与 Amazon Security Hub 集成 - Amazon Identity and Access Management
Access Analyzer 如何向 Security Hub 发送结果查看 Security Hub 中 Access Analyzer 的结果来自 Access Analyzer 典型结果启用和配置集成如何停止发送结果
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

与 Amazon Security Hub 集成

Amazon Security Hub 提供了您在 Amazon 中的安全状态的全面视图,可帮助您检查环境是否符合安全行业标准和最佳实践。Security Hub 跨各 Amazon 账户、服务和受支持的第三方合作伙伴产品收集安全数据,帮助您分析安全趋势并确定最高优先级的安全问题。

IAM Access Analyzer 与 Security Hub 的集成使您能够将结果从 Access Analyzer 发送到 Security Hub。Security Hub 可以在其对您的安保状况分析中包含这些结果。

Access Analyzer 如何向 Security Hub 发送结果

在 Security Hub 中,安全问题按结果进行跟踪。一些发现结果来自其他 Amazon 服务或第三方合作伙伴检测到的问题。Security Hub 还有一套用于检测安全问题和生成结果的规则。

Security Hub 提供了管理来自所有这些来源的结果的工具。您可以查看和筛选结果列表,并查看结果的详细信息。请参阅 Amazon Security Hub 用户指南中的查看结果。您还可以跟踪结果的调查状态。请参阅 Amazon Security Hub 用户指南中的对结果采取措施

Security Hub 中的所有结果都使用标准的 JSON 格式,称为 Amazon Security Finding 格式 (ASFF)。ASFF 包括有关问题根源、受影响资源以及结果当前状态的详细信息。请参阅 Amazon Security Hub 用户指南中的 Amazon Security Finding 格式 (ASFF)

IAM Access Analyzer 是一项 Amazon 服务,会将结果发送到 Security Hub。Access Analyzer 在检测到允许外部主体访问您的企业或账户中受支持资源的策略语句时生成一个结果。Access Analyzer 会对资源的所有结果进行分组,并将单个结果发送到 Security Hub。

Access Analyzer 发送的结果类型

Access Analyzer 使用 Amazon Security Finding 格式 (ASFF)将结果发送到 Security Hub。在 ASFF 中,Types 字段提供结果类型。来自 Access Analyzer 的结果可能具有 Types 的以下值。

  • 效果/数据泄漏/外部访问已授权

  • 软件和配置检查/Amazon 安全最佳实践/外部访问已授权

发送结果的延迟

Access Analyzer 创建新结果时,通常会在 30 分钟内将结果发送到 Security Hub。在某些情况下,很少会通知 Access Analyzer 添加或更新了策略。例如,更改 Amazon S3 账户级块公共访问设置可能需要长达 12 小时。此外,如果 Amazon CloudTrail 日志传输存在传输问题,则策略更改不会触发对结果中报告的资源进行重新扫描。在发生此情况时,Access Analyzer 会在下一个定期扫描期间(24 小时内)分析新策略或更新后的策略。

Security Hub 不可用时重试

如果 Security Hub 不可用,Access Analyzer 会重试定期发送结果。

更新 Security Hub 中的现有结果

将结果发送到 Security Hub 之后,IAM Access Analyzer 会发送反映对查找活动的其他观测结果到 Security Hub 中。这些更新反映在同一结果中。

如果 Security Hub 中的资源至少有一个结果处于活动状态,则 Access Analyzer 中的资源的结果将处于活动状态。如果某个资源在 Access Analyzer 中的所有结果均已存档和解决,则 Security Hub 结果也会存档。

当您在公共和跨账户访问之间更改策略访问权限时,Security Hub 结果将更新。此更新可能包括对结果的类型、标题、描述和严重性的更改。

查看 Security Hub 中 Access Analyzer 的结果

要在 Security Hub 中查看 Access Analyzer 结果,请在汇总页面的 Amazon: IAM Access Analyzer(亚马逊云科技:IAM 访问分析器)部分中选择 See findings(查看结果)。或者,您可以从导航面板中选择 Findings(结果)。然后,您可以通过选择值为的 IAM Access AnalyzerProduct name:(产品名称:)字段来筛选结果,以便仅显示 IAM Access Analyzer 结果。

解释 Security Hub 中的 Access Analyzer 结果名称

IAM Access Analyzer 使用 Amazon Security Finding 格式 (ASFF) 将结果发送到 Security Hub。在 ASFF 中,Types(类型)字段提供结果类型。ASFF 使用与 IAM Access Analyzer 不同的命名方案。下表包含与 Security Hub 中显示的 IAM Access Analyzer 结果关联的所有 ASFF 类型的详细信息。

ASFF 结果类型 Security Hub 结果标题 描述
效果/数据泄漏/外部访问已授权 <resource ARN> 允许公开访问 附加到资源的基于资源的策略允许所有外部主体对资源的公开访问。
软件和配置检查/Amazon 安全最佳实践/外部访问已授权 <resource ARN> 允许跨账户访问 附加到资源的基于资源的策略允许跨账户访问分析器信任区之外的外部主体。

来自 Access Analyzer 典型结果

Access Analyzer 使用 AmazonSecurity Finding 格式 (ASFF) 将结果发送到 Security Hub。

下面是 Access Analyzer 典型结果的示例。

{
    "SchemaVersion": "2018-10-08",
    "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::my-bucket",
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
    "GeneratorId": "aws/access-analyzer",
    "AwsAccountId": "111122223333",
    "Types": ["Software and Configuration Checks/Amazon Security Best Practices/External Access Granted"],
    "CreatedAt": "2020-11-10T16:17:47Z",
    "UpdatedAt": "2020-11-10T16:43:49Z",
    "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
    },
    "Title": "AwsS3Bucket/arn:aws:s3:::my-bucket/ allows cross-account access",
    "Description": "AWS::S3::Bucket/arn:aws:s3:::my-bucket/ allows cross-account access from Amazon 444455556666",
    "Remediation": {
        "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."}
    },
    "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798",
    "Resources": [
        {
            "Type": "AwsS3Bucket",
            "Id": "arn:aws:s3:::my-bucket",
            "Details": {
                "Other": {
                    "External Principal Type": "AWS",
                    "Condition": "none",
                    "Action Granted": "s3:GetObject,s3:GetObjectVersion",
                    "External Principal": "444455556666"
                }
            }
        }
    ],
    "WorkflowState": "NEW",
    "Workflow": {"Status": "NEW"},
    "RecordState": "ACTIVE"
}

启用和配置集成

若要使用与 Security Hub 的集成,您必须启用 Security Hub。有关如何启用 Security Hub 的信息,请参阅 Amazon Security Hub 用户指南中的设置 Security Hub

当您同时启用 Access Analyzer 和 Security Hub 时,集成将自动启用。Access Analyzer 立即开始将结果发送到 Security Hub。

如何停止发送结果

要停止向 Security Hub 发送结果,您可以使用 Security Hub 控制台或 API。

请参阅 Amazon Security Hub 用户指南中的禁用和启用来自集成的结果流(控制台)禁用来自集成的结果流(Security Hub API、Amazon CLI)