產生及更新控制項發現項 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

產生及更新控制項發現項

AWS Security Hub 透過對安全控制執行檢查來產生發現項目。這些發現使用 AWS 安全性發現格式 (ASFF)。請注意,如果尋找項目大小超過 240 KB 的最大值,則會移除Resource.Details物件。對於由支持的控件 AWS Config 資源時,您可以檢視資源詳細資訊 AWS Config 控制台。

Security Hub 通常會針對控制項的每個安全性檢查收費用。但是,如果多個控件使用相同 AWS Config 規則,則 Security Hub 只會針對每次檢查收費用一次 AWS Config 規則。如果您啟用合併控制項發現項目,Security Hub 會產生單一發現項目以進行安全性檢查,即使該控制項包含在多個已啟用的標準中。

例如, AWS Config 規則iam-password-policy是由互聯網安全中心的多個控件使用(CIS) AWS 基礎基準測試標準和基礎安全最佳實踐標準。每次 Security Hub 運行檢查 AWS Config 規則,它會針對每個相關控制項產生個別的搜尋結果,但只會針對檢查收費用一次。

合併控制項結果

如果您在帳戶中啟用合併控制項發現項目功能,Security Hub 會針對控制項的每個安全性檢查產生單一新的發現項目或尋找更新,即使控制項套用至多個已啟用的標準也是如此。若要查看控制項清單及其套用的標準,請參閱〈〉Security Hub 控制項參考。我們建議啟用整合的控制結果,以減少發現噪音。

如果您已啟用 Security Hub AWS 帳戶 在 2023 年 2 月 23 日之前,您可以依照本節稍後的指示啟用合併控制項發現項目。如果您在 2023 年 2 月 23 日或之後啟用資 Security Hub,帳戶中會自動啟用合併控制項發現項目。但是,如果您使用 Security Hub 集成 AWS Organizations或透過手動邀請程序受邀的成員帳戶,只有在管理員帳戶中啟用合併控制項發現項目時,才會在成員帳戶中啟用。如果在管理員帳戶中停用此功能,則會在成員帳戶中停用該功能。此行為適用於新的和現有的成員帳戶。

如果您停用帳戶中的合併控制項發現項目,Security Hub 會針對每個包含控制項的已啟用標準產生個別的搜尋結果。例如,如果四個啟用的標準與相同的基礎共用控制項 AWS Config 規則,您會在對控制項進行安全性檢查後收到四個個別的發現項目。如果您啟用合併控制項搜尋結果,則只會收到一個搜尋結果。如需合併如何影響您發現項目的詳細資訊,請參閱安全中心中的範例控制項發現

當您啟用合併的控制項發現項目時,Security Hub 會建立新的與標準無關的發現項目,並封存原始的標準式發現項目。某些控制項尋找欄位和值會變更,且可能會影響現有的工作流程。如需這些變更的詳細資訊,請參閱合併控制調查結果 – ASFF變更

開啟合併的控制項發現項目也可能會影響第三方整合從 Security Hub 收到的發現項目。自動化安全回應 AWS v2.0.0 支持合併的控制發現。

若要啟用或停用合併控制項發現項目,您必須登入管理員帳戶或獨立帳戶。

注意

啟用合併的控制項發現項目之後,Security Hub 最多可能需要 24 小時才能產生新的合併發現項目,並封存原始的標準式發現項目。同樣地,停用合併的控制項發現項目之後,Security Hub 最多可能需要 24 小時才能產生新的標準型發現項目,並將合併的發現項目封存。在這段期間,您可能會在帳戶中看到混合的標準和基於標準的發現結果。

Security Hub console
啟用或停用合併控制項發現項目 (主控台)
  1. 打開 AWS Security Hub 控制台位於https://console.aws.amazon.com/securityhub/

  2. 在導覽窗格中,選擇設定

  3. 選擇 [一] 索引標籤。

  4. 針對控制項,開啟或關閉合併控制項發現項目

  5. 選擇 Save (儲存)。

Security Hub API, AWS CLI
若要啟用或停用合併的控制項發現項目 (API、 AWS CLI)
  1. 使用UpdateSecurityHubConfiguration操作。如果您正在使用 AWS CLI,執行命update-security-hub-configuration令。

  2. 設定control-finding-generator等於以啟SECURITY_CONTROL用合併的控制項發現項目。設定control-finding-generator等於以停STANDARD_CONTROL用合併控制項發現項目

    例如,以下 AWS CLI 命令啟用合併控制項發現項目 此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

    $ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

    如下所示 AWS CLI 命令禁用合併的控制項發現項 此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

    $ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

Compliance控制項結果詳細資料

對於控制項安全性檢查所產生的發Compliance現項目,請參閱 AWS 安全性發現格式 (ASFF) 包含與控制項發現項目相關的詳細資 Compliance 欄位包含以下資訊。

AssociatedStandards

在中啟用控制項的啟用標準。

RelatedRequirements

所有啟用標準中控制項的相關需求清單。這些要求來自控制項的第三方安全性架構,例如支付卡產業資料安全標準 (PCIDSS)。

SecurityControlId

資訊安全 Security Hub 支援的各種安全性標準控制項的識別碼。

Status

最近一次檢查的結果,Security Hub 運行給定的控制。之前的檢查結果會保留在存檔狀態,為期 90 天。

StatusReasons

包含值的原因清單Compliance.Status。針對每個原因,StatusReasons 包括原因代碼和描述。

下表列出可用的狀態原因代碼與說明。修正步驟取決於使用原因代碼產生發現項目的控制項。從中選擇一個控制項Security Hub 控制項參考以查看該控制項的修正步驟。

原因代碼

Compliance.Status

描述

CLOUDTRAIL_METRIC_FILTER_NOT_VALID

FAILED

多區域 CloudTrail 追蹤沒有有效的量度篩選器。

CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT

FAILED

多區域 CloudTrail 軌跡不存在量度篩選器。

CLOUDTRAIL_MULTI_REGION_NOT_PRESENT

FAILED

帳戶沒有具有必要組態的多區域 CloudTrail 追蹤。

CLOUDTRAIL_REGION_INVAILD

WARNING

多區域 CloudTrail 軌跡不在目前的區域中。

CLOUDWATCH_ALARM_ACTIONS_NOT_VALID

FAILED

沒有有效的警示動作。

CLOUDWATCH_ALARMS_NOT_PRESENT

FAILED

CloudWatch 帳戶中不存在警報。

CONFIG_ACCESS_DENIED

NOT_AVAILABLE

AWS Config 狀態為 ConfigError

AWS Config 訪問被拒絕。

請確認 AWS Config 已啟用且已被授與足夠的權限。

CONFIG_EVALUATIONS_EMPTY

PASSED

AWS Config 根據規則評估您的資源。

該規則不適用於 AWS 已刪除其範圍內的資源、指定的資源或評估結果已刪除。

CONFIG_RETURNS_NOT_APPLICABLE

NOT_AVAILABLE

符合性狀態是NOT_AVAILABLE因為 AWS Config 傳回「不適用」狀態。

AWS Config 不提供狀態的原因。以下是「不適用」狀態的一些可能原因:

  • 資源已從的範圍中移除 AWS Config 規則。

  • 所以此 AWS Config 已刪除規則。

  • 資源已刪除。

  • 所以此 AWS Config 規則邏輯可產生「不適用」狀態。

CONFIG_RULE_EVALUATION_ERROR

NOT_AVAILABLE

AWS Config 狀態為 ConfigError

這個原因代碼用於數種不同類型的評估錯誤。

此描述會提供特定的原因資訊。

錯誤類型可以是下列其中一種:

  • 由於缺乏許可,因此無法執行評估。此描述提供遺失的特定許可。

  • 缺少或無效的參數值。此描述提供參數和參數值的需求。

  • 從 S3 儲存貯體讀取時發生錯誤。此描述可識別儲存貯體並提供特定的錯誤。

  • 一個失踪 AWS 訂閱。

  • 評估的一般逾時。

  • 遭停權的帳戶。

CONFIG_RULE_NOT_FOUND

NOT_AVAILABLE

AWS Config 狀態為 ConfigError

所以此 AWS Config 規則正在建立中。

INTERNAL_SERVICE_ERROR

NOT_AVAILABLE

發生未知的錯誤。

LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE

FAILED

Security Hub 無法針對自訂 Lambda 執行階段執行檢查。

S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION

WARNING

發現項目處於WARNING狀態,因為與此規則相關聯的 S3 儲存貯體位於不同的區域或帳戶中。

此規則不支援跨區域或跨帳戶檢查。

建議您在此區域或帳戶中停用此控制項。只能在資源所在的區域或帳戶中執行。

SNS_SUBSCRIPTION_NOT_PRESENT

FAILED

CloudWatch 日誌指標篩選器沒有有效的 Amazon SNS 訂閱。

SNS_TOPIC_CROSS_ACCOUNT

WARNING

發現項目處於某個WARNING狀態。

與此規則相關聯的SNS主題是由不同帳戶所擁有。當前帳戶無法獲取訂閱信息。

擁有SNS主題的帳戶必須將主SNS題的sns:ListSubscriptionsByTopic權限授與目前帳戶。

SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION

WARNING

發現項目處於WARNING狀態,因為與此規則相關聯的SNS主題位於不同的「區域」或帳戶中。

此規則不支援跨區域或跨帳戶檢查。

建議您在此區域或帳戶中停用此控制項。只能在資源所在的區域或帳戶中執行。

SNS_TOPIC_INVALID

FAILED

與此規則相關聯的SNS主題無效。

THROTTLING_ERROR

NOT_AVAILABLE

相關API操作超過允許的速率。

ProductFields控制項結果詳細資料

當 Security Hub 執行安全性檢查並產生控制項發現項目時,中的ProductFields屬性ASFF包含下列欄位:

ArchivalReasons:0/Description

說明 Security Hub 為何封存現有的發現項目。

例如,當您停用控制項或標準,以及開啟或關閉合併控制項發現項目時,Security Hub 會封存現有的發現項目。

ArchivalReasons:0/ReasonCode

提供 Security Hub 封存現有發現項目的原因。

例如,當您停用控制項或標準,以及開啟或關閉合併控制項發現項目時,Security Hub 會封存現有的發現項目。

StandardsGuideArnStandardsArn

與ARN控制項相關聯的標準。

對於 CIS AWS 基礎基準標準,該領域是StandardsGuideArn

對於PCIDSS和 AWS 基礎安全最佳實踐標準,該字段是. StandardsArn

Compliance.AssociatedStandards如果您啟用合併控制項發現項目,則會移除這些欄位。

StandardsGuideSubscriptionArnStandardsSubscriptionArn

該ARN帳戶的訂閱標準。

對於 CIS AWS 基礎基準標準,該領域是StandardsGuideSubscriptionArn

對於PCIDSS和 AWS 基礎安全最佳實踐標準,該字段是. StandardsSubscriptionArn

如果您啟用合併控制項發現項目,則會移除這些欄位

RuleIdControlId

控制項的識別碼。

對於 CIS AWS 基礎基準標準,該領域是RuleId

對於其他標準,欄位為ControlId

Compliance.SecurityControlId如果您啟用合併控制項發現項目,則會移除這些欄位。

RecommendationUrl

控制項的補救資訊。URLRemediation.Recommendation.Url如果您啟用合併的控制項發現項目,則會移除此欄位。

RelatedAWSResources:0/name

與發現項目相關聯的資源名稱。

RelatedAWSResource:0/type

與控制項相關聯的資源類型。

StandardsControlArn

控ARN制項的。如果您啟用合併控制項發現項目,則會移除此欄位。

aws/securityhub/ProductName

對於以控制項為基礎的發現項目,產品名稱為 Security Hub。

aws/securityhub/CompanyName

對於以控制為基礎的發現項目,公司名稱為 AWS.

aws/securityhub/annotation

控制項所發現之問題的描述。

aws/securityhub/FindingId

發現項目的識別碼。如果您啟用合併的控制項發現項目,則此欄位不會參考標準。

指派嚴重性給控制項發現

指派給 Security Hub 控制項的嚴重性可識別控制項的重要性。控制項的嚴重性決定指派給控制項發現項目的嚴重性標籤。

嚴重性標準

控制項的嚴重性是根據下列準則的評估來決定:

  • 威脅執行者利用與控制項相關的組態弱點有多困難?

    難度取決於使用弱點執行威脅案例所需的複雜程度或複雜性。

  • 這些弱點會導致您的妥協的可能性有多大 AWS 帳戶 或資源?

    您的妥協 AWS 帳戶 或資源意味著您的數據的機密性,完整性或可用性 AWS 基礎設施以某種方式損壞。

    入侵的可能性表明威脅情況會導致您的中斷或違反的可能性有多大 AWS 服務或資源。

例如,請考慮下列組態弱點:

  • 使用者存取金鑰不會每 90 天輪換一次。

  • IAM根使用者金鑰存在。

對於對手來說,這兩個弱點同樣難以利用。在這兩種情況下,對手都可以使用憑證盜竊或其他方法來獲取用戶密鑰。然後,他們可以使用它以未經授權的方式訪問您的資源。

但是,如果威脅執行者取得 root 使用者存取金鑰,則遭到入侵的可能性會更高,因為這樣可以提供他們更多的存取權。因此,root 使用者金鑰弱點具有較高的嚴重性。

嚴重性不會考慮基礎資源的重要性。「重要性」是與發現項目相關聯之資源的重要性層級。例如,與任務關鍵應用程式相關聯的資源比與非生產測試相關聯的資源更為重要。若要擷取資源重要性資訊,請使Criticality用 AWS 安全性發現格式 (ASFF)。

下表對應了要惡意利用的難度,以及危害到安全性標籤的可能性。

妥協極有可能

妥協可能

妥協不可能

妥協極不可能

非常容易利用

嚴重

嚴重

有點容易利用

嚴重

有點難以利用

非常難被利用

嚴重性定義

嚴重性標籤的定義如下。

嚴重 — 應立即修正問題,以避免問題升級。

舉例來說,開啟的 S3 儲存貯體將視作重大嚴重性問題。由於有許多威脅參與者會掃描開放的 S3 儲存貯體,所以暴露的 S3 儲存貯體中的資料很可能會被其他人探索並存取。

一般而言,可公開存取的資源會被視為重要的安全性問題。您應該以最緊迫的方式對待關鍵發現。您還應該考慮資源的重要性。

高 — 必須將此問題視為短期優先順序來解決。

例如,如果預設VPC安全性群組對輸入和輸出流量開放,則會將其視為高嚴重性。對於威脅行為者而言,危及VPC使用此方法有些容易。威脅參與者也可能能夠在資源進入後中斷或洩漏資源。VPC

Security Hub 建議您將高嚴重性發現視為近期優先順序。您應該立即採取補救措施。您還應該考慮資源的重要性。

中 — 此問題應作為中期優先處理。

例如,傳輸中的資料缺乏加密被視為中等嚴重性發現項目。它需要複雜的 man-in-the-middle 攻擊才能利用這個弱點。換句話說,這有點困難。如果威脅情況成功,則某些數據可能會受到損害。

Security Hub 建議您儘早調查隱含的資源。您還應該考慮資源的重要性。

低 — 問題本身不需要採取任何動作。

例如,無法收集鑑識資訊會被視為低嚴重性。這種控制可以幫助防止 future 的妥協,但是缺少鑑識並不會直接導致妥協。

您不需要立即對低嚴重性發現項目採取行動,但是當您將這些問題與其他問題產生關聯時,它們可以提供內容。

資訊 — 找不到組態弱點。

換句話說,狀態為PASSEDWARNING、或NOT AVAILABLE

沒有任何建議的動作。參考性問題清單能協助客戶證明自己處於合規狀態。

更新控制項發現項的規則

對指定規則進行後續檢查可能會產生新結果。例如,「避免使用 root 使用者」的狀態可能會從變更FAILEDPASSED。在這種情況下,會產生包含最新結果的新發現項目。

如果指定規則後續檢查產生的結果與目前結果一模一樣,則更新現有的問題清單。不產生任何新的問題清單。

如果刪除關聯的資源、資源不存在或控制項已停用,Security Hub 會自動封存控制項中的發現項目。資源可能不再存在,因為目前未使用關聯的服務。系統會根據下列其中一個條件自動封存發現項目:

  • 發現結果在三到五天內不會更新(請注意,這是最好的努力,並不能保證)。

  • 相關的 AWS Config 已傳回評估NOT_APPLICABLE