本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
生成和更新控件调查发现
Amazon Security Hub 通过对安全控制进行检查来生成调查结果。这些发现使用 Amazon 安全调查结果格式 (ASFF)。请注意,如果调查发现大小超过最大值 240 KB,则 Resource.Details
对象将被移除。对于由 Amazon Config
资源支持的控件,您可以在 Amazon Config 控制台上查看资源详细信息。
Security Hub 通常会对控件的每项安全检查收费。但是,如果多个控件使用相同的 Amazon Config 规则,那么 Security Hub 只会 Amazon Config 根据该规则对每一次检查收取一次费用。如果您启用整合的控件调查发现,即使该控件包含在多个启用的标准中,Security Hub 也会生成一个用于安全检查的调查发现。
例如,互联网安全中心 (CIS) Amazon 基金会基准标准和基础安全最佳实践标准中的多个控件都使用该 Amazon Config 规则iam-password-policy
。每次 Security Hub Amazon Config 根据该规则运行检查时,它会为每个相关控件生成一个单独的调查结果,但只对检查收取一次费用。
整合的控件调查发现
在账户中启用整合的控件调查发现后,Security Hub 会为控件的每项安全检查生成一个新调查发现或调查发现更新,即使某项控件适用于多个启用的标准。要查看控件列表及其适用的标准,请参阅 Security Hub 控件参考。您可以开启或关闭整合的控件调查发现。我们建议将其开启以减少调查发现中的噪音。
如果您在 2023 年 2 月 23 日 Amazon Web Services 账户 之前启用了 Security Hub,则必须按照本节后面的说明打开合并控制结果。如果 2023 年 2 月 23 日当天或之后启用 Security Hub,则账户中将自动启用整合的控件调查发现。但是,如果您通过手动邀请流程使用 Security Hub 集成 Amazon Organizations或邀请成员账户,则只有在管理员账户中启用了整合的控件调查发现后,才会在成员账户中启用整合的控件调查发现。如果该功能在管理员账户中关闭,则在成员账户中也会关闭。此行为适用于新的和现有的成员账户。
如果您在账户中关闭了整合的控件调查发现,Security Hub 会为每项包含控件的已启用标准生成每项安全检查的单独调查发现。例如,如果四个启用的标准共享一个具有相同基础 Amazon Config 规则的控件,则在对该控件进行安全检查后,您会收到四个不同的结果。如果启用整合的控件调查发现,则只会收到一个调查发现。有关整合如何影响调查发现的更多信息,请参阅 控件调查发现样本。
开启整合的控件调查发现后,Security Hub 会创建与标准无关的新调查发现,并存档基于标准的原始调查发现。某些控件调查发现字段和值会发生变化,并可能影响现有的工作流程。有关这些更改的更多信息,请参阅整合的控件调查发现——ASFF 的变化。
启用整合的控件调查发现还可能影响第三方集成从 Security Hub 收到的调查发现。Amazon v2.0.0 上的自动安全响应
开启整合的控件调查发现
要启用整合的控件调查发现,您必须登录管理员账户或独立账户。
注意
开启整合的控件调查发现后,Security Hub 最多可能需要 24 小时才能生成新的整合调查发现并存档基于标准的原始调查发现。在此期间,您可能会在账户中看到一系列与标准无关的和基于标准的调查发现。
关闭合并的控件调查发现
要关闭整合的控件调查发现,您必须登录管理员账户或独立账户。
注意
关闭整合的控件调查发现后,Security Hub 最多可能需要 24 小时才能生成新的基于标准的调查发现并存档合并的调查发现。在此期间,您可能会在账户中看到各种基于标准的和合并的调查发现。
Compliance
控件调查发现的详细信息
对于控件安全检查生成的调查结果, Amazon 安全调查结果格式 (ASFF) 中的Compliance字段包含与控制结果相关的详细信息。Compliance 字段包含以下信息。
AssociatedStandards
-
启用控件的启用标准。
RelatedRequirements
-
所有启用标准中控件的相关要求清单。这些要求来自第三方安全框架的控制,例如支付卡行业数据安全标准 (PCI DSS)。
SecurityControlId
-
Security Hub 支持的各类安全标准控制的标识符。
Status
-
Security Hub 针对给定控件运行的最新检查的结果。之前检查的结果将保持存档状态 90 天。
StatusReasons
-
包含
Compliance.Status
值的原因列表。对于每个原因,StatusReasons
包括原因代码和说明。
下表列出了可用的状态原因代码和说明。补救步骤取决于哪个控件生成了带有原因代码的调查发现。从 Security Hub 控件参考 中选择一个控件以查看该控件的修复步骤。
原因代码 |
Compliance.Status |
描述 |
---|---|---|
|
|
多区域 CloudTrail 跟踪没有有效的指标筛选条件。 |
|
|
多区域 CloudTrail 跟踪不存在指标筛选条件。 |
|
|
该账户没有具有所需配置的多区域 CloudTrail 跟踪。 |
|
|
多区域 CloudTrail 跟踪不在当前区域中。 |
|
|
不存在有效的警报操作。 |
|
|
CloudWatch 账户中不存在警报。 |
|
Amazon Config 状态是 |
Amazon Config 访问被拒绝。 验证 Amazon Config 是否已启用并已被授予足够的权限。 |
|
|
Amazon Config 根据规则评估了您的资源。 该规则不适用于其范围内的 Amazon 资源,指定的资源已被删除,或者评估结果被删除。 |
|
|
合规性状态 Amazon Config 未提供该状态的原因。以下是不适用状态的一些可能原因:
|
|
Amazon Config 状态是 |
此原因代码用于几种不同类型的评估错误。 描述提供了具体的原因信息。 错误类型可以是以下类型之一:
|
|
Amazon Config 状态是 |
该 Amazon Config 规则正在创建中。 |
|
|
出现未知错误。 |
|
FAILED |
Security Hub 无法对自定义 Lambda 运行时系统执行检查。 |
|
|
该调查发现处于 此规则不支持跨区域或跨账户检查。 建议您在此区域或账户中禁用此控制。仅在资源所在的区域或账户中运行它。 |
|
|
CloudWatch 日志指标筛选条件没有有效的 Amazon SNS 订阅。 |
|
WARNING |
该调查发现处于一种 与此规则关联的 SNS 主题由其他账户拥有。当前账户无法获取订阅信息。 拥有 SNS 主题的账户必须向当前账户授予访问 SNS 主题的 |
|
|
该调查发现处于 此规则不支持跨区域或跨账户检查。 建议您在此区域或账户中禁用此控制。仅在资源所在的区域或账户中运行它。 |
|
|
与此规则关联的 SNS 主题无效。 |
|
|
相关 API 操作超出了允许的速率。 |
ProductFields
控件调查发现的详细信息
当 Security Hub 运行安全检查并生成控件调查发现时,ASFF 中的 ProductFields
属性包括以下字段:
ArchivalReasons:0/Description
-
描述 Security Hub 为何对现有调查发现进行存档。
例如,当您禁用控件或标准以及打开或关闭整合的控件调查发现时,Security Hub 会存档现有调查发现。
ArchivalReasons:0/ReasonCode
-
提供了 Security Hub 存档现有调查发现的原因。
例如,当您禁用控件或标准以及打开或关闭整合的控件调查发现时,Security Hub 会存档现有调查发现。
StandardsGuideArn
或StandardsArn
-
与控件关联的标准的 ARN。
对于 CIS Amazon 基金会基准标准,字段为
StandardsGuideArn
。对于 PCI DSS 和 Amazon 基础安全最佳实践标准,字段为。
StandardsArn
如果您启用整合的控件调查发现,这些字段将被
Compliance.AssociatedStandards
替代。 StandardsGuideSubscriptionArn
或StandardsSubscriptionArn
-
账户订阅该标准的 ARN。
对于 CIS Amazon 基金会基准标准,字段为
StandardsGuideSubscriptionArn
。对于 PCI DSS 和 Amazon 基础安全最佳实践标准,字段为。
StandardsSubscriptionArn
如果您启用整合的控件调查发现,则这些字段将被删除。
RuleId
或ControlId
-
控件的标识符。
对于 CIS Amazon 基金会基准标准,字段为
RuleId
。对于其他标准,该字段为
ControlId
。如果您启用整合的控件调查发现,这些字段将被
Compliance.SecurityControlId
替代。 RecommendationUrl
-
控件修正信息的 URL。如果您启用整合的控件调查发现,这些字段将被
Remediation.Recommendation.Url
替代。 RelatedAWSResources:0/name
-
与调查发现关联的资源的名称。
RelatedAWSResource:0/type
-
与控件关联的资源类型。
StandardsControlArn
-
控件的 ARN。如果您启用整合的控件调查发现,则会删除此字段。
aws/securityhub/ProductName
-
对于基于控件的调查发现,产品名称为 Security Hub。
aws/securityhub/CompanyName
-
对于基于控制的调查结果,公司名称为。 Amazon
aws/securityhub/annotation
-
对控件所发现问题的描述。
aws/securityhub/FindingId
-
调查发现的标识符。如果您启用整合的控件调查发现,则此字段不会引用标准。
为控件调查发现分配严重性
分配给 Security Hub 控件的“严重性”确定了该控件的重要性。对照的严重性决定了分配给对照调查发现的严重性标签。
严重性条件
控制的严重程度是根据对以下标准的评估来确定的:
-
威胁行为者利用与控制相关的配置弱点有多困难?
难度取决于利用弱点执行威胁场景所需的复杂程度。
-
这种弱点导致你的 Amazon Web Services 账户 资源受损的可能性有多大?
您的资源泄露意味着您的数据 Amazon Web Services 账户 或 Amazon 基础架构的机密性、完整性或可用性在某种程度上受到损害。
入侵的可能性表明威胁情景导致您的 Amazon 服务或资源中断或泄露的可能性有多大。
例如,考虑以下配置缺点:
-
用户访问密钥不是每 90 天轮换一次。
-
IAM 根用户密钥存在。
对于攻击者来说,这两个弱点同样难以利用。在这两种情况下,攻击者都可以使用凭证盗窃或其他方法来获取用户密钥。然后,他们可以使用它以未经授权的方式访问您的资源。
但是,如果威胁行为者获取了根用户访问密钥,则受到损害的可能性会更高,因为这为他们提供了更大的访问权限。因此,根用户密钥漏洞的严重性更高。
严重性未考虑底层资源的重要程度。严重性是指与调查发现关联的资源的重要性级别。例如,与任务关键型应用程序关联的资源比与非生产测试关联的资源更重要。要获取资源重要性信息,请使用 Amazon 安全调查结果格式 (ASFF) 的Criticality
字段。
下表将漏洞利用的难度和受损的可能性映射到安全标签。
极有可能受损 |
可能受损 |
不太可能受损 |
受损的可能性极小 |
|
非常容易被利用 |
重大 |
重大 |
高 |
中 |
有点容易被利用 |
重大 |
高 |
中 |
中 |
有点难以利用 |
高 |
中 |
中 |
低 |
很难被利用 |
中 |
中 |
低 |
低 |
严重性定义
严重性标签的定义如下:
- 严重——应立即修复问题以避免问题升级。
-
例如,开放的 S3 存储桶被视为具有“严重”严重性的结果。由于许多威胁行为者会扫描开放的 S3 存储桶,因此暴露的 S3 存储桶中的数据很可能会被其他人发现和访问。
一般而言,公开访问的资源被视为关键的安全问题。您应该以最紧迫的态度对待关键结果。您还应该考虑资源的重要程度。
- 高——该问题必须作为近期优先事项予以解决。
-
例如,如果默认 VPC 安全组对入站和出站流量开放,则其被视为高严重性。使用这种方法,威胁行为者很容易入侵 VPC。一旦资源进入 VPC,威胁行为者也有可能破坏或泄露资源。
Security Hub 建议您将高严重性结果视为近期优先事项。您应该立即采取补救措施。您还应该考虑资源的重要程度。
- 中度——该问题应作为中期优先事项加以解决。
-
例如,对传输中数据缺乏加密被认为是中等严重性的调查发现。它需要复杂的 man-in-the-middle 攻击才能利用这个弱点。换句话说,这有点困难。如果威胁情景成功,某些数据可能会被泄露。
Security Hub 建议您尽早调查受影响的资源。您还应该考虑资源的重要程度。
- 低——无需针对问题执行任何操作。
-
例如,未能收集取证信息被视为严重性较低。这种控制可以帮助防止未来的受损,但是缺乏取证并不能直接导致受损。
您无需对低严重性结果立即采取操作,但是当您将这些结果与其他问题关联时,它们可以提供背景信息。
- 信息——未结果任何配置漏洞。
-
换言之,状态为
PASSED
、WARNING
或NOT AVAILABLE
。没有建议的操作。信息性结果可帮助客户证明其处于合规状态。
更新控件调查发现的规则
针对给定规则的后续检查可能会生成新结果。例如,“避免使用根用户”的状态可能会从 FAILED
更改为 PASSED
。在这种情况下,将生成包含最新调查发现的新调查发现。
如果根据给定规则进行的后续检查生成与当前结果相同的结果,则更新现有结果。不会生成新结果。
如果关联的资源被删除、资源不存在或控件被禁用,Security Hub 会自动存档控件的调查发现。由于当前未使用关联的服务,资源可能不再存在。结果将根据以下条件之一自动存档:
-
该调查发现在三至五天内不会更新(请注意,这是尽最大努力的结果且无法保证)。
-
相关的 Amazon Config 评估结果已返回
NOT_APPLICABLE
。