本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
生成和更新控件调查发现
AWS Security Hub 通过对安全控制进行检查来生成调查结果。这些发现使用了 AWS 安全调查结果格式 (ASFF)。请注意,如果调查发现大小超过最大值 240 KB,则 Resource.Details
对象将被移除。对于由支持的控件 AWS Config
资源,则可以在上查看资源详细信息 AWS Config console。
Security Hub 通常会对控件的每项安全检查收费。但是,如果多个控件使用相同的控件 AWS Config 规则,那么 Security Hub 只对每张支票收取一次费用 AWS Config 规则。如果您启用合并控制结果,即使该控件包含在多个启用的标准中,Security Hub 也会生成一个用于安全检查的结果。
例如, AWS Config 规则iam-password-policy
由互联网安全中心的多个控件使用 (CIS) AWS 基金会基准标准和基础安全最佳实践标准。每次 Security Hub 都会对此进行检查 AWS Config 规则,它会为每个相关控件生成单独的调查结果,但只对支票收取一次费用。
整合控制结果
如果您在账户中启用了合并控制结果功能,Security Hub 会为控件的每项安全检查生成一个新的查找结果或查找结果更新,即使该控件适用于多个已启用的标准。要查看控件列表及其适用的标准,请参阅 Security Hub 控件参考。我们建议启用综合控制结果,以减少发现噪音。
如果你为启用了 Security Hub AWS 账户 在 2023 年 2 月 23 日之前,您可以按照本节后面的说明启用合并控制结果。如果您在 2023 年 2 月 23 日当天或之后启用 Security Hub,则会在您的账户中自动启用合并控制结果。但是,如果您将 Sec urity Hub 集成与 AWS Organizations或通过手动邀请流程受邀的成员账户,只有在管理员账户中启用合并控制结果后,才能在成员账户中启用合并控制结果。如果在管理员帐户中禁用了该功能,则在成员帐户中将禁用该功能。此行为适用于新的和现有的成员账户。
如果您在账户中禁用整合控制结果,Security Hub 会为每项已启用的包含控件的标准生成每项安全检查的单独结果。例如,如果四个启用的标准与相同的底层标准共享一个控制权 AWS Config 规则,在对控件进行安全检查后,您会收到四个单独的调查结果。如果启用合并控制结果,则只会收到一个调查结果。有关整合如何影响调查发现的更多信息,请参阅 Security Hub 中的控制结果示例。
启用整合控制结果后,Security Hub 会创建新的与标准无关的调查结果,并存档基于标准的原始调查结果。某些控件调查发现字段和值会发生变化,并可能影响现有的工作流程。有关这些更改的更多信息,请参阅综合控制结果—— ASFF 变化。
启用整合的控件调查发现还可能影响第三方集成从 Security Hub 收到的调查发现。开启自动安全响应 AWS v2.0.0
要启用或禁用整合控制结果,您必须登录管理员账户或独立账户。
注意
启用整合控制结果后,Security Hub 最多可能需要 24 小时才能生成新的合并调查结果并存档基于标准的原始调查结果。同样,禁用整合控制结果后,Security Hub 最多可能需要 24 小时才能生成新的基于标准的调查结果并存档合并的调查结果。在这段时间内,您可能会在账户中看到一系列与标准无关的调查结果和基于标准的调查结果。
Compliance
控件调查发现的详细信息
对于通过对控制措施进行安全检查得出的结果,请在 Compliance AWS 安全调查结果格式 (ASFF) 包含与控制结果相关的详细信息。Compliance 字段包含以下信息。
AssociatedStandards
-
启用控件的启用标准。
RelatedRequirements
-
所有启用标准中控件的相关要求清单。这些要求来自该控件的第三方安全框架,例如支付卡行业数据安全标准 (PCIDSS)。
SecurityControlId
-
Security Hub 支持的各类安全标准控制的标识符。
Status
-
Security Hub 针对给定控件运行的最新检查的结果。之前检查的结果将保持存档状态 90 天。
StatusReasons
-
包含
Compliance.Status
值的原因列表。对于每个原因,StatusReasons
包括原因代码和说明。
下表列出了可用的状态原因代码和说明。补救步骤取决于哪个控件生成了带有原因代码的调查发现。从 Security Hub 控件参考 中选择一个控件以查看该控件的修复步骤。
原因代码 |
Compliance.Status |
描述 |
---|---|---|
|
|
多区域 CloudTrail 跟踪没有有效的指标筛选条件。 |
|
|
多区域 CloudTrail 跟踪不存在指标筛选条件。 |
|
|
该账户没有具有所需配置的多区域 CloudTrail 跟踪。 |
|
|
多区域 CloudTrail 跟踪不在当前区域中。 |
|
|
不存在有效的警报操作。 |
|
|
CloudWatch 账户中不存在警报。 |
|
AWS Config 状态是 |
AWS Config 访问被拒绝。 验证一下 AWS Config 已启用并已被授予足够的权限。 |
|
|
AWS Config 根据规则评估了您的资源。 该规则不适用于 AWS 其范围内的资源,指定的资源已被删除,或者评估结果被删除。 |
|
|
合规状态是 AWS Config 未提供该状态的原因。以下是不适用状态的一些可能原因:
|
|
AWS Config 状态是 |
此原因代码用于几种不同类型的评估错误。 描述提供了具体的原因信息。 错误类型可以是以下类型之一:
|
|
AWS Config 状态是 |
这些区域有: AWS Config 规则正在创建中。 |
|
|
出现未知错误。 |
|
FAILED |
Security Hub 无法对自定义 Lambda 运行时系统执行检查。 |
|
|
该调查发现处于 此规则不支持跨区域或跨账户检查。 建议您在此区域或账户中禁用此控制。仅在资源所在的区域或账户中运行它。 |
|
|
CloudWatch 日志指标筛选条件没有有效的 Amazon SNS 订阅。 |
|
WARNING |
该调查发现处于一种 与此规则关联的SNS主题归其他账户所有。当前账户无法获取订阅信息。 拥有该SNS主题的账户必须向当前账户授予该SNS主题的 |
|
|
发现之所以处于 此规则不支持跨区域或跨账户检查。 建议您在此区域或账户中禁用此控制。仅在资源所在的区域或账户中运行它。 |
|
|
与此规则关联的SNS主题无效。 |
|
|
相关API操作超出了允许的速率。 |
ProductFields
控件调查发现的详细信息
当 Security Hub 运行安全检查并生成控制结果时,中的ProductFields
属性ASFF包括以下字段:
ArchivalReasons:0/Description
-
描述 Security Hub 为何对现有调查发现进行存档。
例如,当您禁用控件或标准以及打开或关闭整合的控件调查发现时,Security Hub 会存档现有调查发现。
ArchivalReasons:0/ReasonCode
-
提供了 Security Hub 存档现有调查发现的原因。
例如,当您禁用控件或标准以及打开或关闭整合的控件调查发现时,Security Hub 会存档现有调查发现。
StandardsGuideArn
或StandardsArn
-
与ARN控件关联的标准。
对于 CIS AWS 基金会基准标准,该领域是
StandardsGuideArn
。因为PCIDSS和 AWS 基础安全最佳实践标准,该领域是
StandardsArn
。如果您启用合并控制结果,
Compliance.AssociatedStandards
则会移除这些字段。 StandardsGuideSubscriptionArn
或StandardsSubscriptionArn
-
该账户ARN对标准的订阅。
对于 CIS AWS 基金会基准标准,该领域是
StandardsGuideSubscriptionArn
。为了PCIDSS和 AWS 基础安全最佳实践标准,该领域是
StandardsSubscriptionArn
。如果您启用合并控制结果,则这些字段将被删除。
RuleId
或ControlId
-
控件的标识符。
对于 CIS AWS 基金会基准标准,该领域是
RuleId
。对于其他标准,该字段为
ControlId
。如果您启用合并控制结果,
Compliance.SecurityControlId
则会移除这些字段。 RecommendationUrl
-
控URL件的补救信息。如果您启用了合并控制结果,
Remediation.Recommendation.Url
则会移除此字段。 RelatedAWSResources:0/name
-
与调查发现关联的资源的名称。
RelatedAWSResource:0/type
-
与控件关联的资源类型。
StandardsControlArn
-
控ARN件的。如果您启用合并控制结果,则此字段将被删除。
aws/securityhub/ProductName
-
对于基于控件的调查发现,产品名称为 Security Hub。
aws/securityhub/CompanyName
-
对于基于控制的调查结果,公司名称为 AWS.
aws/securityhub/annotation
-
对控件所发现问题的描述。
aws/securityhub/FindingId
-
调查发现的标识符。如果您启用合并控制结果,则此字段不引用标准。
为控件调查发现分配严重性
分配给 Security Hub 控件的“严重性”确定了该控件的重要性。对照的严重性决定了分配给对照调查发现的严重性标签。
严重性条件
控制的严重程度是根据对以下标准的评估来确定的:
-
威胁行为者利用与控制相关的配置弱点有多困难?
难度取决于利用弱点执行威胁场景所需的复杂程度。
-
这种弱点导致你的妥协的可能性有多大 AWS 账户 还是资源?
你的妥协 AWS 账户 或资源意味着您的数据的机密性、完整性或可用性或 AWS 基础设施在某种程度上遭到破坏。
入侵的可能性表明威胁情景导致您的业务中断或泄露的可能性有多大 AWS 服务或资源。
例如,考虑以下配置缺点:
-
用户访问密钥不是每 90 天轮换一次。
-
IAMroot 用户密钥存在。
对于攻击者来说,这两个弱点同样难以利用。在这两种情况下,攻击者都可以使用凭证盗窃或其他方法来获取用户密钥。然后,他们可以使用它以未经授权的方式访问您的资源。
但是,如果威胁行为者获取了根用户访问密钥,则受到损害的可能性会更高,因为这为他们提供了更大的访问权限。因此,根用户密钥漏洞的严重性更高。
严重性未考虑底层资源的重要程度。严重性是指与调查发现关联的资源的重要性级别。例如,与任务关键型应用程序关联的资源比与非生产测试关联的资源更重要。要获取资源重要性信息,请使用以下Criticality
字段 AWS 安全调查结果格式 (ASFF)。
下表将漏洞利用的难度和受损的可能性映射到安全标签。
极有可能受损 |
可能受损 |
不太可能受损 |
受损的可能性极小 |
|
非常容易被利用 |
重大 |
重大 |
高 |
中 |
有点容易被利用 |
重大 |
高 |
中 |
中 |
有点难以利用 |
高 |
中 |
中 |
低 |
很难被利用 |
中 |
中 |
低 |
低 |
严重性定义
严重性标签的定义如下:
- 严重——应立即修复问题以避免问题升级。
-
例如,开放的 S3 存储桶被视为具有“严重”严重性的结果。由于许多威胁行为者会扫描开放的 S3 存储桶,因此暴露的 S3 存储桶中的数据很可能会被其他人发现和访问。
一般而言,公开访问的资源被视为关键的安全问题。您应该以最紧迫的态度对待关键结果。您还应该考虑资源的重要程度。
- 高——该问题必须作为近期优先事项予以解决。
-
例如,如果默认VPC安全组对入站和出站流量开放,则该安全组被视为高严重性。威胁行为者很容易VPC使用这种方法进行入侵。威胁行为者也有可能在资源进入后破坏或渗透资源。VPC
Security Hub 建议您将高严重性结果视为近期优先事项。您应该立即采取补救措施。您还应该考虑资源的重要程度。
- 中度——该问题应作为中期优先事项加以解决。
-
例如,对传输中数据缺乏加密被认为是中等严重性的调查发现。它需要复杂的 man-in-the-middle 攻击才能利用这个弱点。换句话说,这有点困难。如果威胁情景成功,某些数据可能会被泄露。
Security Hub 建议您尽早调查受影响的资源。您还应该考虑资源的重要程度。
- 低——无需针对问题执行任何操作。
-
例如,未能收集取证信息被视为严重性较低。这种控制可以帮助防止未来的受损,但是缺乏取证并不能直接导致受损。
您无需对低严重性结果立即采取操作,但是当您将这些结果与其他问题关联时,它们可以提供背景信息。
- 信息——未结果任何配置漏洞。
-
换言之,状态为
PASSED
、WARNING
或NOT AVAILABLE
。没有建议的操作。信息性结果可帮助客户证明其处于合规状态。
更新控件调查发现的规则
针对给定规则的后续检查可能会生成新结果。例如,“避免使用根用户”的状态可能会从 FAILED
更改为 PASSED
。在这种情况下,将生成包含最新调查发现的新调查发现。
如果根据给定规则进行的后续检查生成与当前结果相同的结果,则更新现有结果。不会生成新结果。
如果关联的资源被删除、资源不存在或控件被禁用,Security Hub 会自动存档控件的调查发现。由于当前未使用关联的服务,资源可能不再存在。结果将根据以下条件之一自动存档:
-
该调查发现在三至五天内不会更新(请注意,这是尽最大努力的结果且无法保证)。
-
相关的 AWS Config 评估结果已返回
NOT_APPLICABLE
。