生成和更新控件调查发现 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

生成和更新控件调查发现

Amazon Security Hub 云安全态势管理 (CSPM) 在对安全控制进行检查时生成控制结果。控制结果使用Amazon 安全调查结果格式 (ASFF)

Security Hub CSPM 通常会对控件的每项安全检查收费。但是,如果多个控件使用相同的 Amazon Config 规则,则 Security Hub CSPM 只会根据该规则对每项检查收取一次费用。例如,CIS Amazon 基金会基准标准和 Amazon 基础安全最佳实践标准中的多个控件都使用该 Amazon Config iam-password-policy规则。每次 Security Hub CSPM 根据该规则运行检查时,它会为每个相关控件生成单独的控制结果,但只对检查收取一次费用。

如果对照查找结果的大小超过最大值 240 KB,Security Hub CSPM 会将该Resource.Details对象从查找结果中移除。对于由 Amazon Config 资源支持的控件,您可以使用 Amazon Config 控制台查看资源详细信息。

整合的控件调查发现

如果您的账户启用了合并控制结果,Security Hub CSPM 会为控件的每项安全检查生成一个新的发现或发现更新,即使某项控件适用于多个启用的标准。有关控制措施及其适用的标准的列表,请参阅Security Hub CSPM 的控制参考。我们建议启用整合的控件调查发现以减少调查发现噪音。

如果您在 2023 年 2 月 23 日 Amazon Web Services 账户 之前启用了 Security Hub CSPM,则可以按照本节后面的说明启用合并控制结果。如果您在 2023 年 2 月 23 日当天或之后启用 Security Hub CSPM,则会自动为您的账户启用合并控制结果。

如果您使用Sec urity Hub CSPM集成 Amazon Organizations或通过手动邀请流程邀请成员帐户,则只有在管理员帐户启用合并控制结果后,才会为成员帐户启用合并控制结果。如果管理员帐户禁用了该功能,则成员帐户将禁用该功能。此行为适用于新的和现有的成员账户。此外,如果管理员使用中央配置来管理多个账户的 Security Hub CSPM,则他们无法使用中央配置策略来启用或禁用账户的整合控制结果。

如果您为账户禁用合并控制结果,Security Hub CSPM 会为每项安全检查和每项已启用的标准(包括控件)生成单独的控制结果。例如,如果您启用四个共享一个控件的标准,则在对该控件进行安全检查后,您会收到四个不同的结果。如果启用整合的控件调查发现,则只会收到一项调查发现。

启用整合控制结果后,Security Hub CSPM 会创建与标准无关的新发现,并存档基于标准的原始调查结果。某些控件查找字段和值会发生变化,这可能会影响您的现有工作流程。有关这些更改的信息,请参见整合的控件调查发现——ASFF 的变化。启用合并控制结果还可能影响集成的第三方产品从 Security Hub CSPM 收到的调查结果。如果您在 Amazon v2.0.0 上使用自动安全响应解决方案,请注意它支持整合的控制结果。

要启用或禁用整合的控件调查发现,您必须登录管理员账户或独立账户。

注意

启用整合控制结果后,Security Hub CSPM 最多可能需要 24 小时才能生成新的合并调查结果并存档基于标准的原始调查结果。同样,禁用整合控制结果后,Security Hub CSPM 最多可能需要 24 小时才能生成新的基于标准的调查结果并将合并结果存档。在这段时间里,你可能会在账户中看到一系列与标准无关的调查结果和基于标准的调查结果。

Security Hub CSPM console
启用或禁用整合控制结果
  1. 打开 Sec Amazon urity Hub 云安全态势管理 (CSPM) 控制台,网址为。https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中的设置下,选择常规

  3. 在 “控件” 部分中,选择 “编辑”

  4. 使用合并控制结果开关启用或禁用合并控制结果。

  5. 选择保存

Security Hub CSPM API

要以编程方式启用或禁用整合控制结果,请使用 Security Hub CSPM API 的UpdateSecurityHubConfiguration操作。或者,如果您使用的是 Amazon CLI,请运行该update-security-hub-configuration命令。

对于control-finding-generator参数,指定SECURITY_CONTROL启用合并控制结果。要禁用合并控制结果,请指定STANDARD_CONTROL

例如,以下 Amazon CLI 命令启用合并的控制结果。

$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

以下 Amazon CLI 命令禁用整合控制结果。

$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

生成、更新和存档控制结果

Security Hub CSPM 按计划运行安全检查。随后对给定控件进行检查可以生成新的结果。例如,控件的状态可能从变FAILEDPASSED。在本例中,Security Hub CSPM 会生成一个包含最新结果的新发现。如果对给定控件的后续检查生成的结果与当前结果相同,则 Security Hub CSPM 会更新现有结果。不会生成新结果。

除了生成和更新控制结果外,Security Hub CSPM 还会自动归档符合特定标准的控制结果。如果禁用控件、删除指定资源或指定资源已不存在,Security Hub CSPM 会存档调查结果。由于不再使用关联的服务,资源可能已不存在。更具体地说,如果控制结果符合以下条件之一,Security Hub CSPM 会自动存档该发现:

  • 该发现已经 3-5 天没有更新了。请注意,基于此时间范围的存档是尽力而为,不能保证。

  • NOT_APPLICABLE针对指定资源的合规性状态返回的关联 Amazon Config 评估。

要确定查找结果是否已存档,可以参考该查找结果的记录状态 (RecordState) 字段。如果某项发现已存档,则该字段的值为ARCHIVED

Security Hub CSPM 将存档的控制结果存档 30 天。30 天后,搜索结果将过期,Security Hub CSPM 会将其永久删除。为了确定存档的对照调查结果是否已过期,Security Hub CSPM 根据查找结果UpdatedAt字段的值进行计算。

要将存档的控制结果存储超过 30 天,您可以将结果导出到 S3 存储桶。您可以通过使用带有 Amazon EventBridge 规则的自定义操作来实现此目的。有关更多信息,请参阅 EventBridge 用于自动响应和补救

控制结果的自动化和隐藏

您可以使用 Security Hub CSPM 自动化规则来更新或隐藏特定的控制结果。如果您隐藏搜索结果,则可以继续在自己的账户中访问该搜索结果。但是,抑制表明您认为无需采取任何措施来解决该发现。

通过抑制搜索结果,可以减少查找噪音。例如,您可以禁止在测试帐号中生成的控制结果。或者,您可以隐藏与特定资源相关的搜索结果。要了解有关自动更新或隐藏查找结果的更多信息,请参阅了解 Security Hub CSPM 中的自动化规则

当你想要更新或隐藏特定的控制结果时,自动化规则是合适的。但是,如果某个控件与您的组织或用例无关,我们建议您禁用该控件。当你禁用某个控件时,Security Hub CSPM 不会对其进行安全检查,也不会为此向你收费。

控制结果的合规性详情

在控件安全检查生成的结果中, Amazon 安全调查结果格式 (ASFF) 中的Compliance对象和字段提供了控件所检查的各个资源的合规性详细信息。这包括以下信息:

  • AssociatedStandards— 启用控件的启用标准。

  • RelatedRequirements— 所有启用的标准中对控制的相关要求。这些要求源自第三方控制安全框架,例如支付卡行业数据安全标准 (PCI DSS) 或 NIST SP 800-171 修订版 2 标准。

  • SecurityControlId— Security Hub CSPM 支持的跨标准的控制标识符。

  • Status— Security Hub CSPM 为该控件运行的最新检查结果。先前检查的结果保存在存档状态。

  • StatusReasons— 列出Status字段指定值的原因的数组。对于每种原因,这都包括原因代码和描述。

下表列出了调查结果可能包含在StatusReasons数组中的原因代码和描述。补救步骤因哪个控件生成了具有指定原因代码的调查结果而异。要查看控制措施的补救指南,请参阅Security Hub CSPM 的控制参考

原因代码 合规性状态 描述

CLOUDTRAIL_METRIC_FILTER_NOT_VALID

FAILED

多区域 CloudTrail 跟踪没有有效的指标筛选条件。

CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT

FAILED

多区域 CloudTrail 跟踪不存在指标筛选条件。

CLOUDTRAIL_MULTI_REGION_NOT_PRESENT

FAILED

该账户没有具有所需配置的多区域 CloudTrail 跟踪。

CLOUDTRAIL_REGION_INVAILD

WARNING

多区域 CloudTrail 跟踪不在当前区域中。

CLOUDWATCH_ALARM_ACTIONS_NOT_VALID

FAILED

不存在有效的警报操作。

CLOUDWATCH_ALARMS_NOT_PRESENT

FAILED

CloudWatch 账户中不存在警报。

CONFIG_ACCESS_DENIED

NOT_AVAILABLE

Amazon Config 状态是 ConfigError

Amazon Config 访问被拒绝。

验证 Amazon Config 是否已启用并已被授予足够的权限。

CONFIG_EVALUATIONS_EMPTY

PASSED

Amazon Config 根据规则评估了您的资源。

该规则不适用于其范围内的 Amazon 资源,指定的资源已被删除,或者评估结果被删除。

CONFIG_RECORDER_CUSTOM_ROLE

FAILED(用于配置 1)

Amazon Config 记录器使用自定义 IAM 角色而不是 Amazon Config 服务相关角色,并且 Config.1 的includeConfigServiceLinkedRoleCheck自定义参数未设置为。false

CONFIG_RECORDER_DISABLED

FAILED(用于配置 1)

Amazon Config 在配置记录器开启的情况下未启用。

CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES

FAILED(用于配置 1)

Amazon Config 并未记录与启用的 Security Hub CSPM 控件相对应的所有资源类型。为以下资源开启录制:Resources that aren't being recorded.

CONFIG_RETURNS_NOT_APPLICABLE

NOT_AVAILABLE

合规性状态NOT_AVAILABLE是因为 Amazon Config 返回的状态为 “不适用”。

Amazon Config 未提供该状态的原因。以下是不适用状态的一些可能原因:

  • 该资源已从 Amazon Config 规则的范围中移除。

  • 该 Amazon Config 规则已删除。

  • 资源已删除。

  • Amazon Config 规则逻辑可能会生成 “不适用” 状态。

CONFIG_RULE_EVALUATION_ERROR

NOT_AVAILABLE

Amazon Config 状态是 ConfigError

此原因代码用于几种不同类型的评估错误。

描述提供了具体的原因信息。

错误类型可以是以下类型之一:

  • 由于缺乏权限而无法执行评估。描述提供缺少的特定权限。

  • 参数缺少值或值无效。描述提供参数和参数值的要求。

  • 从 S3 存储桶读取时出错。描述标识存储桶并提供特定错误。

  • 缺少 Amazon 订阅。

  • 评估时出现一般超时。

  • 账户暂停。

CONFIG_RULE_NOT_FOUND

NOT_AVAILABLE

Amazon Config 状态是 ConfigError

该 Amazon Config 规则正在创建中。

INTERNAL_SERVICE_ERROR

NOT_AVAILABLE

出现未知错误。

LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE

FAILED

Security Hub CSPM 无法对自定义 Lambda 运行时执行检查。

S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION

WARNING

该发现处于WARNING状态,因为与此规则关联的 S3 存储桶位于不同的区域或账户中。

此规则不支持跨区域或跨账户检查。

建议您在此区域或账户中禁用此控制。仅在资源所在的区域或账户中运行它。

SNS_SUBSCRIPTION_NOT_PRESENT

FAILED

CloudWatch 日志指标筛选条件没有有效的 Amazon SNS 订阅。

SNS_TOPIC_CROSS_ACCOUNT

WARNING

该调查发现处于一种 WARNING 状态。

与此规则关联的 SNS 主题由其他账户拥有。当前账户无法获取订阅信息。

拥有 SNS 主题的账户必须向当前账户授予访问 SNS 主题的 sns:ListSubscriptionsByTopic 权限。

SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION

WARNING

该调查发现处于 WARNING 状态,因为与此规则关联的 SNS 主题位于不同的区域或账户中。

此规则不支持跨区域或跨账户检查。

建议您在此区域或账户中禁用此控制。仅在资源所在的区域或账户中运行它。

SNS_TOPIC_INVALID

FAILED

与此规则关联的 SNS 主题无效。

THROTTLING_ERROR

NOT_AVAILABLE

相关 API 操作超出了允许的速率。

ProductFields 控制结果的详细信息

当 Security Hub CSPM 运行安全检查并生成控制结果时,ASFF 中的ProductFields属性包括以下字段:

ArchivalReasons:0/Description

描述 Security Hub CSPM 为何对现有发现进行存档。

例如,当您禁用控件或标准以及打开或关闭合并控制结果时,Security Hub CSPM 会存档现有发现

ArchivalReasons:0/ReasonCode

提供了 Security Hub CSPM 存档现有发现的原因。

例如,当您禁用控件或标准以及打开或关闭合并控制结果时,Security Hub CSPM 会存档现有发现

StandardsGuideArnStandardsArn

与控件关联的标准的 ARN。

对于 CIS Amazon 基金会基准标准,字段为StandardsGuideArn

对于 PCI DSS 和 Amazon 基础安全最佳实践标准,字段为。StandardsArn

如果您启用整合的控件调查发现,这些字段会被移除,取而代之的是 Compliance.AssociatedStandards

StandardsGuideSubscriptionArnStandardsSubscriptionArn

账户订阅该标准的 ARN。

对于 CIS Amazon 基金会基准标准,字段为StandardsGuideSubscriptionArn

对于 PCI DSS 和 Amazon 基础安全最佳实践标准,字段为。StandardsSubscriptionArn

如果您启用整合的控件调查发现,这些字段会被移除。

RuleIdControlId

控件的标识符。

对于 CIS Amazon 基金会基准标准,字段为RuleId

对于其他标准,该字段为 ControlId

如果您启用整合的控件调查发现,这些字段会被移除,取而代之的是 Compliance.SecurityControlId

RecommendationUrl

控件修正信息的 URL。如果您启用整合的控件调查发现,该字段会被移除,取而代之的是 Remediation.Recommendation.Url

RelatedAWSResources:0/name

与调查发现关联的资源的名称。

RelatedAWSResource:0/type

与控件关联的资源类型。

StandardsControlArn

控件的 ARN。如果您启用整合的控件调查发现,该字段会被移除。

aws/securityhub/ProductName

对于基于控制的发现,产品名称为 Security Hub CSPM。

aws/securityhub/CompanyName

对于基于控制的调查结果,公司名称为。 Amazon

aws/securityhub/annotation

对控件所发现问题的描述。

aws/securityhub/FindingId

调查发现的标识符。如果您启用整合的控件调查发现,该字段不会引用标准。

控制结果的严重性级别

分配给 Security Hub CSPM 控件的严重性确定了该控件的重要性。对照的严重性决定了分配给对照调查发现的严重性标签。

严重性条件

控制的严重程度是根据对以下标准的评估来确定的:

  • 威胁行为者利用与控制相关的配置弱点有多困难?

    难度取决于利用弱点执行威胁场景所需的复杂程度。

  • 这种弱点导致你的 Amazon Web Services 账户 资源受损的可能性有多大?

    您的资源泄露意味着您的数据 Amazon Web Services 账户 或 Amazon 基础架构的机密性、完整性或可用性在某种程度上受到损害。

    入侵的可能性表明威胁情景导致您的 Amazon 服务或资源中断或泄露的可能性有多大。

例如,考虑以下配置缺点:

  • 用户访问密钥不是每 90 天轮换一次。

  • IAM 根用户密钥存在。

对于攻击者来说,这两个弱点同样难以利用。在这两种情况下,攻击者都可以使用凭证盗窃或其他方法来获取用户密钥。然后,他们可以使用它以未经授权的方式访问您的资源。

但是,如果威胁行为者获取了根用户访问密钥,则受到损害的可能性会更高,因为这为他们提供了更大的访问权限。因此,根用户密钥漏洞的严重性更高。

严重性未考虑底层资源的重要程度。严重性是指与调查发现关联的资源的重要性级别。例如,与任务关键型应用程序关联的资源比与非生产测试关联的资源更重要。要获取资源重要性信息,请使用 Amazon 安全调查结果格式 (ASFF) 的Criticality字段。

下表将漏洞利用的难度和受损的可能性映射到安全标签。

极有可能受损

可能受损

不太可能受损

受损的可能性极小

非常容易被利用

重大

重大

有点容易被利用

重大

有点难以利用

很难被利用

严重性定义

严重性标签的定义如下:

严重——应立即修复问题以避免问题升级。

例如,开放的 S3 存储桶被视为具有“严重”严重性的结果。由于许多威胁行为者会扫描开放的 S3 存储桶,因此暴露的 S3 存储桶中的数据很可能会被其他人发现和访问。

一般而言,公开访问的资源被视为关键的安全问题。您应该以最紧迫的态度对待关键结果。您还应该考虑资源的重要程度。

高——该问题必须作为近期优先事项予以解决。

例如,如果默认 VPC 安全组对入站和出站流量开放,则其被视为高严重性。使用这种方法,威胁行为者很容易入侵 VPC。一旦资源进入 VPC,威胁行为者也有可能破坏或泄露资源。

Security Hub CSPM 建议您将高严重性发现视为近期优先事项。您应该立即采取补救措施。您还应该考虑资源的重要程度。

中度——该问题应作为中期优先事项加以解决。

例如,对传输中数据缺乏加密被认为是中等严重性的调查发现。要利用这个弱点,需要进行复杂的 man-in-the-middle攻击。换句话说,这有点困难。如果威胁情景成功,某些数据可能会被泄露。

Security Hub CSPM 建议您尽早调查相关资源。您还应该考虑资源的重要程度。

低——无需针对问题执行任何操作。

例如,未能收集取证信息被视为严重性较低。这种控制可以帮助防止未来的受损,但是缺乏取证并不能直接导致受损。

您无需对低严重性结果立即采取操作,但是当您将这些结果与其他问题关联时,它们可以提供背景信息。

信息——未结果任何配置漏洞。

换言之,状态为 PASSEDWARNINGNOT AVAILABLE

没有建议的操作。信息性结果可帮助客户证明其处于合规状态。