file)
## Caratteristiche di errata configurazione per i cluster Amazon EKS
Di seguito sono riportate le caratteristiche di errata configurazione dei cluster Amazon EKS e le procedure di correzione suggerite.
### Il cluster Amazon EKS consente l'accesso pubblico
L'endpoint del cluster Amazon EKS è l'endpoint che usi per comunicare con il server API Kubernetes del cluster. Per impostazione predefinita, questo endpoint è pubblico su Internet. Gli endpoint pubblici aumentano la superficie di attacco e il rischio di accesso non autorizzato al server API Kubernetes, permettendo potenzialmente agli aggressori di accedere o modificare le risorse del cluster o accedere a dati sensibili. Seguendo le migliori pratiche di sicurezza, AWS consiglia di limitare l'accesso all'endpoint del cluster EKS solo agli intervalli IP necessari.
**Modifica l'accesso agli endpoint**
Nel rilevamento dell'esposizione, apri la risorsa. Questo aprirà il cluster Amazon EKS interessato. Puoi configurare il cluster per utilizzare l'accesso privato, l'accesso pubblico o entrambi. Con l'accesso privato, le richieste API Kubernetes che hanno origine all'interno del VPC del cluster utilizzano l'endpoint VPC privato. Con l'accesso pubblico, le richieste API Kubernetes che provengono dall'esterno del VPC del cluster utilizzano l'endpoint pubblico.
**Modifica o rimuovi l'accesso pubblico al cluster**
Per modificare l'accesso agli endpoint per un cluster esistente, consulta [Modificare l'accesso agli endpoint del cluster](https://docs.aws.amazon.com/eks/latest/userguide/cluster-endpoint.html#modify-endpoint-access) nella *Amazon Elastic Kubernetes Service* User Guide. Implementa regole più restrittive basate su intervalli IP o gruppi di sicurezza specifici. Se è necessario un accesso pubblico limitato, limita l'accesso a intervalli di blocchi CIDR specifici o utilizza elenchi di prefissi.
### Il cluster Amazon EKS utilizza una versione di Kubernetes non supportata
Amazon EKS supporta ogni versione di Kubernetes per un periodo di tempo limitato. L'esecuzione di cluster con versioni di Kubernetes non supportate può esporre l'ambiente a vulnerabilità di sicurezza, poiché le patch CVE non verranno più rilasciate per le versioni obsolete. Le versioni non supportate possono contenere vulnerabilità di sicurezza note che possono essere sfruttate dagli aggressori e non dispongono delle funzionalità di sicurezza che potrebbero essere disponibili nelle versioni più recenti. Seguendo le migliori pratiche di sicurezza, AWS consiglia di mantenere aggiornata la versione di Kubernetes.
**Aggiornamento della versione di Kubernetes**
Nella ricerca sull'esposizione, apri la risorsa. Questo aprirà il cluster Amazon EKS interessato. Prima di aggiornare il cluster, consulta la [sezione Versioni disponibili sul supporto standard](https://docs.aws.amazon.com/eks/latest/userguide/kubernetes-versions.html#version-deprecation) nella *Amazon Elastic Kubernetes Service User Guide per un elenco delle versioni di Kubernetes* attualmente supportate.
### Il cluster Amazon EKS utilizza segreti Kubernetes non crittografati
I segreti Kubernetes sono, per impostazione predefinita, archiviati in modo non crittografato nell'archivio dati sottostante del server API (etcd). Chiunque abbia accesso all'API o a etcd può recuperare o modificare un segreto. Per evitare che ciò accada, è necessario crittografare i segreti di Kubernetes inattivi. Se i Kubernetes Secrets non sono crittografati, sono vulnerabili all'accesso non autorizzato se etcd è compromesso. Poiché i segreti contengono spesso informazioni sensibili come password e token API, la loro esposizione potrebbe portare all'accesso non autorizzato ad altre applicazioni e dati. Seguendo le migliori pratiche di sicurezza, AWS consiglia di crittografare tutte le informazioni sensibili archiviate nei segreti di Kubernetes.
**Crittografa i segreti di Kubernetes**
Amazon EKS supporta la crittografia dei segreti Kubernetes utilizzando chiavi KMS tramite crittografia a busta. *Per abilitare la crittografia dei segreti Kubernetes per il tuo cluster EKS, [consulta Encrypt Kubernetes secret with KMS su cluster esistenti nella](https://docs.aws.amazon.com/eks/latest/userguide/enable-kms.html) Amazon EKS User Guide.*
## Caratteristiche di vulnerabilità per i cluster Amazon EKS
Ecco le caratteristiche di vulnerabilità dei cluster Amazon EKS.
### Il cluster Amazon EKS dispone di un contenitore con vulnerabilità software sfruttabili in rete con un'elevata probabilità di sfruttamento
I pacchetti software installati sui cluster EKS possono essere esposti a vulnerabilità ed esposizioni comuni (). CVEs I rischi critici CVEs comportano rischi significativi per la sicurezza dell'ambiente. AWS Gli utenti non autorizzati possono sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi. Le vulnerabilità critiche con un'elevata probabilità di sfruttamento rappresentano minacce immediate alla sicurezza, poiché il codice di exploit potrebbe già essere disponibile al pubblico e utilizzato attivamente dagli aggressori o dagli strumenti di scansione automatizzati. Seguendo le best practice di sicurezza, AWS consiglia di correggere queste vulnerabilità per proteggere l'istanza dagli attacchi.
**Aggiorna le istanze interessate**
Aggiorna le immagini dei contenitori alle versioni più recenti che includono correzioni di sicurezza per le vulnerabilità identificate. Ciò comporta in genere la ricostruzione delle immagini dei container con immagini di base o dipendenze aggiornate, quindi la distribuzione delle nuove immagini nel cluster Amazon EKS.
### Il cluster Amazon EKS dispone di un contenitore con vulnerabilità software
I pacchetti software installati sui cluster Amazon EKS possono essere esposti a vulnerabilità ed esposizioni comuni (). CVEs I punti deboli non critici CVEs rappresentano punti deboli di sicurezza con gravità o sfruttabilità inferiori rispetto a quelli critici. CVEs Sebbene queste vulnerabilità rappresentino un rischio meno immediato, gli aggressori possono comunque sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi. Seguendo le best practice di sicurezza, AWS consiglia di correggere queste vulnerabilità per proteggere l'istanza dagli attacchi.
**Aggiorna le istanze interessate**
Aggiorna le immagini dei contenitori alle versioni più recenti che includono correzioni di sicurezza per le vulnerabilità identificate. Ciò comporta in genere la ricostruzione delle immagini dei container con immagini di base o dipendenze aggiornate, quindi la distribuzione delle nuove immagini nel cluster Amazon EKS.
### Il cluster Amazon EKS dispone di un contenitore con un sistema End-Of-Life operativo
L'immagine del contenitore Amazon EKS si basa su un sistema end-of-life operativo che non è più supportato o gestito dallo sviluppatore originale. Ciò espone il contenitore a vulnerabilità di sicurezza e potenziali attacchi. Quando i sistemi operativi arrivano end-of-life, i fornitori in genere smettono di rilasciare nuovi avvisi di sicurezza. Gli avvisi di sicurezza esistenti possono anche essere rimossi dai feed dei fornitori. Di conseguenza, Amazon Inspector potrebbe potenzialmente smettere di generare risultati noti CVEs, creando ulteriori lacune nella copertura di sicurezza.
Consulta [i sistemi operativi fuori produzione](https://docs.aws.amazon.com/inspector/latest/user/supported.html#formerly-supported-os) nella *Amazon Inspector User* Guide per informazioni sui sistemi operativi che hanno raggiunto la fine del ciclo di vita che possono essere rilevati da Amazon Inspector.
**Esegui l'aggiornamento a una versione del sistema operativo supportata**
Si consiglia l'aggiornamento a una versione supportata del sistema operativo. Nel rilevamento dell'esposizione, aprite la risorsa per accedere alla risorsa interessata. Prima di aggiornare la versione del sistema operativo nell'immagine del contenitore, consulta le versioni disponibili in [Supported Operating Systems](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os) nella *Amazon Inspector User Guide* per un elenco delle versioni del sistema operativo attualmente supportate. Dopo aver aggiornato l'immagine del contenitore, ricostruisci e ridistribuisci i contenitori nel cluster Amazon EKS.
### Il cluster Amazon EKS dispone di un contenitore con pacchetti software dannosi
I pacchetti dannosi sono componenti software che contengono codice dannoso progettato per compromettere la riservatezza, l'integrità e la disponibilità dei sistemi e dei dati. I pacchetti dannosi rappresentano una minaccia attiva e critica per il tuo cluster Amazon EKS, poiché gli aggressori possono eseguire codice dannoso automaticamente senza sfruttare una vulnerabilità. Seguendo le best practice di sicurezza, AWS consiglia di rimuovere i pacchetti dannosi per proteggere il cluster da potenziali attacchi.
**Rimuovi i pacchetti dannosi**
Esamina i dettagli del pacchetto dannoso nella sezione **Riferimenti** della scheda **Vulnerabilità** della caratteristica per comprendere la minaccia. Rimuovi i pacchetti dannosi identificati dalle immagini del contenitore. Quindi, elimina i pod con l'immagine compromessa. Aggiorna le tue implementazioni Kubernetes per utilizzare le immagini dei container aggiornate. Quindi, distribuisci le modifiche e ridistribuisci i pod.
### Il cluster EKS contiene file dannosi
I file dannosi contengono codice dannoso progettato per compromettere la riservatezza, l'integrità e la disponibilità dei sistemi e dei dati. I file dannosi rappresentano una minaccia attiva e critica per il cluster, in quanto gli aggressori possono eseguire codice dannoso automaticamente senza sfruttare una vulnerabilità. Seguendo le best practice di sicurezza, AWS consiglia di rimuovere i file dannosi per proteggere il cluster da potenziali attacchi.
**Rimuovi i file dannosi**
Per identificare lo specifico volume Amazon Elastic Block Store (Amazon EBS) che contiene file dannosi, consulta la sezione Risorse **dei dettagli** relativi alla scoperta della caratteristica. Una volta identificato il volume con il file dannoso, rimuovi i file dannosi identificati. Dopo aver rimosso i file dannosi, valuta la possibilità di eseguire una scansione per verificare che tutti i file che potrebbero essere stati installati dal file dannoso siano stati rimossi. Per ulteriori informazioni, consulta [Avvio della scansione antimalware su richiesta GuardDuty in](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-getting-started-on-demand-scan.html). **
# Correzione delle esposizioni per gli utenti IAM
AWS Security Hub può generare risultati di esposizione per gli utenti AWS Identity and Access Management (IAM).
Nella console Security Hub, l'utente IAM coinvolto in un rilevamento dell'esposizione e le relative informazioni identificative sono elencati nella sezione **Risorse** dei dettagli del risultato. A livello di codice, è possibile recuperare i dettagli delle risorse con il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)funzionamento dell'API CSPM Security Hub.
Dopo aver identificato la risorsa coinvolta in un rilevamento dell'esposizione, puoi eliminare la risorsa se non ti serve. L'eliminazione di una risorsa non essenziale può ridurre il profilo di esposizione e AWS i costi. Se la risorsa è essenziale, segui questi passaggi correttivi consigliati per mitigare il rischio. Gli argomenti relativi alla correzione sono suddivisi in base al tipo di caratteristica.
Un singolo risultato sull'esposizione contiene i problemi identificati in diversi argomenti relativi alla correzione. Al contrario, è possibile risolvere un problema di esposizione e ridurne il livello di gravità affrontando un solo argomento di correzione. L'approccio alla risoluzione dei rischi dipende dai requisiti organizzativi e dai carichi di lavoro.
**Nota**
Le linee guida sulla correzione fornite in questo argomento potrebbero richiedere ulteriori consultazioni in altre risorse. AWS
Le migliori pratiche IAM consigliano di creare ruoli IAM o di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee invece di creare singoli utenti IAM. Se questa è un'opzione per la tua organizzazione e il tuo caso d'uso, ti consigliamo di passare ai ruoli o alla federazione invece di utilizzare gli utenti IAM. Per ulteriori informazioni, consulta [Utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) nella *Guida per l'utente di IAM*.
**Contents**
+ [Caratteristiche di configurazione errate per gli utenti IAM](#iam-user-misconfiguration)
+ [L'utente IAM dispone di una policy con accesso amministrativo](#administrative-access-policy)
+ [L'utente IAM non ha l'MFA abilitata](#user-mfa-disabled)
+ [L'utente IAM dispone di una policy con accesso amministrativo a un Servizio AWS](#service-admin-policy)
+ [L' AWS account per l'utente IAM ha politiche di password deboli](#weak-password-policies)
+ [L'utente IAM ha credenziali non utilizzate](#unused-credentials)
+ [L'utente IAM dispone di chiavi di accesso non ruotate](#unrotated-access-keys)
+ [L'utente IAM dispone di una policy che consente l'accesso illimitato alla decrittografia delle chiavi KMS](#unrestricted-kms-decryption-allowed)
## Caratteristiche di configurazione errate per gli utenti IAM
Ecco le caratteristiche di configurazione errata per gli utenti IAM e le procedure di correzione suggerite.
### L'utente IAM dispone di una policy con accesso amministrativo
Le policy IAM concedono una serie di privilegi agli utenti IAM per l'accesso alle risorse. Le politiche amministrative forniscono agli utenti IAM ampie autorizzazioni per AWS i servizi e le risorse. Fornire privilegi amministrativi completi, anziché il set minimo di autorizzazioni di cui l'utente ha bisogno, può aumentare la portata di un attacco in caso di compromissione delle credenziali. In base ai principi di sicurezza standard, si AWS consiglia di concedere i privilegi minimi, il che significa che si concedono solo le autorizzazioni necessarie per eseguire un'attività.
1. **Rivedi e identifica le politiche amministrative**: nell'**ID risorsa**, identifica il nome del ruolo IAM. Vai alla dashboard IAM e seleziona il ruolo identificato. Rivedi la politica di autorizzazione allegata all'utente IAM. Se la policy è una policy AWS gestita, cerca `AdministratorAccess` o`IAMFullAccess`. Altrimenti, nel documento programmatico, cerca le dichiarazioni che riportano il `"Effect":` `"Allow"` segno `"Action": "*"` over`"Resource": "*"`.
1. **Implementa l'accesso con privilegi minimi**: sostituisci le politiche amministrative del servizio con quelle che concedono solo le autorizzazioni specifiche necessarie per il funzionamento dell'utente. *Per ulteriori informazioni sulle best practice di sicurezza per le policy IAM, consulta [Applica le autorizzazioni con privilegi minimi nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) per l'utente.AWS Identity and Access Management * Per identificare le autorizzazioni non necessarie, puoi utilizzare IAM Access Analyzer per capire come modificare la tua policy in base alla cronologia degli accessi. *Per ulteriori informazioni, consulta [Findings for external and inused access](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html) nella Guida per l'AWS Identity and Access Management utente.*
1. **Considerazioni sulla configurazione sicura**: se per l'istanza sono necessarie le autorizzazioni amministrative del servizio, prendi in considerazione l'implementazione di questi controlli di sicurezza aggiuntivi per mitigare i rischi:
+ **Autenticazione a più fattori (MFA)**: l'MFA aggiunge un ulteriore livello di sicurezza richiedendo una forma di autenticazione aggiuntiva. Questo aiuta a prevenire l'accesso non autorizzato anche se le credenziali sono compromesse. Per ulteriori informazioni, consulta [Richiedere l'autenticazione a più fattori (MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users)) nella Guida per *AWS Identity and Access Management l'*utente.
+ **Condizioni IAM**: la configurazione degli elementi delle condizioni consente di limitare quando e come le autorizzazioni amministrative possono essere utilizzate in base a fattori come l'IP di origine o l'età della MFA. Per ulteriori informazioni, consulta [Usa le condizioni nelle politiche IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) per limitare ulteriormente l'accesso nella Guida per l'*AWS Identity and Access Management utente*.
+ **Limiti** di autorizzazione: i limiti di autorizzazione stabiliscono le autorizzazioni massime che un ruolo può avere, fornendo barriere per i ruoli con accesso amministrativo. *Per ulteriori informazioni, consulta [Utilizzare i limiti delle autorizzazioni per delegare la gestione delle autorizzazioni all'interno di un account](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-permissions-boundaries) nella Guida per l'utente.AWS Identity and Access Management *
### L'utente IAM non ha l'MFA abilitata
L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di protezione al di sopra di nome utente e password. Quando l'MFA è abilitata e un utente IAM accede a un AWS sito Web, gli viene richiesto il nome utente, la password e un codice di autenticazione dal dispositivo AWS MFA. L'entità principal di autenticazione deve possedere un dispositivo che genera una chiave legata al fattore tempo e deve essere a conoscenza delle credenziali. Senza MFA, se la password di un utente viene compromessa, un utente malintenzionato ottiene l'accesso completo alle autorizzazioni dell'utente. AWS Seguendo i principi di sicurezza standard, AWS consiglia di abilitare la MFA per tutti gli account e gli utenti che hanno Console di gestione AWS accesso.
**Esamina i tipi di MFA**
AWS supporta i seguenti tipi di [MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html#id_credentials_mfa-types):
+ Passkey e chiavi di sicurezza
+ Applicazioni di autenticazione virtuale
+ Token TOTP hardware
Sebbene l'autenticazione con un dispositivo fisico offra in genere una protezione di sicurezza più rigorosa, l'utilizzo di qualsiasi tipo di MFA è più sicuro rispetto alla disattivazione dell'MFA.
**Abilitare MFA**
*Per abilitare il tipo di MFA più adatto alle tue esigenze, consulta [l'AWS autenticazione a più fattori in IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) User Guide.* Segui i passaggi per il tipo di MFA specifico che desideri implementare. Per le organizzazioni che gestiscono molti utenti, potresti voler imporre l'utilizzo della MFA richiedendo l'accesso a risorse sensibili.
### L'utente IAM dispone di una policy con accesso amministrativo a un Servizio AWS
Le politiche di amministrazione del servizio forniscono agli utenti IAM le autorizzazioni per eseguire tutte le azioni all'interno di un AWS servizio specifico. Queste politiche in genere includono autorizzazioni che non sono necessarie agli utenti per svolgere le proprie funzioni lavorative. Fornire a un utente IAM i privilegi di amministratore del servizio, anziché il set minimo di autorizzazioni necessarie, aumenta la portata di un attacco in caso di compromissione delle credenziali. Seguendo i principi di sicurezza standard, AWS consiglia di concedere i privilegi minimi, il che significa che si concedono solo le autorizzazioni necessarie per eseguire un'attività.
**Rivedi e identifica le politiche di amministrazione del servizio**
Nel **Resource ID**, identifica il nome del ruolo IAM. Vai alla dashboard IAM e seleziona il ruolo identificato. Rivedi la politica di autorizzazione allegata all'utente IAM. Se la policy è una policy gestita da AWS, cerca `AdministratorAccess` o`IAMFullAccess`. Altrimenti, nel documento sulla politica, cerca le dichiarazioni che contengono le dichiarazioni "`Effect": "Allow" with "Action": "*" over "Resource": "*"`.
**Implementazione dell'accesso con privilegi minimi**
Sostituisci le politiche amministrative del servizio con quelle che concedono solo le autorizzazioni specifiche necessarie per il funzionamento dell'utente. Per identificare le autorizzazioni non necessarie, puoi utilizzare IAM Access Analyzer per capire come modificare la tua policy in base alla cronologia degli accessi.
**Considerazioni sulla configurazione sicura**
Se per l'istanza sono necessarie le autorizzazioni amministrative del servizio, prendi in considerazione l'implementazione di questi controlli di sicurezza aggiuntivi per mitigare l'esposizione:
+ L'MFA aggiunge un ulteriore livello di sicurezza richiedendo una forma di autenticazione aggiuntiva. Questo aiuta a prevenire l'accesso non autorizzato anche se le credenziali sono compromesse.
+ Utilizza gli elementi delle condizioni per limitare quando e come le autorizzazioni amministrative possono essere utilizzate in base a fattori come l'IP di origine o l'età dell'MFA.
+ Utilizza i limiti di autorizzazione per stabilire le autorizzazioni massime che un ruolo può avere, fornendo barriere per i ruoli con accesso amministrativo.
### L' AWS account per l'utente IAM ha politiche di password deboli
Le policy relative alle password aiutano a proteggere dagli accessi non autorizzati imponendo requisiti minimi di complessità per le password degli utenti IAM. Senza politiche solide in materia di password, aumenta il rischio che gli account utente possano essere compromessi mediante l'indovinazione delle password o attacchi di forza bruta. Seguendo i principi di sicurezza standard, AWS consiglia di implementare una politica di password sicura per garantire che gli utenti creino password complesse e difficili da indovinare.
**Configura una politica di password sicura**
Vai alla dashboard IAM e vai alle impostazioni dell'account. Controlla le attuali impostazioni delle politiche relative alle password per il tuo account, tra cui la lunghezza minima, i tipi di caratteri richiesti e le impostazioni di scadenza della password.
Come minimo, AWS consiglia di seguire queste best practice per l'impostazione della politica in materia di password:
+ Richiede almeno un carattere maiuscolo.
+ Richiede almeno un carattere minuscolo.
+ Richiede almeno un simbolo.
+ Richiede almeno un numero.
+ Richiede almeno otto caratteri.
**Ulteriori considerazioni sulla sicurezza**
Prendi in considerazione queste misure di sicurezza aggiuntive oltre a una solida politica in materia di password:
+ L'MFA aggiunge un ulteriore livello di sicurezza richiedendo una forma di autenticazione aggiuntiva. Questo aiuta a prevenire l'accesso non autorizzato anche se le credenziali sono compromesse.
+ Impostazione di elementi condizionali per limitare quando e come le autorizzazioni amministrative possono essere utilizzate in base a fattori come l'IP di origine o l'età dell'MFA.
### L'utente IAM ha credenziali non utilizzate
Le credenziali non utilizzate, incluse password e chiavi di accesso che sono rimaste inattive per 90 giorni o più, rappresentano un rischio per la sicurezza dell'ambiente. AWS Queste credenziali inutilizzate creano potenziali vettori di attacco per gli aggressori e aumentano la superficie di attacco complessiva dell'organizzazione. Seguendo le migliori pratiche di sicurezza, AWS consiglia di disattivare o rimuovere le credenziali che non vengono utilizzate da 90 giorni o più per ridurre la superficie di attacco.
**Disattiva o rimuovi le credenziali non utilizzate**
Nel rilevamento dell'esposizione, apri la risorsa. Si aprirà la finestra dei dettagli dell'utente. Prima di intervenire sulle credenziali non utilizzate, valutate il potenziale impatto sul vostro ambiente. La rimozione delle credenziali senza una valutazione adeguata potrebbe interrompere i processi in background, i lavori pianificati e altro ancora. Prendi in considerazione un breve periodo di disattivazione prima della rimozione definitiva per verificare l'impatto della rimozione delle credenziali non utilizzate.
Intraprendi l'azione appropriata in base al tipo di credenziale:
+ Per le password della console non utilizzate, valuta innanzitutto la possibilità di modificare la password e disattivarla temporaneamente. Se non si verificano problemi, procedi con la disattivazione o l'eliminazione permanente.
+ Per le chiavi di accesso non utilizzate, considera innanzitutto la possibilità di disattivare la chiave. Dopo aver verificato che nessun sistema è interessato, procedi con la disattivazione o l'eliminazione permanente.
+ Per gli utenti non utilizzati, valuta la possibilità di disattivare temporaneamente l'utente allegando una politica restrittiva prima dell'eliminazione completa.
### L'utente IAM dispone di chiavi di accesso non ruotate
Le chiavi di accesso sono costituite da un ID della chiave di accesso e da una chiave di accesso segreta che consentono l'accesso programmatico alle risorse. AWS Quando le chiavi di accesso rimangono invariate per lunghi periodi di tempo, aumentano il rischio di accesso non autorizzato in caso di compromissione. Seguendo le migliori pratiche di sicurezza, AWS consiglia di ruotare le chiavi di accesso ogni 90 giorni per ridurre al minimo la finestra di opportunità per gli aggressori di utilizzare credenziali compromesse.
**Ruota le chiavi di accesso**
Nel rilevamento dell'esposizione, apri la risorsa. Si aprirà la finestra dei dettagli dell'utente. Per ruotare le chiavi di accesso, consulta [Manage access keys for IAM users](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) nella *IAM User Guide*.
### L'utente IAM dispone di una policy che consente l'accesso illimitato alla decrittografia delle chiavi KMS
AWS KMS ti consente di creare e gestire chiavi crittografiche utilizzate per proteggere i tuoi dati. Le policy IAM che consentono autorizzazioni di AWS KMS decrittografia illimitate (ad esempio `kms:Decrypt` o`kms:ReEncryptFrom`) su tutte le chiavi KMS possono portare all'accesso non autorizzato ai dati se le credenziali di un utente IAM vengono compromesse. Se un utente malintenzionato ottiene l'accesso a queste credenziali, potrebbe potenzialmente decrittografare tutti i dati crittografati presenti nell'ambiente dell'utente, inclusi i dati sensibili. Seguendo le migliori pratiche di sicurezza, AWS consiglia di implementare il privilegio minimo limitando le autorizzazioni di AWS KMS decrittografia solo alle chiavi specifiche di cui gli utenti hanno bisogno per le loro funzioni lavorative.
**Implementazione dell'accesso con privilegi minimi**
Nella ricerca sull'esposizione, apri la risorsa. Si aprirà la finestra IAM Policy. Cerca le autorizzazioni in KMS che consentano kms: Decrypt `kms:ReEncryptFrom` o `KMS:*` con una specifica di risorsa di. `"*"` Aggiorna la politica per limitare le autorizzazioni di AWS KMS decrittografia solo alle chiavi specifiche necessarie. Modifica la politica per sostituire la `"*"` risorsa con le chiavi specifiche richieste ARNs . AWS KMS
**Considerazioni sulla configurazione sicura**
Valuta la possibilità di aggiungere condizioni per limitare ulteriormente l'utilizzo di queste autorizzazioni. Ad esempio, puoi limitare le operazioni di decrittografia a specifici endpoint VPC o intervalli IP di origine. Puoi anche configurare le politiche chiave per limitare ulteriormente chi può utilizzare chiavi KMS specifiche.
# Riparazione delle esposizioni per le funzioni Lambda
AWS Security Hub può generare risultati di esposizione per le AWS Lambda funzioni (Lambda).
Sulla console Security Hub, la funzione Lambda coinvolta in un rilevamento dell'esposizione e le relative informazioni di identificazione sono elencate nella sezione **Risorse** dei dettagli del risultato. A livello di codice, è possibile recuperare i dettagli delle risorse con il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)funzionamento dell'API CSPM Security Hub.
Dopo aver identificato la risorsa coinvolta in un rilevamento dell'esposizione, puoi eliminare la risorsa se non ti serve. L'eliminazione di una risorsa non essenziale può ridurre il profilo di esposizione e AWS i costi. Se la risorsa è essenziale, segui questi passaggi correttivi consigliati per mitigare il rischio. Gli argomenti relativi alla correzione sono suddivisi in base al tipo di caratteristica.
Un singolo risultato sull'esposizione contiene i problemi identificati in diversi argomenti relativi alla correzione. Al contrario, è possibile risolvere un problema di esposizione e ridurne il livello di gravità affrontando un solo argomento di correzione. L'approccio alla risoluzione dei rischi dipende dai requisiti organizzativi e dai carichi di lavoro.
**Nota**
Le linee guida sulla correzione fornite in questo argomento potrebbero richiedere ulteriori consultazioni in altre risorse. AWS
**Contents**
+ [Caratteristiche di configurazione errate per le funzioni Lambda](#lambda-function-misconfiguration)
+ [La funzione Lambda viene implementata all'esterno di un Amazon VPC](#deployed-outside-vpc)
+ [Il ruolo IAM associato alla funzione Lambda ha una politica di accesso amministrativo.](#administrative-access-policy)
+ [Il ruolo IAM associato alla funzione Lambda ha una policy con accesso amministrativo a un servizio. AWS](#service-admin-policy)
+ [La funzione Lambda è accessibile tramite API Gateway senza autorizzazione.](#api-gateway-no-authorization)
+ [Caratteristiche di raggiungibilità per le funzioni Lambda](#lambda-function-reachability)
+ [La funzione Lambda può essere invocata pubblicamente](#publicly-invocable)
+ [Caratteristiche di vulnerabilità per le funzioni Lambda](#lambda-function-vulnerability)
+ [La funzione Lambda presenta vulnerabilità software sfruttabili dalla rete](#high-priority-vulnerability)
+ [La funzione Lambda presenta vulnerabilità software](#low-priority-vulnerability)
+ [La funzione Lambda contiene pacchetti software dannosi](#malicious-package)
+ [La funzione Lambda presenta vulnerabilità nel codice](#code-vulnerability)
## Caratteristiche di configurazione errate per le funzioni Lambda
Di seguito sono riportate le caratteristiche di errata configurazione delle funzioni Lambda e i passaggi di correzione suggeriti.
### La funzione Lambda viene implementata all'esterno di un Amazon VPC
Per impostazione predefinita, le funzioni Lambda vengono distribuite con accesso alla rete Internet pubblica. Questa configurazione predefinita offre alle funzioni Lambda la possibilità di raggiungere gli endpoint di AWS servizio e quelli esterni APIs, ma le espone anche a potenziali rischi per la sicurezza. Le funzioni con accesso a Internet potrebbero essere utilizzate per esfiltrare dati, comunicare con server non autorizzati o diventare punti di accesso per attori esterni se compromesse. Amazon VPC fornisce l'isolamento della rete limitando le funzioni Lambda a comunicare solo con risorse all'interno della rete privata definita. Seguendo i principi di sicurezza standard, consigliamo di implementare le funzioni Lambda all'interno di un VPC per migliorare la sicurezza attraverso l'isolamento della rete.
**Collega la funzione al VPC**
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Si aprirà la finestra della funzione Lambda. Per proteggere la tua funzione Lambda limitandone l'accesso alla rete, collegala a un VPC dotato dei controlli di rete appropriati. Prima di collegare la tua funzione a un VPC, pianifica l'accesso al servizio di cui potrebbe aver bisogno, poiché le funzioni nelle sottoreti private AWS senza gateway NAT o endpoint VPC non saranno in grado di raggiungere il servizio. AWS APIs Per informazioni su come collegare una funzione Lambda a un Amazon VPC nel tuo account, consulta Allegare le [funzioni Lambda a un](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#configuration-vpc-attaching) Amazon VPC nel tuo. Account AWS Prendi in considerazione l'utilizzo di endpoint VPC per la connettività dei servizi senza accesso a Internet se la tua funzione richiede l'accesso ai AWS servizi da una sottorete privata. Configura un gateway NAT se hai bisogno di connettività Internet in uscita da sottoreti private.
### Il ruolo IAM associato alla funzione Lambda ha una politica di accesso amministrativo.
Le politiche di accesso amministrativo forniscono alle funzioni Lambda ampie autorizzazioni per AWS servizi e risorse. Queste politiche in genere includono autorizzazioni che non sono necessarie per la funzionalità. Fornire un'identità IAM con una politica di accesso amministrativo su una funzione Lambda, anziché il set minimo di autorizzazioni richiesto dal ruolo di esecuzione, può aumentare la portata di un attacco se la funzione è compromessa. Seguendo i principi di sicurezza standard, AWS consiglia di concedere i privilegi minimi, il che significa che si concedono solo le autorizzazioni necessarie per eseguire un'attività.
1. **Rivedi e identifica le politiche amministrative**
Nella rilevazione dell'esposizione, identifica il nome del ruolo. Vai alla dashboard IAM e trova il ruolo con il nome del ruolo identificato in precedenza. Rivedi la politica di autorizzazione allegata al ruolo IAM. Se la policy è una policy AWS gestita, cerca `AdministratorAccess` o`IAMFullAccess`. Altrimenti, nel documento programmatico, cerca le dichiarazioni che contengono le dichiarazioni `"Effect": "Allow", "Action": "*"` e `"Resource": "*"` insieme.
1. **Implementa l'accesso con privilegio minimo**
Sostituisci le politiche amministrative con quelle che concedono solo le autorizzazioni specifiche necessarie per il funzionamento della funzione. *Per ulteriori informazioni sulle best practice di sicurezza per i ruoli IAM, consulta [Applica le autorizzazioni con privilegi minimi](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) nella Guida per l'utente.AWS Identity and Access Management * Per identificare le autorizzazioni non necessarie, puoi utilizzare IAM Access Analyzer per capire come modificare la tua policy in base alla cronologia degli accessi. *Per ulteriori informazioni, consulta [Findings for external and inused access](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html) nella Guida per l'AWS Identity and Access Management utente.* In alternativa, puoi creare un nuovo ruolo IAM per evitare di influire su altre funzioni Lambda utilizzando il ruolo esistente. In questo scenario, crea un nuovo ruolo IAM. Quindi associa il nuovo ruolo all'istanza. Per informazioni sulla sostituzione di un ruolo IAM con una funzione, consulta [Aggiornare il ruolo di esecuzione di una funzione](https://docs.aws.amazon.com/lambda/latest/dg/permissions-executionrole-update.html#update-execution-role) nella *Guida per gli AWS Lambda sviluppatori*.
1. **Considerazioni sulla configurazione sicura**
Se per l'istanza sono necessarie le autorizzazioni di accesso amministrativo, prendi in considerazione l'implementazione di questi controlli di sicurezza aggiuntivi per mitigare i rischi:
+ **Autenticazione a più fattori (MFA)**: l'MFA aggiunge un ulteriore livello di sicurezza richiedendo una forma di autenticazione aggiuntiva. Questo aiuta a prevenire l'accesso non autorizzato anche se le credenziali sono compromesse. Per ulteriori informazioni, consulta [Richiedere l'autenticazione a più fattori (MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users)) nella Guida per *AWS Identity and Access Management l'*utente.
+ **Condizioni IAM**: l'impostazione degli elementi delle condizioni consente di limitare quando e come le autorizzazioni amministrative possono essere utilizzate in base a fattori come l'IP di origine o l'età dell'MFA. Per ulteriori informazioni, consulta [Use conditions in IAM policy per limitare ulteriormente l'accesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) nella *IAM User Guide*.
+ **Limiti** di autorizzazione: i limiti di autorizzazione stabiliscono le autorizzazioni massime che un ruolo può avere, fornendo barriere per i ruoli con accesso amministrativo. *Per ulteriori informazioni, consulta [Utilizzare i limiti delle autorizzazioni per delegare la gestione delle autorizzazioni all'interno di un account](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-permissions-boundaries) nella Guida per l'utente.AWS Identity and Access Management *
### Il ruolo IAM associato alla funzione Lambda ha una policy con accesso amministrativo a un servizio. AWS
Le politiche di amministrazione del servizio consentono alle funzioni Lambda di eseguire tutte le azioni all'interno di un servizio specifico AWS . Queste politiche in genere concedono più autorizzazioni del necessario per il funzionamento di una funzione. Se una funzione Lambda con una policy di amministrazione del servizio viene compromessa, un utente malintenzionato potrebbe utilizzare tali autorizzazioni per accedere o modificare potenzialmente dati o servizi sensibili all'interno dell'ambiente. AWS Seguendo i principi di sicurezza standard, ti consigliamo di concedere i privilegi minimi, il che significa che concedi solo le autorizzazioni necessarie per eseguire un'attività.
1. **Rivedi e identifica le politiche amministrative**
Nella rilevazione dell'esposizione, identificare il nome del ruolo nell'ARN. Vai alla dashboard IAM e trova il nome del ruolo. Rivedi la politica di autorizzazione allegata al ruolo. Se la politica è una politica AWS gestita, cerca `AdministratorAccess` o`IAMFullAccess`. Altrimenti, nel documento sulla politica, cerca le dichiarazioni che contengono le dichiarazioni `"Effect": "Allow", "Action": "*"` e`"Resource": "*"`.
1. **Implementa l'accesso con privilegio minimo**
Sostituisci le politiche amministrative con quelle che concedono solo le autorizzazioni specifiche necessarie per il funzionamento della funzione. Per ulteriori informazioni, consulta [Applicazione delle autorizzazioni del privilegio minimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) nella *Guida per l'utente di AWS Identity and Access Management *. Per identificare le autorizzazioni non necessarie, puoi utilizzare IAM Access Analyzer per capire come modificare la tua policy in base alla cronologia degli accessi. *Per ulteriori informazioni, consulta [Findings for external and inused access](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html) nella Guida per l'AWS Identity and Access Management utente.* In alternativa, puoi creare un nuovo ruolo IAM per evitare di influire su altre funzioni Lambda che utilizzano il ruolo esistente. In questo scenario, crea un nuovo ruolo IAM, quindi associa il nuovo ruolo IAM all'istanza. Per istruzioni su come sostituire un ruolo IAM con una funzione, consulta [Aggiornare il ruolo di esecuzione di una funzione](https://docs.aws.amazon.com/lambda/latest/dg/permissions-executionrole-update.html#update-execution-role) nella *Guida per gli AWS Lambda sviluppatori*.
1. **Considerazioni sulla configurazione sicura**
Se per l'istanza sono necessarie autorizzazioni amministrative a livello di servizio, prendi in considerazione l'implementazione di questi controlli di sicurezza aggiuntivi per mitigare i rischi:
+ **Autenticazione a più fattori (MFA)**: l'MFA aggiunge un ulteriore livello di sicurezza richiedendo una forma di autenticazione aggiuntiva. Questo aiuta a prevenire l'accesso non autorizzato anche se le credenziali sono compromesse. Per ulteriori informazioni, consulta [Richiedere l'autenticazione a più fattori (MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users)) nella Guida per *AWS Identity and Access Management l'*utente.
+ **Condizioni IAM**: l'impostazione degli elementi delle condizioni consente di limitare quando e come le autorizzazioni amministrative possono essere utilizzate in base a fattori come l'IP di origine o l'età dell'MFA. Per ulteriori informazioni, consulta [Usa le condizioni nelle politiche IAM per limitare ulteriormente l'accesso nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-policy-conditions) l'*AWS Identity and Access Management utente*.
+ **Limiti delle autorizzazioni**: i limiti delle autorizzazioni stabiliscono le autorizzazioni massime che un ruolo può avere, fornendo barriere per i ruoli con accesso amministrativo. *Per ulteriori informazioni, consulta [Utilizzare i limiti delle autorizzazioni per delegare la gestione delle autorizzazioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-permissions-boundaries) nella Guida per l'utente.AWS Identity and Access Management *
### La funzione Lambda è accessibile tramite API Gateway senza autorizzazione.
I metodi API Gateway senza autorizzazione consentono a qualsiasi chiamante con accesso all'API Gateway di richiamare la funzione Lambda integrata senza verifica dell'identità. Questa configurazione crea rischi per la sicurezza, in quanto i chiamanti possono richiamare la funzione Lambda senza un'autorizzazione adeguata, con il rischio di abuso delle funzionalità della funzione, consumo di risorse, accesso a dati sensibili o operazioni non autorizzate. Sebbene API Gateway possa avere controlli di accesso a livello di rete, la mancanza di autorizzazione a livello di metodo potrebbe consentire la chiamata gratuita della funzione da parte di qualsiasi chiamante con accesso di rete all'API Gateway. Seguendo le best practice di sicurezza, AWS consiglia di implementare meccanismi di autorizzazione appropriati per i metodi API Gateway che si integrano con le funzioni Lambda.
**Configurazione dell'autenticazione API Gateway**
Nella scheda **Risorse** dell'esposizione, fai clic sul collegamento ipertestuale **Apri risorsa** per accedere al metodo API Gateway. Rivedi la configurazione di autorizzazione corrente e implementa i meccanismi di autenticazione appropriati. API Gateway supporta diverse opzioni di autenticazione tra cui AWS IAM, pool di utenti di Amazon Cognito, autorizzatori Lambda e chiavi API. Scegli il metodo di autenticazione più adatto ai tuoi requisiti di sicurezza e al tuo caso d'uso. Per istruzioni dettagliate sulla configurazione dell'autenticazione, consulta [Controllare e gestire l'accesso a un'API REST in API Gateway nella API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-to-api.html) *Developer Guide*.
## Caratteristiche di raggiungibilità per le funzioni Lambda
Di seguito sono riportati i tratti di raggiungibilità per le funzioni Lambda e i passaggi di correzione suggeriti.
### La funzione Lambda può essere invocata pubblicamente
Le policy basate sulle risorse di Lambda determinano chi può richiamare le tue funzioni. Una funzione con una politica delle risorse che include «\$1» come principale (o nessuna) consente a qualsiasi utente autenticato AWS di richiamarla. Ciò comporta un rischio significativo, in particolare per le funzioni che elaborano dati sensibili, modificano risorse o dispongono di autorizzazioni elevate. Gli utenti non autorizzati potrebbero sfruttare questa configurazione per eseguire operazioni indesiderate, esponendo potenzialmente dati, manipolando risorse o abusando delle funzionalità. Seguendo le migliori pratiche di sicurezza, consigliamo di limitare l'accesso alla funzione Lambda solo ai principali autorizzati.
**Modifica la politica basata sulle risorse della funzione**
Nella scheda **Risorse** dell'esposizione, apri la risorsa con il collegamento ipertestuale. Si aprirà la finestra della funzione Lambda. Limita l'accesso alla tua funzione Lambda specificando solo AWS account autorizzati IDs o principali IAM specifici (utenti, ruoli o servizi) nella policy basata sulle risorse. È possibile modificare le politiche basate sulle risorse solo a livello di codice.
## Caratteristiche di vulnerabilità per le funzioni Lambda
Di seguito sono riportati i tratti di vulnerabilità per le funzioni Lambda e le procedure di correzione suggerite.
### La funzione Lambda presenta vulnerabilità software sfruttabili dalla rete
I pacchetti software utilizzati nel codice della funzione Lambda possono contenere vulnerabilità ed esposizioni comuni (CVEs) che hanno un'alta probabilità di essere sfruttate. Critical CVEs rappresenta un rischio significativo per la sicurezza dell'ambiente. AWS Gli aggressori possono sfruttare queste vulnerabilità prive di patch per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi. Le vulnerabilità critiche con un'elevata probabilità di sfruttamento rappresentano minacce immediate alla sicurezza, poiché il codice di exploit potrebbe già essere disponibile al pubblico e utilizzato attivamente dagli aggressori o dagli strumenti di scansione automatizzati. Seguendo le migliori pratiche di sicurezza, consigliamo di correggere queste vulnerabilità per proteggere la funzione dagli attacchi.
**Aggiorna le funzioni interessate**
Consultate la sezione **Riferimenti** nella scheda **Vulnerabilità** per conoscere la caratteristica. La documentazione del fornitore può includere linee guida specifiche per la correzione. Aggiorna le librerie vulnerabili alle versioni sicure più recenti seguendo le procedure consigliate dal fornitore. In genere, il flusso di lavoro di riparazione dipende dal fatto che il pacchetto Lambda sia stato distribuito caricando un file zip o creando una funzione Lambda con un'immagine del contenitore. Dopo aver aggiornato le librerie, aggiorna il codice della funzione Lambda per utilizzare la versione fissa. Successivamente, distribuisci la versione aggiornata.
### La funzione Lambda presenta vulnerabilità software
Le funzioni Lambda utilizzano spesso librerie e dipendenze di terze parti che possono contenere vulnerabilità di sicurezza con gravità o sfruttabilità inferiori rispetto a quelle critiche. CVEs Sebbene queste vulnerabilità non critiche possano non essere sfruttabili immediatamente, rappresentano comunque punti deboli di sicurezza che potrebbero essere concatenati ad altre vulnerabilità per compromettere la funzionalità dell'utente. Nel tempo, potrebbero emergere anche nuove tecniche di exploit che aumentano il rischio di queste vulnerabilità. Seguendo i principi di sicurezza standard, consigliamo di correggere queste vulnerabilità per mantenere un ambiente sicuro.
****
Consulta la sezione **Riferimenti** nella scheda **Vulnerabilità** per conoscere la caratteristica. La documentazione del fornitore può includere linee guida specifiche per la correzione. Aggiorna le librerie vulnerabili alle versioni sicure più recenti seguendo le procedure consigliate dal fornitore. In genere, il flusso di lavoro di riparazione dipende dal fatto che il pacchetto Lambda sia stato distribuito caricando un file zip o creando una funzione Lambda con un'immagine del contenitore. Dopo aver aggiornato le librerie, aggiorna il codice della funzione Lambda per utilizzare la versione fissa. Successivamente, distribuisci la versione aggiornata.
### La funzione Lambda contiene pacchetti software dannosi
I pacchetti dannosi sono componenti software che contengono codice dannoso progettato per compromettere la riservatezza, l'integrità e la disponibilità dei sistemi e dei dati. I pacchetti dannosi rappresentano una minaccia attiva e critica per la funzione Lambda, poiché gli aggressori possono eseguire codice dannoso automaticamente senza sfruttare una vulnerabilità. Seguendo le best practice di sicurezza, AWS consiglia di rimuovere i pacchetti dannosi per proteggere la funzione Lambda da potenziali attacchi.
**Rimuovi i pacchetti dannosi**
Esamina i dettagli del pacchetto dannoso nella sezione **Riferimenti** della scheda **Vulnerabilità** della caratteristica per comprendere la minaccia. Rimuovi i pacchetti dannosi identificati dal codice della funzione e dalle dipendenze. Per le funzioni che utilizzano livelli, controlla se i pacchetti dannosi sono installati in qualsiasi livello e rimuovili. Aggiorna il pacchetto di distribuzione o l'immagine del contenitore per escludere i pacchetti dannosi, quindi distribuisci la versione aggiornata. Per istruzioni, consulta [Implementazione delle funzioni Lambda come archivi di file.zip](https://docs.aws.amazon.com/lambda/latest/dg/configuration-function-zip.html) per archivi di file.zip o [Creazione di una funzione Lambda utilizzando un'immagine](https://docs.aws.amazon.com/lambda/latest/dg/images-create.html) del contenitore per le immagini del contenitore.
### La funzione Lambda presenta vulnerabilità nel codice
Il codice dell'applicazione della funzione Lambda contiene vulnerabilità di sicurezza che potrebbero essere sfruttate dagli autori delle minacce. Le vulnerabilità del codice includono fughe di dati, difetti di iniezione, crittografia mancante e crittografia debole che vengono identificate tramite l'analisi automatizzata del codice. Queste vulnerabilità rappresentano rischi per la sicurezza AWS dell'ambiente, in quanto gli aggressori possono sfruttarle per compromettere la riservatezza, l'integrità o la disponibilità dei dati o per accedere ad altri sistemi. Le vulnerabilità del codice rappresentano punti deboli di sicurezza che potrebbero essere concatenati ad altri vettori di attacco per compromettere la funzionalità dell'utente. Seguendo le migliori pratiche di sicurezza, AWS consiglia di risolvere queste vulnerabilità del codice per proteggere la funzione dagli attacchi.
**Aggiorna le funzioni interessate**
Esamina la sezione **Riferimenti** nella scheda **Vulnerabilità** della caratteristica. I risultati di Amazon Inspector possono includere linee guida specifiche per la correzione e frammenti di codice che mostrano le posizioni dei codici vulnerabili. Risolvi i problemi di sicurezza identificati nel codice della funzione utilizzando i blocchi di plug-and-play codice forniti o implementando pratiche di codifica sicure. Esamina sempre i suggerimenti per la correzione del codice prima di adottarli, poiché potrebbe essere necessario modificarli per garantire che il codice funzioni come previsto. Dopo aver corretto le vulnerabilità, aggiorna il codice della funzione Lambda per utilizzare la versione corretta. *Per istruzioni, consulta [Aggiornamento del codice della funzione nella Guida](https://docs.aws.amazon.com/lambda/latest/dg/configuration-function-zip.html#configuration-function-update) per gli AWS Lambda sviluppatori.* Successivamente, distribuisci la versione aggiornata. Per istruzioni, consulta [Implementazione delle funzioni Lambda come archivi di file.zip](https://docs.aws.amazon.com/lambda/latest/dg/configuration-function-zip.html) per archivi di file.zip o [Creazione di una funzione Lambda utilizzando un'immagine](https://docs.aws.amazon.com/lambda/latest/dg/images-create.html) del contenitore per le immagini del contenitore. *Per ulteriori informazioni sulla scansione del codice di Amazon Inspector, consulta la scansione del codice Amazon [Inspector Lambda nella](https://docs.aws.amazon.com/inspector/latest/user/scanning_resources_lambda_code.html) Amazon Inspector User Guide.*
# Correzione delle esposizioni per istanze e cluster Amazon RDS
AWS Security Hub può generare risultati sull'esposizione per le istanze e i cluster Amazon RDS.
Sulla console Security Hub, l'istanza o il cluster Amazon RDS coinvolto in un rilevamento dell'esposizione e le relative informazioni identificative sono elencati nella sezione **Risorse** dei dettagli del risultato. A livello di codice, è possibile recuperare i dettagli delle risorse con il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)funzionamento dell'API CSPM Security Hub.
Dopo aver identificato la risorsa coinvolta in un rilevamento dell'esposizione, puoi eliminare la risorsa se non ti serve. L'eliminazione di una risorsa non essenziale può ridurre il profilo di esposizione e AWS i costi. Se la risorsa è essenziale, segui questi passaggi correttivi consigliati per mitigare il rischio. Gli argomenti relativi alla correzione sono suddivisi in base al tipo di caratteristica.
Un singolo risultato sull'esposizione contiene i problemi identificati in diversi argomenti relativi alla correzione. Al contrario, è possibile risolvere un problema di esposizione e ridurne il livello di gravità affrontando un solo argomento di correzione. L'approccio alla risoluzione dei rischi dipende dai requisiti organizzativi e dai carichi di lavoro.
**Nota**
Le linee guida sulla correzione fornite in questo argomento potrebbero richiedere ulteriori consultazioni in altre risorse. AWS
**Contents**
+ [Caratteristiche di configurazione errate per istanze e cluster Amazon RDS](#rds-instance-cluster-misconfiguration)
+ [L'istanza database Amazon RDS è configurata con accesso pubblico](#public-access-configured)
+ [Il cluster Amazon RDS DB dispone di uno snapshot condiviso pubblicamente](#publicly-available-rds-cluster-snapshot)
+ [L'istanza DB di Amazon RDS ha uno snapshot condiviso pubblicamente](#publicly-available-rds-database-snapshot)
+ [L'istanza DB di Amazon RDS ha uno snapshot non crittografato a riposo](#unencrypted-rds-database-snapshot)
+ [Il cluster Amazon RDS DB dispone di uno snapshot non crittografato a riposo.](#unencrypted-rds-cluster-snapshot)
+ [L'istanza database di Amazon RDS ha un gruppo di sicurezza aperto](#open-security-group)
+ [L'istanza database Amazon RDS ha l'autenticazione del database IAM disabilitata](#rds-instance-iam-authentication-disabled)
+ [L'istanza database Amazon RDS utilizza il nome utente amministratore predefinito.](#rds-instance-default-admin-name-used)
+ [Il cluster Amazon RDS DB utilizza il nome utente amministratore predefinito](#rds-cluster-misconfiguration-db-cluster-uses-default-admin-username)
+ [L'istanza DB di Amazon RDS ha gli upgrade automatici delle versioni secondarie disattivati](#rds-instance-minor-version-upgrades-disabled)
+ [L'istanza DB di Amazon RDS ha i backup automatici disabilitati](#rds-instance-backups-disabled)
+ [L'istanza DB di Amazon RDS ha la protezione da eliminazione disattivata](#rds-instance-deletion-protection-disabled)
+ [La protezione da eliminazione del cluster Amazon RDS DB è disattivata](#rds-cluster-misconfiguration-db-cluster-deletion-protection-disabled)
+ [L'istanza database Amazon RDS utilizza la porta predefinita per il motore di database.](#rds-instance-default-port-in-use)
+ [L'istanza database Amazon RDS non è coperta da un piano di backup](#rds-instance-not-in-backup-plan)
## Caratteristiche di configurazione errate per istanze e cluster Amazon RDS
Di seguito vengono descritte le caratteristiche di configurazione errata e le fasi di correzione per le istanze e i cluster Amazon RDS.
### L'istanza database Amazon RDS è configurata con accesso pubblico
Le istanze Amazon RDS con accesso pubblico sono potenzialmente accessibili su Internet tramite i relativi endpoint. Sebbene a volte sia necessario l'accesso pubblico, ad esempio per alcune funzionalità, questa configurazione può essere utilizzata come potenziale vettore di attacco per consentire agli utenti non autorizzati di tentare di accedere al database. I database accessibili al pubblico possono essere esposti alla scansione delle porte, agli attacchi di forza bruta e ai tentativi di sfruttamento. Seguendo i principi di sicurezza standard, si consiglia di limitare l'esposizione pubblica delle risorse del database.
1. **Modifica le impostazioni di accesso pubblico**
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istanza DB interessata. Valuta se l'istanza DB richiede l'accessibilità pubblica in base all'architettura dell'applicazione. Per ulteriori informazioni, consulta [Configurazione dell'accesso pubblico o privato in Amazon RDS.](https://docs.aws.amazon.com/AmazonRDS/latest/gettingstartedguide/security-public-private.html)
### Il cluster Amazon RDS DB dispone di uno snapshot condiviso pubblicamente
Le istantanee pubbliche sono accessibili da chiunque Account AWS, esponendo potenzialmente dati sensibili a utenti non autorizzati. Qualsiasi utente Account AWS è autorizzato a copiare queste istantanee pubbliche e creare istanze DB a partire da esse, il che potrebbe portare a violazioni dei dati o accessi non autorizzati ai dati. Seguendo le best practice di sicurezza, consigliamo di limitare l'accesso agli snapshot di Amazon RDS solo a organizzazioni affidabili Account AWS .
**1. Configurazione di uno snapshot Amazon RDS per l'accesso privato**
Nel rilevamento dell'esposizione, apri la risorsa tramite il collegamento ipertestuale. Per informazioni su come modificare le impostazioni di condivisione degli snapshot, consulta [Sharing a snapshot](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-share-snapshot.html#aurora-share-snapshot.Sharing) nella *Amazon Aurora* User Guide. Per informazioni su come interrompere la condivisione degli snapshot, consulta [Stopping snapshot sharing](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/share-snapshot-stop.html) nella *Amazon* Aurora User Guide. .
### L'istanza DB di Amazon RDS ha uno snapshot condiviso pubblicamente
Le istantanee pubbliche sono accessibili da chiunque Account AWS, esponendo potenzialmente dati sensibili a utenti non autorizzati. Qualsiasi utente Account AWS è autorizzato a copiare queste istantanee pubbliche e creare istanze DB a partire da esse, il che potrebbe portare a violazioni dei dati o accessi non autorizzati ai dati. Seguendo le best practice di sicurezza, consigliamo di limitare l'accesso agli snapshot di Amazon RDS solo a organizzazioni affidabili Account AWS .
**Configurazione di uno snapshot Amazon RDS per l'accesso privato**
Nel rilevamento dell'esposizione, apri la risorsa tramite il collegamento ipertestuale. Per informazioni su come modificare le impostazioni di condivisione degli snapshot, consulta [Sharing a DB snapshot](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html) nella *Amazon RDS* User Guide. Per informazioni su come interrompere la condivisione di snapshot, consulta [Stop sharing a DB snapshot](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html#USER_ShareSnapshot.Sharing.StopSharing) nella *Amazon RDS* User Guide. .
### L'istanza DB di Amazon RDS ha uno snapshot non crittografato a riposo
Gli snapshot delle istanze DB di Amazon RDS non crittografati possono esporre dati sensibili se si ottiene un accesso non autorizzato al livello di storage. Senza crittografia, i dati contenuti nelle istantanee potrebbero essere esposti attraverso accessi non autorizzati. Ciò comporta il rischio di violazioni dei dati e della conformità. Seguendo le migliori pratiche di sicurezza, consigliamo di crittografare tutte le risorse del database e i relativi backup per mantenere la riservatezza dei dati.
****
Nella ricerca sull'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istantanea interessata. Non è possibile crittografare direttamente un'istantanea non crittografata esistente. Create invece una copia crittografata dell'istantanea non crittografata. Per istruzioni dettagliate, consulta la sezione [Copia e crittografia delle risorse Amazon RDS del cluster DB nella Guida](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-copy-snapshot.html) per l'utente di Amazon *Aurora*. ..
### Il cluster Amazon RDS DB dispone di uno snapshot non crittografato a riposo.
Gli snapshot del cluster Amazon RDS DB non crittografati possono esporre dati sensibili se si ottiene un accesso non autorizzato al livello di storage. Senza crittografia, i dati contenuti nelle istantanee potrebbero essere esposti attraverso accessi non autorizzati. Ciò comporta il rischio di violazioni dei dati e della conformità. Seguendo le migliori pratiche di sicurezza, consigliamo di crittografare tutte le risorse del database e i relativi backup per mantenere la riservatezza dei dati.
**1. Crea una copia crittografata dell'istantanea**
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istantanea interessata. Non è possibile crittografare direttamente un'istantanea non crittografata esistente. Create invece una copia crittografata dell'istantanea non crittografata. Per istruzioni dettagliate, consulta la sezione [Copia e crittografia delle risorse Amazon RDS del cluster DB nella Guida](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/aurora-copy-snapshot.html) per l'utente di Amazon *Aurora*. ..
### L'istanza database di Amazon RDS ha un gruppo di sicurezza aperto
I gruppi di sicurezza fungono da firewall virtuali per le istanze Amazon RDS per controllare il traffico in entrata e in uscita. I gruppi di sicurezza aperti, che consentono l'accesso illimitato da qualsiasi indirizzo IP, possono esporre le istanze del database ad accessi non autorizzati e a potenziali attacchi. Seguendo i principi di sicurezza standard, consigliamo di limitare l'accesso dei gruppi di sicurezza a indirizzi IP e porte specifici per mantenere il principio del privilegio minimo.
**Rivedi le regole del gruppo di sicurezza e valuta la configurazione corrente**
Nel rilevamento dell'esposizione, apri la risorsa per il gruppo di sicurezza dell'istanza DB. Valuta quali porte sono aperte e accessibili da ampi intervalli IP, ad esempio`(0.0.0.0/0 or ::/0)`. Per informazioni sulla visualizzazione dei dettagli dei gruppi di sicurezza, [DescribeSecurityGroups](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeSecurityGroups.html)consulta *Amazon Elastic Compute Cloud API Reference*.
**Modifica le regole dei gruppi di sicurezza**
Modifica le regole del gruppo di sicurezza per limitare l'accesso a intervalli o indirizzi IP affidabili specifici. Quando aggiorni le regole del gruppo di sicurezza, prendi in considerazione la possibilità di separare i requisiti di accesso per i diversi segmenti di rete creando regole per ogni intervallo IP di origine richiesto o limitando l'accesso a porte specifiche. Per modificare le regole dei gruppi di sicurezza, consulta [Configura le regole dei gruppi di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/changing-security-group.html#add-remove-security-group-rules) nella Guida per l'*utente di Amazon EC2*. *Per modificare la porta predefinita di un'istanza di database Amazon RDS esistente, consulta [Modificare il cluster DB utilizzando la console, la CLI e l'API]() nella Guida per l'utente di Amazon Aurora.*
### L'istanza database Amazon RDS ha l'autenticazione del database IAM disabilitata
L'autenticazione del database IAM consente di autenticarsi nel database Amazon RDS utilizzando credenziali IAM anziché password del database. Ciò offre diversi vantaggi in termini di sicurezza, come la gestione centralizzata degli accessi, le credenziali temporanee e l'eliminazione della memorizzazione delle password del database nel codice dell'applicazione. L'autenticazione del database IAM consente l'autenticazione alle istanze del database con un token di autenticazione anziché una password. Di conseguenza, il traffico di rete da e verso l'istanza del database viene crittografato tramite SSL. Senza l'autenticazione IAM, i database in genere si basano sull'autenticazione basata su password, che può portare al riutilizzo delle password e a password deboli. Seguendo le best practice di sicurezza, consigliamo di abilitare l'autenticazione del database IAM.
**Abilita l'autenticazione del database IAM**
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istanza DB interessata. È possibile abilitare l'autenticazione del database IAM nelle opzioni del database. Per ulteriori informazioni, consulta [Abilitazione e disabilitazione dell'autenticazione del database IAM](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.Enabling.html) nella *Amazon RDS User Guide*. Dopo aver abilitato l'autenticazione IAM, aggiorna le istanze DB per utilizzare l'autenticazione IAM anziché l'autenticazione basata su password.
### L'istanza database Amazon RDS utilizza il nome utente amministratore predefinito.
L'utilizzo di nomi utente predefiniti (ad esempio «admin», «root») per le istanze DB aumenta il rischio per la sicurezza, poiché questi sono ampiamente noti e comunemente presi di mira negli attacchi di forza bruta. I nomi utente predefiniti sono prevedibili e facilitano il tentativo di accesso al database da parte di utenti non autorizzati. Con i nomi utente predefiniti, gli aggressori devono solo ottenere le password anziché averle entrambe per accedere al database. Seguendo le migliori pratiche di sicurezza, consigliamo di utilizzare nomi utente amministrativi univoci per l'istanza di database per migliorare la sicurezza attraverso l'oscurità e ridurre il rischio di tentativi di accesso non autorizzati.
**Configura un nome utente amministratore univoco**
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istanza DB interessata. Considerate quali sono la frequenza di backup, il periodo di conservazione e le regole del ciclo di vita migliori per le vostre applicazioni.
### Il cluster Amazon RDS DB utilizza il nome utente amministratore predefinito
L'utilizzo di nomi utente predefiniti (ad esempio «admin», «root») per le istanze DB aumenta il rischio per la sicurezza, poiché questi sono ampiamente noti e comunemente presi di mira negli attacchi di forza bruta. I nomi utente predefiniti sono prevedibili e facilitano il tentativo di accesso al database da parte di utenti non autorizzati. Con i nomi utente predefiniti, gli aggressori devono solo ottenere le password anziché averle entrambe per accedere al database. Seguendo le migliori pratiche di sicurezza, consigliamo di utilizzare nomi utente amministrativi univoci per l'istanza di database per migliorare la sicurezza attraverso l'oscurità e ridurre il rischio di tentativi di accesso non autorizzati.
**Configura un nome utente amministratore univoco**
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istanza DB interessata. Non è possibile modificare il nome utente dell'amministratore di un'istanza database Amazon RDS esistente. Per creare un nome di amministratore univoco, devi creare una nuova istanza DB con un nome utente personalizzato e migrare i dati.
### L'istanza DB di Amazon RDS ha gli upgrade automatici delle versioni secondarie disattivati
Gli upgrade automatici delle versioni secondarie assicurano che le istanze Amazon RDS ricevano automaticamente gli aggiornamenti delle versioni secondarie del motore non appena diventano disponibili. Questi aggiornamenti spesso includono importanti patch di sicurezza e correzioni di bug che aiutano a mantenere la sicurezza e la stabilità del database. Il database rischia di presentare vulnerabilità di sicurezza note che sono state corrette nelle versioni minori più recenti. Senza aggiornamenti automatici, le istanze del database possono accumulare vulnerabilità di sicurezza man mano che ne vengono scoperte di nuove. CVEs Seguendo le best practice di sicurezza, consigliamo di abilitare gli upgrade automatici delle versioni secondarie per tutte le istanze Amazon RDS.
**Abilita gli aggiornamenti automatici delle versioni secondarie**
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istanza DB interessata. È possibile visualizzare le impostazioni automatiche degli aggiornamenti secondari nella scheda **Manutenzione e backup**. Per ulteriori informazioni, consulta [Upgrade automatici delle versioni secondarie per Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MySQL.Minor.html) for MySQL. Puoi anche configurare la finestra di manutenzione in modo che avvenga durante i periodi di scarsa attività del database.
### L'istanza DB di Amazon RDS ha i backup automatici disabilitati
I backup automatici forniscono il point-in-time ripristino delle istanze Amazon RDS, consentendoti di ripristinare il database in qualsiasi momento durante il periodo di conservazione. Quando i backup automatici sono disabilitati, si rischia di perdere i dati in caso di cancellazione intenzionale, danneggiamento dei dati o altri scenari di perdita di dati. In caso di attività dannose come attacchi ransomware, cancellazione di tabelle di database o danneggiamento, la possibilità di ripristinare un punto temporale precedente all'incidente riduce il tempo necessario per il ripristino da un incidente. Seguendo le best practice di sicurezza, consigliamo di abilitare backup automatici con un periodo di conservazione appropriato per tutti i database [di produzione](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithAutomatedBackups.Enabling.html).
### L'istanza DB di Amazon RDS ha la protezione da eliminazione disattivata
La protezione dall'eliminazione del database è una funzionalità che aiuta a prevenire l'eliminazione delle istanze del database. Quando la protezione dall'eliminazione è disattivata, il database può essere eliminato da qualsiasi utente con autorizzazioni sufficienti, con possibili perdite di dati o tempi di inattività delle applicazioni. Gli aggressori possono eliminare il database, con conseguenti interruzioni del servizio, perdita di dati e tempi di ripristino prolungati. Seguendo le best practice di sicurezza, consigliamo di abilitare la protezione da eliminazione per le istanze DB RDS per prevenire eliminazioni dannose.
**Abilita la protezione da eliminazione per il tuo cluster Amazon RDS DB**
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà il cluster DB interessato.
### La protezione da eliminazione del cluster Amazon RDS DB è disattivata
La protezione dall'eliminazione del database è una funzionalità che aiuta a prevenire l'eliminazione delle istanze del database. Quando la protezione dall'eliminazione è disattivata, il database può essere eliminato da qualsiasi utente con autorizzazioni sufficienti, con possibili perdite di dati o tempi di inattività delle applicazioni. Gli aggressori possono eliminare il database, con conseguenti interruzioni del servizio, perdita di dati e tempi di ripristino prolungati. Seguendo le best practice di sicurezza, consigliamo di abilitare la protezione da eliminazione per i cluster RDS DB per prevenire eliminazioni dannose.
**Abilita la protezione da eliminazione per il tuo cluster Amazon RDS DB**
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà il cluster DB interessato.
### L'istanza database Amazon RDS utilizza la porta predefinita per il motore di database.
Le istanze Amazon RDS che utilizzano porte predefinite per i motori di database possono essere esposte a maggiori rischi per la sicurezza, poiché queste porte predefinite sono ampiamente conosciute e spesso vengono prese di mira da strumenti di scansione automatizzati. La modifica dell'istanza DB per utilizzare porte non predefinite aggiunge un ulteriore livello di sicurezza grazie all'oscurità, rendendo più difficile per gli utenti non autorizzati eseguire attacchi automatici o mirati al database. Le porte predefinite vengono in genere analizzate da persone non autorizzate e possono causare il bersaglio dell'istanza DB. Seguendo le migliori pratiche di sicurezza, consigliamo di modificare la porta predefinita con una porta personalizzata per ridurre il rischio di attacchi automatici o mirati.
****
Nella ricerca sull'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istanza DB interessata.
**Aggiorna le stringhe di connessione dell'applicazione**
Dopo aver modificato la porta, aggiorna tutte le applicazioni e i servizi che si connettono alla tua istanza Amazon RDS per utilizzare il nuovo numero di porta.
### L'istanza database Amazon RDS non è coperta da un piano di backup
AWS Backup è un servizio di backup completamente gestito che centralizza e automatizza il backup dei dati in tutto il mondo. Servizi AWS Se l'istanza DB non è coperta da un piano di backup, si rischia di perdere i dati in caso di eliminazione intenzionale, danneggiamento dei dati o altri scenari di perdita dei dati. In caso di attività dannose come attacchi ransomware, cancellazione di tabelle di database o danneggiamento, la possibilità di ripristinare un punto temporale precedente all'incidente riduce il tempo necessario per riprendersi da un incidente. Seguendo le best practice di sicurezza, consigliamo di includere le istanze Amazon RDS in un piano di backup per garantire la protezione dei dati.
**Crea e assegna un piano di backup per la tua istanza DB**
Nel rilevamento dell'esposizione, apri la risorsa con il collegamento ipertestuale. Questo aprirà l'istanza DB interessata. Considerate quali sono la frequenza di backup, il periodo di conservazione e le regole del ciclo di vita migliori per le vostre applicazioni.
# Correzione delle esposizioni per i bucket Amazon S3
AWS Security Hub può generare risultati di esposizione per i bucket Amazon Simple Storage Service (S3).
Sulla console Security Hub, il bucket Amazon S3 coinvolto in un rilevamento dell'esposizione e le relative informazioni identificative sono elencati nella sezione **Risorse dei dettagli** del risultato. A livello di codice, è possibile recuperare i dettagli delle risorse con il [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)funzionamento dell'API CSPM Security Hub.
Dopo aver identificato la risorsa coinvolta in un rilevamento dell'esposizione, puoi eliminare la risorsa se non ti serve. L'eliminazione di una risorsa non essenziale può ridurre il profilo di esposizione e AWS i costi. Se la risorsa è essenziale, segui questi passaggi correttivi consigliati per mitigare il rischio. Gli argomenti relativi alla correzione sono suddivisi in base al tipo di caratteristica.
Un singolo risultato sull'esposizione contiene i problemi identificati in diversi argomenti relativi alla correzione. Al contrario, è possibile risolvere un problema di esposizione e ridurne il livello di gravità affrontando un solo argomento di correzione. L'approccio alla risoluzione dei rischi dipende dai requisiti organizzativi e dai carichi di lavoro.
**Nota**
Le linee guida sulla correzione fornite in questo argomento potrebbero richiedere ulteriori consultazioni in altre risorse. AWS
**Contents**
+ [Caratteristiche di configurazione errate per i bucket Amazon S3](#misconfiguration)
+ [Il controllo delle versioni del bucket Amazon S3 è disabilitato](#versioning-disabled)
+ [Il bucket Amazon S3 ha Object Lock disabilitato](#object-lock-disabled)
+ [Il bucket Amazon S3 non è crittografato quando è inattivo con chiavi AWS KMS](#sse-kms-not-used)
+ [L'eliminazione dell'autenticazione a più fattori (MFA) è disabilitata su un bucket Amazon S3 con versione](#mfa-delete-disabled)
+ [Il bucket Amazon S3 consente ai responsabili di altri AWS account di modificare le autorizzazioni dei bucket.](#external-aws-access-allowed)
+ [Caratteristiche di raggiungibilità per i bucket Amazon S3](#reachability)
+ [Il bucket Amazon S3 ha accesso pubblico in lettura](#public-read-allowed)
+ [Il bucket Amazon S3 ha accesso pubblico in scrittura](#public-write-allowed)
+ [Caratteristiche dei dati sensibili per i bucket Amazon S3](#sensitive-data)
+ [Caratteristiche dei dati sensibili per i bucket Amazon S3](#sensitive-data-present)
## Caratteristiche di configurazione errate per i bucket Amazon S3
Di seguito sono riportate le caratteristiche di configurazione errate per i bucket Amazon S3 e le procedure di correzione suggerite.
### Il controllo delle versioni del bucket Amazon S3 è disabilitato
Amazon S3 Versioning ti aiuta a mantenere più varianti di un oggetto nello stesso bucket. Quando il controllo delle versioni è disabilitato, Amazon S3 memorizza solo la versione più recente di ogni oggetto, il che significa che se gli oggetti vengono eliminati o sovrascritti accidentalmente o intenzionalmente, non possono essere recuperati. I bucket abilitati al controllo delle versioni forniscono protezione contro l'eliminazione accidentale, i guasti delle applicazioni e gli incidenti di sicurezza come gli attacchi ransomware, in cui potrebbero verificarsi modifiche o cancellazioni non autorizzate dei dati. Seguendo le migliori pratiche di sicurezza, consigliamo di abilitare il controllo delle versioni per i bucket contenenti dati importanti che sarebbero difficili o impossibili da ricreare in caso di perdita.
1. **Abilita il controllo delle versioni**: per abilitare il controllo delle versioni di Amazon S3 su un bucket, [consulta Enabling versioning on bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html) nella *Amazon* Simple Storage Service User Guide. Quando abiliti il controllo delle versioni, prendi in considerazione l'implementazione di regole del ciclo di vita per gestire lo storage, poiché il controllo delle versioni manterrà più copie degli oggetti.
### Il bucket Amazon S3 ha Object Lock disabilitato
Amazon S3 Object Lock fornisce un modello write-once-read-many (WORM) per gli oggetti Amazon S3, impedendo che vengano eliminati o sovrascritti per un periodo fisso o indefinitamente. Quando Object Lock è disabilitato, i tuoi oggetti potrebbero essere vulnerabili all'eliminazione, alla modifica o alla crittografia accidentali o dolose da parte del ransomware. Object Lock è particolarmente importante per la conformità ai requisiti normativi che richiedono l'archiviazione immutabile dei dati e per la protezione da minacce sofisticate come il ransomware che potrebbe tentare di crittografare i dati. Abilitando Object Lock, è possibile applicare le politiche di conservazione come ulteriore livello di protezione dei dati e creare una strategia di backup immutabile per i dati critici. Seguendo le migliori pratiche di sicurezza, ti consigliamo di abilitare Object Lock per prevenire modifiche dannose degli oggetti.
1. Tieni presente che Object Lock può essere abilitato solo quando crei un nuovo bucket, quindi dovrai creare un nuovo bucket con Object Lock abilitato. Per migrazioni di grandi dimensioni, prendi in considerazione l'utilizzo di Batch Operations per copiare gli oggetti nel nuovo bucket. Prima di bloccare qualsiasi oggetto, devi anche abilitare Amazon S3 Versioning e Object Lock su un bucket. Poiché Object Lock può essere abilitato solo su nuovi bucket, dovrai migrare i dati esistenti in un nuovo bucket con Object Lock abilitato. **Configurazione di Amazon S3 Object Lock**: per informazioni su come configurare Object Lock su un bucket, consulta Configuring [Amazon S3 Object Lock nella Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html) Storage Service User *Guide*. Dopo aver configurato Object Lock, scegli una modalità di conservazione appropriata in base al tuo ambiente.
### Il bucket Amazon S3 non è crittografato quando è inattivo con chiavi AWS KMS
Amazon S3 applica la crittografia lato server con le chiavi gestite di Amazon S3 come livello di crittografia predefinito per tutti i nuovi bucket. Sebbene le chiavi gestite di Amazon S3 offrano una protezione crittografica avanzata, non offrono lo stesso livello di controllo degli accessi e funzionalità di audit delle chiavi. AWS Key Management Service Quando si utilizzano le chiavi KMS, l'accesso agli oggetti richiede le autorizzazioni sia per il bucket Amazon S3 che per la chiave KMS che ha crittografato l'oggetto. Ciò è particolarmente importante per i dati sensibili in cui è necessario un controllo granulare su chi può accedere agli oggetti crittografati e una registrazione di controllo completa dell'utilizzo delle chiavi di crittografia. Seguendo le migliori pratiche di sicurezza, consigliamo di utilizzare le chiavi KMS per crittografare i bucket contenenti dati sensibili o per ambienti con requisiti di conformità rigorosi.
1. **Configurazione della chiave bucket Amazon S3**
*Per configurare un bucket per utilizzare una chiave bucket Amazon S3 per nuovi oggetti, [consulta Configurazione del bucket per l'utilizzo di una chiave bucket Amazon S3 con SSE-KMS per nuovi oggetti nella Guida per l'utente di Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-bucket-key.html) Storage Service.* Per informazioni su come crittografare un oggetto esistente, [consulta Encrypting objects with Amazon S3 Batch](https://aws.amazon.com/blogs/storage/encrypting-objects-with-amazon-s3-batch-operations/) Operations nel AWS blog di storage.
Quando implementi AWS KMS la crittografia, considera quanto segue:
+ **Gestione delle chiavi**: decidi se utilizzare una chiave AWS gestita o una chiave gestita dal cliente (CMK). CMKs offri ai clienti il pieno controllo sul ciclo di vita e sull'utilizzo delle loro chiavi. *Per ulteriori informazioni sulla differenza tra questi due tipi di chiavi, consulta le chiavi [AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt) nella Guida per gli AWS Key Management Service sviluppatori.*
+ **Rotazione delle chiavi**: per ulteriori misure di sicurezza, abilita la rotazione automatica delle chiavi KMS. Per ulteriori informazioni, consulta [Abilitare la rotazione automatica delle chiavi]() nella *Guida per gli AWS Key Management Service sviluppatori*.
### L'eliminazione dell'autenticazione a più fattori (MFA) è disabilitata su un bucket Amazon S3 con versione
L'eliminazione dell'autenticazione a più fattori (MFA) fornisce un ulteriore livello di sicurezza per il tuo bucket Amazon S3. Richiede l'autenticazione a più fattori per le operazioni distruttive di Amazon S3. Quando l'eliminazione MFA è disabilitata, gli utenti con le autorizzazioni appropriate possono eliminare definitivamente le versioni degli oggetti o sospendere il controllo delle versioni sul bucket senza ulteriori problemi di autenticazione. L'attivazione dell'eliminazione MFA aiuta a proteggere dall'eliminazione non autorizzata o accidentale dei dati, fornendo una protezione avanzata contro attacchi ransomware, minacce interne ed errori operativi. L'eliminazione tramite MFA è particolarmente utile per i bucket contenenti dati critici o sensibili alla conformità che devono essere protetti dall'eliminazione non autorizzata. Seguendo le best practice di sicurezza, consigliamo di abilitare l'MFA per i bucket Amazon S3.
1. **Esamina i tipi di MFA**
AWS supporta i seguenti tipi di [MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html#id_credentials_mfa-types). Sebbene l'autenticazione con un dispositivo fisico offra in genere una protezione di sicurezza più rigorosa, l'utilizzo di qualsiasi tipo di MFA è più sicuro rispetto alla disattivazione dell'MFA.
1. **Applicare la MFA a livello di politica delle risorse**
Utilizza la chiave di `aws:MultiFactorAuthAge` condizione in una policy bucket per richiedere l'MFA per operazioni sensibili. Per ulteriori informazioni, consulta la sezione [Richiedere l'autenticazione a più fattori nella Guida](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html#example-bucket-policies-MFA) per l'*utente di Amazon Simple Storage Service*.
1. **Abilita MFA**
Per abilitare l'eliminazione MFA, assicurati innanzitutto che il controllo delle versioni sia abilitato sul tuo bucket Amazon S3. L'eliminazione MFA è supportata solo sui bucket con il controllo delle versioni abilitato. Per informazioni su come abilitare il controllo delle versioni di Amazon S3, consulta [Enabling versioning on bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/manage-versioning-examples.html) nella *Amazon Simple* Storage Service User Guide. L'eliminazione MFA non può essere abilitata tramite la console Amazon S3. È necessario utilizzare l'API Amazon S3 o il. AWS CLI Per ulteriori informazioni, consulta [Configurazione dell'eliminazione MFA](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) nella Guida per l'utente di *Amazon Simple Storage Service*.
### Il bucket Amazon S3 consente ai responsabili di altri AWS account di modificare le autorizzazioni dei bucket.
Le policy dei bucket di Amazon S3 controllano l'accesso a bucket e oggetti. Quando le policy relative ai bucket consentono ai responsabili di altri AWS account di modificare le autorizzazioni dei bucket, gli utenti non autorizzati possono riconfigurare il bucket. Se le credenziali principali esterne vengono compromesse, gli utenti non autorizzati possono ottenere il controllo del bucket, con conseguenti violazioni dei dati o interruzioni del servizio. Seguendo i principi di sicurezza standard, AWS consiglia di limitare le azioni di gestione delle autorizzazioni solo a responsabili affidabili.
1. **Rivedi e identifica le politiche relative ai bucket**
Nell'esposizione, identifica il bucket Amazon S3 nel campo ARN. Nella console Amazon S3, seleziona il bucket e vai alla scheda **Autorizzazioni per esaminare la politica** del bucket. Rivedi la politica di autorizzazione allegata al bucket. Cerca le politiche che concedono azioni simili `s3:PutBucketPolicy, s3:PutBucketAcl, s3:DeleteBucketPolicy, s3:* ` o le dichiarazioni politiche che consentono l'accesso a soggetti esterni al tuo account, come indicato nella dichiarazione principale.
1. **Modifica la policy del bucket**
Modifica la policy del bucket per rimuovere o limitare le azioni concesse ad altri AWS account:
+ Rimuovi le dichiarazioni politiche che concedono azioni di gestione delle autorizzazioni agli account esterni.
+ Se è richiesto l'accesso su più account, sostituisci le autorizzazioni generali `(s3:*)` con azioni specifiche che non includono la gestione delle autorizzazioni dei bucket.
Per informazioni sulla modifica di una policy bucket, consulta [Aggiungere una bucket policy utilizzando la console Amazon S3 nella Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) *Storage Service User Guide*.
## Caratteristiche di raggiungibilità per i bucket Amazon S3
Ecco le caratteristiche di raggiungibilità per i bucket Amazon S3 e le procedure di correzione suggerite.
### Il bucket Amazon S3 ha accesso pubblico in lettura
I bucket Amazon S3 con accesso pubblico in lettura consentono a chiunque su Internet di visualizzare il contenuto del bucket. Sebbene ciò possa essere necessario per siti Web accessibili al pubblico o risorse condivise, può creare rischi per la sicurezza se il bucket contiene dati sensibili. L'accesso pubblico alla lettura può portare alla visualizzazione e al download non autorizzati, il che può portare a violazioni dei dati se i dati sensibili sono archiviati in tali bucket. Seguendo i principi di sicurezza standard, AWS consiglia di limitare l'accesso ai bucket Amazon S3 agli utenti e ai sistemi necessari.
1. **Blocca l'accesso pubblico a livello di bucket**
Amazon S3 fornisce impostazioni di accesso pubblico a blocchi che possono essere configurate sia a livello di bucket che di account per impedire l'accesso pubblico indipendentemente dalle policy del bucket o. ACLs Per ulteriori informazioni, consulta [Bloccare l'accesso pubblico allo storage Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) nella Guida per l'*utente di Amazon Simple Storage Service*. Dopo aver bloccato l'accesso pubblico, rivedi la configurazione del controllo degli accessi del bucket per assicurarti che sia in linea con i tuoi requisiti di accesso. Quindi rivedi la tua policy sui bucket Amazon S3 per definire in modo esplicito chi può accedere al tuo bucket. Per esempi di policy bucket, consulta [Esempi di policy bucket Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html) nella Amazon *Simple Storage Service User* Guide.
1. **Metodi di accesso alternativi**
Se è richiesto l'accesso pubblico in lettura, prendi in considerazione queste alternative più sicure:
+ **CloudFront**— Utilizzalo CloudFront con Origin Access Identity (OAI) o Origin Access Control (OAC) per consentire l'accesso in lettura da un bucket Amazon S3 privato. Questa alternativa limita l'accesso diretto al tuo bucket Amazon S3, consentendo al contempo l'accesso pubblico ai contenuti tramite. CloudFront Per ulteriori informazioni, consulta [Limitazione dell'accesso a un'origine Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) nella * CloudFront Amazon Developer Guide*.
+ **Presigned URLs**: usa presigned URLs per l'accesso temporaneo a oggetti specifici. Per ulteriori informazioni, consulta [Sharing objects with presigned URLs](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) nella *Amazon CloudFront Developer Guide*.
### Il bucket Amazon S3 ha accesso pubblico in scrittura
I bucket Amazon S3 con accesso pubblico in scrittura consentono a chiunque su Internet di caricare, modificare o eliminare oggetti nel tuo bucket. Ciò crea rischi significativi per la sicurezza, tra cui la possibilità che qualcuno carichi file dannosi, modifichi file esistenti ed elimini dati. L'accesso pubblico in scrittura crea vulnerabilità di sicurezza che possono essere sfruttate dagli aggressori. Seguendo i principi di sicurezza standard, AWS consiglia di limitare l'accesso in scrittura ai bucket Amazon S3 solo agli utenti e ai sistemi necessari.
1. **Blocca l'accesso pubblico a livello di account e bucket**
Amazon S3 fornisce impostazioni di accesso pubblico a blocchi che possono essere configurate sia a livello di bucket che di account per impedire l'accesso pubblico indipendentemente dalle policy del bucket o. ACLs Per ulteriori informazioni, consulta [Bloccare l'accesso pubblico allo storage Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) nella Guida per l'*utente di Amazon Simple Storage Service*.
1. **Modifica le politiche dei bucket**
Per un approccio più granulare alla rimozione dell'accesso pubblico alla scrittura, consulta la bucket policy. Puoi cercare `s3:PutObject``s3:DeleteObject`, o. `s3:*` Per ulteriori informazioni sulla gestione delle policy dei bucket, consulta le politiche dei [bucket per Amazon S3 nella Guida per l'utente di Amazon](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) *Simple Storage Service*.
1. **Metodi di accesso alternativi**
Se è richiesto l'accesso pubblico in lettura, prendi in considerazione queste alternative più sicure:
+ **CloudFront**— Utilizzalo CloudFront con Origin Access Identity (OAI) o Origin Access Control (OAC) per consentire l'accesso in lettura da un bucket Amazon S3 privato. Questa alternativa limita l'accesso diretto al tuo bucket Amazon S3, consentendo al contempo l'accesso pubblico ai contenuti tramite. CloudFront Per ulteriori informazioni, consulta [Limitazione dell'accesso a un'origine Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) nella * CloudFront Amazon Developer Guide*.
+ **Presigned URLs**: usa presigned URLs per l'accesso temporaneo a oggetti specifici. Per ulteriori informazioni, consulta [Sharing objects with presigned URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ShareObjectPreSignedURL.html) nella *Amazon Simple Storage Service User Guide*.
## Caratteristiche dei dati sensibili per i bucket Amazon S3
Ecco le caratteristiche dei dati sensibili per i bucket Amazon S3 e le procedure di correzione suggerite.
### Caratteristiche dei dati sensibili per i bucket Amazon S3
Quando Macie identifica dati sensibili nei bucket Amazon S3, indica potenziali rischi di sicurezza e conformità che richiedono un'attenzione immediata.
I dati sensibili possono includere:
+ Credenziali
+ Informazioni di identificazione personale
+ Informazioni finanziarie
+ Contenuti riservati che richiedono protezione
Se i dati sensibili vengono esposti a causa di una configurazione errata o di un accesso non autorizzato, ciò potrebbe portare a violazioni della conformità, violazioni dei dati, furto di identità o perdite finanziarie. Seguendo le best practice di sicurezza, AWS consiglia una corretta classificazione dei dati e il monitoraggio continuo dei dati sensibili nei bucket Amazon S3.
**Implementa controlli per i dati sensibili**
Nella ricerca sull'esposizione, scegli la **risorsa Open**. Controlla il tipo di dati sensibili rilevati e la loro posizione nel bucket. Per informazioni sull'interpretazione dei risultati di Macie, consulta [Tipi di risultati Macie](https://docs.aws.amazon.com/macie/latest/user/findings-types.html) nella Guida per l'utente di *Amazon* Macie.
In base al tipo di dati sensibili scoperti, implementa i controlli di sicurezza appropriati:
+ **Limita l'accesso al bucket**: controlla le autorizzazioni del bucket per assicurarti che seguano il principio del privilegio minimo. Utilizza le policy IAM, le bucket policy e per limitare l'accesso. ACLs Per ulteriori informazioni, consulta [Identity and Access Management for Amazon S3 nella Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-iam.html) *Storage Service User Guide*.
+ **Abilita la crittografia lato server: abilita la crittografia lato** server con chiavi e chiavi KMS per una protezione aggiuntiva. Per ulteriori informazioni, consulta [Using server-side encryption with AWS KMS keys (SSE-KMS) nella *Amazon* Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) Storage Service User Guide.
+ **Uso AWS Glue DataBrew: utilizzare Glue DataBrew per la** preparazione e la pulizia dei dati. Per ulteriori informazioni, consulta [Cosa contiene AWS Glue DataBrew](https://docs.aws.amazon.com/databrew/latest/dg/what-is.html) la *Guida per AWS Glue DataBrew gli sviluppatori*.
# Automazioni nel Security Hub
Security Hub include funzionalità che modificano e agiscono automaticamente sui risultati in base alle specifiche dell'utente.
Security Hub attualmente supporta i seguenti tipi di automazioni:
+ **Regole di automazione**: aggiorna e elimina automaticamente i risultati, nonché invia i risultati agli strumenti di ticketing, quasi in tempo reale sulla base di criteri definiti.
+ **Risposta e correzione automatizzate**: crea EventBridge regole Amazon personalizzate che definiscono azioni automatiche da intraprendere in base a risultati e approfondimenti specifici.
Le regole di automazione sono utili quando desideri aggiornare automaticamente i campi di ricerca nell'Open Cybersecurity Schema Framework (OCSF). Ad esempio, è possibile utilizzare una regola di automazione per aggiornare il livello di gravità dei risultati per le risorse con un tag specifico. L'utilizzo della regola di automazione elimina la necessità di aggiornare manualmente il livello di gravità di ogni risultato relativo al tag specifico. Puoi configurare le regole di automazione per creare ticket in strumenti come Jira Cloud e ServiceNow quando i risultati corrispondono ad attributi specifici. Ciò consente di creare i risultati nei ticket non appena vengono inviati a Security Hub o creati in Security Hub.
EventBridge le regole sono utili quando si desidera intraprendere azioni al di fuori di Security Hub CSPM in relazione a risultati specifici o inviare risultati specifici a strumenti di terze parti per la correzione o ulteriori indagini. Le regole possono essere utilizzate per attivare azioni supportate, come richiamare una AWS Lambda funzione o notificare un argomento di Amazon Simple Notification Service (Amazon SNS) su un risultato specifico.
Le regole di automazione entrano in vigore prima dell' EventBridge applicazione delle regole. In altre parole, le regole di automazione vengono attivate e aggiornano un risultato prima di EventBridge riceverlo. EventBridge le regole si applicano quindi al risultato aggiornato.
# Regole di automazione in Security Hub
Con Security Hub, puoi automatizzare attività come l'aggiornamento dei dettagli delle ricerche e la creazione di ticket per integrazioni di terze parti.
## Regole di automazione e Regioni AWS
Le regole di automazione possono essere create in un'unica Regione AWS soluzione e quindi applicate in tutte le configurazioni Regioni AWS. Quando si utilizza l'aggregazione delle regioni, è possibile creare regole solo nella regione di origine. Quando si creano regole nella regione d'origine, qualsiasi regola definita viene applicata a tutte le aree collegate, a meno che i criteri delle regole non escludano una regione collegata specifica. È necessario creare una regola di automazione per qualsiasi regione che non sia un'area collegata.
## Azioni e criteri delle regole
Le regole di automazione in Security Hub utilizzano criteri per fare riferimento agli attributi OCSF nei risultati di Security Hub. Ad esempio, i filtri supportati per il `Criteria` parametro in [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRuleV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRuleV2.html)corrispondono ai filtri supportati per il `Criteria` parametro in. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html) Ciò significa che i filtri utilizzati nelle regole di automazione possono essere utilizzati per ottenere risultati. Security Hub supporta i seguenti campi OCSF per i criteri delle regole di automazione.
| Campo OCSF | Valore del filtro della console | Operatori di filtro | Tipo di campo |
| --- | --- | --- | --- |
| activity\$1name | Activity name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| class\$1name | Finding class name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| cloud.account.uid | Account ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| cloud.provider | Cloud provider | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| cloud.region | Region | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| comment | Comment | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| compliance.assessments.category | Assessment category | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| compliance.assessments.name | Assessment name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| compliance.control | Security control ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| compliance.standards | Applicable standards | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| compliance.status | Compliance status | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| finding\$1info.desc | Finding description | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| finding\$1info.related\$1events.product.uid | Related findings product ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| finding\$1info.related\$1events.title | Related findings title | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| finding\$1info.related\$1events.uid | Related findings ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| finding\$1info.src\$1url | Source URL | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| finding\$1info.types | Finding type | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| finding\$1info.uid | Provider ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| metadata.product.feature.uid | Generator ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| metadata.product.name | Product name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| metadata.product.uid | Product ARN | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| metadata.product.vendor\$1name | Company name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| metadata.uid | Finding ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| remediation.desc | Recommendation text | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| remediation.references | Recommendation URL | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| resources.cloud\$1partition | Resource partition | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| resources.name | Resource name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| resources.region | Resource region | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| resources.type | Resource type | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| resources.uid | Resource ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| severity | Severity | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| status | Status | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| vulnerabilities.fix\$1coverage | Software vulnerabilities coverage | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| finding\$1info.first\$1seen\$1time\$1dt | First observed at | Start, End, DateRange | Date (formatted as 2022-12-01T21:47:39.269Z) |
| finding\$1info.last\$1seen\$1time\$1dt | Last observed at | Start, End, DateRange | Date (formatted as 2022-12-01T21:47:39.269Z) |
| finding\$1info.modified\$1time\$1dt | Updated at | Start, End, DateRange | Date (formatted as 2022-12-01T21:47:39.269Z) |
| compliance.assessments.meets\$1criteria | Compliance assessment meets criteria | True, False | Boolean |
| vulnerabilities.is\$1exploit\$1available | Software vulnerabilities with exploit available | True, False | Boolean |
| vulnerabilities.is\$1fix\$1available | Software vulnerabilities with fix available | True, False | Boolean |
| activity\$1id | Activity ID | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| compliance.status\$1id | Compliance status ID | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| confidence\$1score | Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| severity\$1id | Severity ID | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| status\$1id | Status ID | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| finding\$1info.related\$1events\$1count | Related findings count | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| resources.tags | Resource tags | EQUALS | Map |
Per i criteri etichettati come campi stringa, l'utilizzo di operatori di filtro diversi sullo stesso campo influisce sulla logica di valutazione. Per ulteriori informazioni, consulta il *riferimento [StringFilter](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)all'API Security Hub*.
Ogni criterio supporta un numero massimo di valori che possono essere utilizzati per filtrare i risultati corrispondenti. Per i limiti di ogni criterio, vedere il riferimento [OcsfFindingFilters](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_OcsfFindingFilters.html)all'API *Security Hub*
**Campi OCSF che possono essere aggiornati**
Di seguito sono riportati i campi OCSF che possono essere aggiornati utilizzando le regole di automazione.
+ `Comment`
+ `SeverityId`
+ `StatusId`
## In che modo le regole di automazione valutano i risultati
Una regola di automazione valuta i risultati nuovi e aggiornati generati o acquisiti da Security Hub dopo la creazione della regola.
Le regole di automazione valutano i risultati originali forniti dal provider. I provider possono fornire nuovi risultati e aggiornare i risultati esistenti attraverso la loro integrazione con Security Hub. Le regole non vengono attivate quando aggiorni i campi di ricerca dopo la creazione della regola tramite l'`BatchUpdateFindingsV2`operazione. Se si crea una regola di automazione e si effettua un `BatchUpdateFindingsV2` aggiornamento che influiscono entrambi sullo stesso campo di ricerca, l'ultimo aggiornamento imposta il valore per quel campo. Prendiamo l'esempio seguente:
Si usa `BatchUpdateFindingsV2` per aggiornare il `Status` campo di un risultato da `New` a`In Process`. Se chiami`GetFindingsV2`, il `Status` campo ora ha un valore di`In Process`. Crei una regola di automazione che modifica il `Status` campo del risultato da `New` a `Suppressed` (ricorda che le regole ignorano gli aggiornamenti effettuati con`BatchUpdateFindingsV2`). Il provider di ricerca aggiorna il risultato e modifica il `Status` campo in`New`. Se si chiama`GetFindingsV2`, il `Status` campo ora ha un valore pari a `Suppressed` perché è stata applicata la regola di automazione e la regola è stata l'ultima azione intrapresa sul risultato.
Quando si crea o si modifica una regola sulla console Security Hub, la console mostra un'anteprima dei risultati che corrispondono ai criteri della regola. Mentre le regole di automazione valutano i risultati originali inviati dal provider dei risultati, l'anteprima della console riflette i risultati nel loro stato finale così come verrebbero visualizzati in risposta all'operazione dell'`GetFindingsV2`API (ovvero, dopo l'applicazione delle azioni delle regole o di altri aggiornamenti al risultato).
## Come vengono ordinate le regole di automazione
A ogni regola di automazione viene assegnato un ordine di regole. Ciò determina l'ordine in cui Security Hub applica le regole di automazione e diventa importante quando più regole si riferiscono allo stesso campo di ricerca o ricerca.
Quando più azioni delle regole si riferiscono allo stesso campo di ricerca o di ricerca, la regola con il valore numerico più alto per l'ordine delle regole si applica per ultima e ha l'effetto finale.
Quando si crea una regola nella console di Security Hub, Security Hub assegna automaticamente l'ordine delle regole in base all'ordine di creazione delle regole. La prima regola creata avrà un ordine di regole pari a 1. Se esistono più regole, ogni regola creata successivamente avrà il valore numerico immediatamente più alto disponibile per l'ordine delle regole.
Quando crei una regola tramite [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRuleV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRuleV2.html)API o AWS CLI, Security Hub applica per `RuleOrder` prima la regola con il valore numerico più basso. Quindi applica le regole successive in ordine crescente. Se più risultati sono uguali`RuleOrder`, Security Hub applica prima una regola con un valore precedente per il `UpdatedAt` campo (ovvero, la regola che è stata modificata più di recente si applica per ultima).
È possibile modificare l'ordine delle regole in qualsiasi momento.
**Esempio di ordine delle regole**:
**Regola A (l'ordine delle regole è`1`)**:
+ Criteri della regola A
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type` è `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState` è `NEW`
+ `Workflow.Status` = `ACTIVE`
+ Azioni della regola A
+ Aggiorna `Confidence` a `95`
+ Aggiorna `Severity` a `CRITICAL`
+ Aggiorna `Comment` a `This needs attention`
**Regola B (l'ordine delle regole è`2`)**:
+ Criteri della regola B
+ `AwsAccountId` = `123456789012`
+ Azioni della regola B
+ Aggiorna `Severity` a `INFORMATIONAL`
Innanzitutto, le azioni della Regola A si applicano ai risultati del Security Hub che soddisfano i criteri della Regola A. Quindi, le azioni della Regola B si applicano ai risultati di Security Hub con l'ID account specificato. In questo esempio, poiché la regola B si applica per ultima, il valore finale dei `Severity` risultati derivanti dall'ID account specificato è`INFORMATIONAL`. In base all'azione della Regola A, il valore finale dei `Confidence` risultati corrispondenti è`95`.
## Integrazioni con terze parti
Puoi utilizzare le regole di automazione per creare ticket per le integrazioni con Jira Cloud e. ServiceNow ITSM Per ulteriori informazioni, consulta [Creazione di una regola per un'integrazione di terze parti](https://docs.aws.amazon.com/securityhub/latest/userguide/securithub-v2-automation-rules-create.html#integration).
## Scenari in cui le regole di automazione non funzionano
Di seguito sono riportati gli scenari in cui le regole di automazione non funzionano.
+ L'account autonomo diventa membro di un'organizzazione con un amministratore delegato
+ L'account di gestione dell'organizzazione rimuove l'amministratore delegato e ne imposta un nuovo amministratore delegato
+ La configurazione dell'aggregatore per l'amministratore delegato o l'account autonomo cambia quando un'area non collegata diventa un'area collegata
In questi scenari, un membro di un'organizzazione può gestire le regole di automazione con operazioni di elenco, acquisizione ed eliminazione in sala operatoria. AWS CLI APIs
Quando un'area non collegata diventa un'area collegata, l'amministratore delegato o l'account autonomo può gestire le risorse in un'area collegata con operazioni di elenco, acquisizione ed eliminazione.
# Creazione di regole di automazione in Security Hub
Questo argomento descrive come creare regole di automazione. Puoi utilizzare le regole di automazione per aggiornare i dettagli di una ricerca o creare un ticket per un'integrazione di terze parti. È necessario creare le regole di automazione singolarmente e nel Regione AWS luogo in cui si desidera che vengano applicate. Tuttavia, se si crea una regola di automazione in una regione di aggregazione, questa verrà applicata in tutte le regioni. Altrimenti, se crei una regola di automazione in un'area non collegata, verrà applicata solo in quella regione.
## Creazione di una regola che aggiorni i dettagli della ricerca
La procedura seguente descrive come creare una regola che aggiorni i dettagli della ricerca.
1. Accedi al tuo AWS account. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Dal pannello di navigazione, in **Gestione**, scegli Automazioni.**
1. Scegli **Crea regola**.
1. In **Dettagli**, inserisci un nome per la regola di automazione.
1. (Facoltativo) Inserisci una descrizione per la regola di automazione.
1. In **Azioni**, scegli **Aggiorna i dettagli dei risultati**. Puoi cercare criteri e aggiungere criteri nella barra di ricerca. Per verificare se alcuni risultati corrispondono ai tuoi criteri, scegli **Anteprima dei risultati corrispondenti**.
1. In **Aggiorna i dettagli dei risultati**, scegli almeno un dettaglio di ricerca da aggiornare quando un risultato corrisponde ai tuoi criteri. Puoi scegliere **Severità**, **Stato** o **Commento**.
1. In **Impostazioni delle regole**, seleziona **Abilitato o **Disabilitato****. Se selezioni **Abilitato**, la regola di automazione viene abilitata ed elaborerà i nuovi risultati. Se si seleziona **Disabilitato**, la regola di automazione viene disabilitata e non elaborerà alcun risultato.
1. (Facoltativo) In **Tag**, scegli **Aggiungi nuovo tag** per inserire una coppia chiave-valore da applicare alla regola di automazione.
1. Scegli **Crea regola**.
## Creazione di una regola per un'integrazione di terze parti
La procedura seguente descrive come creare una regola che crei un ticket per un'integrazione di terze parti. Per informazioni sulle integrazioni supportate da Security Hub CSPM, consulta [Integrazioni di terze parti per Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-adv-catalog-integrations.html) CSPM.
1. Accedi al tuo account. AWS Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Dal pannello di navigazione, in **Gestione**, scegli Automazioni.**
1. Scegli **Crea regola**.
1. In **Dettagli**, inserisci un nome per la regola di automazione.
1. (Facoltativo) Inserisci una descrizione per la regola di automazione.
1. In **Azioni**, scegli **Crea ticket**. Puoi cercare criteri e aggiungere criteri nella barra di ricerca. Per verificare se alcuni risultati corrispondono ai tuoi criteri, scegli **Anteprima dei risultati corrispondenti**.
1. In **Crea un ticket**, scegli un'integrazione di ticketing IT dal menu a discesa, quindi scegli **Aggiungi** integrazione.
1. **In **Impostazioni delle regole**, seleziona **Abilitato o Disabilitato**.** Se selezioni **Abilitato**, la regola di automazione viene abilitata ed elaborerà i nuovi risultati. Se si seleziona **Disabilitato**, la regola di automazione viene disabilitata e non elaborerà alcun risultato.
1. (Facoltativo) In **Tag**, scegli **Aggiungi nuovo tag** per inserire una coppia chiave-valore da applicare alla regola di automazione.
1. Scegli **Crea regola**.
# Visualizzazione dei dettagli per le regole di automazione in Security Hub
Questo argomento descrive come visualizzare i dettagli delle regole di automazione. È possibile visualizzare i seguenti dettagli per una regola di automazione:
+ Nome e descrizione
+ Azioni e criteri
+ Stato delle regole e risultati esistenti
+ Tag
**Per visualizzare i dettagli di una regola di automazione**
1. Accedi al tuo AWS account. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Dal pannello di navigazione, in **Gestione**, scegli Automazioni.** Questa schermata mostra tutte le regole di automazione create.
1. Seleziona la regola di automazione che desideri visualizzare. Seleziona **Visualizza dettagli**. In alternativa, puoi scegliere il nome della regola di automazione che desideri visualizzare.
# Aggiornamento dell'ordine delle regole in Security Hub
Questo argomento descrive come aggiornare l'ordine delle regole per le regole di automazione nella console. Se desideri modificare i criteri per una regola di automazione, vedi [Modifica delle regole di automazione in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securithub-v2-automation-rules-edit.html).
Non è possibile aggiornare l'ordine delle regole per una regola di automazione senza aggiornare l'ordine delle regole per ogni regola di automazione. Ad esempio, sono disponibili quattro regole di automazione: regola A (1), regola B (2), regola C (3) e regola D (4). Vuoi che la regola D venga applicata per prima. Per fare ciò, devi cambiarne il numero da 4 a 1. Di conseguenza, la regola A ottiene 2, la regola B ottiene 3 e la regola C ottiene 4.
**Per aggiornare l'ordine delle regole per le regole di automazione**
1. Accedi al tuo AWS account. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Dal pannello di navigazione, in **Gestione**, scegli Automazioni.**
1. Seleziona la regola di automazione che desideri modificare. In **Ordine**, scegli l'icona a forma di matita accanto al numero dell'ordine. Usa le frecce per determinare il nuovo numero d'ordine. Scegli l'icona **✓** per confermare. Scegli l'icona **X** per annullare. In alternativa, puoi scegliere **Cambia ordine** per spostare la regola di automazione verso il basso, verso l'alto o in cima all'elenco.
# Disabilitazione delle regole di automazione in Security Hub
Questo argomento descrive come disabilitare le regole di automazione. Quando disabiliti le regole di automazione, Security Hub smette di applicarle. Puoi disabilitare le regole di automazione in qualsiasi momento e nel Regione AWS luogo in cui le hai create.
**Per disabilitare una regola**
1. Accedi al tuo AWS account. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Dal pannello di navigazione, in **Gestione**, scegli Automazioni.**
1. Seleziona la regola di automazione che desideri disabilitare. In **Stato**, scegli l'icona a forma di matita accanto a **Abilitato**. Scegli il menu a discesa, quindi scegli **Disabilitato**. Scegli l'icona **✓** per confermare. Scegli l'icona **X** per annullare. Puoi anche scegliere **Disabilita** dal menu a discesa **Azioni**.
# Abilitazione di una regola di automazione in Security Hub
Questo argomento descrive come abilitare le regole di automazione. Quando abiliti le regole di automazione, Security Hub riprende ad applicarle. Puoi abilitare le regole di automazione in qualsiasi momento e nel luogo in Regione AWS cui le hai create.
**Per abilitare una regola**
1. Accedi al tuo AWS account. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Dal pannello di navigazione, in **Gestione**, scegli Automazioni.**
1. Seleziona la regola di automazione che desideri abilitare. In **Stato**, scegli l'icona a forma di matita accanto a **Disabilitato**. Scegli il menu a discesa, quindi scegli **Abilitato**. Scegli l'icona **✓** per confermare. Scegli l'icona **X** per annullare. Puoi anche scegliere **Abilita** dal menu a discesa **Azioni**.
# Duplicazione delle regole di automazione in Security Hub
Questo argomento descrive come duplicare le regole di automazione. La duplicazione delle regole di automazione può aiutarti a risparmiare tempo se vuoi evitare di crearle da zero. Quando si duplicano le regole di automazione, è possibile aggiornare dettagli, azioni, impostazioni delle regole e tag. Puoi modificare le regole di automazione nella posizione in Regione AWS cui le hai create.
**Per duplicare una regola**
1. Accedi al tuo AWS account e apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Dal riquadro di navigazione, scegli **Gestione** e scegli Automazioni.**
1. Seleziona la regola di automazione che desideri duplicare. Quindi scegli **Azioni**, quindi scegli **Duplica**.
1. Apporta e rivedi le modifiche, quindi scegli **Crea regola**.
# Modifica delle regole di automazione in Security Hub
Questo argomento descrive come modificare le regole di automazione. Puoi modificare le regole di automazione nella posizione in Regione AWS cui le hai create.
È possibile modificare quanto segue per le regole di automazione:
+ Nome e descrizione
+ Azioni
+ Impostazioni delle regole
Non è possibile modificare i tag per le regole di automazione.
**Per modificare una regola**
1. Accedi al tuo AWS account. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Dal pannello di navigazione, in **Gestione**, scegli Automazioni.**
1. Seleziona la regola di automazione che desideri modificare. Seleziona **Azioni**, quindi scegli **Modifica**.
1. Apporta e rivedi le tue modifiche.
1. Scegli **Save changes (Salva modifiche)**.
# Eliminazione delle regole di automazione in Security Hub
Questo argomento descrive come eliminare le regole di automazione. È possibile eliminare le regole di automazione nel Regione AWS punto in cui sono state create.
**Come eliminare una regola**
1. Accedi al tuo AWS account e apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Dal riquadro di navigazione, scegli **Gestione**, quindi scegli Automazioni.**
1. Seleziona la regola di automazione che desideri eliminare. Scegli **Azioni**, quindi **Elimina**.
1. Scegli **Delete** (Elimina).
# Regole di automazione in EventBridge
Puoi utilizzare le regole di automazione in Amazon EventBridge per rispondere ai risultati del Security Hub. Security Hub invia i risultati EventBridge agli eventi degli annunci quasi in tempo reale. È possibile scrivere regole di base che indicano quali azioni automatiche intraprendere quando un evento corrisponde alle regole. Le azioni che possono essere attivate automaticamente includono:
+ Configurazione di una destinazione API in. EventBridge
+ Richiamare i comandi Amazon EC2 run
+ Richiamo di funzioni Lambda
+ Richiamo alle macchine a stati Step Functions
+ Notifica di un argomento Amazon SNS o di una coda Amazon SQS
+ Inoltro degli eventi a Kinesis Data Streams
+ Invio di una ricerca a uno strumento di gestione di ticket, chat, SIEM o risposta agli incidenti di terze parti
+ [Invio di un evento a un EventBridge bus con un altro account AWS](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus-example-policy-cross-account-custom-bus-source.html)
Security Hub invia nuovi risultati e risultati aggiornati EventBridge agli eventi. Quindi configuri EventBridge le regole per rispondere a ogni evento del Security Hub. Per ulteriori informazioni, vedi [Cos'è EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) nella *Guida EventBridge per l'utente*.
**Nota**
Se sono state definite EventBridge delle regole per i risultati in Security Hub CSPM, le regole potrebbero sovrapporsi alle regole definite per Security Hub. Per evitare l'invio di risultati duplicati, valuta le regole che hai definito per Security Hub CSPM per determinare se si sovrappongono alle regole che hai definito per Security Hub. Ove applicabile, disabilita tutte le regole CSPM di Security Hub che vengono sostituite dalle regole di Security Hub.
**Nota**
Come procedura ottimale, assicurati che gli utenti autorizzati ad accedere EventBridge utilizzino AWS Identity and Access Management politiche che garantiscano le autorizzazioni minime richieste. Per ulteriori informazioni, consulta [EventBridge e AWS Identity and Access Management](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-iam.html) consulta la *Guida per l'EventBridge utente*.
# EventBridge tipi di eventi
Security Hub utilizza i seguenti tipi di EventBridge eventi Amazon con cui integrarsi EventBridge.
Nella EventBridge dashboard di Security Hub, **All Events** include tutti questi tipi di eventi.
## Risultati importati (V2)
Security Hub invia automaticamente tutti i nuovi risultati e tutti gli aggiornamenti dei risultati esistenti EventBridge come **Findings Imported V2**eventi. Ogni **Findings Imported V2**evento contiene un singolo risultato.
Ogni risultato importato e ogni risultato aggiornato tramite una [https://docs.aws.amazon.com/](https://docs.aws.amazon.com/)richiesta attiva un **Findings Imported V2**evento.
Per gli account amministratore, il feed degli eventi EventBridge include gli eventi relativi ai risultati sia del loro account che degli account dei membri.
In una regione di aggregazione, il feed degli eventi include gli eventi relativi ai risultati della regione di aggregazione e delle regioni collegate. I risultati interregionali sono inclusi nel feed degli eventi quasi in tempo reale.
È possibile definire regole EventBridge che indirizzino automaticamente i risultati a un flusso di lavoro di riparazione, a uno strumento di terze parti o a un [altro obiettivo supportato EventBridge ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html). Le regole possono includere filtri che applicano la regola solo se il risultato ha valori di attributo specifici.
Si utilizza questo metodo per inviare automaticamente tutti i risultati, o tutti i risultati con caratteristiche specifiche, a un flusso di lavoro di risposta o correzione.
**Nota**
Security Hub e Security Hub CSPM inviano entrambi i risultati a EventBridge una fonte di. `aws.securityhub` Assicurati che EventBridge le tue regole utilizzino il tipo di dettaglio specifico di Security Hub per evitare notifiche duplicate relative ai risultati CSPM di Security Hub.
# EventBridge formati di eventi
Il tipo di **Findings Imported V2**evento utilizza il seguente formato di evento.
**Esempio**
Questo formato viene utilizzato quando Security Hub invia un evento a EventBridge.
```
{
"version":"0",
"id":"CWE-event-id",
"detail-type":"Findings Imported V2",
"source":"aws.securityhub",
"account":"111122223333",
"time":"2019-04-11T21:52:17Z",
"region":"us-west-2",
"resources":[
"e51603d1054aad9d9f498d82d6e81acf4cf6bc88140e8ad2273123c73b81084"
],
"detail":{
"findings": [{
}]
}
}
```
Ogni evento invia un singolo risultato. ``è il contenuto in JSON del risultato inviato dall'evento.
Per un elenco completo degli attributi di ricerca, vedere [Risultati OCSF in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-adv-ocsf-findings.html) CSPM.
# Configurazione delle regole per EventBridge
Puoi creare una regola in Amazon EventBridge che definisce un'azione da intraprendere quando viene ricevuto un **Findings Imported V2**evento. **Findings Imported V2**gli eventi vengono attivati dagli aggiornamenti tramite [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindingsV2.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindingsV2.html).
Ogni regola contiene uno schema di eventi, che identifica gli eventi che attivano la regola. Il modello di evento contiene sempre l'origine dell'evento (`aws.securityhub`) e il tipo di evento (**Findings Imported V2**). Il modello di evento può anche specificare filtri per identificare i risultati a cui si applica la regola.
La regola dell'evento identifica quindi gli obiettivi della regola. Gli obiettivi sono le azioni da intraprendere quando EventBridge riceve un evento **Findings Imported V2** e il risultato corrisponde ai filtri.
Le istruzioni fornite qui utilizzano la EventBridge console. Quando usi la console, crea EventBridge automaticamente la policy basata sulle risorse richiesta che consente di scrivere su Amazon EventBridge Logs. CloudWatch
Puoi anche utilizzare il [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)funzionamento dell'API. EventBridge Tuttavia, se utilizzi l' EventBridge API, devi creare la politica basata sulle risorse. Per informazioni sulla politica richiesta, consulta [CloudWatch Logs permissions](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) nella *Amazon EventBridge User* Guide.
## Formato del modello di evento
Il formato del modello di eventi per gli eventi **Findings Imported V2** è il seguente:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Findings Imported V2"
],
"detail": {
"findings": {
}
}
}
```
+ `source`identifica Security Hub come il servizio che genera l'evento.
+ `detail-type`identifica il tipo di evento.
+ `detail`è facoltativo e fornisce i valori del filtro per il modello di evento. Se il modello di evento non contiene un `detail` campo, tutti i risultati attivano la regola.
È possibile filtrare i risultati in base a qualsiasi attributo di ricerca. Per ogni attributo, fornisci una matrice separata da virgole di uno o più valori.
```
"": [ "", ""]
```
Se si fornisce più di un valore per un attributo, tali valori vengono uniti. `OR` Un risultato corrisponde al filtro per un singolo attributo se il risultato contiene uno dei valori elencati. Ad esempio, se si forniscono entrambi `INFORMATIONAL` e `LOW` come valori per`Severity.Label`, il risultato corrisponde se ha un'etichetta di gravità pari `INFORMATIONAL` o uguale a uno dei due`LOW`.
Gli attributi sono uniti da`AND`. Una ricerca corrisponde se corrisponde ai criteri di filtro per tutti gli attributi forniti.
Quando si fornisce un valore di attributo, questo deve riflettere la posizione di tale attributo all'interno della struttura AWS Open Cybersecurity Schema Framework (OCSF).
Nell'esempio seguente, il pattern di eventi fornisce valori di filtro per `ProductArn` e`Severity.Label`, quindi, una ricerca corrisponde se è stata generata da Amazon Inspector e ha un'etichetta di gravità pari o `INFORMATIONAL` uguale a. `LOW`
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Findings Imported V2"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## Creazione di una regola di evento
È possibile utilizzare un pattern di eventi predefinito o un pattern di eventi personalizzato in EventBridge cui creare una regola. Se si seleziona un pattern predefinito, compila EventBridge automaticamente e. `source` `detail-type` EventBridge fornisce inoltre campi per specificare i valori di filtro per i seguenti attributi di ricerca:
+ `cloud.account.uid`
+ `compliance.status`
+ `metadata.product.name`
+ `resources.uid`
+ `severity`
+ `status`
**Per creare una EventBridge regola (console)**
1. Apri la EventBridge console Amazon all'indirizzo [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Utilizzando i seguenti valori, crea una EventBridge regola che monitora la ricerca degli eventi:
+ Per **Tipo di regola**, scegli **Regola con un modello di eventi**.
+ Scegliete come creare lo schema degli eventi.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/securityhub-v2-cwe-event-rules.html)
+ Per **i tipi di Target**, scegli il **AWS servizio** e per **Seleziona una destinazione**, scegli una destinazione come un argomento o AWS Lambda una funzione di Amazon SNS. La destinazione viene attivata quando viene ricevuto un evento che corrisponde al modello di evento definito nella regola.
Per informazioni dettagliate sulla creazione di regole, consulta [la sezione Creazione di EventBridge regole Amazon che reagiscono agli eventi](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) nella *Amazon EventBridge User Guide*.
**Nota**
Se sono state definite EventBridge delle regole per i risultati in Security Hub CSPM, le regole potrebbero sovrapporsi alle regole definite per Security Hub. Per evitare l'invio di risultati duplicati, valuta le regole che hai definito per Security Hub CSPM per determinare se si sovrappongono alle regole che hai definito per Security Hub. Ove applicabile, disabilita tutte le regole CSPM di Security Hub che vengono sostituite dalle regole di Security Hub.
# Integrazioni di terze parti per Security Hub
Puoi migliorare il tuo livello di sicurezza con integrazioni di terze parti per AWS Security Hub. Con questa funzionalità puoi abilitare integrazioni che utilizzano i risultati di Security Hub, consentendoti di incorporare i tuoi strumenti operativi, di indagine e di risposta con Security Hub. Attualmente Security Hub supporta l'integrazione con Jira Cloud eServiceNow.
**Topics**
+ [Integrazioni per AWS Security Hub Jira Cloud](jiracloud.md)
+ [Integrazioni per ServiceNow](servicenow.md)
+ [Politiche chiave KMS per le integrazioni di ticketing di Security Hub](securityhub-v2-integrations-key-policy.md)
+ [Test delle integrazioni di ticketing configurate](securityhub-v2-test-ticket-integration.md)
# Integrazioni per AWS Security Hub Jira Cloud
Questo argomento descrive come eseguire l'integrazione conJira Cloud. Prima di completare una qualsiasi delle procedure descritte in questo argomento, è necessario acquistare un piano di Jira Cloud abbonamento. Per informazioni sui piani di abbonamento, consulta la sezione [Prezzi](https://www.atlassian.com/software/jira/pricing) sul Atlassian sito Web.
Questa integrazione ti consente di inviare i risultati del Security Hub a Jira Cloud, manualmente o automaticamente, in modo da poterli gestire come parte dei flussi di lavoro operativi. Ad esempio, puoi assegnare la proprietà a problemi che richiedono indagini e correzioni.
Per gli account di un'organizzazione, solo l'amministratore delegato può configurare un'integrazione. L'amministratore delegato può utilizzare manualmente la funzione di creazione del ticket per i risultati degli account di qualsiasi membro. Inoltre, l'amministratore delegato può utilizzare [le regole di automazione](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-automation-rules.html) per creare automaticamente ticket per eventuali risultati associati agli account dei membri. Quando definisce una regola di automazione, l'amministratore delegato può impostare criteri, che possono includere tutti gli account membri o account membro specifici. Per informazioni sull'impostazione di un amministratore delegato, vedere [Impostazione di un account amministratore delegato in Security](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-set-da.html) Hub.
Per gli account che non appartengono a un'organizzazione, sono disponibili tutti gli aspetti di questa funzionalità.
## Prerequisiti
Prima di connettere Security Hub al tuo Jira Cloud ambiente, devi assicurarti che i seguenti passaggi di configurazione vengano eseguiti nel tuo ambiente Jira.
+ Installa l'app cloud AWS Security Hub for Jira.
+ Avere almeno un progetto di sviluppo software gestito dall'azienda.
+ Assegna l' AWS app ai progetti di sviluppo software per i quali desideri ricevere i risultati da Security Hub.
I passaggi per ciascuno di questi prerequisiti sono elencati di seguito.
### 1. Installa il AWS Security Hub per Jira Cloud l'app
Security Hub dispone di un'app per supportarne l'integrazione con Jira. Questa app installa campi personalizzati e un tipo di problema personalizzato che consente a Security Hub b di compilare attributi specifici sui risultati di Security Hub.
1. Accedi al tuo Atlassian sito come amministratore.
1. Scegli **Impostazioni** e scegli **App**.
1. Se sei indirizzato alla pagina del marketplace, scegli **Trova nuove app**. Se sei indirizzato alla pagina delle app, scegli **Esplora app**, quindi cerca *AWS Security Hub per Jira Cloud*. Quindi scegli **Scaricalo ora**.
### 2. Crea un progetto o verifica i progetti esistenti
Questo passaggio è necessario se non hai creato un progetto. Per informazioni su come creare un progetto, consulta [Creare un nuovo progetto](https://support.atlassian.com/jira-software-cloud/docs/create-a-new-project/) nella Jira Cloud Support documentazione.
**Requisiti per la creazione di un progetto**
Assicurati di fare quanto segue quando crei un nuovo progetto.
+ Scegli **Sviluppo software** per il modello di progetto.
+ Scegli **Gestito dall'azienda** per il tipo di progetto.
**Requisiti per i progetti esistenti**
Qualsiasi progetto esistente nell'ambiente Jira, che verrà integrato con Security Hub, deve essere un tipo di progetto gestito dall'**azienda**.
### 3. Aggiungi i tuoi progetti all'Jira Cloudapp AWS Security Hub per
Affinché Security Hub sia in grado di inviare correttamente i risultati al tuo ambiente Jira, ogni progetto che desideri utilizzare con Security Hub deve essere associato all'Jira Cloudapp AWS Security Hub for. L'associazione di un progetto Jira all'app garantisce che i campi personalizzati necessari siano associati al progetto e possano essere compilati quando Security Hub invia i risultati al progetto.
1. Accedi al tuo Atlassian sito come amministratore.
1. Scegli **Impostazioni** e scegli **App**.
1. Dall'elenco delle app, scegli **AWS Security Hub for Jira Cloud**.
1. Scegli la scheda **Impostazioni del connettore**.
1. In **Progetti abilitati**, scegli **Aggiungi progetto Jira**.
1. Dal menu a discesa, scegli **Aggiungi tutto** o seleziona un progetto. Ripeti questa parte del passaggio se desideri aggiungere più di un progetto, ma non tutti i progetti.
1. Scegli **Save** (Salva).
È possibile verificare quali progetti sono stati installati correttamente dalla scheda **Installation Manager**. È inoltre possibile verificare le configurazioni di campi, schermate, stati e flussi di lavoro dalla scheda **Installation** Manager.
Per ulteriori informazioni in meritoJira Cloud, consulta [Jira Cloudle risorse sul sito Web](https://support.atlassian.com/jira-software-cloud/resources/). Atlassian
## Raccomandazioni
**Creazione di un account di sistema dedicato per il tuo ambiente Jira**
L'integrazione di Security Hub con Jira Cloud utilizza una OAuth connessione associata a un utente specifico all'interno dell'istanza Jira. La creazione di un account di sistema dedicato da utilizzare per la OAuth connessione Security Hub è consigliata per la connessione per i seguenti motivi:
+ Un utente di sistema dedicato garantisce che la connessione non sia associata a un dipendente le cui autorizzazioni all'ambiente Jira potrebbero cambiare nel tempo, influendo sulla capacità di Security Hub di integrarsi con il tuo ambiente Jira.
+ Ogni problema creato da Security Hub in Jira mostrerà un nome utente creato da, ovvero il nome utente utilizzato per creare la OAuth connessione. L'utilizzo di un account di sistema per la OAuth connessione farà sì che questo account di sistema venga visualizzato come creatore del ticket, contribuendo a garantire la visibilità che il risultato è stato creato tramite l'integrazione del Security Hub e non manualmente da un altro utente Jira.
## Configurare un'integrazione tra Security Hub e Jira Cloud
La seguente procedura deve essere completata per ciascuno dei Jira Cloud progetti a cui desideri inviare i risultati del Security Hub.
**Nota**
Quando si crea un Jira Cloud connettore, si viene reindirizzati dall'attuale Regione AWS a`"https://3rdp.oauth.console.api.aws"`, in modo da poter completare la registrazione del connettore. Successivamente, si torna al Regione AWS punto in cui è stato creato il connettore.
**Per configurare un'integrazione per Jira Cloud**
1. Accedi al tuo AWS account con le tue credenziali e apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home? region=us-east-1.](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1)
1. **Dal riquadro di navigazione, scegli **Gestione, quindi scegli Integrazioni**.**
1. Scegliere **AggiungiJira Cloud**.
1. Per **i dettagli**, inserisci un nome univoco e descrittivo per l'integrazione e determina se inserire una descrizione facoltativa per l'integrazione.
1. Per **Encryptions**, scegli come crittografare le tue credenziali di integrazione all'interno di Security Hub.
+ **Usa chiave AWS proprietaria**: con questa opzione verrà utilizzata una chiave di servizio di proprietà di Security Hub per crittografare i dati delle credenziali di integrazione all'interno di Security Hub.
+ **Scegli una chiave KMS diversa (avanzata)**: con questa opzione scegli una chiave che hai creato e AWS KMS key che desideri utilizzare per crittografare i dati delle credenziali di integrazione all'interno di Security Hub. *Per informazioni su come creare una AWS KMS chiave, consulta [Create a AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella Developer Guide. AWS Key Management Service * Se scegli di utilizzare la tua chiave, devi aggiungere dichiarazioni politiche alla chiave KMS che consentano l'accesso al Security Hub alla chiave. Consulta [le politiche AWS KMS chiave per le integrazioni dei ticket di Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations-key-policy.html) per i dettagli sulle politiche necessarie.
**Nota**
Non è possibile modificare queste impostazioni una volta completata questa configurazione. Tuttavia, se si sceglie **Chiave personalizzata**, è possibile modificare la politica relativa alle chiavi personalizzate in qualsiasi momento.
1. (Facoltativo) Per i **tag**, crea e aggiungi un tag alla tua integrazione. Puoi aggiungere fino a 50 tag.
1. Per **le autorizzazioni**, scegli **Crea connettore e autorizza**. Viene visualizzato un pop-up in cui scegli **Consenti** per completare l'autorizzazione. Dopo aver completato l'autorizzazione, viene visualizzata una casella di controllo che indica che l'autorizzazione è stata completata con successo.
1. Per **Configurazioni**, inserisci l'ID del Jira Cloud progetto.
1. Scegli **Configurazione completa**. Dopo aver completato la configurazione, puoi visualizzare le integrazioni configurate nella scheda **Integrazioni configurate**.
Dopo aver configurato l'integrazione con Jira, puoi testare la connessione per confermare che tutto sia configurato correttamente nel tuo ambiente Jira e in Security Hub. Per maggiori dettagli, consulta la [sezione Testing configuration ticketing integrations.](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-test-ticket-integration.html)
## Dettagli aggiuntivi sull'integrazione con Jira
**Considerazioni sui limiti di velocità**
Jira applica i limiti di velocità delle API per mantenere la stabilità del servizio e garantire un utilizzo equo su tutta la piattaforma. Quando si utilizza l'integrazione AWS di Security Hub con Jira, questi limiti di velocità possono influire sull'elaborazione dei risultati di Security Hub, in particolare in ambienti che generano volumi elevati di risultati. Ciò può comportare un ritardo nella creazione dei ticket e, in scenari con volumi di ricerca estremamente elevati, alcuni risultati potrebbero non essere affatto elaborati in ticket Jira. Per ottimizzare la tua integrazione, prendi in considerazione l'implementazione di filtri sulle regole di automazione in Security Hub per dare priorità al ticketing in base ai risultati più importanti, il monitoraggio dell'utilizzo dell'API Jira tramite la loro console di amministrazione e la pianificazione del flusso di lavoro in base ai limiti di tariffa specifici del tuo livello di licenza Jira. Per le implementazioni aziendali critiche, contatta l'amministratore di Jira per rivedere le allocazioni dei limiti di velocità.
Per informazioni dettagliate sui limiti di velocità delle API Jira, consulta la documentazione relativa alla [limitazione della velocità sul sito Web dell'Atlassian Developers Guide](http://developer.atlassian.com/cloud/jira/platform/rate-limiting/).
**Autenticazione e sicurezza**
L'autenticazione dell'API Jira richiede una corretta configurazione OAuth 2.0 per un accesso sicuro. Assicurati che la tua applicazione segua le migliori pratiche di sicurezza di Atlassian per l'integrazione delle API.
Risorse:
+ Jira Rest v3: APi [https://developer.atlassian.com/cloud/jira/platform/rest/v3/intro/](https://developer.atlassian.com/cloud/jira/platform/rest/v3/intro/)
+ Implementazione OAuth 2.0 (3LO): [https://developer.atlassian.com/cloud/oauth/getting-started/implementing-oauth-3lo/](https://developer.atlassian.com/cloud/oauth/getting-started/implementing-oauth-3lo/)
+ Amministra le app Jira Cloud: [https://support.atlassian.com/jira-cloud-administration/resources/](https://support.atlassian.com/jira-cloud-administration/resources/)
+ Gestisci le autorizzazioni Jira: [https://support.atlassian.com/jira-cloud-administration/docs/manage-project-permissions/](https://support.atlassian.com/jira-cloud-administration/docs/manage-project-permissions/)
# Creare un ticket per un'integrazione Jira Cloud
Dopo aver creato un'integrazione conJira Cloud, puoi creare un ticket per una scoperta.
**Nota**
Un reperto sarà sempre associato a un singolo ticket durante l'intero ciclo di vita. Tutti gli aggiornamenti successivi a un risultato dopo la creazione iniziale verranno inviati allo stesso ticket. Se un connettore associato a una regola di automazione viene modificato, il connettore aggiornato verrà utilizzato solo per i risultati nuovi e in arrivo che soddisfano i criteri della regola.
**Per creare un ticket per una scoperta**
1. Accedi al tuo AWS account con le tue credenziali e apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home? region=us-east-1.](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1)
1. ****Dal pannello di navigazione, in Inventario, scegli Risultati.****
1. Scegli un risultato. Nella ricerca, scegli **Crea biglietto**.
1. Per **l'integrazione**, apri il menu a discesa e scegli un'integrazione. Questa integrazione è l'integrazione che hai creato in precedenza quando hai configurato il Jira Cloud progetto. Scegli l'integrazione a cui desideri inviare i risultati.
1. Scegli **Create** (Crea).
# Visualizzazione di un ticket per un'Jira Cloudintegrazione
Dopo aver creato un ticket per una ricerca, puoi aprirlo sulla tua Jira Cloud istanza.
**Per visualizzare un risultato sulla tua Jira Cloud istanza**
1. Accedi al tuo AWS account con le tue credenziali e apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home? region=us-east-1.](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1)
1. ****Dal pannello di navigazione, in Inventario, scegli Risultati.****
1. Scegli il risultato in cui hai creato il ticket.
1. Nella ricerca, scegli l'ID del ticket per visualizzare il ticket sulla tua Jira Cloud istanza o **Visualizza JSON**.
# Integrazioni per ServiceNow
Questo argomento descrive come accedere alla console Security Hub per configurare un'integrazioneServiceNow ITSM. Prima di completare una qualsiasi delle procedure descritte in questo argomento, è necessario disporre di un abbonamento ServiceNow ITSM prima di poter aggiungere questa integrazione. Per ulteriori informazioni, consulta [la pagina dei prezzi](https://www.servicenow.com/lpgp/pricing-itsm.html) sul ServiceNow sito Web.
Per gli account di un'organizzazione, solo l'amministratore delegato può configurare un'integrazione. L'amministratore delegato può utilizzare manualmente la funzione di creazione del ticket per i risultati degli account di qualsiasi membro. Inoltre, l'amministratore delegato può utilizzare [le regole di automazione](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-automation-rules.html) per creare automaticamente ticket per eventuali risultati associati agli account dei membri. Quando definisce una regola di automazione, l'amministratore delegato può impostare criteri, che possono includere tutti gli account membri o account membro specifici. Per informazioni sull'impostazione di un amministratore delegato, vedere [Impostazione di un account amministratore delegato in Security](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-v2-set-da.html) Hub.
Per gli account che non appartengono a un'organizzazione, sono disponibili tutti gli aspetti di questa funzionalità.
## Prerequisiti: configurare l'ambiente ServiceNow
È necessario completare i seguenti prerequisiti prima di configurare un'integrazione per. ServiceNow ITSM In caso contrario, l'integrazione tra ServiceNow ITSM e Security Hub non funzionerà.
### 1. Installa l'integrazione di Security Hubfindings per IT Service Management (ITSM)
La procedura seguente descrive come installare il plug-in Security Hub.
1. Accedi all'ServiceNow ITSMistanza, quindi apri il navigatore dell'applicazione.
1. Vai allo [ServiceNow Store](https://store.servicenow.com/store).
1. Cerca *Security Hub trova l'integrazione per IT Service Management (ITSM)*, quindi scegli **Ottieni** per installare l'applicazione.
**Nota**
Nelle impostazioni dell'applicazione Security Hub, scegli l'azione da intraprendere quando i nuovi risultati di Security Hub vengono inviati al tuo ServiceNow ITSM ambiente. Puoi scegliere **Non fare nulla**, **Crea incidente**, **Crea problema** o **Crea entrambi (incidente/problema**).
### 2. Configura il tipo di concessione Client Credentials per le richieste in entrata OAuth
È necessario configurare questo tipo di concessione per le richieste in entrata OAuth . Per ulteriori informazioni, consulta [Client Credentials Il tipo di concessione per Inbound OAuth è supportato nella pagina](https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1645212) Web ServiceNow Support.
### 3. Crea un'applicazione OAuth
Se hai già creato un' OAuth applicazione, puoi ignorare questo prerequisito. Per informazioni sulla creazione di un' OAuth applicazione, vedere [Configurazione](https://www.servicenow.com/docs/csh?topicname=client-credentials.html&version=latest). OAuth
## Prerequisiti: configura Gestione dei segreti AWS
Per utilizzare l'integrazione di Security Hub con ServiceNow, le credenziali ServiceNow OAuth dell'applicazione devono essere archiviate in Secrets Manager. L'archiviazione delle credenziali in Secrets Manager consente di avere il controllo e la visibilità sull'uso delle credenziali, consentendo al contempo a Security Hub di utilizzare le credenziali per l'integrazione con l'istanza. ServiceNow Per archiviare le credenziali in Secrets Manager, è necessario utilizzare una AWS KMS chiave gestita dal cliente per proteggere i segreti. Questa AWS KMS chiave consente di proteggere i segreti mentre sono archiviati a riposo e consente inoltre di allegare una policy alla chiave che fornisce al Security Hub le autorizzazioni per accedere alla chiave che protegge il segreto.
Utilizza i seguenti passaggi per configurare Secrets Manager per ServiceNow le tue credenziali.
### Fase 1: Allega una policy alla tua chiave AWS KMS
Per configurare correttamente ServiceNow l'integrazione, devi prima concedere a Security Hub le autorizzazioni per utilizzare la AWS KMS chiave che verrà associata alle tue ServiceNow credenziali in Secrets Manager.
**Per modificare la politica AWS KMS chiave per l'accesso alle ServiceNow credenziali di Security Hub**
1. Apri la AWS KMS console in [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Per cambiare la AWS regione, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. *Seleziona una AWS KMS chiave esistente o esegui i passaggi per [creare una nuova chiave](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella Guida per gli sviluppatori.AWS KMS *
1. Nella sezione **Key policy** (Policy chiave), scegli **Edit** (Modifica).
1. Se è visualizzata la **visualizzazione Passa alla politica**, selezionala per visualizzare la politica chiave, quindi scegli **Modifica**.
1. Copia il seguente blocco di policy nella tua policy AWS KMS chiave, per concedere a Security Hub il permesso di usare la tua chiave.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::your-account-id:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow Security Hub connector service to decrypt secrets",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "secretsmanager.your-region.amazonaws.com"
},
"StringLike": {
"kms:EncryptionContext:SecretARN": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*"
}
}
}
]
}
```
1. Modifica la policy sostituendo i seguenti valori nell'esempio di policy:
+ *your-account-id*Sostituiscilo con l'ID AWS del tuo account.
+ Sostituiscilo *your-region* con la tua AWS regione (ad esempio,`us-east-1`).
1. Se hai aggiunto l'informativa prima dell'informativa finale, aggiungi una virgola prima di aggiungere questa dichiarazione. Assicurati che la sintassi JSON della tua policy AWS KMS chiave sia valida.
1. Scegli **Save** (Salva).
1. (Facoltativo) Copiate la chiave ARN su un blocco note per utilizzarla nei passaggi successivi.
### Fase 2: Creare il segreto in Secrets Manager
Crea un segreto in Secrets Manager che memorizzerà ServiceNow le tue credenziali. Security Hub accederà a questo segreto quando interagirà con l' ServiceNow ambiente.
Segui i passaggi [per creare un segreto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) nella *Guida per l'Gestione dei segreti AWS utente*. Dopo aver creato il segreto, copia l'ARN segreto poiché ti servirà per creare il connettore Security Hub.
Quando crei il segreto, assicurati di configurare quanto segue:
**Tipo segreto**
Other type of secret (Altro tipo di segreto)
**Coppie chiave/valore (formato testo semplice)**
```
{
"ClientId": "your-servicenow-client-id",
"ClientSecret": "your-servicenow-client-secret"
}
```
I nomi dei campi devono essere esattamente `ClientId` e (distinzione tra maiuscole e `ClientSecret` minuscole). Security Hub richiede questi nomi esatti per recuperare le credenziali.
**Chiave di crittografia**
Usa la AWS KMS chiave che hai configurato nel passaggio 1
**Politica delle risorse**
Utilizza la policy delle risorse seguente:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:your-region:your-account-id:secret:ServiceNow*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "your-account-id",
"aws:SourceArn": "arn:aws:securityhub:your-region:your-account-id:*"
}
}
}
]
}
```
Ora che il tuo segreto è configurato, puoi creare un connettore Security Hub utilizzando l'API o la AWS console CreateConnector V2. Dovrai fornire:
+ **InstanceName**: L'URL della tua ServiceNow istanza (ad esempio,`your-instance.service-now.com`)
+ **SecretArn**: L'ARN del segreto creato in questa procedura
## Configura un'integrazione per ServiceNow ITSM
Security Hub può creare incidenti o problemi automaticamente inServiceNow ITSM.
**Per configurare un'integrazione per ServiceNow ITSM**
1. Accedi al tuo AWS account con le tue credenziali e apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home? region=us-east-1.](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1)
1. **Dal riquadro di navigazione, scegli **Gestione, quindi scegli Integrazioni**.**
1. In **ServiceNow ITSM**, scegli **Aggiungi integrazione**.
1. Per **i dettagli**, inserisci un nome per l'integrazione e determina se inserire una descrizione opzionale per l'integrazione.
1. Per **Encryptions**, scegli come crittografare le tue credenziali di integrazione all'interno di Security Hub.
+ **Usa chiave AWS proprietaria**: con questa opzione verrà utilizzata una chiave di servizio di proprietà di Security Hub per crittografare i dati delle credenziali di integrazione all'interno di Security Hub.
+ **Scegli una chiave KMS diversa (avanzata)**: con questa opzione scegli una chiave che hai creato e AWS KMS key che desideri utilizzare per crittografare i dati delle credenziali di integrazione all'interno di Security Hub. *Per informazioni su come creare una AWS KMS chiave, consulta [Create a AWS KMS key](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) nella Developer Guide. AWS Key Management Service * Se scegli di utilizzare la tua chiave, devi aggiungere dichiarazioni politiche alla chiave KMS che consentano l'accesso al Security Hub alla chiave. Consulta [le politiche AWS KMS chiave per le integrazioni dei ticket di Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-integrations-key-policy.html) per i dettagli sulle politiche necessarie.
**Nota**
Non è possibile modificare queste impostazioni una volta completata questa configurazione. Tuttavia, se si sceglie **Chiave personalizzata**, è possibile modificare la politica relativa alle chiavi personalizzate in qualsiasi momento.
1. Per **le credenziali**, inserisci ServiceNow ITSM l'URL e l'ARN del Gestione dei segreti AWS tuo segreto generato nella sezione dei prerequisiti.
1. Per i **tag**, stabilisci se creare e aggiungere un tag opzionale alla tua integrazione.
1. Scegli **Aggiungi integrazione**. Dopo aver completato la configurazione, puoi visualizzare le integrazioni configurate nella scheda **Integrazioni configurate**.
Dopo aver configurato l'integrazione con, ServiceNow puoi testare la connessione per confermare che tutto sia configurato correttamente nel tuo ServiceNow ambiente e in Security Hub. Per maggiori dettagli, consulta la sezione [Testing configuration ticketing integrations](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-v2-test-ticket-integration.html).
# Creazione di un ticket per un'integrazione ServiceNow ITSM
Dopo aver creato un'integrazione conServiceNow ITSM, puoi creare un ticket per una ricerca.
**Nota**
Un reperto sarà sempre associato a un singolo ticket durante l'intero ciclo di vita. Tutti gli aggiornamenti successivi a un risultato dopo la creazione iniziale verranno inviati allo stesso ticket. Se un connettore associato a una regola di automazione viene modificato, il connettore aggiornato verrà utilizzato solo per i risultati nuovi e in arrivo che soddisfano i criteri della regola.
**Per creare un ticket per una scoperta**
1. Accedi al tuo AWS account con le tue credenziali e apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home? region=us-east-1.](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1)
1. ****Dal pannello di navigazione, in Inventario, scegli Risultati.****
1. Scegli un risultato. Nella ricerca, scegli **Crea biglietto**.
1. Per **l'integrazione**, apri il menu a discesa e scegli un'integrazione.
1. Scegli **Create** (Crea).
# Visualizzazione di un ticket per un'integrazione ServiceNow ITSM
Dopo aver creato un ticket per una ricerca, puoi aprirlo sulla tua ServiceNow ITSM istanza.
**Per visualizzare un risultato sulla tua ServiceNow ITSM istanza**
1. Accedi al tuo AWS account con le tue credenziali e apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home? region=us-east-1.](https://console.aws.amazon.com/securityhub/v2/home?region=us-east-1)
1. ****Dal pannello di navigazione, in Inventario, scegli Risultati.****
1. Scegli il risultato in cui hai creato il ticket.
1. Nella ricerca, scegli l'ID del ticket per visualizzare il ticket sulla tua ServiceNow ITSM istanza o **Visualizza JSON**.
# Politiche chiave KMS per le integrazioni di ticketing di Security Hub
Quando si utilizzano chiavi KMS gestite dal cliente con integrazioni di ticketing Security Hub, è necessario aggiungere politiche aggiuntive alla chiave KMS per consentire a Security Hub di interagire con la chiave. Inoltre, è necessario aggiungere politiche che consentano al principale che sta aggiungendo la chiave al connettore Security Hub le autorizzazioni di accedere alla chiave.
## Politica delle autorizzazioni di Security Hub
La seguente politica delinea le autorizzazioni di cui Security Hub ha bisogno per poter accedere e utilizzare la chiave KMS associata a Jira e ai connettori. ServiceNow Questa politica deve essere aggiunta a ogni chiave KMS associata a un connettore Security Hub.
La politica contiene le seguenti autorizzazioni:
+ Consente a Security Hub di proteggere, accedere temporaneamente o aggiornare i token utilizzati per comunicare con le integrazioni di ticketing utilizzando la chiave. Le autorizzazioni sono limitate alle operazioni relative a specifici connettori di Security Hub tramite il blocco delle condizioni che controlla l'ARN di origine e il contesto di crittografia.
+ Consente a Security Hub di leggere i metadati sulla chiave KMS consentendone l'operazione. `DescribeKey` Questa autorizzazione è necessaria a Security Hub per verificare lo stato e la configurazione della chiave. L'accesso è limitato a connettori Security Hub specifici tramite la condizione ARN di origine.
```
{
"Sid": "Allow Security Hub access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:connectorV2Arn": "arn:aws:securityhub:Region:AccountId:connectorv2/*",
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow Security Hub read access to the customer managed key",
"Effect": "Allow",
"Principal": {
"Service": "connector.securityhub.amazonaws.com"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:securityhub:Region:AccountId:connectorv2/*"
}
}
}
```
Modifica la policy sostituendo i seguenti valori nell'esempio di policy:
+ Sostituisci *CloudProviderName* con `JIRA_CLOUD` o `SERVICENOW`
+ Sostituisci *AccountId* con l'ID dell'account in cui stai creando il connettore Security Hub.
+ Sostituiscilo *Region* con la tua AWS regione (ad esempio,`us-east-1`).
## Accesso principale IAM per le operazioni del Security Hub
Qualsiasi principale che assegnerà chiavi KMS gestite dal cliente a un connettore Security Hub deve disporre delle autorizzazioni per eseguire operazioni chiave (descrivere, generare, decrittografare, ricrittografare ed elencare gli alias) per la chiave che viene aggiunta al connettore. Questo [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConnectorV2.html)vale per e. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateTicketV2.html) APIs La seguente dichiarazione politica dovrebbe essere inclusa come parte della politica per tutti i principali che interagiranno con questi APIs.
```
{
"Sid": "Allow permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt",
"kms:ReEncrypt*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
},
"StringLike": {
"kms:EncryptionContext:aws:securityhub:providerName": "CloudProviderName"
}
}
},
{
"Sid": "Allow read permissions to access key through Security Hub",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountId:role/RoleName"
},
"Action": [
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": [
"securityhub.Region.amazonaws.com"
]
}
}
}
```
Modifica la politica sostituendo i seguenti valori nell'esempio della politica:
+ Sostituisci *RoleName* con il nome del ruolo IAM che effettua chiamate a Security Hub.
+ Sostituisci *CloudProviderName* con `JIRA_CLOUD` o `SERVICENOW`.
+ Sostituisci *AccountId* con l'ID dell'account in cui stai creando il connettore Security Hub.
+ Sostituiscilo *Region* con la tua AWS regione (ad esempio,`us-east-1`).
# Test delle integrazioni di ticketing configurate
Per Jira configurato e ServiceNow le integrazioni, puoi testare la connessione per assicurarti che tutta la configurazione in Security Hub e nel tuo Jira o ServiceNow ambiente sia completa.
La funzione di test ticket creerà un ticket con un titolo di. `TESTING Test CreateTicketV2 Finding` Il ticket di test è compilato con dati di esempio come l'ID account e la regione dell'account in cui viene eseguito il test, i dettagli delle risorse di esempio e l'esempio AWS Finding JSON.
## Test delle integrazioni utilizzando la console
Utilizza i seguenti passaggi per testare la tua integrazione:
1. Nel pannello di navigazione di Security Hub, scegli **Integrazioni.**
1. Nella scheda **Integrazioni configurate**, scegli l'integrazione che desideri testare.
1. Nella pagina di panoramica della tua integrazione, scegli **Crea ticket di prova**.
1. Se il test ha avuto esito positivo, verrà visualizzato un messaggio di successo insieme a un link al ticket di test. Se il test non ha avuto esito positivo, verrà visualizzato un errore relativo al test. In base al messaggio di errore, risolvi i problemi di configurazione in Security Hub o nell'ambiente Jira o Service Now.
**Nota**
La funzionalità di test ticket ha lo scopo di aiutare a verificare la funzionalità end-to-end per la configurazione di una nuova connessione o quando si apportano modifiche a una connessione esistente. Questa funzionalità creerà un nuovo ticket nell'ambiente Jira o Service Now ogni volta che viene utilizzata e non è pensata per la verifica regolare della connessione.
## Test con AWS CLI
Per testare la tua integrazione utilizzando il AWS CLI, usa il `create-ticket-v2` comando con il `--mode DRYRUN` parametro:
```
aws securityhub create-ticket-v2 \
--mode DRYRUN \
--region \
--connector-id \
--finding-metadata-uid "TEST_FINDING"
```
**Esempio**
L'esempio seguente mostra come testare un'integrazione:
```
aws securityhub create-ticket-v2 \
--mode DRYRUN \
--region us-east-1 \
--connector-id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--finding-metadata-uid "TEST_FINDING"
```
**Risposta riuscita**
Una risposta corretta restituisce quanto segue:
```
{
"TicketId": "a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6",
"TicketSrcUrl": "https://your-instance.service-now.com/nav_to.do?uri=x_aws_se_0_finding.do?sys_id=a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6"
}
```
`TicketSrcUrl`Nella risposta fornisce un collegamento diretto per visualizzare il ticket di test nel tuo ambiente Jira o nel tuo ServiceNow ambiente.
Se il test fallisce, verrà visualizzato un messaggio di errore che indica il problema di configurazione da risolvere.
## Risoluzione degli errori di integrazione con Jira cloud
Durante il test dell'integrazione con Jira Cloud da Security Hub, è possibile che vengano restituiti i seguenti messaggi di errore. Questi messaggi di errore possono fornire informazioni su dove potrebbe trovarsi il problema di configurazione con il connettore e su come risolverlo.
**Messaggi di errore di integrazione con Jira Cloud**
| Errore | Messaggio di errore | Probabile causa e risoluzione |
| --- | --- | --- |
| ConflictException | Impossibile trovare il progetto Jira | **Causa probabile:** il progetto sul connettore non è corretto o il credentials/permissions problema ci impedisce di accedere al progetto. **Probabile risoluzione:** aggiungi il progetto corretto al connettore o esegui nuovamente l'autenticazione su Jira con le credenziali corrette. |
| ConflictException | Tipo di problema del Security Hub non trovato | **Causa probabile:** il problema o il tipo di problema di installazione dell'app non è associato al progetto. **Probabile risoluzione:** esegui il passaggio preliminare per installare l'app Jira nel tuo ambiente Jira e associa l'app al progetto. |
# Disabilitazione del Security Hub
## Disabilitazione del Security Hub per un singolo account
Se il tuo account non fa parte di un'organizzazione, puoi disabilitare Security Hub nella console Security Hub in qualsiasi momento o utilizzare l'[API DisableSecurityHub V2](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableSecurityHubV2.html). Quando disabiliti Security Hub, interrompe l'acquisizione dei risultati dai motori di rilevamento e perdi anche l'accesso ai risultati, alle integrazioni e alle configurazioni esistenti.
**Come disabilitare Centrale di sicurezza**
1. Accedi al tuo AWS account con le tue credenziali e apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Dal pannello di navigazione, scegli Generale.**
1. In Security Hub, scegli **Disattiva**. Nella finestra pop-up**Disable**, inserisci e scegli **Disabilita**.
## Disabilitazione del Security Hub all'interno di un'organizzazione
Se sei l'amministratore delegato di un' AWS organizzazione, hai due opzioni per disabilitare Security Hub tra gli account dei membri.
### Opzione 1: disabilitazione del Security Hub con motori di rilevamento
Puoi sfruttare la distribuzione e la policy di **Security Hub (funzionalità essenziali e aggiuntive)** dal catalogo delle policy del tuo account amministratore delegato per disabilitare Security Hub insieme ad Amazon Inspector per unità organizzative, account o regioni specifiche.
**Per disabilitare Security Hub e Amazon Inspector tra gli account dei membri utilizzando una policy**
1. Accedi utilizzando il tuo AWS account con le tue credenziali di amministratore delegato. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Dal pannello di navigazione, scegli **Gestione**, quindi scegli Configurazioni.**
1. Scegli **Security Hub (funzionalità essenziali e aggiuntive)** dal catalogo di configurazione.
1. Nella pagina **Configura Security Hub** nella sezione **Dettagli**, inserisci un nome e una descrizione per la policy (ad esempio, «Security Hub Disablement Policy»).
1. Nella sezione **Selezione dell'account**, seleziona una delle seguenti opzioni. Scegli **Tutte le unità organizzative e gli account** se desideri applicare la disabilitazione a tutte le unità organizzative e gli account. Scegli **Unità organizzative e conti specifici** se desideri applicare la disabilitazione a unità organizzative e account specifici. Se scegli questa opzione, utilizza la barra di ricerca o l'albero della struttura organizzativa per specificare le unità organizzative e gli account di destinazione.
1. Nella sezione **Regioni**, scegli **Disabilita tutte le regioni** per disabilitare Security Hub in tutte le regioni. Facoltativamente, scegli se disabilitare automaticamente le nuove regioni. Scegli **Specificare regioni** per scegliere quali regioni specifiche desideri disabilitare.
1. (Facoltativo) Per **le impostazioni avanzate**, fate riferimento alla guida di AWS Organizations.
1. (Facoltativo) Per i **tag Resource**, aggiungete i tag come coppie chiave-valore per identificare facilmente la configurazione.
1. Scegli **Next (Successivo)**.
1. **Controlla le modifiche, quindi scegli Applica.** I tuoi account target sono configurati in base alla politica. Lo stato di configurazione della politica verrà visualizzato nella parte superiore della pagina Politiche.
**Disattivazione del servizio CSPM di Amazon GuardDuty e AWS Security Hub**
Per GuardDuty le funzionalità CSPM di Security Hub, è necessario disabilitare manualmente le funzionalità dai rispettivi account di amministratore delegato. GuardDuty e Security Hub CSPM utilizzano distribuzioni (azioni una tantum) anziché policy, quindi la disabilitazione deve essere eseguita manualmente dalle rispettive console.
### Opzione 2: disabilitazione del solo Security Hub
Se disponi di una policy Security Hub esistente e desideri disabilitare solo Security Hub, senza influire su Amazon Inspector o Security Hub CSPM, segui questi passaggi. GuardDuty
**Per disabilitare Security Hub solo tra gli account dei membri**
1. Accedi utilizzando il tuo AWS account con le tue credenziali di amministratore delegato. Apri la console Security Hub su [https://console.aws.amazon.com/securityhub/v2/home](https://console.aws.amazon.com/securityhub/v2/home).
1. **Dal pannello di navigazione, scegli **Gestione**, quindi scegli Configurazioni.**
1. Scegli una delle policy del **Security Hub tra le** **policy configurate**.
1. Fai clic su **Modifica politica** e nella sezione **Selezione dell'account**, seleziona una delle seguenti opzioni. Scegli **Tutte le unità organizzative e gli account** se desideri applicare la disabilitazione a tutte le unità organizzative e gli account. Scegli **Unità organizzative e conti specifici** se desideri applicare la disabilitazione a unità organizzative e account specifici. Se scegli questa opzione, utilizza la barra di ricerca o l'albero della struttura organizzativa per specificare le unità organizzative e gli account di destinazione.
1. Nella sezione **Regioni**, scegli **Disabilita tutte le regioni** per disabilitare Security Hub in tutte le regioni. Facoltativamente, scegli se disabilitare automaticamente le nuove regioni. Scegli **Specificare regioni** per scegliere quali regioni specifiche desideri disabilitare.
1. (Facoltativo) Per **le impostazioni avanzate**, consulta la guida di AWS Organizations.
1. (Facoltativo) Per i **tag Resource**, aggiungete i tag come coppie chiave-valore per identificare facilmente la configurazione.
1. Scegli **Next (Successivo)**.
1. **Controlla le modifiche, quindi scegli Applica.** I tuoi account target sono configurati in base alla politica. Lo stato di configurazione della politica verrà visualizzato nella parte superiore della pagina Configurazioni.
**Impatto su altri servizi di sicurezza**
La disabilitazione di Security Hub tramite una policy di Security Hub **non ha alcun impatto** sulle configurazioni di Security Hub GuardDuty, CSPM e Amazon Inspector.
Se devi disabilitare Amazon Inspector solo tra gli account dei membri, puoi utilizzare la politica di **gestione delle vulnerabilità** dal catalogo di configurazione di Security Hub. Vai alla pagina di configurazione del Security Hub, scegli **la gestione delle vulnerabilità da Amazon** Inspector e crea una policy di disabilitazione seguendo passaggi simili alla procedura di disabilitazione di Security Hub riportata sopra.
# Sicurezza nel AWS Security Hub
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per ulteriori informazioni sui programmi di conformità che si applicano a Security Hub, vedere [AWS Servizi nell'ambito del programma di conformità](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa quando si utilizza Security Hub. I seguenti argomenti mostrano come configurare Security Hub per soddisfare i tuoi obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le risorse del Security Hub.
**Topics**
+ [Protezione dei dati in AWS Security Hub](sh-data-protection.md)
+ [AWS Identity and Access Management per Security Hub](sh-security-iam.md)
+ [Convalida della conformità per AWS Security Hub](sh-securityhub-compliance.md)
+ [Resilienza nel AWS Security Hub](sh-disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in AWS Security Hub](sh-infrastructure-security.md)
+ [AWS Security Hub e endpoint VPC di interfaccia ()AWS PrivateLink](sh-security-vpc-endpoints.md)
# Protezione dei dati in AWS Security Hub
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di di si applica alla protezione dei dati in AWS Security Hub. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Security Hub o altro Servizi AWS utilizzando la console AWS CLI, l'API o AWS SDKs. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
Security Hub è un'offerta di servizi multi-tenant. Per proteggere i dati, Security Hub crittografa i dati inattivi e i dati in transito tra i servizi componenti.
# Rifiuto esplicito all'utilizzo dei dati volto al miglioramento del servizio
**Nota**
Questa pagina di documentazione è applicabile solo al AWS Security Hub avanzato lanciato il 2 dicembre 2025. Se sei un cliente del Security Hub originale (ora AWS AWS Security Hub CSPM), l'utilizzo dei dati descritto di seguito si applicherà solo dopo aver abilitato il AWS Security Hub avanzato.
Puoi scegliere di rinunciare all'utilizzo dei tuoi dati (definiti come «Contenuto del Security Hub» nei termini del servizio Security Hub) per sviluppare e migliorare AWS Security Hub e altri servizi di AWS sicurezza utilizzando la politica di opt-out di AWS Organizations. Puoi scegliere di rinunciare anche se Security Hub attualmente non raccoglie tali Contenuti. Per ulteriori informazioni in merito, consulta le [Policy di rifiuto dei servizi di IA](orgs_manage_policies_ai-opt-out.html) nella *Guida per l'utente di AWS Organizations *.
**Nota**
Per poter utilizzare la politica di opt-out, i tuoi AWS account devono essere gestiti centralmente da AWS Organizations. Se non hai ancora creato un'organizzazione per i tuoi AWS account, consulta [Creazione e gestione di un'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) nella *Guida per l'AWS Organizations utente*.
Il rifiuto esplicito ha gli effetti seguenti:
+ Security Hub eliminerà i Contenuti raccolti e archiviati per scopi di miglioramento del servizio prima dell'eventuale rinuncia da parte dell'utente (se presente).
+ Dopo l'annullamento, Security Hub non raccoglierà o archivierà più questi Contenuti per scopi di miglioramento del servizio.
La sezione seguente spiega come Security Hub gestirà i tuoi contenuti per il miglioramento del servizio.
## AWS Utilizzo dei dati del Security Hub
Attualmente, AWS Security Hub non raccoglie né archivia alcun contenuto del Security Hub per scopi di miglioramento del servizio. Tuttavia, in futuro, Security Hub potrebbe raccogliere e utilizzare i risultati di sicurezza di terze parti che l'utente aggrega in Security Hub e in altre forme di contenuto del Security Hub (che Security Hub riceve dall'utente o dai servizi a monte allo scopo di fornire le funzionalità del Security Hub) per migliorare Security Hub e altre funzionalità dei servizi di AWS sicurezza.
La tua fiducia, la tua privacy e la sicurezza dei tuoi contenuti sono la nostra massima priorità. Se in futuro Security Hub inizierà a raccogliere contenuti di Security Hub per scopi di miglioramento del servizio, questa pagina verrà aggiornata per riflettere tali modifiche e fornire dettagli su quali dati vengono raccolti e su come vengono utilizzati. È possibile disattivare questa raccolta di contenuti Security Hub in qualsiasi momento utilizzando la politica di opt-out di AWS Organizations descritta sopra. Per ulteriori informazioni sulle pratiche relative alla privacy AWS dei dati, consulta [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/).
## Riferimenti
Per procedure di opt-out simili in altri servizi AWS di sicurezza, consulta:
+ [Disattivazione dell'utilizzo dei dati per il miglioramento del servizio](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-opting-out-using-data.html) nella *Amazon GuardDuty User Guide*.
+ [Disattivazione dell'utilizzo dei dati per il miglioramento del servizio](https://docs.aws.amazon.com/security-lake/latest/userguide/opting-out-of-using-your-data.html) nella *Guida per l'utente di Amazon Security Lake*.
# AWS Identity and Access Management per Security Hub
AWS Identity and Access Management (IAM) aiuta un Servizio AWS amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse del Security Hub. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona Security Hub con IAM](sh_security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per AWS Security Hub CSPM](sh_security_iam_id-based-policy-examples.md)
+ [Ruoli collegati ai servizi per AWS Security Hub](sh-using-service-linked-roles.md)
+ [AWS politiche gestite per Security Hub](sh-security-iam-awsmanpol.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso al AWS Security Hub](sh-security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso al AWS Security Hub](sh-security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Security Hub con IAM](sh_security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per AWS Security Hub CSPM](sh_security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Security Hub con IAM
Prima di utilizzare AWS Identity and Access Management (IAM) per gestire l'accesso a AWS Security Hub, scopri quali funzionalità IAM sono disponibili per l'uso con Security Hub.
**Funzionalità IAM che puoi utilizzare con AWS Security Hub**
| Funzionalità IAM | Supporto Security Hub |
| --- | --- |
| [Policy basate sull’identità](#sh_security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#sh_security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#sh_security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#sh_security_iam_service-with-iam-id-based-policies-resources) | No |
| [Chiavi di condizione delle policy](#sh_security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì |
| [Elenchi di controllo degli accessi (ACLs)](#sh_security_iam_service-with-iam-acls) | No |
| [Controllo degli accessi basato sugli attributi (ABAC): tag nelle politiche](#sh_security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#sh_security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Inoltro delle sessioni di accesso (FAS)](#sh_security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#sh_security_iam_service-with-iam-roles-service) | No |
| [Ruoli collegati al servizio](#sh_security_iam_service-with-iam-roles-service-linked) | Sì |
Per una panoramica di alto livello su come Security Hub e altri Servizi AWS funzionano con la maggior parte delle funzionalità IAM, consulta [Servizi AWS That work with IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per Security Hub
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
Security Hub supporta politiche basate sull'identità. Per ulteriori informazioni, consulta [Esempi di policy basate sull'identità per AWS Security Hub CSPM](sh_security_iam_id-based-policy-examples.md).
## Politiche basate sulle risorse per Security Hub
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
Security Hub non supporta policy basate sulle risorse. Non è possibile collegare una policy IAM direttamente a una risorsa Security Hub.
## Azioni politiche per Security Hub
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche in Security Hub utilizzano il seguente prefisso prima dell'azione:
```
securityhub:
```
Ad esempio, per concedere a un utente l'autorizzazione ad abilitare Security Hub, che è un'azione che corrisponde al `EnableSecurityHubV2` funzionamento dell'API Security Hub, includi l'`securityhub:EnableSecurityHubV2`azione nella sua politica. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. Security Hub definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
```
"Action": "securityhub:EnableSecurityHubV2"
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola. Esempio:
```
"Action": [
"securityhub:EnableSecurityHubV2",
"securityhub:CreateAutomationRuleV2"
```
È inoltre possibile specificare più azioni utilizzando i caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Get`, includi la seguente azione:
```
"Action": "securityhub:Get*"
```
Tuttavia, è consigliabile definire policy in grado di seguire il principio del privilegio minimo. In altre parole, è necessario creare policy che includano solo le autorizzazioni necessarie per eseguire un'attività specifica.
Per un elenco delle azioni del Security Hub, vedere [Azioni definite da AWS Security Hub](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) nel *riferimento di autorizzazione del servizio*. Per esempi di policy che specificano le azioni del Security Hub, vedere[Esempi di policy basate sull'identità per AWS Security Hub CSPM](sh_security_iam_id-based-policy-examples.md).
## Risorse politiche per Security Hub
**Supporta le risorse di policy:** No
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Security Hub definisce i seguenti tipi di risorse:
+ Hub
+ Prodotto
+ Finding aggregator, noto anche come aggregatore *interregionale*
+ Regola di automazione
È possibile specificare questi tipi di risorse nelle politiche utilizzando ARNs.
Per un elenco dei tipi di risorse Security Hub e la sintassi ARN per ciascuno di essi, vedere [Resources Defined by AWS Security Hub](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssecurityhub.html#awssecurityhub-resources-for-iam-policies) nel *Service* Authorization Reference. Per sapere quali azioni è possibile specificare per ogni tipo di risorsa, vedere [Azioni definite da AWS Security Hub](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssecurityhub.html#awssecurityhub-actions-as-permissions) nel *riferimento sull'autorizzazione del servizio*. Per esempi di politiche che specificano le risorse, vedere[Esempi di policy basate sull'identità per AWS Security Hub CSPM](sh_security_iam_id-based-policy-examples.md).
## Chiavi relative alle condizioni delle policy per Security Hub
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per un elenco delle chiavi di condizione di Security Hub, vedere [Condition Keys for AWS Security Hub](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssecurityhub.html#awssecurityhub-policy-keys) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, vedere [Azioni definite da AWS Security Hub](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssecurityhub.html#awssecurityhub-actions-as-permissions). Per esempi di politiche che utilizzano chiavi di condizione, vedi[Esempi di policy basate sull'identità per AWS Security Hub CSPM](sh_security_iam_id-based-policy-examples.md).
## Elenchi di controllo degli accessi (ACLs) in Security Hub
**Supporti ACLs:** No
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Security Hub non supporta ACLs, il che significa che non è possibile collegare un ACL a una risorsa Security Hub.
## Controllo degli accessi basato sugli attributi (ABAC) con Security Hub
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. È possibile allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
È possibile allegare tag alle risorse del Security Hub. È inoltre possibile controllare l'accesso alle risorse fornendo informazioni sui tag nell'`Condition`elemento di una policy.
Per informazioni sull'etichettatura delle risorse del Security Hub, vedere[Taggare le risorse del Security Hub](tagging-resources.md). Per un esempio di policy basata sull'identità che controlla l'accesso a una risorsa in base ai tag, vedi. [Esempi di policy basate sull'identità per AWS Security Hub CSPM](sh_security_iam_id-based-policy-examples.md)
## Utilizzo di credenziali temporanee con Security Hub
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come o. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
Security Hub supporta l'uso di credenziali temporanee.
## Sessioni di accesso diretto per Security Hub
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante e Servizio AWS, in combinazione con la richiesta, di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
Ad esempio, Security Hub invia le richieste FAS a valle Servizi AWS quando si integra Security Hub con AWS Organizations e quando si designa l'account amministratore delegato di Security Hub per un'organizzazione in Organizations.
Per altre attività, Security Hub utilizza un ruolo collegato al servizio per eseguire azioni per conto dell'utente. Per i dettagli su questo ruolo, consulta. [Ruoli collegati ai servizi per AWS Security Hub](sh-using-service-linked-roles.md)
## Ruoli di servizio per Security Hub
Security Hub non assume né utilizza ruoli di servizio. Per eseguire azioni per conto dell'utente, Security Hub utilizza un ruolo collegato al servizio. Per i dettagli su questo ruolo, consulta. [Ruoli collegati ai servizi per AWS Security Hub](sh-using-service-linked-roles.md)
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio può creare problemi operativi con l'utilizzo di Security Hub. Modifica i ruoli di servizio solo quando Security Hub fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per Security Hub
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Security Hub utilizza un ruolo collegato al servizio per eseguire azioni per conto dell'utente. Per i dettagli su questo ruolo, consulta. [Ruoli collegati ai servizi per AWS Security Hub](sh-using-service-linked-roles.md)
# Esempi di policy basate sull'identità per AWS Security Hub CSPM
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare le risorse CSPM di Security Hub. Inoltre, non possono eseguire attività utilizzando l'API Console di gestione AWS AWS CLI, o AWS . Un amministratore deve creare le policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore devi quindi collegare queste policy a utenti o gruppi che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.
**Topics**
+ [Best practice delle policy](#sh_security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Security Hub CSPM](#sh_security_iam_id-based-policy-examples-console)
+ [Esempio: consentire agli utenti di visualizzare le loro autorizzazioni](#sh_security_iam_id-based-policy-examples-view-own-permissions)
+ [Esempio: consenti agli utenti di visualizzare i risultati](#sh_security_iam_id-based-policy-examples-view-findings)
+ [Esempio: consentire agli utenti di creare e gestire regole di automazione](#sh_security_iam_id-based-policy-examples-create-automation-rule)
## Best practice delle policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse del Security Hub nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Security Hub CSPM
Per accedere alla AWS Security Hub CSPM console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse CSPM di Security Hub presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso o l' AWS CLI API. AWS Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che tali utenti e ruoli possano utilizzare la console CSPM di Security Hub, allega anche la seguente politica AWS gestita all'entità. Per ulteriori informazioni, consulta la sezione [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l'utente di IAM*:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
## Esempio: consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l'API o. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Esempio: consenti agli utenti di visualizzare i risultati
Questo esempio mostra come è possibile creare una policy IAM che consenta a un utente di visualizzare i risultati del Security Hub CSPM.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ReviewFindings",
"Effect": "Allow",
"Action": [
"securityhub:GetFindingsV2"
],
"Resource": "*"
}
]
}
```
## Esempio: consentire agli utenti di creare e gestire regole di automazione
Questo esempio mostra come è possibile creare una policy IAM che consenta a un utente di creare, visualizzare, aggiornare ed eliminare le regole di automazione CSPM di Security Hub. Affinché questa policy IAM funzioni, l'utente deve essere un amministratore CSPM di Security Hub. Per limitare le autorizzazioni, ad esempio per consentire a un utente di visualizzare solo le regole di automazione, puoi rimuovere le autorizzazioni di creazione, aggiornamento ed eliminazione.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateAndUpdateAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:CreateAutomationRuleV2",
],
"Resource": "*"
},
{
"Sid": "ViewAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:ListAutomationRulesV2",
"securityhub:GetAutomationRuleV2"
],
"Resource": "*"
},
{
"Sid": "DeleteAutomationRules",
"Effect": "Allow",
"Action": [
"securityhub:DeleteAutomationRuleV2"
],
"Resource": "*"
}
]
}
```
# Ruoli collegati ai servizi per AWS Security Hub
AWS Security Hub utilizza un [ruolo collegato al servizio AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM) denominato. `AWSServiceRoleForSecurityHubV2` Questo ruolo collegato ai servizi è un ruolo IAM collegato direttamente a Security Hub. È predefinito da Security Hub e include tutte le autorizzazioni richieste da Security Hub per chiamare altri Servizi AWS e monitorare AWS le risorse per tuo conto. Security Hub utilizza questo ruolo collegato al servizio in tutti i Regioni AWS casi in cui Security Hub è disponibile.
Un ruolo collegato al servizio semplifica la configurazione di Security Hub perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Security Hub definisce le autorizzazioni del suo ruolo collegato al servizio e, se non diversamente definito, solo Security Hub può assumere il ruolo. Le autorizzazioni definite includono la politica di fiducia e la politica di autorizzazione e non è possibile collegare tale politica di autorizzazione a nessun'altra entità IAM.
Per esaminare i dettagli del ruolo collegato al servizio, puoi utilizzare la console Security Hub. **Nel riquadro di navigazione, scegli **Generale** in Impostazioni.** Quindi, nella sezione **Autorizzazioni di servizio, scegli Visualizza le autorizzazioni** **del servizio**.
Puoi eliminare il ruolo collegato al servizio Security Hub solo dopo aver disabilitato Security Hub in tutte le regioni in cui è abilitato. In questo modo proteggi le tue risorse Security Hub perché non puoi rimuovere inavvertitamente le autorizzazioni per accedervi.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta i [AWS servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l'utente di IAM* e individua i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli un **Sì** con un link per consultare la documentazione del ruolo collegato al servizio per quel servizio.
**Topics**
+ [Autorizzazioni di ruolo collegate ai servizi per Security Hub](#sh-slr-permissions)
+ [Creazione di un ruolo collegato ai servizi per Security Hub](#sh-create-slr)
+ [Modifica di un ruolo collegato al servizio per Security Hub](#sh-edit-slr)
+ [Eliminazione di un ruolo collegato al servizio per Security Hub](#sh-delete-slr)
## Autorizzazioni di ruolo collegate ai servizi per Security Hub
Security Hub utilizza il ruolo collegato al servizio denominato. `AWSServiceRoleForSecurityHubV2` È un ruolo collegato al servizio necessario per consentire a AWS Security Hub di accedere alle tue risorse. Questo ruolo collegato al servizio consente a Security Hub di eseguire attività come ricevere risultati da altri Servizi AWS e configurare l' AWS Config infrastruttura necessaria per eseguire i controlli di sicurezza. Ai fini dell'assunzione del ruolo `AWSServiceRoleForSecurityHubV2`, il ruolo collegato ai servizi `securityhub.amazonaws.com`considera attendibile il servizio.
Il ruolo collegato ai servizi `AWSServiceRoleForSecurityHubV2` utilizza la policy gestita [`AWSSecurityHubServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubservicerolepolicy).
È necessario concedere le autorizzazioni per consentire a un'identità IAM (come un ruolo, un gruppo o un utente) di creare, modificare o eliminare un ruolo collegato al servizio. `AWSServiceRoleForSecurityHubV2`Affinché il ruolo collegato al servizio venga creato correttamente, l'identità IAM utilizzata per accedere a Security Hub deve disporre delle autorizzazioni richieste. Per concedere le autorizzazioni richieste, collega la seguente policy all'identità IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
## Creazione di un ruolo collegato ai servizi per Security Hub
Il ruolo `AWSServiceRoleForSecurityHubV2` collegato al servizio viene creato automaticamente quando abiliti Security Hub per la prima volta o quando abiliti Security Hub in una regione in cui non lo hai abilitato in precedenza. Puoi anche creare il ruolo `AWSServiceRoleForSecurityHubV2` collegato al servizio manualmente utilizzando la console IAM, la CLI IAM o l'API IAM. Per ulteriori informazioni sulla creazione manuale del ruolo, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente IAM*.
**Importante**
Il ruolo collegato al servizio creato per un account amministratore di Security Hub non si applica agli account membri del Security Hub associati.
## Modifica di un ruolo collegato al servizio per Security Hub
Security Hub non consente di modificare il ruolo `AWSServiceRoleForSecurityHubV2` collegato al servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Security Hub
Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo, non hai un'entità non utilizzata che non viene monitorata o gestita attivamente.
Quando disabiliti Security Hub, Security Hub non elimina automaticamente il ruolo `AWSServiceRoleForSecurityHubV2` collegato al servizio per te. Se abiliti nuovamente Security Hub, il servizio può ricominciare a utilizzare il ruolo esistente collegato al servizio. Se non è più necessario utilizzare Security Hub, è possibile eliminare manualmente il ruolo collegato al servizio.
**Importante**
Prima di eliminare il ruolo `AWSServiceRoleForSecurityHubV2` collegato al servizio, devi prima disabilitare Security Hub in tutte le regioni in cui è abilitato. Per ulteriori informazioni, consulta [Disabilitazione del Security Hub](securityhub-v2-disable.md). Se Security Hub non è disabilitato quando si tenta di eliminare il ruolo collegato al servizio, l'eliminazione non riesce.
Per eliminare il ruolo `AWSServiceRoleForSecurityHubV2` collegato al servizio, puoi utilizzare la console IAM, la CLI IAM o l'API IAM. Per ulteriori informazioni, consultare [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente di IAM*.
# AWS politiche gestite per Security Hub
Una policy AWS gestita è una policy autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AWSSecurityHubFullAccess
È possibile allegare la policy `AWSSecurityHubFullAccess` alle identità IAM.
Questa politica concede autorizzazioni amministrative che consentono l'accesso completo principale a tutte le azioni del Security Hub. Questa politica deve essere associata a un principale prima che quest'ultimo abiliti manualmente Security Hub per il proprio account. Ad esempio, i responsabili con queste autorizzazioni possono sia visualizzare che aggiornare lo stato dei risultati. Possono anche configurare approfondimenti personalizzati, abilitare integrazioni e abilitare e disabilitare standard e controlli. I responsabili di un account amministratore possono anche gestire gli account dei membri.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `securityhub`— Consente ai responsabili l'accesso completo a tutte le azioni del Security Hub.
+ `guardduty`— Consente ai responsabili di ottenere informazioni sullo stato dell'account in Amazon GuardDuty.
+ `iam`— Consente ai responsabili di creare un ruolo collegato ai servizi per Security Hub.
+ `inspector`— Consente ai responsabili di ottenere informazioni sullo stato dell'account in Amazon Inspector.
+ `pricing`— Consente ai committenti di ottenere un listino prezzi e prodotti. Servizi AWS
Per esaminare le autorizzazioni relative a questa politica, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubFullAccess.html)la *AWS Managed Policy Reference Guide.*
## AWS politica gestita: AWSSecurityHubReadOnlyAccess
È possibile allegare la policy `AWSSecurityHubReadOnlyAccess` alle identità IAM.
Questa politica concede autorizzazioni di sola lettura che consentono agli utenti di visualizzare le informazioni in Security Hub. I responsabili a cui è allegata questa politica non possono effettuare aggiornamenti in Security Hub. Ad esempio, i responsabili con queste autorizzazioni possono visualizzare l'elenco dei risultati associati al proprio account, ma non possono modificare lo stato di un risultato. Possono visualizzare i risultati degli approfondimenti, ma non possono creare o configurare approfondimenti personalizzati. Non possono configurare controlli o integrazioni di prodotti.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `securityhub`— Consente agli utenti di eseguire azioni che restituiscono un elenco di elementi o dettagli su un elemento. Ciò include le operazioni API che iniziano con `Get``List`, o`Describe`.
Per esaminare le autorizzazioni relative a questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubReadOnlyAccess.html)la *AWS Managed Policy Reference Guide*.
## AWS politica gestita: AWSSecurityHubOrganizationsAccess
È possibile allegare la policy `AWSSecurityHubOrganizationsAccess` alle identità IAM.
Questa politica concede le autorizzazioni amministrative per abilitare e gestire Security Hub per un'organizzazione in. AWS Organizations Le autorizzazioni per questa politica consentono all'account di gestione dell'organizzazione di designare l'account amministratore delegato per Security Hub. Consentono inoltre all'account amministratore delegato di abilitare gli account dell'organizzazione come account membro.
Questa politica fornisce solo le autorizzazioni per. AWS Organizations L'account di gestione dell'organizzazione e l'account amministratore delegato richiedono inoltre le autorizzazioni per le azioni associate. Queste autorizzazioni possono essere concesse utilizzando la politica gestita`AWSSecurityHubFullAccess`.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `organizations:ListAccounts`— Consente ai responsabili di recuperare l'elenco degli account che fanno parte di un'organizzazione.
+ `organizations:DescribeOrganization`— Consente ai dirigenti di recuperare informazioni sull'organizzazione.
+ `organizations:ListRoots`— Consente ai dirigenti di elencare la radice di un'organizzazione.
+ `organizations:ListDelegatedAdministrators`— Consente ai dirigenti di elencare l'amministratore delegato di un'organizzazione.
+ `organizations:ListAWSServiceAccessForOrganization`— Consente ai dirigenti di elencare le informazioni utilizzate da un' Servizi AWS organizzazione.
+ `organizations:ListOrganizationalUnitsForParent`— Consente ai responsabili di elencare le unità organizzative (OU) secondarie di un'unità organizzativa principale.
+ `organizations:ListAccountsForParent`— Consente ai responsabili di elencare gli account secondari di un'unità organizzativa principale.
+ `organizations:ListParents`— Elenca le unità principali o organizzative (OUs) che fungono da elemento principale dell'unità organizzativa o dell'account figlio specificato.
+ `organizations:DescribeAccount`: consente ai principali di recuperare informazioni su un account nell'organizzazione.
+ `organizations:DescribeOrganizationalUnit`— Consente ai responsabili di recuperare informazioni su un'unità organizzativa all'interno dell'organizzazione.
+ `organizations:ListPolicies`— Recupera l'elenco di tutte le politiche di un'organizzazione di un tipo specificato.
+ `organizations:ListPoliciesForTarget`— Elenca le politiche direttamente collegate alla radice, all'unità organizzativa (OU) o all'account di destinazione specificati.
+ `organizations:ListTargetsForPolicy`— Elenca tutte le radici, le unità organizzative (OUs) e gli account a cui è associata la politica specificata.
+ `organizations:EnableAWSServiceAccess`— Consente ai presidi di abilitare l'integrazione con Organizations.
+ `organizations:RegisterDelegatedAdministrator`— Consente ai responsabili di designare l'account amministratore delegato.
+ `organizations:DeregisterDelegatedAdministrator`— Consente ai responsabili di rimuovere l'account di amministratore delegato.
+ `organizations:DescribePolicy`— Recupera informazioni su una politica.
+ `organizations:DescribeEffectivePolicy`— Restituisce il contenuto della politica effettiva per il tipo di politica e l'account specificati.
+ `organizations:CreatePolicy`— Crea una politica di un tipo specifico che è possibile allegare a una radice, a un'unità organizzativa (OU) o a un AWS account individuale.
+ `organizations:UpdatePolicy`— Aggiorna una politica esistente con un nuovo nome, descrizione o contenuto.
+ `organizations:DeletePolicy`— Elimina la politica specificata dall'organizzazione.
+ `organizations:AttachPolicy`— Associa una policy a una root, a un'unità organizzativa (OU) o a un account individuale.
+ `organizations:DetachPolicy`— Scollega una politica da una radice, un'unità organizzativa (OU) o un account di destinazione.
+ `organizations:EnablePolicyType`— Abilita un tipo di policy in una radice.
+ `organizations:DisablePolicyType`— Disattiva un tipo di politica organizzativa in una radice.
+ `organizations:TagResource`— Aggiunge uno o più tag a una risorsa specificata.
+ `organizations:UntagResource`— Rimuove tutti i tag con le chiavi specificate da una risorsa specificata.
+ `organizations:ListTagsForResource`— Elenca i tag allegati a una risorsa specificata.
Per esaminare le autorizzazioni relative a questa policy, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubOrganizationsAccess.html)la *AWS Managed Policy Reference Guide*.
## AWS politica gestita: AWSSecurityHubV2ServiceRolePolicy
**Nota**
Security Hub è in versione di anteprima ed è soggetto a modifiche.
Questa politica consente a Security Hub di gestire AWS Config le regole e le risorse del Security Hub per l'organizzazione e per conto dell'utente. Questa policy è associata a un ruolo collegato al servizio che consente al servizio di eseguire azioni per conto dell'utente. Non è possibile allegare la policy alle identità IAM. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi per AWS Security Hub](sh-using-service-linked-roles.md).
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
+ `config`— Gestisci i registratori di configurazione collegati ai servizi per le risorse del Security Hub.
+ `iam`— Crea il ruolo collegato al servizio per. AWS Config
+ `organizations`— Recupera le informazioni sull'account e sull'unità organizzativa (OU) di un'organizzazione.
+ `securityhub`— Gestire la configurazione del Security Hub.
+ `tag`— Recupera informazioni sui tag delle risorse.
Per esaminare le autorizzazioni relative a questa politica, consulta [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSSecurityHubV2ServiceRolePolicy.html)la *AWS Managed Policy Reference Guide.*
## Aggiornamenti del Security Hub alle policy AWS gestite
La tabella seguente fornisce dettagli sugli aggiornamenti alle politiche AWS gestite per AWS Security Hub da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sugli aggiornamenti delle politiche, iscriviti al feed RSS nella pagina della [cronologia dei documenti di Security Hub](doc-history.md).
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSSecurityHubOrganizationsAccess](#sh-security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Politica aggiornata | Security Hub ha aggiornato la politica per aggiungere autorizzazioni per descrivere le politiche delle risorse per supportare le funzionalità di Security Hub. Security Hub è in versione di anteprima ed è soggetto a modifiche. | 12 novembre 2025 |
| [AWSSecurityHubFullAccess](#sh-security-iam-awsmanpol-awssecurityhubfullaccess)— Politica aggiornata | Security Hub ha aggiornato la policy per aggiungere funzionalità di gestione GuardDuty, Amazon Inspector e gestione degli account per supportare le funzionalità di Security Hub. Security Hub è in versione di anteprima ed è soggetto a modifiche. | 17 novembre 2025 |
| [AWSSecurityHUBv2 ServiceRolePolicy](#sh-security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) — Politica aggiornata | Security Hub ha aggiornato la policy per aggiungere funzionalità di misurazione per Amazon Elastic Container Registry AWS Lambda CloudWatch, Amazon e AWS Identity and Access Management per supportare le funzionalità di Security Hub. L'aggiornamento ha inoltre aggiunto il supporto per i AWS Config registratori globali. Security Hub è in versione di anteprima ed è soggetto a modifiche. | 5 novembre 2025 |
| [AWSSecurityHubOrganizationsAccess](#sh-security-iam-awsmanpol-awssecurityhuborganizationsaccess): aggiornamento di una policy esistente | Security Hub ha aggiunto nuove autorizzazioni alla policy. Le autorizzazioni consentono alla direzione dell'organizzazione di abilitare e gestire Security Hub e Security Hub CSPM per un'organizzazione. | 17 giugno 2025 |
| [AWSSecurityHubFullAccess](#sh-security-iam-awsmanpol-awssecurityhubfullaccess): aggiornamento di una policy esistente | Security Hub CSPM ha aggiunto nuove autorizzazioni che consentono ai responsabili di creare un ruolo collegato al servizio per Security Hub. | 17 giugno 2025 |
| [AWSSecurityServiceRolePolicyHUBv2](#sh-security-iam-awsmanpol-awssecurityhubv2servicerolepolicy) — Nuova politica | Security Hub ha aggiunto una nuova policy per consentire a Security Hub di gestire AWS Config le regole e le risorse del Security Hub per l'organizzazione di un cliente e per conto del cliente. Security Hub è in versione di anteprima ed è soggetto a modifiche. | 17 giugno 2025 |
| [AWSSecurityHubFullAccess](#sh-security-iam-awsmanpol-awssecurityhubfullaccess)— Aggiornamento a una politica esistente | Security Hub CSPM ha aggiornato la politica per ottenere dettagli sui prezzi Servizi AWS e sui prodotti. | 24 aprile 2024 |
| [AWSSecurityHubReadOnlyAccess](#sh-security-iam-awsmanpol-awssecurityhubreadonlyaccess)— Aggiornamento a una politica esistente | Security Hub CSPM ha aggiornato questa politica gestita aggiungendo un Sid campo. | 22 febbraio 2024 |
| [AWSSecurityHubFullAccess](#sh-security-iam-awsmanpol-awssecurityhubfullaccess)— Aggiornamento a una politica esistente | Security Hub CSPM ha aggiornato la policy in modo da determinare se Amazon GuardDuty e Amazon Inspector sono abilitati in un account. Questo aiuta i clienti a riunire informazioni relative alla sicurezza provenienti da più fonti. Servizi AWS | 16 novembre 2023 |
| [AWSSecurityHubOrganizationsAccess](#sh-security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Aggiornamento a una politica esistente | Security Hub CSPM ha aggiornato la politica per concedere autorizzazioni aggiuntive per consentire l'accesso in sola lettura alle funzionalità di amministratore delegato. AWS Organizations Ciò include dettagli come la radice, le unità organizzative (OUs), gli account, la struttura organizzativa e l'accesso al servizio. | 16 novembre 2023 |
| [AWSSecurityHubOrganizationsAccess](#sh-security-iam-awsmanpol-awssecurityhuborganizationsaccess)— Nuova politica | Security Hub CSPM ha aggiunto una nuova politica che concede le autorizzazioni necessarie per l'integrazione del Security Hub CSPM con Organizations. | 15 marzo 2021 |
| Security Hub CSPM ha iniziato a tracciare le modifiche | Security Hub CSPM ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 15 marzo 2021 |
# Risoluzione dei problemi relativi all'identità e all'accesso al AWS Security Hub
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con AWS Security Hub e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Security Hub](#sh-security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#sh-security_iam_troubleshoot-passrole)
+ [Desidero l'accesso programmatico a Security Hub](#sh-security_iam_troubleshoot-access-keys)
+ [Sono un amministratore e desidero consentire ad altri di accedere a Security Hub](#sh-security_iam_troubleshoot-admin-delegate)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse del Security Hub](#sh-security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Security Hub
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L’amministratore è colui che ti ha fornito le credenziali di accesso.
L'errore di esempio seguente si verifica quando l'utente `mateojackson` tenta di utilizzare la console per visualizzare i dettagli su un *widget* ma non dispone `securityhub:GetWidget` delle autorizzazioni.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget
```
In questo caso, Mateo chiede al suo amministratore di aggiornare le policy per poter accedere alla risorsa `my-example-widget` mediante l'operazione `securityhub:GetWidget`.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo a Security Hub.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Security Hub. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Desidero l'accesso programmatico a Security Hub
Gli utenti hanno bisogno di un accesso programmatico se vogliono interagire con l' AWS esterno di. Console di gestione AWS Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS
Per fornire agli utenti l’accesso programmatico, scegli una delle seguenti opzioni.
****
| Quale utente necessita dell’accesso programmatico? | Per | Come |
| --- | --- | --- |
| IAM | (Consigliato) Utilizza le credenziali della console come credenziali temporanee per firmare le richieste programmatiche a,, o. AWS CLI AWS SDKs AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/sh-security_iam_troubleshoot.html) |
| Identità della forza lavoro (Utenti gestiti nel centro identità IAM) | Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/sh-security_iam_troubleshoot.html) |
| IAM | Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs | Seguendo le istruzioni riportate in [Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) l'utente IAM. |
| IAM | (Non consigliato)Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs | Segui le istruzioni per l’interfaccia che desideri utilizzare. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/sh-security_iam_troubleshoot.html) |
## Sono un amministratore e desidero consentire ad altri di accedere a Security Hub
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse del Security Hub
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Security Hub supporta queste funzionalità, vedere[Come funziona Security Hub con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Convalida della conformità per AWS Security Hub
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta [AWS la documentazione sulla sicurezza](https://docs.aws.amazon.com/security/).
# Resilienza nel AWS Security Hub
L'infrastruttura AWS globale è costruita attorno a zone Regioni AWS di disponibilità. Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, connesse tramite reti altamente ridondanti, a bassa latenza e throughput elevato. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
Per ulteriori informazioni sulle zone Regioni AWS di disponibilità, vedere [AWS Global Infrastructure](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sicurezza dell'infrastruttura in AWS Security Hub
In quanto servizio gestito, AWS Security Hub è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzi chiamate API AWS pubblicate per accedere a Security Hub attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
# AWS Security Hub e endpoint VPC di interfaccia ()AWS PrivateLink
Puoi stabilire una connessione privata tra il tuo VPC e AWS Security Hub creando un endpoint *VPC* di interfaccia. Gli endpoint di interfaccia sono alimentati da [AWS PrivateLink](https://aws.amazon.com/privatelink), una tecnologia che consente di accedere in modo privato a Security Hub APIs senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione AWS Direct Connect. Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per comunicare con Security Hub. APIs Il traffico tra il tuo VPC e Security Hub non esce dalla rete Amazon.
Ogni endpoint dell'interfaccia è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nelle sottoreti. Per ulteriori informazioni, consulta [Accedere a un endpoint VPC Servizio AWS con interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) nella *Amazon Virtual Private* Cloud Guide.
## Considerazioni sugli endpoint VPC di Security Hub
Prima di configurare un endpoint VPC di interfaccia per Security Hub, assicurati di rivedere i prerequisiti e altre informazioni nella [Amazon Virtual](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html) Private Cloud Guide.
Security Hub supporta le chiamate a tutte le sue azioni API dal tuo VPC.
## Creazione di un endpoint VPC di interfaccia per Security Hub
Puoi creare un endpoint VPC per il servizio Security Hub utilizzando la console Amazon VPC o il (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consulta [Creare un endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) nella *Amazon Virtual Private* Cloud Guide.
Crea un endpoint VPC per Security Hub utilizzando il seguente nome di servizio:
`com.amazonaws.region.securityhub`
*region*Dov'è il codice regionale applicabile. Regione AWS
Se abiliti il DNS privato per l'endpoint, puoi effettuare richieste API a Security Hub utilizzando il nome DNS predefinito per la regione, `securityhub.us-east-1.amazonaws.com` ad esempio per la regione Stati Uniti orientali (Virginia settentrionale).
## Creazione di una policy per gli endpoint VPC per Security Hub
Puoi allegare una policy per gli endpoint al tuo endpoint VPC che controlla l'accesso a Security Hub. La policy specifica le informazioni riportate di seguito:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite.
+ Le risorse sui cui si possono eseguire azioni.
Per ulteriori informazioni, consulta [Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella *Amazon Virtual* Private Cloud Guide.
**Esempio: policy degli endpoint VPC per le azioni di Security Hub**
Di seguito è riportato un esempio di policy sugli endpoint per Security Hub. Se collegata a un endpoint, questa politica consente l'accesso alle azioni elencate del Security Hub per tutti i principali su tutte le risorse.
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"securityhub:getFindings",
"securityhub:getEnabledStandards",
"securityhub:getInsights"
],
"Resource":"*"
}
]
}
```
## Sottoreti condivise
Non puoi creare, descrivere, modificare o eliminare gli endpoint VPC nelle sottoreti condivise con te. Tuttavia, puoi utilizzare gli endpoint VPC in sottoreti condivise con te. *Per informazioni sulla condivisione VPC, consulta [Condividi le tue sottoreti VPC con altri account nella Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) Virtual Private Cloud Guide.*
# Registrazione delle chiamate API Security Hub con CloudTrail
è integrato con AWS CloudTrail, un servizio che fornisce un registro delle azioni intraprese da un utente, ruolo o AWS servizio in Security Hub. CloudTrail acquisisce le chiamate API per Security Hub come eventi. Le chiamate acquisite includono chiamate dalla console Security Hub e chiamate in codice alle operazioni dell'API Security Hub. Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per Security Hub. Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti sulla CloudTrail console nella cronologia degli **eventi**. Utilizzando le informazioni CloudTrail raccolte, è possibile determinare la richiesta effettuata a Security Hub, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi.
Per saperne di più CloudTrail, incluso come configurarlo e abilitarlo, consulta la [Guida per l'AWS CloudTrail utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Informazioni su Security Hub in CloudTrail
CloudTrail è abilitato sul tuo Account AWS quando crei l'account. Quando si verifica un'attività di evento supportata in Security Hub, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella **cronologia** degli eventi. È possibile visualizzare, cercare e scaricare gli eventi recenti nell'account . Per ulteriori informazioni, vedere [Visualizzazione degli eventi con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Per una registrazione continua degli eventi nel tuo account, inclusi gli eventi per Security Hub, crea un percorso. Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando crei un trail nella console, il trail si applica a tutte le regioni AWS . Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Panoramica della creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) più account
Security Hub supporta la registrazione di tutte le azioni dell'API Security Hub come eventi nei CloudTrail registri. Per visualizzare un elenco delle operazioni del Security Hub, consulta il [riferimento all'API Security Hub](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html).
Quando viene registrata l'attività per le seguenti azioni CloudTrail, il valore di `responseElements` è impostato `null` su. Ciò garantisce che le informazioni sensibili non siano incluse nei CloudTrail registri.
+ `GetFindingsV2`
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con credenziali utente root o AWS Identity and Access Management (IAM)
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro AWS servizio
Per ulteriori informazioni, consulta [Elemento CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Esempio: voci del file di registro di Security Hub
Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.
L'esempio seguente mostra una voce di CloudTrail registro che illustra l'`CreateAutomationRuleV2`azione. In questo esempio, `TestAutomationRule` viene creata una regola di automazione denominata. `Account ID`Gli attributi `Severity` and sono specificati come **Criteri**. Quando la regola viene soddisfatta, `Severity` viene aggiornato a **High**. Per ulteriori informazioni sulle regole di automazione, vedere[Regole di automazione in Security Hub](securityhub-v2-automation-rules.md).
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:Admin",
"arn": "arn:aws:sts::555555555555:assumed-role/Admin",
"accountId": "555555555555",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "aarn:aws:iam::555555555555:role/Admin",
"accountId": "555555555555",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-11-15T18:49:13Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2025-11-15T18:51:17Z",
"eventSource": "securityhub.amazonaws.com",
"eventName": "CreateAutomationRuleV2",
"awsRegion": "us-west-2",
"sourceIPAddress": "205.251.233.50",
"userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39",
"requestParameters": {
"Description": "Test Automation Rule",
"Actions": [
{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"SeverityId": 4
}
}
],
"RuleStatus": "ENABLED",
"Criteria": {
"OcsfFindingCriteria": {
"CompositeFilters": [
{
"Operator": "OR",
"StringFilters": [
{
"FieldName": "severity",
"Filter": {
"Value": "Medium",
"Comparison": "EQUALS"
}
}
]
},
{
"Operator": "OR",
"StringFilters": [
{
"FieldName": "cloud.account.uid",
"Filter": {
"Value": "111122223333",
"Comparison": "EQUALS"
}
}
]
}
],
"CompositeOperator": "AND"
}
},
"ClientToken": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"RuleOrder": 61,
"RuleName": "TestAutomationRule",
"Tags": {}
},
"responseElements": {
"RuleArn": "arn:aws:securityhub:us-west-2:555555555555:automation-rulev2/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleId": "c8bc6f90-29e9-4eb7-919f-b145e44eb8ec"
},
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "555555555555",
"eventCategory": "Management"
}
```