Security Hub Hub-Konzepte

Das AWS Standardkonto, das Ihre AWS Ressourcen enthält. Melden Sie sich AWS mit Ihrem AWS Konto an, um Security Hub zu aktivieren.

Wenn Ihr Konto registriert ist AWS Organizations, weist Ihre Organisation ein Security Hub-Administratorkonto zu. Dieses Konto kann andere Unternehmenskonten als Mitgliedskonten aktivieren.

Eine Organisation kann nur ein Administratorkonto haben. Ein Konto kann nicht gleichzeitig ein Administratorkonto und ein Mitgliedskonto sein.

Security Hub unterstützt die folgenden Konten:

Bei diesem AWS Kontotyp können Ergebnisse für verknüpfte Mitgliedskonten angezeigt werden.

Dieser AWS Kontotyp wird zu einem Administratorkonto, wenn das Konto von einem Organisationsverwaltungskonto als Security Hub-Administratorkonto festgelegt wird. Das Security Hub-Administratorkonto kann jedes Unternehmenskonto als Mitgliedskonto aktivieren und auch andere Konten als Mitgliedskonten einladen.

Eine Organisation kann nur ein Administratorkonto haben. Ein Konto kann nicht gleichzeitig ein Administratorkonto und ein Mitgliedskonto sein.

Ein Aggregationsbereich ermöglicht es Ihnen, Sicherheitserkenntnisse aus mehreren Bereichen AWS-Regionen in einem einzigen Fenster anzuzeigen.

In der Aggregationsregion können Sie AWS-Region Ergebnisse einsehen und verwalten. Ergebnisse werden in der Aggregationsregion aus verknüpften Regionen aggregiert. Aktualisierte Ergebnisse werden in allen Regionen repliziert.

In der Aggregationsregion enthalten das Dashboard und die Inventarseiten Daten aus allen verknüpften Regionen. Die Automationsseite kann nur verwendet werden, um Automatisierungsregeln in der Aggregationsregion zu definieren. Third-party Ticketing-Integrationen können nur in der Aggregationsregion konfiguriert werden.

Ein Befund mit dem StatusARCHIVED. Diese Ergebnisse deuten darauf hin, dass der Anbieter oder Kunde, der das Ergebnis untersucht, der Ansicht ist, dass das Ergebnis nicht mehr relevant ist.

Finding Provider können die von ihnen erstellten Ergebnisse archivieren. Kunden können alle Ergebnisse, die ihrer Meinung nach nicht mehr relevant sind, mithilfe der BatchUpdateFindingsV2Security Hub Hub-API oder durch Aktualisierung des Status in der Security Hub Hub-Konsole archivieren.

In der Security Hub Hub-Konsole schließen die Standardfiltereinstellungen archivierte Ergebnisse aus Suchlisten und Tabellen aus. Sie können die Filter aktualisieren, um archivierte Ergebnisse einzubeziehen. Wenn Sie Ergebnisse mithilfe des GetFindingsV2-Vorgangs abrufen, ruft der Vorgang sowohl archivierte als auch aktive Ergebnisse ab. Das folgende Beispiel zeigt, wie archivierte Ergebnisse in den Ergebnissen ausgeschlossen werden können.

{
    "StringFilters":
    [
        {
            "FieldName": "status",
            "Filter":
            {
                "Value": "Archived",
                "Comparison": "EQUALS"
            }
        }
    ]
}

Die Aggregation von Ergebnissen und Ressourcen aus verknüpften Regionen zu einer Aggregationsregion. Sie können alle Ihre Daten aus der Aggregationsregion anzeigen und die Ergebnisse aus der Aggregationsregion aktualisieren.

AWS Organizations In kann das delegierte Administratorkonto für einen Dienst die Nutzung eines Dienstes für die Organisation verwalten.

In Security Hub ist das Security Hub-Administratorkonto auch das delegierte Administratorkonto für Security Hub. Wenn das Organisationsverwaltungskonto das Security Hub-Administratorkonto zum ersten Mal festlegt, ruft Security Hub Organizations auf, dieses Konto zum delegierten Administratorkonto zu machen.

Das Organisationsverwaltungskonto muss dann das delegierte Administratorkonto als Security Hub-Administratorkonto in allen Regionen auswählen.

Gefahren sind umfassendere Schwächen bei Sicherheitskontrollen, Fehlkonfigurationen oder anderen Bereichen, die durch aktive Bedrohungen ausgenutzt werden könnten.

Zu den Risikopositionen gehören beispielsweise:

Eine Art von Befund, der eine in Ihrer Umgebung vorhandene Exposition beschreibt. Ein Expositionsergebnis umfasst Merkmale und Signale. Ein Signal kann eine oder mehrere Arten von Expositionsmerkmalen enthalten. AWS Security Hub generiert eine Risikofeststellung, wenn Signale von AWS Security Hub CSPM, Amazon Inspector, Amazon GuardDuty, Amazon Macie oder anderen AWS Diensten auf das Vorliegen einer Gefährdung hinweisen. Eine Ressource kann an einer oder mehreren Expositionsfeststellungen beteiligt sein. Wenn eine Ressource keine oder nur unzureichende Merkmale aufweist, generiert Security Hub für diese Ressource keine Gefährdungsermittlung.

Ein Beispiel für eine Entdeckung einer Sicherheitslücke ist: Eine EC2-Instance, die über das Internet erreichbar ist und Software-Sicherheitslücken aufweist, die mit hoher Wahrscheinlichkeit ausgenutzt werden können.

Der beobachtbare Datensatz einer Sicherheitsprüfung oder sicherheitsrelevanten Erkennung. Security Hub generiert und aktualisiert Ergebnisse durch die Korrelation anderer Sicherheitsergebnisse. Diese werden als Expositionsergebnisse bezeichnet. Die Ergebnisse können auch aus Integrationen mit anderen Produkten AWS-Services und Produkten von Drittanbietern stammen.

Der Import von Ergebnissen in Security Hub. Das Auffinden von Verschluckungsereignissen umfasst sowohl neue Erkenntnisse als auch Aktualisierungen vorhandener Ergebnisse.

Wenn Sie die regionsübergreifende Aggregation aktivieren, ist eine verknüpfte Region eine Region, die Ergebnisse und Ressourceninventar in der Aggregationsregion zusammenfasst.

In einer verknüpften Region enthalten das Dashboard und die Inventarseiten nur Ergebnisse für diese Region. AWS-Region

Das Open Cybersecurity Schema Framework (OCSF) ist eine gemeinsame Open-Source-Initiative von AWS führenden Partnern in der Cybersicherheitsbranche. OCSF bietet ein Standardschema für allgemeine Sicherheitsereignisse, definiert Versionierungskriterien, um die Schemaentwicklung zu erleichtern, und beinhaltet einen Selbstverwaltungsprozess für Hersteller und Nutzer von Sicherheitsprotokollen. Weitere Informationen finden Sie unter OCSF-Ergebnisse in Security Hub.

Eine AWS-Konto , die einem Administratorkonto die Erlaubnis erteilt hat, ihre Ergebnisse einzusehen und entsprechende Maßnahmen zu ergreifen. Diese Art AWS-Konto wird zu einem Mitgliedskonto, wenn das Security Hub-Administratorkonto sie als Mitgliedskonto aktiviert.

Ein Befund, der zur Feststellung einer Exposition beiträgt. Ein Signal kann als beitragendes Ergebnis bezeichnet werden. Ein Signal kann von Security Hub, CSPM oder einem anderen AWS Config System wie Amazon AWS-Services Inspector stammen.

Ein AWS Config Rekordertyp, der zum Aufzeichnen von Konfigurationsdaten auf dienstspezifischen Ressourcen verwendet wird. Security Hub verwendet diese Rekorder in einem ereignisgesteuerten Ansatz, um Ressourcenkonfigurationselemente für die Risikoanalyse, den Umfang, die Berichterstattung über den Ressourcenbestand und die Bewertung der Statusmanagementkontrolle abzurufen. Diese Funktion wird allen Security Hub-Kunden im Rahmen der Preise für den Essential-Plan zur Verfügung gestellt. Nachdem Sie Security Hub aktiviert haben, werden die folgenden serviceverknüpften Konfigurationsrekorder in Ihrem Konto erstellt:

Ein IAM Access Analyzer, den Security Hub in Ihrem Namen erstellt und verwaltet. Wenn Sie Security Hub aktivieren, erstellt es automatisch einen servicebezogenen Analyzer für ungenutzten Zugriff, um IAM-Rollen, Benutzer, Zugriffsschlüssel und Berechtigungen zu identifizieren, die innerhalb eines 90-tägigen Lookback-Zeitraums nicht verwendet wurden. Der Analyzer wird in USA East (Nord-Virginia) ausgeführt, da IAM ein globaler Dienst ist. Security Hub repliziert ungenutzte Zugriffsergebnisse in alle Regionen, in denen Sie Security Hub aktiviert haben. Sie müssen IAM Access Analyzer nicht separat aktivieren oder zusätzliche Maßnahmen ergreifen. Diese Funktion wird allen Security Hub-Kunden im Rahmen der Preise für den Essential-Plan zur Verfügung gestellt. Sie können den Service Linked Analyzer in der IAM Access Analyzer-Konsole anzeigen, aber Sie können ihn nicht ändern oder löschen, solange Security Hub aktiviert ist. Security Hub löscht den Analyzer, wenn Sie den Dienst in allen Regionen eines AWS-Konto deaktivieren. Weitere Informationen finden Sie unter Informationen zu ungenutzten Zugriffsergebnissen in Security Hub.

Eine Sicherheitsabweichung, die zu einer Risikofeststellung führt. Zu den Merkmalstypen gehören Vermutbarkeit, Fehlkonfiguration, Erreichbarkeit, sensible Daten und Sicherheitslücke. Ein Merkmal ist mit einem Signal verknüpft, und ein Signal kann mehrere Merkmale enthalten. Ein Security Hub CSPM-Steuerelement weist beispielsweise darauf hin, dass eine vom Kunden verwaltete Richtlinie eine administrative Zugriffskontrolle ermöglicht. Dieses Signal enthält ein Merkmal einer Fehlkonfiguration.

Ein Ergebnis, das eine IAM-Rolle, einen Benutzer, einen Zugriffsschlüssel oder eine Reihe von Berechtigungen identifiziert, die innerhalb eines 90-tägigen Lookback-Zeitraums nicht verwendet wurden. Security Hub generiert ungenutzte Zugriffsergebnisse mithilfe eines serviceverknüpften IAM Access Analyzer. Es gibt vier Arten ungenutzter Zugriffsergebnisse: ungenutzte IAM-Rollen, ungenutzte IAM-Benutzerzugriffsschlüssel, ungenutzte IAM-Benutzerkennwörter und ungenutzte Berechtigungen.