本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
生成和更新控制结果
Amazon Security Hub通过对安全控制中的规则运行检查来生成调查结果。这些结果使用 Amazon Security Finding 格式 (ASFF)。请注意,如果查找结果大小超过最大值 240 KB,则Resource.Details
对象被移除。对于使用以下方法的控件的调查结果Amazon Config规则,你可以在上查看资源详情Amazon Config控制台。
Security Hub 通常对控制的每项安全检查收费。但是,如果多个控件使用相同的控件Amazon Config规则,那么 Security Hub 对每张支票只收取一次费用Amazon Config规则。它根据检查结果为每个对照生成单独的调查结果。
例如,Amazon Config规则iam-password-policy
由互联网安全中心 (CIS) 的多个控件使用Amazon基金会基准测试和 IAM.7 在Amazon基础安全最佳实践 (FSBP) 标准。每次 Security Hub 都会对此进行检查Amazon Config规则,它会为每个相关控件生成单独的调查结果,但只对支票收取一次费用。
Compliance
控制结果的详细信息
对于通过控制措施安全检查得出的结果,Compliance字段中返回的子位置类型AmazonSecy Fity F) 包含与控制相关的结果的详细信息。Compliance 字段包含以下信息。
RelatedRequirements
-
控件的相关要求列表。这些要求来自第三方控制安全框架,例如支付卡行业数据安全标准。
Status
-
Security Hub 针对给定控件运行的最新检查结果。之前检查的结果将保持存档状态 90 天。
StatusReasons
-
包含值的原因列表
Compliance.Status
. 对于每个原因,StatusReasons
包括原因代码和说明。
下表列出了可用的状态原因代码和描述。原因代码的补救步骤取决于哪个控件使用原因代码生成了调查结果。您可以在以下网址查看 FSBP 控制的补救措施Amazon 基础安全最佳实践控件.
原因代码 |
Compliance.Status |
描述 |
---|---|---|
|
|
多区域 CloudTrail 跟踪没有有效的指标筛选条件。 |
|
|
多区域不存在指标筛选条件 CloudTrail 跟踪。 |
|
|
该账户没有多区域 CloudTrail 使用所需的配置进行跟踪。 |
|
|
多区域 CloudTrail 跟踪不在当前区域中返回的子位置类型。 |
|
|
不存在有效的警报操作。 |
|
|
CloudWatch 账户中不存在警报。 |
|
Amazon Config 状态为 |
Amazon Config 拒绝访问 验证 Amazon Config 是否已启用并已授予足够的权限。 |
|
|
Amazon Config根据规则评估了您的资源。 规则不适用于其范围内的 Amazon 资源,指定的资源已删除,或者评估规则已删除。 |
|
|
合规状态为 Amazon Config没有提供该状态的原因。以下是一些可能的原因不适用状态:
|
|
Amazon Config 状态为 |
此原因代码用于几种不同类型的评估错误。 描述提供了具体的原因信息。 错误的类型可能是以下值之一:
|
|
Amazon Config 状态为 |
这些区域有:Amazon Config规则正在创建过程中。 |
|
|
出现未知错误。 |
|
FAILED |
Security Hub 无法对自定义 Lambda 运行时执行检查。 |
|
|
该结果在 此规则不支持跨区域或跨账户检查。 建议您在此区域或账户中禁用此控制。仅在资源所在的区域或账户中运行它。 |
|
|
这些区域有: CloudWatch 日志指标筛选条件没有有效的 Amazon SNS 订阅。 |
|
WARNING |
该结果在 与此规则关联的 SS 主题由其他账户拥有。当前账户无法获取订阅信息。 拥有 SNS 主题的账户必须向当前账户授予 |
|
|
该结果在 此规则不支持跨区域或跨账户检查。 建议您在此区域或账户中禁用此控制。仅在资源所在的区域或账户中运行它。 |
|
|
与此规则关联的 SNS 主题无效。 |
|
|
相关 API 操作超出了允许的速率。 |
ProductFields
控制结果的详细信息
这些区域有:ProductFields
ASFF 中的属性包括有关控制安全检查生成的发现的其他详细信息。
对于安全检查生成的调查结果,ProductFields
包含以下字段:
StandardsGuideArn
或者StandardsArn
-
与控件关联的标准 ARN。
对于独联体来说Amazon基金会基准标准,该领域是
StandardsGuideArn
.适用于 PCI DS 和Amazon基础安全最佳实践标准,该字段是
StandardsArn
. StandardsGuideSubscriptionArn
或者StandardsSubscriptionArn
-
该账户订阅标准的 ARN。
对于独联体来说Amazon基金会基准标准,该领域是
StandardsGuideSubscriptionArn
.对于 PCI DSS 和Amazon基础安全最佳实践标准,该字段是
StandardsSubscriptionArn
. RuleId
或者ControlId
-
控件的标识符。
对于独联体来说Amazon基金会基准标准,该领域是
RuleId
.对于 PCI DSS 和Amazon基础安全最佳实践标准,该字段是
ControlId
. RecommendationUrl
-
控件修复信息的 URL。
RelatedAWSResources:0/name
-
与结果关联的资源名称。
RelatedAWSResource:0/type
-
与控件关联的资源类型。
StandardsControlArn
-
控件的 ARN。
aws/securityhub/ProductName
-
对于基于控制的发现,产品名称为 Security Hub。
aws/securityhub/CompanyName
-
对于基于控制的调查结果,公司名称为Amazon.
aws/securityhub/annotation
-
对控件发现的问题的描述。
aws/securityhub/FindingId
-
调查结果的标识符。
为控制结果分配严重性
分配给 Security Hub 控件的严重性确定了该控件的重要性。对照的严重性决定了分配给控制结果的严重性标签。
严重性标准
对照的严重程度是根据对以下标准的评估来确定的:
-
威胁参与者利用与控制相关的配置缺陷有多困难?
难度取决于利用弱点实施威胁情景所需的复杂程度或复杂程度。
-
这种弱点会导致你的妥协的可能性有多大Amazon账户还是资源?
你的妥协Amazon账户或资源意味着您的数据的机密性、完整性或可用性,或Amazon基础设施在某种程度上受到了破坏。
入侵的可能性表明威胁情景导致您的中断或违规的可能性有多大Amazon服务或资源。
例如,考虑以下配置缺陷:
-
IAM 用户访问密钥不会每 90 天轮换一次。
-
IAM 根访问密钥存在。
这两个弱点同样难以被对手利用。在这两种情况下,对手都可以使用凭证盗窃或其他方法来获取用户密钥。然后,他们可以使用它以未经授权的方式访问您的资源。
但是,如果威胁参与者获得根用户访问密钥,则入侵的可能性要高得多,因为根密钥为他们提供了更大的访问权限。因此,root 用户密钥漏洞的严重性更高。
严重性没有考虑到底层资源的重要程度。重要性是与调查结果相关的资源的重要级别。例如,与关键任务应用程序关联的资源比与非生产测试相关的资源更为重要。要捕获资源重要性信息,请使用Criticality
的子位置类型AmazonSecy Fy F)。
下表列出了漏洞利用的难度和安全标签被泄露的可能性。
极有可能妥协 |
可能妥协 |
不太可能妥协 |
妥协的可能性极小 |
|
很容易被利用 |
重大 |
重大 |
高 |
中 |
有点容易被利用 |
重大 |
高 |
中 |
中 |
有点难以利用 |
高 |
中 |
中 |
低 |
很难被利用 |
中 |
中 |
低 |
低 |
严重性定义
严重性标签的定义如下。
- 严重 — 应立即修复问题,以避免其升级。
-
例如,开放的 S3 存储桶被视为具有“严重”严重性的结果。由于有太多参与者扫描打开的 S3 存储桶,暴露的 S3 存储桶中的数据很可能会被其他人发现和访问。
通常,可公开访问的资源被视为关键安全问题。你应该以最紧迫的态度对待关键发现。您还应该考虑资源的重要性。
- 高 — 必须将该问题作为近期优先事项加以解决。
-
例如,如果默认 VPC 安全组对入站和出站流量开放,则将其视为高严重性。威胁参与者使用这种方法入侵 VPC 有点容易。威胁参与者也有可能在资源进入 VPC 后破坏或窃取资源。
Security Hub 建议您将严重程度高的发现视为近期优先事项。你应该立即采取补救措施。您还应该考虑资源的重要性。
- 中度 — 应将该问题作为中期优先事项加以解决。
-
例如,对传输中的数据缺乏加密被视为中等严重性发现。它需要复杂的 man-in-the-middle 攻击以利用这个弱点。换句话说,这有点困难。如果威胁情景成功,某些数据很可能会遭到泄露。
Security Hub 建议您尽早调查相关资源。您还应该考虑资源的重要性。
- 低-该问题不需要单独采取行动。
-
例如,未能收集取证信息被视为低严重性。这种控制有助于防止future 出现妥协,但缺乏取证并不能直接导致妥协。
您无需立即对严重程度较低的发现采取行动,但是当您将它们与其他问题关联时,它们可以提供背景信息。
- 信息-未发现配置漏洞。
-
换句话说,状态是
PASSED
,WARNING
,或NOT AVAILABLE
.没有建议的操作。信息性结果可帮助客户证明其处于合规状态。
更新控制结果的规则
随后对给定规则的检查可能会生成新的结果。例如,“避免使用 root 账户” 的状态可能会从FAILED
到PASSED
. 在这种情况下,将生成一个包含最新结果的新发现。
如果根据给定规则进行的后续检查生成与当前结果相同的结果,则更新现有结果。不会生成新结果。
如果关联资源被删除、资源不存在或控件被禁用,Security Hub 会自动归档控件中的发现。资源可能已不存在,因为当前未使用关联的服务。结果将根据以下条件之一自动存档:
-
调查结果在三到五天内没有更新(请注意,这是尽力而为,不能保证)。
-
关联的 Amazon Config 评估返回了
NOT_APPLICABLE
。