Integrar o IAM Access Analyzer com o AWS Security Hub - AWS Identity and Access Management
Como o IAM Access Analyzer envia descobertas para o Security HubExibir descobertas do IAM Access Analyzer no Security HubDescoberta típica do IAM Access AnalyzerHabilitar e configurar a integraçãoComo parar de enviar descobertas

Integrar o IAM Access Analyzer com o AWS Security Hub

O AWS Security Hub fornece uma visualização abrangente de seu estado de segurança na AWS. Ele ajuda você a avaliar seu ambiente em relação aos padrões e práticas recomendadas do setor de segurança. O Security Hub coleta dados de segurança de Contas da AWS, serviços e produtos de parceiros terceirizados compatíveis. Em seguida, ele analisa suas tendências de segurança e identifica os problemas de segurança de maior prioridade.

Ao integrar o IAM Access Analyzer com o Security Hub, você pode enviar descobertas do IAM Access Analyzer para o Security Hub. O Security Hub pode então incluir tais descobertas na análise feita sobre a seu procedimento de segurança geral.

Como o IAM Access Analyzer envia descobertas para o Security Hub

No Security Hub, os problemas de segurança são rastreados como descobertas. Algumas descobertas provêm de problemas que são detectados por outros Serviços da AWS ou por parceiros terceirizados. O Security Hub também tem um conjunto de regras que ele usa para detectar problemas de segurança e gerar descobertas.

O Security Hub fornece ferramentas para gerenciar descobertas em todas essas fontes. É possível visualizar e filtrar listas de descobertas e visualizar informações detalhadas sobre cada uma delas. Para obter mais informações, consulte Visualizar descobertas no Guia do usuário do AWS Security Hub. Também é possível acompanhar o status das investigações sobre as descobertas. Para obter mais informações, consulte Tomar medidas sobre descobertas no Manual do usuário do AWS Security Hub.

Todas as descobertas no Security Hub usam um formato JSON padrão chamado ASFF (Formato de Descoberta de Segurança da AWS). O ASFF inclui detalhes sobre a origem do problema, os recursos afetados e o status atual da descoberta. Para obter mais informações, consulte AWS Security Finding Format (ASFF) no Manual do usuário do AWS Security Hub.

O AWS Identity and Access Management Access Analyzer é um dos Serviços da AWS que enviam descobertas ao Security Hub. Para acessos não utilizados, o IAM Access Analyzer detecta o acesso não utilizado concedido a usuários ou perfis do IAM e gera uma descoberta para cada um deles. Em seguida, o IAM Access Analyzer envia essas descobertas ao Security Hub.

Para acesso externo, o IAM Access Analyzer detecta declarações de política que permitem acesso público ou acesso entre contas a entidades principais externas em recursos compatíveis em sua organização ou conta. O IAM Access Analyzer gera uma descoberta para acesso público e a envia para o Security Hub. Para acesso entre contas, o IAM Access Analyzer envia uma única descoberta de uma entidade principal externa por vez ao Security Hub. Se houver várias descobertas entre contas no IAM Access Analyzer, você deve resolver a descoberta do Security Hub da única entidade principal externa antes que o IAM Access Analyzer forneça a próxima descoberta entre contas. Para obter uma lista completa de entidades principais externas com acesso entre contas fora da zona de confiança do analisador, você deve visualizar as descobertas no IAM Access Analyzer. Detalhes sobre a política de controle de recursos (RCP) estão disponíveis na seção de detalhes do recurso.

Tipos de descobertas que o IAM Access Analyzer envia

O IAM Access Analyzer envia as descobertas para o Security Hub usando o AWS Security Finding Format (ASFF). No ASFF, o campo Types fornece o tipo de descoberta. As descobertas do IAM Access Analyzer podem ter os seguintes valores para Types.

  • Descobertas de acessos externos: efeitos/exposição de dados/acesso externo concedido

  • Descobertas de acessos externos: verificações de software e configuração/Práticas recomendadas de segurança da AWS/Acesso externo concedido

  • Descobertas de acessos não utilizadas: verificações de software e configuração/Práticas recomendadas de segurança da AWS/Permissão não utilizada

  • Descobertas de acessos não utilizados: verificações de software e configuração/Práticas recomendadas de segurança da AWS/Perfil do IAM não utilizado

  • Descobertas de acessos não utilizados: verificações de software e configuração/Práticas recomendadas de segurança da AWS/Senha de usuário do IAM não utilizada

  • Descobertas de acessos não utilizados: verificações de software e configuração/Práticas recomendadas de segurança da AWS/Chave de acesso de usuário do IAM não utilizada

Latência para enviar descobertas

Quando o IAM Access Analyzer cria um nova descoberta, ela geralmente é enviada para o Security Hub em até 30 minutos. No entanto, há casos raros em que o IAM Access Analyzer pode não ser notificado sobre uma alteração na política. Por exemplo:

  • As alterações nas configurações de bloqueio de acesso público no nível da conta no Amazon S3 podem levar até 12 horas para serem refletidas no IAM Access Analyzer.

  • Alterações em uma política de controle de recursos (RCP) sem uma alteração na política baseada no recurso não acionam uma nova verificação do bucket relatado na descoberta. O IAM Access Analyzer analisa a política nova ou atualizada durante a próxima verificação periódica, que ocorre em até 24 horas.

  • Se houver um problema de entrega com a entrega de logs do AWS CloudTrail, uma alteração de política pode não acionar uma nova varredura do recurso que foi relatado na descoberta.

Nessas situações, o IAM Access Analyzer analisa a política nova ou atualizada durante a próxima verificação periódica.

Tentar novamente quando o Security Hub não estiver disponível

Se o Security Hub não estiver disponível, o IAM Access Analyzer tentará enviar as descobertas periodicamente.

Atualizar as descobertas do existentes no Security Hub

Depois de enviar uma descoberta para o Security Hub, o IAM Access Analyzer continua a enviar atualizações para refletir quaisquer observações adicionais da atividade de descoberta para o Security Hub. Essas atualizações são refletidas dentro da mesma descoberta.

Para descobertas de acesso externo, o IAM Access Analyzer as agrupa por recurso. No Security Hub, a descoberta de um recurso permanece ativa se pelo menos uma das descobertas desse recurso estiver ativa no IAM Access Analyzer. Se todas as descobertas no IAM Access Analyzer para um recurso forem arquivadas ou resolvidas, a descoberta do Security Hub também será arquivada. A descoberta do Security Hub é atualizada quando o acesso de políticas é alterado entre público e entre contas. Essa atualização pode incluir alterações no tipo, título, descrição e gravidade da descoberta.

Para descobertas de acesso não utilizadas, o IAM Access Analyzer não as agrupa por recurso. Em vez disso, se uma descoberta de acessos não utilizados for resolvida no IAM Access Analyzer, a descoberta do Security Hub correspondente também será resolvida. A descoberta do Security Hub é atualizada quando você atualiza o perfil ou a usuário do IAM que gerou a descoberta de acessos não utilizados.

Exibir descobertas do IAM Access Analyzer no Security Hub

Para visualizar suas descobertas do IAM Access Analyzer no Security Hub, escolha Exibir descobertas na seção AWS: IAM Access Analyzer da página de resumo. Como alternativa, é possível escolher Findings (Descobertas) no painel de navegação. Em seguida, você pode filtrar as descobertas para exibir somente as descobertas do AWS Identity and Access Management Access Analyzer escolhendo o campo Product name: (Nome do produto:) com um valor de IAM Access Analyzer.

Interpretar nomes de descobertas do IAM Access Analyzer no Security Hub

O AWS Identity and Access Management Access Analyzer envia descobertas para o Security Hub usando o AWS Security Finding Format (ASFF). No ASFF, o campo Types (Tipos) fornece o tipo de descoberta. Os tipos do ASFF utilizam um esquema de nomenclatura diferente do AWS Identity and Access Management Access Analyzer. A tabela a seguir inclui detalhes sobre todos os tipos do ASFF associados às descobertas do AWS Identity and Access Management Access Analyzer, conforme aparecem no Security Hub.

Tipo de descoberta do ASFF Título da descoberta do Security Hub Descrição
Efeitos/Exposição de dados/Acesso externo concedido O <resource ARN> permite acesso público Uma política baseada em recursos anexada ao recurso permite o acesso público no recurso a todas as entidades principais externas.
Verificações de software e configuração/Melhores práticas de segurança daAWS/Acesso externo concedido O <resource ARN> permite o acesso entre contas Uma política baseada em recursos anexada ao recurso permite o acesso entre contas a entidades principais externas fora da zona de confiança do analisador.
Verificações de software e configuração/Práticas recomendadas de segurança da AWS/Permissão não utilizada O <resource ARN> contém permissões não utilizadas Um usuário ou perfil contém permissões de serviço e ação não utilizadas.
Verificações de software e configuração/Práticas recomendadas de segurança da AWS/Perfis do IAM não utilizados O <resource ARN> contém um perfil do IAM não utilizado Um usuário ou função contém um perfil do IAM não utilizado.
Verificações de software e configuração/Práticas recomendadas de segurança da AWS/Senha de usuário do IAM não utilizada <resource ARN> contém senha de usuário do IAM não utilizada Um usuário ou função contém uma senha de usuário do IAM não utilizada.
Verificações de software e configuração/Práticas recomendadas de segurança da AWS/Chave de acesso de usuário do IAM não utilizada <resource ARN> contém chave de acesso de usuário do IAM não utilizada Um usuário ou função contém uma chave de acesso de usuário do IAM não utilizada.

Descoberta típica do IAM Access Analyzer

O IAM Access Analyzer envia as descobertas para o Security Hub usando o AWS Security Finding Format (ASFF).

Veja aqui um exemplo de uma descoberta típica do IAM Access Analyzer para descobertas de acessos externos.

{
    "SchemaVersion": "2018-10-08",
    "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::amzn-s3-demo-bucket",
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
    "GeneratorId": "aws/access-analyzer",
    "AwsAccountId": "111122223333",
    "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"],
    "CreatedAt": "2020-11-10T16:17:47Z",
    "UpdatedAt": "2020-11-10T16:43:49Z",
    "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
    },
    "Title": "AwsS3Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access",
    "Description": "AWS::S3::Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access from AWS 444455556666",
    "Remediation": {
        "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."}
    },
    "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798",
    "Resources": [
        {
            "Type": "AwsS3Bucket",
            "Id": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Details": {
                "Other": {
                    "External Principal Type": "AWS",
                    "Condition": "none",
                    "Action Granted": "s3:GetObject,s3:GetObjectVersion",
                    "External Principal": "444455556666"
                }
            }
        }
    ],
    "WorkflowState": "NEW",
    "Workflow": {"Status": "NEW"},
    "RecordState": "ACTIVE"
}

Veja aqui um exemplo de uma descoberta típica do IAM Access Analyzer para descobertas de acessos não utilizados.

{
    "Findings": [
    {
      "SchemaVersion": "2018-10-08",
      "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
      "ProductName": "IAM Access Analyzer",
      "CompanyName": "AWS",
      "Region": "us-west-2",
      "GeneratorId": "aws/access-analyzer",
      "AwsAccountId": "111122223333",
      "Types": [
        "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
      ],
      "CreatedAt": "2023-09-18T16:29:09.657Z",
      "UpdatedAt": "2023-09-21T20:39:16.651Z",
      "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
      },
      "Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions",
      "Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions",
      "Remediation": {
        "Recommendation": {
          "Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved."
        }
      },
      "SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole",
      "ProductFields": {
      "numberOfUnusedActions": "256",
      "numberOfUnusedServices": "15",
      "resourceOwnerAccount": "111122223333",
      "findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7",
      "findingType": "UnusedPermission",
      "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "aws/securityhub/ProductName": "AM Access Analyzer",
      "aws/securityhub/CompanyName": "AWS"
    },
    "Resources": [
    {
      "Type": "AwsIamRole",
      "Id": "arn:aws:iam::111122223333:role/TestRole"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
    },
  "RecordState": "ARCHIVED",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW"
    },
    "Types": [
    "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
    ]
  }
  }
]
}

Habilitar e configurar a integração

Para usar a integração com o Security Hub, você deve habilitar o Security Hub. Para obter informações sobre como habilitar o Security Hub, consulte Configurar o Security Hub no Guia do usuário AWS Security Hub.

Ao habilitar tanto o IAM Access Hub quanto o Security Hub, a integração é habilitada automaticamente. O IAM Access Analyzer começa imediatamente a enviar descobertas para o Security Hub.

Como parar de enviar descobertas

Para parar de enviar descobertas para o Security Hub, você pode usar o console ou a API do Security Hub.

Consulte Desabilitar e habilitar o fluxo de descobertas de uma integração (console) ou Desabilitar o fluxo de descobertas de uma integração (API do Security Hub, AWS CLI) no Guia do usuário do AWS Security Hub.