Concetti di Security Hub

L' AWS account standard contenente AWS le tue risorse. Accedi AWS con il tuo AWS account per abilitare Security Hub.

Se l'account è registrato AWS Organizations, l'organizzazione designa un account amministratore di Security Hub. Questo account può abilitare altri account dell'organizzazione come account membro.

Un'organizzazione può avere un solo account amministratore. Un account non può essere contemporaneamente un account amministratore e un account membro.

Security Hub supporta i seguenti account:

Questo tipo di AWS account può visualizzare i risultati degli account dei membri associati.

Questo tipo di AWS account diventa un account amministratore quando l'account viene designato da un account di gestione dell'organizzazione come account amministratore del Security Hub. L'account amministratore di Security Hub può abilitare qualsiasi account dell'organizzazione come account membro e può anche invitare altri account a diventare account membro.

Un'organizzazione può avere un solo account amministratore. Un account non può essere contemporaneamente un account amministratore e un account membro.

Una regione di aggregazione consente di visualizzare i risultati di sicurezza provenienti da più parti Regioni AWS in un unico pannello di controllo.

La regione di aggregazione è l'area Regione AWS in cui è possibile visualizzare e gestire i risultati. I risultati vengono aggregati nella regione di aggregazione delle regioni collegate. I risultati aggiornati vengono replicati in tutte le regioni.

Nella regione di aggregazione, la dashboard e le pagine di inventario includono i dati di tutte le regioni collegate. La pagina delle automazioni può essere utilizzata solo per definire le regole di automazione nell'area di aggregazione. Third-party le integrazioni di ticketing possono essere configurate solo nella regione di aggregazione.

Un risultato con uno status di. ARCHIVED Questi risultati indicano che il fornitore o il cliente che esamina il risultato ritiene che il risultato non sia più pertinente.

I fornitori di servizi di ricerca possono archiviare i risultati che creano. I clienti possono archiviare tutti i risultati che ritengono non più pertinenti utilizzando BatchUpdateFindingsV2l'API Security Hub o aggiornando lo stato nella console Security Hub.

Nella console Security Hub, le impostazioni di filtro predefinite escludono i risultati archiviati dagli elenchi e dalle tabelle dei risultati. È possibile aggiornare i filtri per includere i risultati archiviati. Se si recuperano i risultati utilizzando l'operazione GetFindingsV2, l'operazione recupera sia i risultati archiviati che quelli attivi. L'esempio seguente mostra come escludere i risultati archiviati nei risultati.

{
    "StringFilters":
    [
        {
            "FieldName": "status",
            "Filter":
            {
                "Value": "Archived",
                "Comparison": "EQUALS"
            }
        }
    ]
}

L'aggregazione dei risultati e delle risorse provenienti dalle regioni collegate a una regione di aggregazione. Puoi visualizzare tutti i dati della regione di aggregazione e aggiornare i risultati della regione di aggregazione.

In AWS Organizations, l'account amministratore delegato di un servizio è in grado di gestire l'uso di un servizio per l'organizzazione.

In Security Hub, l'account amministratore di Security Hub è anche l'account amministratore delegato per Security Hub. Quando l'account di gestione dell'organizzazione designa per la prima volta l'account amministratore di Security Hub, Security Hub chiama Organizations per rendere quell'account l'account amministratore delegato.

L'account di gestione dell'organizzazione deve quindi scegliere l'account amministratore delegato come account amministratore di Security Hub in tutte le regioni.

Le esposizioni sono punti deboli più ampi nei controlli di sicurezza, configurazioni errate o altre aree che potrebbero essere sfruttate dalle minacce attive.

Esempi di esposizioni includono:

Un tipo di risultato che descrive un'esposizione presente nell'ambiente. Un risultato sull'esposizione include caratteristiche e segnali. Un segnale può includere uno o più tipi di caratteristiche di esposizione. AWS Security Hub genera un risultato di esposizione quando i segnali provenienti da AWS Security Hub CSPM, Amazon Inspector, GuardDuty Amazon, Amazon Macie AWS o altri servizi indicano la presenza di un'esposizione. Una risorsa può essere coinvolta in uno o più risultati sull'esposizione. Se una risorsa non presenta caratteristiche di esposizione o presenta caratteristiche insufficienti, Security Hub non genera un risultato di esposizione per quella risorsa.

Un esempio di rilevamento dell'esposizione è: un'istanza EC2 raggiungibile da Internet e che presenta vulnerabilità software che hanno un'alta probabilità di sfruttamento.

La registrazione osservabile di un controllo di sicurezza o di un rilevamento correlato alla sicurezza. Security Hub genera e aggiorna i risultati attraverso la correlazione di altri risultati di sicurezza. Questi sono chiamati risultati sull'esposizione. I risultati possono provenire anche da integrazioni con altri prodotti Servizi AWS e di terze parti.

L'importazione dei risultati in Security Hub. Gli eventi di ingestione di Finding includono sia nuovi risultati che aggiornamenti dei risultati esistenti.

Quando si abilita l'aggregazione tra aree geografiche, una regione collegata è un'area che aggrega i risultati e l'inventario delle risorse nella regione di aggregazione.

In una regione collegata, la dashboard e le pagine di inventario contengono solo i risultati relativi a tale area. Regione AWS

L'Open Cybersecurity Schema Framework (OCSF) è uno sforzo collaborativo e open source di partner leader nel settore della sicurezza informatica. AWS OCSF fornisce uno schema standard per gli eventi di sicurezza più comuni, definisce i criteri di controllo delle versioni per facilitare l'evoluzione dello schema e include un processo di autogoverno per produttori e consumatori di registri di sicurezza. Per ulteriori informazioni, consulta i risultati OCSF in Security Hub.

E Account AWS che ha concesso l'autorizzazione a un account amministratore di visualizzare i risultati e intervenire in base a tali risultati. Questo tipo di account Account AWS diventa membro quando l'account amministratore di Security Hub lo abilita come account membro.

Una scoperta che contribuisce a un accertamento dell'esposizione. Un segnale può essere definito un risultato che contribuisce. Un segnale può avere origine in Security Hub CSPM o altro AWS Config Servizi AWS, come Amazon Inspector.

Un tipo di AWS Config registratore utilizzato per registrare i dati di configurazione su risorse specifiche del servizio. Security Hub utilizza questi registratori in un approccio basato sugli eventi per ottenere elementi di configurazione delle risorse per la copertura dell'analisi dell'esposizione, la rendicontazione dell'inventario delle risorse e le valutazioni del controllo della gestione della postura. Questa funzionalità viene fornita a tutti i clienti Security Hub come parte dei prezzi del piano Essential. Dopo aver abilitato Security Hub, nel tuo account vengono creati i seguenti registratori di configurazione collegati ai servizi:

Un IAM Access Analyzer che Security Hub crea e gestisce per tuo conto. Quando abiliti Security Hub, crea automaticamente un analizzatore di accessi inutilizzati collegato al servizio per identificare i ruoli, gli utenti, le chiavi di accesso e le autorizzazioni IAM che non sono stati utilizzati entro un periodo di lookback di 90 giorni. L'analizzatore viene eseguito negli Stati Uniti orientali (Virginia settentrionale) perché IAM è un servizio globale. Security Hub replica i risultati di accesso non utilizzati in tutte le regioni in cui è stato abilitato Security Hub. Non è necessario abilitare separatamente IAM Access Analyzer o intraprendere alcuna azione aggiuntiva. Questa funzionalità viene fornita a tutti i clienti Security Hub come parte dei prezzi del piano Essential. È possibile visualizzare l'analizzatore collegato al servizio nella console IAM Access Analyzer, ma non è possibile modificarlo o eliminarlo mentre Security Hub è abilitato. Security Hub elimina l'analizzatore quando si disabilita il servizio in tutte le regioni di un. Account AWS Per ulteriori informazioni, consulta Comprendere i risultati degli accessi non utilizzati in Security Hub.

Una deviazione di sicurezza che dà come risultato un rilevamento dell'esposizione. I tipi di caratteristiche includono presupponibilità, errata configurazione, raggiungibilità, dati sensibili e vulnerabilità. Una caratteristica è associata a un segnale e un segnale può contenere più caratteristiche. Ad esempio, un controllo CSPM di Security Hub indica che una politica gestita dal cliente consente il controllo amministrativo degli accessi. Questo segnale contiene una caratteristica di configurazione errata.

Un risultato che identifica un ruolo, un utente, una chiave di accesso o un set di autorizzazioni IAM che non sono stati utilizzati entro un periodo di lookback di 90 giorni. Security Hub genera risultati di accesso non utilizzati utilizzando un IAM Access Analyzer collegato al servizio. Esistono quattro tipi di risultati di accesso non utilizzati: ruoli IAM non utilizzati, chiavi di accesso utente IAM non utilizzate, password utente IAM non utilizzate e autorizzazioni non utilizzate.