生成和更新控制结果 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

生成和更新控制结果

Amazon Security Hub通过对安全控制中的规则运行检查来生成调查结果。这些结果使用 Amazon Security Finding 格式 (ASFF)。请注意,如果查找结果大小超过最大值 240 KB,则Resource.Details对象被移除。对于使用以下方法的控件的调查结果Amazon Config规则,你可以在上查看资源详情Amazon Config控制台。

Security Hub 通常对控制的每项安全检查收费。但是,如果多个控件使用相同的控件Amazon Config规则,那么 Security Hub 对每张支票只收取一次费用Amazon Config规则。它根据检查结果为每个对照生成单独的调查结果。

例如,Amazon Config规则iam-password-policy由互联网安全中心 (CIS) 的多个控件使用Amazon基金会基准测试和 IAM.7 在Amazon基础安全最佳实践 (FSBP) 标准。每次 Security Hub 都会对此进行检查Amazon Config规则,它会为每个相关控件生成单独的调查结果,但只对支票收取一次费用。

Compliance控制结果的详细信息

对于通过控制措施安全检查得出的结果,Compliance字段中返回的子位置类型AmazonSecy Fity F) 包含与控制相关的结果的详细信息。Compliance 字段包含以下信息。

RelatedRequirements

控件的相关要求列表。这些要求来自第三方控制安全框架,例如支付卡行业数据安全标准。

Status

Security Hub 针对给定控件运行的最新检查结果。之前检查的结果将保持存档状态 90 天。

StatusReasons

包含值的原因列表Compliance.Status. 对于每个原因,StatusReasons 包括原因代码和说明。

下表列出了可用的状态原因代码和描述。原因代码的补救步骤取决于哪个控件使用原因代码生成了调查结果。您可以在以下网址查看 FSBP 控制的补救措施Amazon 基础安全最佳实践控件.

原因代码

Compliance.Status

描述

CLOUDTRAIL_METRIC_FILTER_NOT_VALID

FAILED

多区域 CloudTrail 跟踪没有有效的指标筛选条件。

CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT

FAILED

多区域不存在指标筛选条件 CloudTrail 跟踪。

CLOUDTRAIL_MULTI_REGION_NOT_PRESENT

FAILED

该账户没有多区域 CloudTrail 使用所需的配置进行跟踪。

CLOUDTRAIL_REGION_INVAILD

WARNING

多区域 CloudTrail 跟踪不在当前区域中返回的子位置类型。

CLOUDWATCH_ALARM_ACTIONS_NOT_VALID

FAILED

不存在有效的警报操作。

CLOUDWATCH_ALARMS_NOT_PRESENT

FAILED

CloudWatch 账户中不存在警报。

CONFIG_ACCESS_DENIED

NOT_AVAILABLE

Amazon Config 状态为 ConfigError

Amazon Config 拒绝访问

验证 Amazon Config 是否已启用并已授予足够的权限。

CONFIG_EVALUATIONS_EMPTY

PASSED

Amazon Config根据规则评估了您的资源。

规则不适用于其范围内的 Amazon 资源,指定的资源已删除,或者评估规则已删除。

CONFIG_RETURNS_NOT_APPLICABLE

NOT_AVAILABLE

合规状态为NOT_AVAILABLE因为Amazon Config返回的状态为不适用.

Amazon Config没有提供该状态的原因。以下是一些可能的原因不适用状态:

  • 该资源已从作用域中移除Amazon Config规则。

  • 这些区域有:Amazon Config规则已删除。

  • 资源已删除。

  • 这些区域有:Amazon Config规则逻辑可以产生不适用状态。

CONFIG_RULE_EVALUATION_ERROR

NOT_AVAILABLE

Amazon Config 状态为 ConfigError

此原因代码用于几种不同类型的评估错误。

描述提供了具体的原因信息。

错误的类型可能是以下值之一:

  • 由于缺乏权限而无法执行评估。描述提供缺少的特定权限。

  • 参数缺少值或值无效。描述提供参数和参数值的要求。

  • 从 S3 存储桶读取时出错。描述标识存储桶并提供特定错误。

  • 缺少 Amazon 订阅。

  • 评估时出现一般超时。

  • 账户暂停。

CONFIG_RULE_NOT_FOUND

NOT_AVAILABLE

Amazon Config 状态为 ConfigError

这些区域有:Amazon Config规则正在创建过程中。

INTERNAL_SERVICE_ERROR

NOT_AVAILABLE

出现未知错误。

LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE

FAILED

Security Hub 无法对自定义 Lambda 运行时执行检查。

S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION

WARNING

该结果在WARNING状态,因为与此规则关联的 S3 存储桶位于不同的区域或账户中。

此规则不支持跨区域或跨账户检查。

建议您在此区域或账户中禁用此控制。仅在资源所在的区域或账户中运行它。

SNS_SUBSCRIPTION_NOT_PRESENT

FAILED

这些区域有: CloudWatch 日志指标筛选条件没有有效的 Amazon SNS 订阅。

SNS_TOPIC_CROSS_ACCOUNT

WARNING

该结果在WARNING状态。

与此规则关联的 SS 主题由其他账户拥有。当前账户无法获取订阅信息。

拥有 SNS 主题的账户必须向当前账户授予sns:ListSubscriptionsByTopicSS 主题的权限。

SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION

WARNING

该结果在WARNING状态是因为与此规则关联的 SNS 主题位于不同的区域或账户中。

此规则不支持跨区域或跨账户检查。

建议您在此区域或账户中禁用此控制。仅在资源所在的区域或账户中运行它。

SNS_TOPIC_INVALID

FAILED

与此规则关联的 SNS 主题无效。

THROTTLING_ERROR

NOT_AVAILABLE

相关 API 操作超出了允许的速率。

ProductFields控制结果的详细信息

这些区域有:ProductFieldsASFF 中的属性包括有关控制安全检查生成的发现的其他详细信息。

对于安全检查生成的调查结果,ProductFields包含以下字段:

StandardsGuideArn 或者 StandardsArn

与控件关联的标准 ARN。

对于独联体来说Amazon基金会基准标准,该领域是StandardsGuideArn.

适用于 PCI DS 和Amazon基础安全最佳实践标准,该字段是StandardsArn.

StandardsGuideSubscriptionArn 或者 StandardsSubscriptionArn

该账户订阅标准的 ARN。

对于独联体来说Amazon基金会基准标准,该领域是StandardsGuideSubscriptionArn.

对于 PCI DSS 和Amazon基础安全最佳实践标准,该字段是StandardsSubscriptionArn.

RuleId 或者 ControlId

控件的标识符。

对于独联体来说Amazon基金会基准标准,该领域是RuleId.

对于 PCI DSS 和Amazon基础安全最佳实践标准,该字段是ControlId.

RecommendationUrl

控件修复信息的 URL。

RelatedAWSResources:0/name

与结果关联的资源名称。

RelatedAWSResource:0/type

与控件关联的资源类型。

StandardsControlArn

控件的 ARN。

aws/securityhub/ProductName

对于基于控制的发现,产品名称为 Security Hub。

aws/securityhub/CompanyName

对于基于控制的调查结果,公司名称为Amazon.

aws/securityhub/annotation

对控件发现的问题的描述。

aws/securityhub/FindingId

调查结果的标识符。

为控制结果分配严重性

分配给 Security Hub 控件的严重性确定了该控件的重要性。对照的严重性决定了分配给控制结果的严重性标签。

严重性标准

对照的严重程度是根据对以下标准的评估来确定的:

  • 威胁参与者利用与控制相关的配置缺陷有多困难?

    难度取决于利用弱点实施威胁情景所需的复杂程度或复杂程度。

  • 这种弱点会导致你的妥协的可能性有多大Amazon账户还是资源?

    你的妥协Amazon账户或资源意味着您的数据的机密性、完整性或可用性,或Amazon基础设施在某种程度上受到了破坏。

    入侵的可能性表明威胁情景导致您的中断或违规的可能性有多大Amazon服务或资源。

例如,考虑以下配置缺陷:

  • IAM 用户访问密钥不会每 90 天轮换一次。

  • IAM 根访问密钥存在。

这两个弱点同样难以被对手利用。在这两种情况下,对手都可以使用凭证盗窃或其他方法来获取用户密钥。然后,他们可以使用它以未经授权的方式访问您的资源。

但是,如果威胁参与者获得根用户访问密钥,则入侵的可能性要高得多,因为根密钥为他们提供了更大的访问权限。因此,root 用户密钥漏洞的严重性更高。

严重性没有考虑到底层资源的重要程度。重要性是与调查结果相关的资源的重要级别。例如,与关键任务应用程序关联的资源比与非生产测试相关的资源更为重要。要捕获资源重要性信息,请使用Criticality的子位置类型AmazonSecy Fy F)。

下表列出了漏洞利用的难度和安全标签被泄露的可能性。

极有可能妥协

可能妥协

不太可能妥协

妥协的可能性极小

很容易被利用

重大

重大

有点容易被利用

重大

有点难以利用

很难被利用

严重性定义

严重性标签的定义如下。

严重 — 应立即修复问题,以避免其升级。

例如,开放的 S3 存储桶被视为具有“严重”严重性的结果。由于有太多参与者扫描打开的 S3 存储桶,暴露的 S3 存储桶中的数据很可能会被其他人发现和访问。

通常,可公开访问的资源被视为关键安全问题。你应该以最紧迫的态度对待关键发现。您还应该考虑资源的重要性。

高 — 必须将该问题作为近期优先事项加以解决。

例如,如果默认 VPC 安全组对入站和出站流量开放,则将其视为高严重性。威胁参与者使用这种方法入侵 VPC 有点容易。威胁参与者也有可能在资源进入 VPC 后破坏或窃取资源。

Security Hub 建议您将严重程度高的发现视为近期优先事项。你应该立即采取补救措施。您还应该考虑资源的重要性。

中度 — 应将该问题作为中期优先事项加以解决。

例如,对传输中的数据缺乏加密被视为中等严重性发现。它需要复杂的 man-in-the-middle 攻击以利用这个弱点。换句话说,这有点困难。如果威胁情景成功,某些数据很可能会遭到泄露。

Security Hub 建议您尽早调查相关资源。您还应该考虑资源的重要性。

低-该问题不需要单独采取行动。

例如,未能收集取证信息被视为低严重性。这种控制有助于防止future 出现妥协,但缺乏取证并不能直接导致妥协。

您无需立即对严重程度较低的发现采取行动,但是当您将它们与其他问题关联时,它们可以提供背景信息。

信息-未发现配置漏洞。

换句话说,状态是PASSED,WARNING,或NOT AVAILABLE.

没有建议的操作。信息性结果可帮助客户证明其处于合规状态。

更新控制结果的规则

随后对给定规则的检查可能会生成新的结果。例如,“避免使用 root 账户” 的状态可能会从FAILEDPASSED. 在这种情况下,将生成一个包含最新结果的新发现。

如果根据给定规则进行的后续检查生成与当前结果相同的结果,则更新现有结果。不会生成新结果。

如果关联资源被删除、资源不存在或控件被禁用,Security Hub 会自动归档控件中的发现。资源可能已不存在,因为当前未使用关联的服务。结果将根据以下条件之一自动存档:

  • 调查结果在三到五天内没有更新(请注意,这是尽力而为,不能保证)。

  • 关联的 Amazon Config 评估返回了 NOT_APPLICABLE