Security Hub 개념

표준 아마존 웹 서비스 (AWS다음을 포함하는) 계정 AWS 있습니다. 에 로그인할 수 있습니다. AWS 계정을 사용하여 Security Hub를 활성화하십시오.

계정은 다른 계정을 초대하여 Security Hub를 활성화하고 Security Hub의 해당 계정에 연결할 수 있습니다. 멤버십 초대 수락은 선택 사항입니다. 초대가 수락되면 계정은 관리자 계정이 되며, 추가된 계정은 멤버 계정이 됩니다. 관리자 계정은 멤버 계정에 있는 조사 결과를 볼 수 있습니다.

에 등록한 경우 AWS Organizations를 누르면 조직에서 조직의 Security Hub 관리자 계정을 지정합니다. Security Hub 관리자 계정은 다른 조직 계정을 멤버 계정으로 활성화할 수 있습니다.

한 계정이 관리자 계정이면서 동시에 멤버 계정일 수 없습니다. 계정에는 관리자 계정이 하나만 있을 수 있습니다.

자세한 내용은 Security Hub에서 관리자 및 구성원 계정 관리 섹션을 참조하십시오.

관련된 멤버 계정의 조사 결과를 볼 수 있는 액세스 권한이 부여된 Security Hub의 계정입니다.

계정은 다음 방법 중 하나로 관리자 계정이 됩니다.

계정에는 관리자 계정이 하나만 있을 수 있습니다. 한 계정이 관리자 계정이면서 동시에 멤버 계정일 수 없습니다.

집계 지역을 설정하면 여러 지역의 보안 결과를 볼 수 있습니다. AWS 리전 한 장의 유리창에.

집계 리전은 사용자가 조사 결과를 보고 관리하는 리전입니다. 조사 결과는 연결된 리전의 집계 리전에 집계됩니다. 조사 결과 업데이트는 리전 전체에 복제됩니다.

집계 리전에서 보안 표준, 통찰력, 조사 결과 페이지에는 연결된 모든 리전의 데이터가 포함됩니다.

Security Hub의 지역 간 집계에 대한 이해 섹션을 참조하십시오.

RecordState가 ARCHIVED로 설정되어 있는 결과입니다. 조사 결과를 보관하면 조사 결과 공급자가 해당 조사 결과가 더 이상 관련이 없다고 판단한다는 의미입니다. 기록 상태는 조사 결과에 대한 조사 상태를 추적하는 워크플로우 상태와는 별개입니다.

검색 제공자는 Security Hub BatchImportFindings작업을 API 통해 자신이 만든 검색 결과를 보관할 수 있습니다. Security Hub는 다음 기준 중 하나에 따라 제어 기능이 비활성화되거나 연결된 리소스가 삭제된 경우 제어 기능에 대한 조사 결과를 자동으로 보관합니다.

기본적으로 보관된 조사 결과는 Security Hub 콘솔에 있는 조사 결과 목록에서 제외됩니다. 보관된 조사 결과를 포함하도록 필터를 업데이트할 수 있습니다.

GetFindingsSecurity Hub를 실행하면 활성 결과와 보관된 결과가 모두 API 반환됩니다. 레코드 상태에 대한 필터를 포함할 수 있습니다.

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],

Security Hub에서 집계하거나 생성하는 조사 결과 콘텐츠의 표준화된 형식입니다. The AWS 보안 검색 결과 형식을 사용하면 Security Hub를 사용하여 다음과 같이 생성된 조사 결과를 보고 분석할 수 있습니다. AWS 보안 서비스, 타사 솔루션 또는 Security Hub 자체의 보안 검사 실행 자세한 내용은 AWS 보안 탐지 형식 (ASFF) 단원을 참조하십시오.

정보의 기밀성, 무결성 및 가용성을 보호하고 정의된 보안 요구 사항을 충족하도록 설계된 정보 시스템 또는 조직에 대해 규정된 보호 조치 또는 대책입니다. 보안 표준은 제어 기능의 모음과 연관되어 있습니다.

보안 제어 기능이라는 용어는 표준 전반에서 단일 제어 ID와 제목을 가지고 있는 제어 기능을 말합니다. 표준 제어라는 용어는 표준별 제어 IDs 및 제목이 있는 제어를 의미합니다. 현재 Security Hub는 다음과 같은 표준 컨트롤만 지원합니다. AWS GovCloud (US) Region 및 중국 지역. 보안 제어 기능은 다른 모든 리전에서 지원됩니다.

선택한 결과를 보내기 위한 Security Hub EventBridge 메커니즘입니다. 사용자 지정 작업은 Security Hub에서 생성됩니다. 그러면 EventBridge 규칙에 연결됩니다. 이 규칙은 사용자 지정 작업 ID와 연결된 결과가 수신될 때 수행할 특정 작업을 정의합니다. 예를 들어, 사용자 지정 작업을 사용하여 특정 조사 결과 또는 작은 조사 결과 집합을 응답 또는 수정 작업 흐름에 보낼 수 있습니다. 자세한 내용은 사용자 지정 작업 생성 섹션을 참조하십시오.

조직에서 서비스의 위임된 관리자 계정은 조직의 서비스 사용을 관리할 수 있습니다.

Security Hub에서 Security Hub 관리자 계정은 Security Hub의 위임된 관리자 계정이기도 합니다. 조직 관리 계정이 Security Hub 관리자 계정을 처음 지정하면 Security Hub가 조직을 호출하여 해당 계정을 위임된 관리자 계정으로 설정합니다.

그런 다음에는 조직 관리 계정이 모든 리전에서 Security Hub 관리자 계정으로 위임된 관리자 계정을 선택해야 합니다.

보안 점검 또는 보안 관련 감지의 관찰 가능한 기록입니다. Security Hub는 제어 기능에 대한 보안 검사를 완료한 후 조사 결과를 생성합니다. 이를 제어 기능의 조사 결과라고 합니다. 조사 결과는 타사 제품 통합에서도 나올 수 있습니다.

Security Hub의 조사 결과에 대한 자세한 내용은 Security Hub에서 결과 생성 및 업데이트 섹션을 참조하십시오.

연결된 리전의 조사 결과, 통찰력, 제어 기능 규정 준수 상태, 보안 점수를 집계 리전으로 집계합니다. 그런 다음에는 집계 리전에서 모든 데이터를 보고 집계 리전에서 조사 결과 및 통찰력을 업데이트할 수 있습니다.

Security Hub의 지역 간 집계에 대한 이해 섹션을 참조하십시오.

다른 곳에서 Security Hub로 결과 가져오기 AWS 서비스 및 타사 파트너 제공업체로부터.

조사 결과 수집 이벤트에는 새로운 조사 결과와 기존의 조사 결과에 대한 업데이트가 모두 포함됩니다.

집계 설명 및 선택적 필터로 정의된 관련 조사 결과의 모음입니다. 인사이트는 주의와 개입이 필요한 보안 영역을 식별합니다. Security Hub는 수정할 수 없는 관리된(기본) 몇 가지 통찰력을 제공합니다. 또한 사용자 지정 Security Hub 통찰력을 생성하여 고유한 보안 문제를 추적할 수 있습니다. AWS 환경 및 사용. 자세한 내용은 Security Hub에서 인사이트 보기 단원을 참조하십시오.

크로스 리전 집계를 활성화하면, 연결된 리전은 조사 결과, 통찰력, 제어 기능 규정 준수 상태, 보안 점수를 집계 리전으로 집계하는 리전입니다.

연결된 리전에서 조사 결과 및 통찰력 페이지에는 해당 리전의 조사 결과만 포함됩니다.

Security Hub의 지역 간 집계에 대한 이해 섹션을 참조하십시오.

관리자 계정에 조사 결과를 보고 조치를 취할 수 있는 권한을 부여한 계정입니다.

계정은 다음 방법 중 하나로 멤버 계정이 됩니다.

제어에 매핑되는 일련의 업계 또는 규정 요구 사항입니다.

제어의 준수 여부를 평가하는 데 사용되는 자동화된 기준 세트입니다. 규칙이 평가되면 통과하거나 실패할 수 있습니다. 평가에서 규칙의 통과 여부를 확인할 수 없는 경우 규칙이 경고 상태에 있는 것입니다. 규칙을 평가할 수 없는 경우 사용할 수 없는 상태입니다.

단일 리소스에 대해 규칙을 구체적으로 point-in-time 평가하여PASSED, FAILEDWARNING, 또는 NOT_AVAILABLE 상태를 초래합니다. 보안 점검을 실행하면 결과가 생성됩니다.

조직의 Security Hub 멤버십을 관리하는 조직 계정입니다.

조직 관리 계정은 각 리전에 있는 Security Hub 관리자 계정을 지정합니다. 조직 관리 계정은 모든 리전에서 동일한 Security Hub 관리자 계정을 선택해야 합니다.

Security Hub 관리자 계정은 조직에서 Security Hub에 대해 위임된 관리자 계정이기도 합니다.

Security Hub 관리자 계정은 어떤 조직 계정이든 멤버 계정으로 활성화할 수 있습니다. Security Hub 관리자 계정은 다른 계정을 멤버 계정으로 초대할 수도 있습니다.

규정 준수를 위해 충족시키거나 달성해야 하는 특성(일반적으로 측정 가능하고 제어 형식을 취함)을 명시한, 주제에 대해 게시된 진술입니다. 보안 표준은 규제 프레임워크, 모범 사례 또는 사내 정책을 기반으로 할 수 있습니다. 제어 기능은 Security Hub에서 지원되는 하나 이상의 표준과 연결될 수 있습니다. Security Hub의 보안 표준에 대한 자세한 내용은 Security Hub의 보안 표준에 대한 이해 섹션을 참조하십시오.

Security Hub 제어 기능에 할당된 심각도는 해당 제어 기능의 중요성을 식별합니다. 제어 기능의 심각도는 심각, 높음, 중간, 낮음 또는 정보일 수 있습니다. 제어 기능의 조사 결과에 할당된 심각도는 해당 제어 기능 자체의 심각도와 동일합니다. Security Hub가 제어 기능에 심각도를 할당하는 방법에 대한 자세한 내용은 제어 조사 결과에 심각도 할당을 참고하십시오.

결과에 대한 조사의 상태입니다. Workflow.Status 속성을 사용하여 추적했습니다.

워크플로우 상태는 초기에 NEW입니다. 리소스 소유자에게 결과에 대한 작업을 수행하도록 통지한 경우 워크플로우 상태를 NOTIFIED로 설정할 수 있습니다. 결과가 문제가 아니고 작업이 필요하지 않은 경우 워크플로우 상태를 SUPPRESSED로 설정합니다. 결과를 검토하고 수정한 후 워크플로우 상태를 RESOLVED로 설정합니다.

기본적으로 대부분의 조사 결과 목록에는 워크플로우 상태가 NEW 또는 NOTIFIED인 조사 결과만 포함됩니다. 컨트롤에 대한 조사 결과 목록에는 RESOLVED 조사 결과도 포함됩니다.

GetFindings 작업의 경우 워크플로우 상태에 대한 필터를 포함할 수 있습니다.

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

Security Hub 콘솔은 조사 결과에 대한 워크플로우 상태를 설정하는 옵션을 제공합니다. 고객 (또는 SIEM 고객을 대신하여 제공업체 검색 결과를 업데이트하는 SOAR 도구 또는 티켓 관리, 인시던트 관리 또는 도구) 도 워크플로우 상태를 BatchUpdateFindings업데이트하는 데 사용할 수 있습니다.