本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
產生和更新控制問題清單
AWS當 Security Hub CSPM 針對安全控制執行檢查時,會產生和更新控制問題清單。控制問題清單使用AWS安全問題清單格式 (ASFF)。
Security Hub CSPM 通常會針對控制項的每個安全檢查收取費用。不過,如果多個控制項使用相同的AWS Config規則,Security Hub CSPM 只會針對每個針對規則的檢查收取一次費用。例如,CISAWS Foundations Benchmark 標準和AWS基礎安全最佳實務標準中的多個控制項會使用AWS Configiam-password-policy規則。每次 Security Hub CSPM 針對該規則執行檢查時,都會為每個相關控制項產生個別的控制調查結果,但檢查只會收取一次費用。
如果控制項調查結果的大小超過 240 KB 的上限,Security Hub CSPM 會從調查結果中移除Resource.Details物件。對於資源AWS Config支援的控制項,您可以使用 AWS Config主控台檢閱資源詳細資訊。
合併的控制問題清單
如果您的帳戶已啟用合併控制調查結果,即使控制項適用於多個已啟用的標準,Security Hub CSPM 仍會為每個控制項的安全檢查產生單一調查結果或調查結果更新。如需控制項及其適用的標準清單,請參閱 Security Hub CSPM 的控制項參考。我們建議您啟用合併控制調查結果,以減少調查結果的雜訊。
如果您在 2023 年 2 月 23 AWS 帳戶日之前為 啟用 Security Hub CSPM,您可以按照本節稍後的說明啟用合併控制問題清單。如果您在 2023 年 2 月 23 日或之後啟用 Security Hub CSPM,則會自動為您的帳戶啟用合併控制問題清單。
如果您透過手動邀請程序使用 Security Hub CSPM 與 或受邀成員帳戶整合AWS Organizations,只有在成員帳戶啟用管理員帳戶時,才會為成員帳戶啟用合併控制問題清單。如果停用管理員帳戶的功能,則會停用成員帳戶的功能。此行為適用於新的和現有的成員帳戶。此外,如果管理員使用中央組態來管理多個帳戶的 Security Hub CSPM,則無法使用中央組態政策來啟用或停用帳戶的合併控制問題清單。
如果您停用帳戶的合併控制問題清單,Security Hub CSPM 會為每個已啟用且包含控制項的標準產生或更新個別的控制問題清單。例如,如果您啟用四個共用控制項的標準,您會在控制項安全檢查後收到四個單獨的問題清單。如果您啟用合併控制問題清單,則只會收到一個問題清單。
當您啟用合併控制調查結果時,Security Hub CSPM 會建立新的標準獨立調查結果,並封存原始標準型調查結果。有些控制項調查結果欄位和值將會變更,這可能會影響您現有的工作流程。如需這些變更的資訊,請參閱 合併控制調查結果 – ASFF 變更。啟用合併控制調查結果也可能影響整合的第三方產品從 Security Hub CSPM 收到的調查結果。如果您在 AWSv2.0.0 解決方案上使用自動安全回應
若要啟用或停用合併控制調查結果,您必須登入管理員帳戶或獨立帳戶。
注意
啟用合併控制調查結果後,Security Hub CSPM 最多可能需要 24 小時才能產生新的合併調查結果,並封存現有的標準型調查結果。同樣地,停用合併控制問題清單後,Security Hub CSPM 最多可能需要 24 小時才能產生新的標準問題清單,並封存現有的合併問題清單。在這些期間,您可能會在帳戶中看到標準無關和標準型問題清單的混合。
產生、更新和封存控制問題清單
Security Hub CSPM 會依排程執行安全檢查。第一次 Security Hub CSPM 執行控制項的安全檢查時,它會為控制項檢查的每個AWS資源產生新的問題清單。每次 Security Hub CSPM 隨後執行控制項的安全檢查時,都會更新現有的調查結果,以報告檢查結果。這表示您可以使用個別調查結果提供的資料,根據特定控制項追蹤特定資源的合規變更。
例如,如果特定控制項的資源合規狀態從 變更為 FAILED PASSED ,Security Hub CSPM 不會產生新的調查結果。相反地,Security Hub CSPM 會更新控制項和資源的現有調查結果。在調查結果中,Security Hub CSPM 會將合規狀態 (Compliance.Status) 欄位的值變更為 PASSED。Security Hub CSPM 也會更新其他欄位的值,以反映檢查的結果,例如嚴重性標籤、工作流程狀態和時間戳記,指出 Security Hub CSPM 最近何時執行檢查並更新調查結果。
報告合規狀態變更時,Security Hub CSPM 可能會更新控制調查結果中的下列任何欄位:
-
Compliance.Status– 指定控制項之資源的新合規狀態。 -
FindingProviderFields.Severity.Label– 問題清單嚴重性的新定性表示法,例如LOW、MEDIUM或HIGH。 -
FindingProviderFields.Severity.Original– 調查結果嚴重性的新量化表示,例如0合規資源。 -
FirstObservedAt– 資源的合規狀態最近變更時。 -
LastObservedAt– Security Hub CSPM 最近執行指定控制項和資源的安全檢查時。 -
ProcessedAt– Security Hub CSPM 最近開始處理問題清單時。 -
ProductFields.PreviousComplianceStatus– 指定控制項之資源的先前合規狀態 (Compliance.Status)。 -
UpdatedAt– Security Hub CSPM 最近更新問題清單時。 -
Workflow.Status– 根據指定控制項之資源的新合規狀態,調查調查結果的狀態。
Security Hub CSPM 是否會更新欄位,主要取決於適用控制項和資源的最新安全性檢查結果。例如,如果特定控制項的資源合規狀態從 PASSED 變更為 FAILED ,Security Hub CSPM 會將調查結果的工作流程狀態變更為 NEW。若要追蹤個別問題清單的更新,您可以參考問題清單的歷史記錄。如需調查結果中個別欄位的詳細資訊,請參閱AWS安全調查結果格式 (ASFF)。
在某些情況下,Security Hub CSPM 會為控制項的後續檢查產生新的問題清單,而不是更新現有的問題清單。如果支援控制項的AWS Config規則發生問題,就可能發生這種情況。如果發生這種情況,Security Hub CSPM 會封存現有的問題清單,並為每個檢查產生新的問題清單。在新調查結果中,合規狀態為 NOT_AVAILABLE,記錄狀態為 ARCHIVED。解決AWS Config規則的問題後,Security Hub CSPM 會產生新的問題清單,並開始更新這些問題清單,以追蹤個別資源合規狀態的後續變更。
除了產生和更新控制調查結果之外,Security Hub CSPM 也會自動封存符合特定條件的控制調查結果。如果停用控制項、刪除指定的資源,或指定的資源不再存在,Security Hub CSPM 會封存問題清單。資源可能不再存在,因為已不再使用相關聯的服務。更具體地說,如果問題清單符合下列其中一項條件,Security Hub CSPM 會自動封存控制問題清單:
-
問題清單已有 3-5 天未更新。請注意,基於此時間範圍的封存是以最佳努力為基礎,不保證。
-
針對指定資源的
NOT_APPLICABLE合規狀態傳回的相關聯AWS Config評估。
若要判斷問題清單是否已封存,您可以參考問題清單的記錄狀態 (RecordState) 欄位。如果問題清單已封存,此欄位的值為 ARCHIVED。
Security Hub CSPM 會將封存的控制調查結果存放 30 天。30 天後,問題清單會過期,Security Hub CSPM 會永久刪除問題清單。為了判斷封存的控制項調查結果是否已過期,Security Hub CSPM 會根據調查結果UpdatedAt欄位的值來計算。
若要存放封存的控制調查結果超過 30 天,您可以將調查結果匯出至 S3 儲存貯體。您可以搭配 Amazon EventBridge 規則使用自訂動作來執行此操作。如需詳細資訊,請參閱使用 EventBridge 進行自動回應和修復。
注意
在 2025 年 7 月 3 日之前,當控制項的資源合規狀態變更時,Security Hub CSPM 會以不同的方式產生和更新控制項調查結果。先前,Security Hub CSPM 建立了新的控制調查結果,並封存了資源的現有調查結果。因此,您可能會針對特定控制項和資源有多個封存的問題清單,直到這些問題清單過期為止 (30 天後)。
自動化和抑制控制問題清單
您可以使用 Security Hub CSPM 自動化規則來更新或隱藏特定控制問題清單。如果您隱藏問題清單,您可以繼續存取問題清單。不過,隱藏表示您相信不需要採取任何動作來解決問題清單。
透過抑制問題清單,您可以減少問題清單的雜訊。例如,您可能會隱藏測試帳戶中產生的控制問題清單。或者,您可以隱藏與特定資源相關的問題清單。若要進一步了解自動更新或隱藏問題清單,請參閱 了解 Security Hub CSPM 中的自動化規則。
當您想要更新或隱藏特定控制問題清單時,自動化規則是適當的。不過,如果控制項與您的組織或使用案例無關,建議您停用控制項。如果您停用控制項,Security Hub CSPM 不會對其執行安全檢查,也不會向您收取費用。
控制問題清單的合規詳細資訊
在控制項安全檢查所產生的調查結果中,AWS安全調查結果格式 (ASFF) 中的合規物件和欄位會提供控制項檢查之個別資源的合規詳細資訊。這包括以下資訊:
-
AssociatedStandards– 啟用控制項的標準。 -
RelatedRequirements– 所有啟用標準中控制項的相關需求。這些要求衍生自 控制項的第三方安全架構,例如支付卡產業資料安全標準 (PCI DSS) 或 NIST SP 800-171 修訂版 2 標準。 -
SecurityControlId– Security Hub CSPM 支援跨標準控制的識別符。 -
Status– Security Hub CSPM 為控制項執行的最新檢查結果。先前檢查的結果會保留在調查結果的歷史記錄中。 -
StatusReasons– 列出Status欄位指定值原因的陣列。對於每個原因,這包括原因代碼和描述。
下表列出問題清單可能包含在StatusReasons陣列中的原因代碼和描述。修復步驟會根據哪個控制項產生具有指定原因碼的問題清單而有所不同。若要檢閱控制項的修補指引,請參閱 Security Hub CSPM 的控制項參考。
| 原因代碼 | 合規狀態 | 說明 |
|---|---|---|
|
|
|
多區域 CloudTrail 追蹤沒有有效的指標篩選條件。 |
|
|
|
多區域 CloudTrail 追蹤沒有指標篩選條件。 |
|
|
|
帳戶沒有具有所需組態的多區域 CloudTrail 追蹤。 |
|
|
|
多區域 CloudTrail 追蹤不在目前的區域中。 |
|
|
|
沒有有效的警示動作。 |
|
|
|
CloudWatch 警示不存在於帳戶中。 |
|
|
AWS Config狀態為 |
AWS Config存取遭拒。 確認 AWS Config已啟用且已獲得足夠的許可。 |
|
|
|
AWS Config根據 規則評估您的 資源。 此規則不適用於其範圍內AWS的資源、已刪除指定的資源,或已刪除評估結果。 |
|
|
|
AWS Config記錄器使用自訂 IAM 角色而非AWS Config服務連結角色,而且 Config.1 的 |
|
|
|
AWS Config未在組態記錄器開啟的情況下啟用。 |
|
|
|
AWS Config不會記錄對應至已啟用 Security Hub CSPM 控制項的所有資源類型。開啟下列資源的錄製: |
|
|
|
合規狀態為 , AWS Config不提供狀態的原因。以下是不適用狀態的一些可能原因:
|
|
|
AWS Config狀態為 |
這個原因代碼用於數種不同類型的評估錯誤。 此描述會提供特定的原因資訊。 錯誤類型可以是下列其中一項:
|
|
|
AWS Config狀態為 |
AWS Config規則正在建立中。 |
|
|
|
發生未知的錯誤。 |
|
|
|
Security Hub CSPM 無法針對自訂 Lambda 執行時間執行檢查。 |
|
|
|
調查結果處於 此規則不支援跨區域或跨帳戶檢查。 建議您在此區域或帳戶中停用此控制項。只能在資源所在的區域或帳戶中執行。 |
|
|
|
CloudWatch Logs 指標篩選條件沒有有效的 Amazon SNS 訂閱。 |
|
|
|
問題清單處於 與此規則相關聯的 SNS 主題由不同的 帳戶擁有。目前帳戶無法取得訂閱資訊。 擁有 SNS 主題的帳戶必須將 SNS 主題的 |
|
|
|
調查結果處於 此規則不支援跨區域或跨帳戶檢查。 建議您在此區域或帳戶中停用此控制項。只能在資源所在的區域或帳戶中執行。 |
|
|
|
與此規則相關聯的 SNS 主題無效。 |
|
|
|
相關 API 操作超過允許的速率。 |
控制問題清單的 ProductFields 詳細資訊
在 控制項安全檢查產生的調查結果中,AWS安全調查結果格式 (ASFF) 中的 ProductFields 屬性可包含下列欄位。
ArchivalReasons:0/Description-
說明 Security Hub CSPM 封存問題清單的原因。
例如,Security Hub CSPM 會在您停用控制項或標準時封存現有的問題清單,或者啟用或停用合併的控制項問題清單。
ArchivalReasons:0/ReasonCode-
指定 Security Hub CSPM 封存問題清單的原因。
例如,Security Hub CSPM 會在您停用控制項或標準時封存現有的問題清單,或者啟用或停用合併的控制項問題清單。
PreviousComplianceStatus-
指定控制項之資源的先前合規狀態 (
Compliance.Status),截至調查結果的最近更新為止。如果資源的合規狀態未在最近的更新期間變更,則此值與調查結果Compliance.Status欄位的值相同。如需可能值的清單,請參閱 評估合規狀態和控制狀態。 StandardsGuideArn或StandardsArn-
與控制項相關聯的標準 ARN。
針對 CIS AWSFoundations Benchmark 標準, 欄位為
StandardsGuideArn。對於 PCI DSS 和AWS基礎安全最佳實務標準, 欄位為StandardsArn。Compliance.AssociatedStandards如果您啟用合併控制問題清單,這些欄位會移除。 StandardsGuideSubscriptionArn或StandardsSubscriptionArn-
帳戶對 標準的訂閱 ARN。
針對 CIS AWSFoundations Benchmark 標準, 欄位為
StandardsGuideSubscriptionArn。對於 PCI DSS 和AWS基礎安全最佳實務標準, 欄位為StandardsSubscriptionArn。如果您啟用合併控制調查結果,則會移除這些欄位。
RuleId或ControlId-
控制項的識別符。
對於 CIS AWSFoundations Benchmark 標準的 1.2.0 版, 欄位為
RuleId。對於其他標準,包括後續版本的 CISAWS Foundations Benchmark 標準, 欄位為ControlId。Compliance.SecurityControlId如果您啟用合併的控制問題清單,這些欄位會移除。 RecommendationUrl-
控制項的修補資訊 URL。
Remediation.Recommendation.Url如果您啟用合併的控制問題清單,則此欄位會移除。 RelatedAWSResources:0/name-
與調查結果相關聯的資源名稱。
RelatedAWSResource:0/type-
與控制項相關聯的資源類型。
StandardsControlArn-
組態的 ARN。如果您啟用合併控制調查結果,則會移除此欄位。
aws/securityhub/ProductName-
對於控制項調查結果,產品名稱為
Security Hub。 aws/securityhub/CompanyName-
對於控制項調查結果,公司名稱為
AWS。 aws/securityhub/annotation-
控制項所發現問題的描述。
aws/securityhub/FindingId-
調查結果的識別符。
如果您啟用合併控制調查結果,則此欄位不會參考標準。
控制問題清單的嚴重性等級
指派給 Security Hub CSPM 控制項的嚴重性表示控制項的重要性。控制項的嚴重性決定指派給控制項調查結果的嚴重性標籤。
嚴重性條件
控制項的嚴重性取決於下列條件的評估:
-
威脅行為者利用與控制項相關聯的組態弱點有多困難? 難度取決於使用弱點來執行威脅案例所需的複雜程度或複雜性。
-
弱點對您的 AWS 帳戶或 資源造成損害的可能性有多高? 入侵您的 AWS 帳戶或 資源意味著資料或AWS基礎設施的機密性、完整性或可用性在某種程度上受損。入侵的可能性表示威脅案例造成 AWS 服務或 資源中斷或違規的可能性。
例如,請考慮下列組態弱點:
-
使用者存取金鑰不會每 90 天輪換一次。
-
IAM 根使用者金鑰存在。
對手也同樣難以利用這兩個弱點。在這兩種情況下,對手都可以使用憑證盜竊或其他方法來取得使用者金鑰。然後,他們可以使用它,以未經授權的方式存取您的資源。
不過,如果威脅行為者取得根使用者存取金鑰,則入侵的可能性會更高,因為這樣可以讓他們存取更多。因此,根使用者金鑰弱點的嚴重性較高。
嚴重性不會考慮基礎資源的重要性。關鍵性是與調查結果相關聯之資源的重要性層級。例如,與關鍵任務應用程式相關聯的資源比與非生產測試相關聯的資源更重要。若要擷取資源關鍵性資訊,請使用AWS安全調查結果格式 (ASFF) 的 Criticality 欄位。
下表映射了難以利用以及入侵安全標籤的可能性。
|
極有可能遭到入侵 |
可能遭到入侵 |
不太可能遭到入侵 |
極不可能入侵 |
|
|
非常容易利用 |
嚴重 |
嚴重 |
高 |
中 |
|
有點容易利用 |
嚴重 |
高 |
中 |
中 |
|
有些難以利用 |
高 |
中 |
中 |
低 |
|
非常難以利用 |
中 |
中 |
低 |
低 |
嚴重性定義
嚴重性標籤的定義如下。
- 嚴重 – 問題應該立即修復,以避免升級。
-
舉例來說,開啟的 S3 儲存貯體將視作重大嚴重性問題。由於有許多威脅執行者會掃描開啟的 S3 儲存貯體,因此其他人可能會發現和存取公開的 S3 儲存貯體中的資料。
一般而言,可公開存取的資源會被視為重大安全問題。您應該最緊迫地處理關鍵問題清單。您也應該考慮資源的重要性。
- 高 – 問題必須以短期優先順序處理。
-
例如,如果預設 VPC 安全群組開放給傳入和傳出流量,則會被視為高嚴重性。威脅行為者使用此方法入侵 VPC 有點容易。一旦資源位於 VPC 中,威脅行為者也可能能夠中斷或滲透資源。
Security Hub CSPM 建議您將高嚴重性的問題清單視為短期優先順序。您應該立即採取修復步驟。您也應該考慮資源的重要性。
- 中 – 問題應該以中期優先順序處理。
-
例如,缺少傳輸中資料的加密會被視為中等嚴重性的問題清單。它需要複雜的man-in-the-middle攻擊,才能利用此弱點。換句話說,這有點困難。如果威脅案例成功,某些資料可能會遭到入侵。
Security Hub CSPM 建議您儘早調查隱含資源。您也應該考慮資源的重要性。
- 低 – 問題不需要自行執行動作。
-
例如,未能收集鑑識資訊視為低嚴重性。此控制有助於防止未來的入侵,但缺少鑑識不會直接導致入侵。
您不需要對低嚴重性的問題清單立即採取動作,但這些問題可在您與其他問題相互關聯時提供內容。
- 資訊 – 找不到組態弱點。
-
換句話說,狀態為
PASSED、WARNING或NOT AVAILABLE。沒有任何建議的動作。參考性問題清單能協助客戶證明自己處於合規狀態。