生成和更新控件调查发现
在针对安全控件运行检查时,Amazon Security Hub CSPM 会生成并更新控件调查发现。控件调查发现使用 Amazon 安全调查发现格式 (ASFF)。
Security Hub CSPM 通常会对控件的每项安全检查收费。但是,如果多个控件使用相同的 Amazon Config 规则,则 Security Hub CSPM 仅对每次规则检查收取一次费用。例如,CIS Amazon 基金会基准标准和 Amazon 基础安全最佳实践标准中的多个控件使用 Amazon Config iam-password-policy 规则。每次 Security Hub CSPM 根据该规则运行检查时,它会为每个相关控件生成一个单独的控件调查发现,但只对检查收取一次费用。
如果控件调查发现的大小超过最大值 240 KB,Security Hub CSPM 将从调查发现中移除 Resource.Details 对象。对于由 Amazon Config 资源支持的控件,您可以使用 Amazon Config 控制台查看资源详细信息。
整合的控件调查发现
如果您的账户启用了整合的控件调查发现,则 Security Hub 会为控件的每项安全检查生成一个调查发现或调查发现更新,即使某个控件适用于多个启用的标准。有关控件及其适用的标准列表,请参阅 Security Hub CSPM 控件参考。我们建议启用整合的控件调查发现以减少调查发现噪音。
如果您在 2023 年 2 月 23 日之前对 Amazon Web Services 账户 启用了 Security Hub CSPM,则必须按照本部分后面的说明启用整合的控件调查发现。如果 2023 年 2 月 23 日当天或之后启用了 Security Hub CSPM,则会自动为您的账户启用整合的控件调查发现。
如果使用 Security Hub CSPM 与 Amazon Organizations 的集成,或使用通过手动邀请流程邀请的成员账户,则只有在为管理员账户启用了整合的控件调查发现后,才会为成员账户启用该功能。如果为管理员账户禁用了该功能,则成员账户也会禁用。此行为适用于新的和现有的成员账户。此外,如果管理员使用中心配置来为多个账户管理 Security Hub CSPM,则它们无法使用中心配置策略来为这些账户启用或禁用整合的控件调查发现。
如果您为自己的账户禁用了整合的控件调查发现,则 Security Hub CSPM 会为每项包含控件的已启用标准生成或更新单独的控件调查发现。例如,如果您启用四个共享同一控件的标准,则在对该控件进行安全检查后,您将收到四个不同的调查发现。如果启用整合的控件调查发现,则只会收到一项调查发现。
启用整合的控件调查发现后,Security Hub CSPM 会创建与标准无关的新调查发现,并存档基于标准的原始调查发现。某些控件调查发现字段和值会发生变化,这可能会影响您的现有工作流。有关这些更改的信息,请参阅整合的控件调查发现——ASFF 的变化。启用整合的控件调查发现还可能会影响集成的第三方产品从 Security Hub CSPM 收到的调查发现。如果您使用的是 Amazon 上的自动化安全响应 v2.0.0
要启用或禁用整合的控件调查发现,您必须登录管理员账户或独立账户。
注意
启用整合的控件调查发现后,Security Hub CSPM 最多可能需要 24 小时才能生成新的整合调查发现并存档现有基于标准的调查发现。同样,禁用整合的控件调查发现后,Security Hub CSPM 最多可能需要 24 小时才能生成基于标准的新调查发现并存档现有整合的调查发现。在此期间,您可能会在账户中同时看到与标准无关的调查发现和基于标准的调查发现。
生成、更新和存档控件调查发现
Security Hub CSPM 会按计划运行安全检查。Security Hub CSPM 首次对某个控件运行安全检查时,会为该控件检查的每个 Amazon 资源生成新的调查发现。每次 Security Hub CSPM 随后对该控件运行安全检查时,它都会更新现有调查发现以报告检查结果。这意味着您可以使用各项调查发现提供的数据,根据特定控件跟踪特定资源的合规性变化。
例如,如果某个资源对于特定控件的合规性状态从 FAILED 变为 PASSED,则 Security Hub CSPM 不会生成新的调查发现。相反,Security Hub CSPM 会更新控件和资源的现有调查发现。在调查发现中,Security Hub CSPM 会将合规性状态 (Compliance.Status) 字段的值更改为 PASSED。Security Hub CSPM 还会更新其他字段的值以反映检查结果,例如严重性标签、工作流状态和时间戳(指明 Security Hub CSPM 最近一次运行检查并更新调查发现的时间)。
在报告合规性状态的变化时,Security Hub CSPM 可能会更新控件调查发现中的以下任何字段:
-
Compliance.Status– 资源对于指定的控件的新合规性状态。 -
FindingProviderFields.Severity.Label– 调查发现严重性的新定性表示,例如LOWMEDIUM或HIGH。 -
FindingProviderFields.Severity.Original– 调查发现严重性的新量化表示,例如合规资源为0。 -
FirstObservedAt– 资源的合规性状态最近发生变化的时间。 -
LastObservedAt– Security Hub CSPM 最近对指定的控件和资源运行安全检查的时间。 -
ProcessedAt– Security Hub CSPM 最近开始处理调查发现的时间。 -
ProductFields.PreviousComplianceStatus– 资源对于指定的控件的以前合规性状态 (Compliance.Status)。 -
UpdatedAt– Security Hub CSPM 最近更新调查发现的时间。 -
Workflow.Status– 调查发现的调查状态,基于资源对指定的控件的新合规性状态。
Security Hub CSPM 是否更新字段主要取决于对适用控件和资源的最新安全检查的结果。例如,如果某个资源对于特定控件的合规性状态从 PASSED 变为 FAILED,则 Security Hub CSPM 会将调查发现的工作流状态更改为 NEW。要跟踪单个调查发现的更新,您可以参考调查发现的历史记录。有关调查发现中各个字段的详细信息,请参阅 Amazon 安全调查发现格式 (ASFF)。
在某些情况下,Security Hub CSPM 会生成新的调查发现供控件进行后续检查,而不是更新现有调查发现。如果支持控件的 Amazon Config 规则存在问题,则可能会发生这种情况。如果发生这种情况,Security Hub CSPM 会存档现有调查发现,并为每个检查生成新的调查发现。在新的调查发现中,合规性状态为 NOT_AVAILABLE,记录状态为 ARCHIVED。解决 Amazon Config 规则的问题后,Security Hub CSPM 会生成新的调查发现并开始对其进行更新,以跟踪各个资源合规性状态的后续变化。
除了生成和更新控件调查发现外,Security Hub CSPM 还会自动存档符合特定标准的控件调查发现。如果禁用了控件、删除了指定的资源或指定的资源不再存在,则 Security Hub CSPM 会存档调查发现。由于关联的服务不再使用,资源可能不再存在。更具体地说,如果控件调查发现符合以下条件之一,Security Hub CSPM 会自动存档该调查发现:
-
调查发现已 3-5 天没有更新。请注意,基于此时间范围进行的存档是尽力而为,并不保证一定能够成功。
-
关联的 Amazon Config 评估对指定资源的合规性状态返回了
NOT_APPLICABLE。
要确定某调查发现是否已存档,可以参考该调查发现的记录状态 (RecordState) 字段。如果调查发现已存档,则此字段的值为 ARCHIVED。
Security Hub CSPM 会将存档的控件调查发现存储 30 天。30 天后,调查发现会过期,Security Hub CSPM 会将其永久删除。为了确定存档的控件调查发现是否已过期,Security Hub CSPM 会根据调查发现的 UpdatedAt 字段的值进行计算。
要将存档的控件调查发现存储 30 天以上,可以将调查发现导出到 S3 存储桶。您可以使用带有 Amazon EventBridge 规则的自定义操作来实现此目的。有关更多信息,请参阅 使用 EventBridge 进行自动响应和补救。
注意
在 2025 年 7 月 3 日之前,当资源的控件合规性状态发生变化时,Security Hub CSPM 会以不同的方式生成和更新控件调查发现。之前,Security Hub CSPM 为某个资源创建了一个新的控件调查发现并存档了现有调查发现。因此,对于特定控件和资源,您可能会有多个已存档的调查发现,直到这些调查发现过期(30 天后)。
控件调查发现的自动化和隐藏
您可以使用 Security Hub CSPM 自动化规则来更新或隐藏特定控件调查发现。如果您隐藏了某个调查发现,则可以继续访问它。但是,隐藏表明您认为无需采取任何措施来解决该调查发现。
通过隐藏调查发现,可以减少调查发现噪音。例如,您可以隐藏在测试账户中生成的控件调查发现。或者,您可以隐藏与特定资源相关的调查发现。要了解有关自动更新或隐藏调查发现的更多信息,请参阅了解 Security Hub CSPM 中的自动化规则。
当您想要更新或隐藏特定控件调查发现时,自动化规则是合适的。但是,如果某个控件与您的组织或使用案例无关,建议禁用该控件。如果禁用某个控件,Security Hub CSPM 不会对其运行安全检查,也不会向您收取控件的费用。
控件调查发现的合规性详细信息
在控件的安全检查生成的调查发现中,合规性对象和Amazon安全调查发现格式 (ASFF) 中的字段提供了控件所检查的各个资源的合规性详细信息。这包含以下信息:
-
AssociatedStandards– 启用控件的已启用标准。 -
RelatedRequirements– 所有已启用标准中控件的相关要求。这些要求源自控件的第三方安全框架,例如支付卡行业数据安全标准 (PCI DSS) 或 NIST SP 800-171 修订版 2 标准。 -
SecurityControlId– Security Hub CSPM 支持的各类标准中控件的标识符。 -
Status– Security Hub CSPM 针对控件运行的最新检查的结果。先前检查的结果会保留在调查发现的历史记录中。 -
StatusReasons– 列出Status字段指定的值的原因的数组。对于每个原因,这包括原因代码和描述。
下表列出了调查发现可能包含在 StatusReasons 数组中的原因代码和描述。根据哪个控件生成了带有指定原因代码的调查发现,修复步骤会有所不同。要查看控件的修复指导,请参阅Security Hub CSPM 控件参考。
| 原因代码 | 合规性状态 | 描述 |
|---|---|---|
|
|
|
多区域 CloudTrail 跟踪没有有效的指标筛选条件。 |
|
|
|
多区域 CloudTrail 跟踪不存在指标筛选条件。 |
|
|
|
该账户没有具备所需配置的多区域 CloudTrail 跟踪。 |
|
|
|
多区域 CloudTrail 跟踪不在当前区域中。 |
|
|
|
不存在有效的警报操作。 |
|
|
|
账户中不存在 CloudWatch 警报。 |
|
|
Amazon Config 状态为 |
Amazon Config 拒绝访问 验证 Amazon Config 是否已启用并已授予足够的权限。 |
|
|
|
Amazon Config 根据规则评估您的资源。 规则不适用于其范围内的 Amazon 资源,指定的资源已删除,或者评估规则已删除。 |
|
|
|
Amazon Config 记录器使用自定义 IAM 角色而不是 Amazon Config 服务相关角色,并且 Config.1 的 |
|
|
|
启用配置记录器时,Amazon Config 未启用。 |
|
|
|
Amazon Config 未记录与启用的 Security Hub CSPM 控件对应的所有资源类型。为以下资源开启记录: |
|
|
|
合规性状态是 Amazon Config 未提供该状态的原因。以下是不适用状态的一些可能原因:
|
|
|
Amazon Config 状态为 |
此原因代码用于几种不同类型的评估错误。 描述提供了具体的原因信息。 错误类型可以是以下类型之一:
|
|
|
Amazon Config 状态为 |
Amazon Config 规则正在创建过程中。 |
|
|
|
出现未知错误。 |
|
|
|
Security Hub CSPM 无法对自定义 Lambda 运行时执行检查。 |
|
|
|
该调查发现处于 此规则不支持跨区域或跨账户检查。 建议您在此区域或账户中禁用此控制。仅在资源所在的区域或账户中运行它。 |
|
|
|
CloudWatch Logs 指标筛选条件没有有效的 Amazon SNS 订阅。 |
|
|
|
该调查发现处于一种 与此规则关联的 SNS 主题由其他账户拥有。当前账户无法获取订阅信息。 拥有 SNS 主题的账户必须向当前账户授予访问 SNS 主题的 |
|
|
|
该调查发现处于 此规则不支持跨区域或跨账户检查。 建议您在此区域或账户中禁用此控制。仅在资源所在的区域或账户中运行它。 |
|
|
|
与此规则关联的 SNS 主题无效。 |
|
|
|
相关 API 操作超出了允许的速率。 |
控件调查发现的 ProductFields 详细信息
在控件的安全检查生成的调查发现中,Amazon 安全调查发现格式 (ASFF) 中的 ProductFields 属性可以包括以下字段。
ArchivalReasons:0/Description-
描述 Security Hub CSPM 为何存档调查发现。
例如,当您禁用某个控件或标准,或者启用或禁用整合的控件调查发现时,Security Hub CSPM 会存档现有调查发现。
ArchivalReasons:0/ReasonCode-
指定 Security Hub CSPM 为何存档调查发现。
例如,当您禁用某个控件或标准,或者启用或禁用整合的控件调查发现时,Security Hub CSPM 会存档现有调查发现。
PreviousComplianceStatus-
截至最近一次更新调查发现时,指定控件的资源先前合规性状态 (
Compliance.Status)。如果资源的合规性状态在最近更新期间没有发生变化,则此值与调查发现的Compliance.Status字段的值相同。有关可能的值的列表,请参阅评估合规性状态和控件状态。 StandardsGuideArn或者StandardsArn-
与控件关联的标准的 ARN。
对于 CIS Amazon 基金会基准标准,字段为
StandardsGuideArn。对于 PCI DSS 和 Amazon 基础安全最佳实践标准,字段为StandardsArn。如果您启用整合的控件调查发现,这些字段会被移除,取而代之的是
Compliance.AssociatedStandards。 StandardsGuideSubscriptionArn或者StandardsSubscriptionArn-
账户订阅该标准的 ARN。
对于 CIS Amazon 基金会基准标准,字段为
StandardsGuideSubscriptionArn。对于 PCI DSS 和 Amazon 基础安全最佳实践标准,字段为StandardsSubscriptionArn。如果您启用整合的控件调查发现,这些字段会被移除。
RuleId或者ControlId-
控件的标识符。
对于 CIS Amazon 基金会基准标准版本 1.2.0,字段为
RuleId。对于其他标准,包括 CIS Amazon 基金会基准标准的后续版本,字段为ControlId。如果您启用整合的控件调查发现,这些字段会被移除,取而代之的是
Compliance.SecurityControlId。 RecommendationUrl-
控件的修复信息的 URL。如果您启用整合的控件调查发现,该字段会被移除,取而代之的是
Remediation.Recommendation.Url。 RelatedAWSResources:0/name-
与调查发现关联的资源的名称。
RelatedAWSResource:0/type-
与控件关联的资源类型。
StandardsControlArn-
控件的 ARN。如果您启用整合的控件调查发现,该字段会被移除。
aws/securityhub/ProductName-
对于控件调查发现,产品名称为
Security Hub。 aws/securityhub/CompanyName-
对于控件调查发现,公司名称为
Amazon。 aws/securityhub/annotation-
对控件所发现问题的描述。
aws/securityhub/FindingId-
调查发现的标识符。
如果您启用整合的控件调查发现,该字段不会引用标准。
控件调查发现的严重性级别
分配给 Security Hub CSPM 控件的严重性指明该控件的重要性。对照的严重性决定了分配给对照调查发现的严重性标签。
严重性条件
控制的严重程度是根据对以下标准的评估来确定的:
-
威胁行为者利用与控制相关的配置弱点有多困难? 难度取决于利用弱点执行威胁场景所需的复杂程度。
-
这种弱点导致 Amazon Web Services 账户 或资源受损的可能性有多大? 您的资源泄露意味着您的数据 Amazon Web Services 账户 或 Amazon 基础架构的机密性、完整性或可用性在某种程度上受到损害。入侵的可能性表明威胁情景导致 Amazon Web Services 服务或资源中断或泄露的可能性有多大。
例如,考虑以下配置缺点:
-
用户访问密钥不是每 90 天轮换一次。
-
IAM 根用户密钥存在。
对于攻击者来说,这两个弱点同样难以利用。在这两种情况下,攻击者都可以使用凭证盗窃或其他方法来获取用户密钥。然后,他们可以使用它以未经授权的方式访问您的资源。
但是,如果威胁行为者获取了根用户访问密钥,则受到损害的可能性会更高,因为这为他们提供了更大的访问权限。因此,根用户密钥漏洞的严重性更高。
严重性未考虑底层资源的重要程度。严重性是指与调查发现关联的资源的重要性级别。例如,与任务关键型应用程序关联的资源比与非生产测试关联的资源更重要。要获取资源重要性信息,请使用 Amazon 安全调查发现格式 (ASFF) Criticality 字段。
下表将漏洞利用的难度和受损的可能性映射到安全标签。
|
极有可能受损 |
可能受损 |
不太可能受损 |
受损的可能性极小 |
|
|
非常容易被利用 |
重大 |
重大 |
高 |
中 |
|
有点容易被利用 |
重大 |
高 |
中 |
中 |
|
有点难以利用 |
高 |
中 |
中 |
低 |
|
很难被利用 |
中 |
中 |
低 |
低 |
严重性定义
严重性标签的定义如下:
- 严重——应立即修复问题以避免问题升级。
-
例如,开放的 S3 存储桶被视为具有“严重”严重性的结果。由于许多威胁行为者会扫描开放的 S3 存储桶,因此暴露的 S3 存储桶中的数据很可能会被其他人发现和访问。
一般而言,公开访问的资源被视为关键的安全问题。您应该以最紧迫的态度对待关键结果。您还应该考虑资源的重要程度。
- 高——该问题必须作为近期优先事项予以解决。
-
例如,如果默认 VPC 安全组对入站和出站流量开放,则其被视为高严重性。使用这种方法,威胁行为者很容易入侵 VPC。一旦资源进入 VPC,威胁行为者也有可能破坏或泄露资源。
Security Hub CSPM 建议您将高严重性结果视为近期优先事项。您应该立即采取补救措施。您还应该考虑资源的重要程度。
- 中度——该问题应作为中期优先事项加以解决。
-
例如,对传输中数据缺乏加密被认为是中等严重性的调查发现。它需要复杂的中间人攻击才能利用这个弱点。换句话说,这有点困难。如果威胁情景成功,某些数据可能会被泄露。
Security Hub CSPM 建议您尽早调查受影响的资源。您还应该考虑资源的重要程度。
- 低——无需针对问题执行任何操作。
-
例如,未能收集取证信息被视为严重性较低。这种控制可以帮助防止未来的受损,但是缺乏取证并不能直接导致受损。
您无需对低严重性结果立即采取操作,但是当您将这些结果与其他问题关联时,它们可以提供背景信息。
- 信息——未结果任何配置漏洞。
-
换言之,状态为
PASSED、WARNING或NOT AVAILABLE。没有建议的操作。信息性结果可帮助客户证明其处于合规状态。