Integration von IAM Access Analyzer mit AWS Security Hub CSPM - AWS Identitäts- und Zugriffsverwaltung
So sendet IAM Access Analyzer Ergebnisse an Security Hub CSPMErgebnisse von IAM Access Analyzer in Security Hub CSPM anzeigenTypische Ergebnisse von IAM Access AnalyzerAktivieren und Konfigurieren der IntegrationSo beenden Sie das Senden von Ergebnissen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integration von IAM Access Analyzer mit AWS Security Hub CSPM

AWS Security Hub CSPM bietet eine umfassende Übersicht über Ihren Sicherheitsstatus in AWS. Es unterstützt Sie bei der Bewertung Ihrer Umgebung anhand von Industriestandards und bewährten Methoden der Sicherheitsbranche. Security Hub CSPM sammelt Sicherheitsdaten von Across AWS-Konten, Services und unterstützten Produkten von Drittanbietern. Anschließend analysiert es Ihre Sicherheitstrends und identifiziert die Sicherheitsprobleme mit der höchsten Priorität.

Wenn Sie IAM Access Analyzer in Security Hub CSPM integrieren, können Sie Ergebnisse von IAM Access Analyzer an Security Hub CSPM senden. Security Hub CSPM kann diese Ergebnisse dann in die Analyse Ihres allgemeinen Sicherheitsstatus einbeziehen.

So sendet IAM Access Analyzer Ergebnisse an Security Hub CSPM

In Security Hub CSPM werden Sicherheitsprobleme als Ergebnisse verfolgt. Einige Ergebnisse stammen aus Problemen, die von anderen AWS-Services oder von Drittanbietern entdeckt wurden. Security Hub CSPM verfügt außerdem über eine Reihe von Regeln, anhand derer Sicherheitsprobleme erkannt und Ergebnisse generiert werden.

Security Hub CSPM bietet Tools zur Verwaltung von Ergebnissen aus all diesen Quellen. Sie können Erkenntnislisten anzeigen und filtern sowie detaillierte Informationen zu jeder Erkenntnis anzeigen. Weitere Informationen finden Sie unter Anzeigen der Erkenntnisse im AWS Security Hub -Benutzerhandbuch. Darüber hinaus können Sie den Status von Untersuchungen zu Erkenntnissen nachverfolgen. Weitere Informationen finden Sie unter Ergreifen von Maßnahmen zu Erkenntnissen im AWS Security Hub -Benutzerhandbuch.

Alle Ergebnisse in Security Hub CSPM verwenden ein standardmäßiges JSON-Format, das AWS Security Finding Format (ASFF). Das ASFF enthält Details über die Ursache des Problems, die betroffenen Ressourcen und den aktuellen Status der Erkenntnis. Weitere Informationen finden Sie unter AWS -Security Finding-Format (ASFF) im AWS Security Hub -Benutzerhandbuch.

AWS Identity and Access Management Access Analyzer ist einer AWS-Services , der Ergebnisse an Security Hub CSPM sendet. Bei ungenutztem Zugriff erkennt IAM Access Analyzer ungenutzten Zugriff, der IAM-Benutzern oder -Rollen gewährt wurde, und generiert für jeden davon eine Erkenntnis. IAM Access Analyzer sendet diese Ergebnisse dann an Security Hub CSPM.

Bei externem Zugriff erkennt IAM Access Analyzer Richtlinienanweisungen, die öffentlichen Zugriff oder kontenübergreifenden Zugriff auf externe Prinzipale auf unterstützte Ressourcen in Ihrer Organisation oder Ihrem Konto ermöglichen. IAM Access Analyzer generiert einen Befund für den öffentlichen Zugriff und sendet ihn an Security Hub CSPM. Für den kontenübergreifenden Zugriff sendet IAM Access Analyzer jeweils einen einzigen Befund für jeweils einen externen Prinzipal an Security Hub CSPM. Wenn IAM Access Analyzer mehrere kontenübergreifende Ergebnisse enthält, müssen Sie den Security Hub CSPM-Befund für den einzelnen externen Prinzipal auflösen, bevor IAM Access Analyzer den nächsten kontenübergreifenden Befund liefert. Um eine vollständige Liste der externen Prinzipale mit kontenübergreifendem Zugriff außerhalb der Vertrauenszone des Analyzer zu erhalten, müssen Sie die Ergebnisse im IAM Access Analyzer anzeigen. Details zur Ressourcenkontrollrichtlinie (RCP) sind im Abschnitt mit den Ressourcendetails verfügbar.

Ergebnisarten, die von IAM Access Analyzer sendet

IAM Access Analyzer sendet die Ergebnisse mithilfe des Security Finding Formats (ASFF) an AWS Security Hub CSPM. In ASFF gibt das Types-Feld die Art der Erkenntnis an. Die Ergebnisse von IAM Access Analyzer können die folgenden Werte für Types haben.

  • Ergebnisse des externen Zugriffs — Offenlegung/Externer Zugriff gewährt Effects/Data

  • Ergebnisse des externen Zugriffs — Software- und Konfigurationsprüfungen/Optimaler Sicherheitszugriff gewährt AWS Practices/External

  • Ergebnisse bei ungenutztem Zugriff — Software- und Konfigurationsprüfungen/ Sicherheit mit bestmöglicher Genehmigung AWS Practices/Unused

  • Ergebnisse ungenutzter Zugriffe — Software- und Konfigurationsprüfungen/ Beste IAM-Rolle AWS im Bereich Sicherheit Practices/Unused

  • Ergebnisse bei ungenutztem Zugriff — Software- und Konfigurationsprüfungen/ Sicherheit — Bestes IAM-Benutzerkennwort AWS Practices/Unused

  • Ergebnisse bei ungenutztem Zugriff — Software- und Konfigurationsprüfungen/ Best AWS Security Best IAM-Benutzerzugriffsschlüssel Practices/Unused

Latenz für das Senden von Erkenntnissen

Wenn IAM Access Analyzer ein neues Ergebnis erstellt, wird es normalerweise innerhalb von 30 Minuten an Security Hub CSPM gesendet. Es gibt jedoch seltene Fälle, in denen IAM Access Analyzer möglicherweise nicht über eine Richtlinienänderung benachrichtigt wird. Beispiel:

  • Es kann bis zu 12 Stunden dauern, bis Änderungen an den Blockierungseinstellungen für den öffentlichen Zugriff auf Amazon S3-Kontoebene im IAM Access Analyzer angezeigt werden.

  • Änderungen an einer Ressourcenkontrollrichtlinie (RCP) ohne Änderung der ressourcenbasierten Richtlinie lösen keine erneute Suche der im Erkenntnis gemeldeten Ressource aus. IAM Access Analyzer analysiert die neue oder aktualisierte Richtlinie bei der nächsten periodischen Überprüfung, die innerhalb von 24 Stunden stattfindet.

  • Wenn bei der AWS CloudTrail Protokollzustellung ein Zustellungsproblem auftritt, führt eine Änderung der Richtlinie möglicherweise nicht dazu, dass die Ressource, die im Ergebnis gemeldet wurde, erneut gescannt wird.

In diesen Situationen analysiert IAM Access Analyzer die neue oder aktualisierte Richtlinie während der nächsten regelmäßigen Überprüfung.

Wiederholter Versuch, wenn Security Hub CSPM nicht verfügbar ist

Wenn Security Hub CSPM nicht verfügbar ist, versucht IAM Access Analyzer in regelmäßigen Abständen erneut, die Ergebnisse zu senden.

Aktualisierung vorhandener Ergebnisse in Security Hub CSPM

Nach dem Senden eines Ergebnisses an Security Hub CSPM sendet IAM Access Analyzer weiterhin Updates, um alle zusätzlichen Beobachtungen der Ergebnisaktivität an Security Hub CSPM widerzuspiegeln. Diese Aktualisierungen werden in derselben Erkenntnis abgebildet.

Für Erkenntnisse zum externen Zugriff gruppiert IAM Access Analyzer diese nach Ressourcen. In Security Hub CSPM bleibt die Suche für eine Ressource aktiv, wenn mindestens einer der Ergebnisse für diese Ressource in IAM Access Analyzer aktiv ist. Wenn alle Ergebnisse in IAM Access Analyzer für eine Ressource archiviert oder behoben wurden, wird der Security Hub CSPM-Befund ebenfalls archiviert. Der Security Hub CSPM-Befund wird aktualisiert, wenn der Richtlinienzugriff zwischen öffentlichem Zugriff und kontoübergreifendem Zugriff wechselt. Diese Aktualisierung kann Änderungen am Typ, Titel, an der Beschreibung und am Schweregrad des Ergebnisses umfassen.

Erkenntnisse zum ungenutzten Zugriff werden vom IAM Access Analyzer nicht nach Ressource gruppiert. Wenn stattdessen ein ungenutzter Zugriffsergebnis in IAM Access Analyzer behoben wird, wird auch der entsprechende Security Hub-CSPM-Befund behoben. Der Security Hub CSPM-Befund wird aktualisiert, wenn Sie den IAM-Benutzer oder die IAM-Rolle aktualisieren, die den ungenutzten Zugriffsergebnis generiert hat.

Ergebnisse von IAM Access Analyzer in Security Hub CSPM anzeigen

Um Ihre IAM Access Analyzer-Ergebnisse in Security Hub CSPM anzuzeigen, wählen Sie Ergebnisse anzeigen im Abschnitt AWS: IAM Access Analyzer auf der Übersichtsseite. Alternativ können Sie im Navigationsbereich die Option „Ergebnisse“ auswählen. Anschließend können Sie die Ergebnisse filtern, sodass nur AWS Identity and Access Management Access Analyzer Ergebnisse angezeigt werden, indem Sie das Feld Produktname: mit dem Wert von auswählen. IAM Access Analyzer

Interpretieren der Namenssuche von IAM Access Analyzer in Security Hub CSPM

AWS Identity and Access Management Access Analyzer sendet die Ergebnisse mithilfe des Security Finding Formats (ASFF) an AWS Security Hub CSPM. In ASFF gibt das Feld „Typen“ den Ergebnistyp. ASFF-Typen verwenden ein anderes Benennungsschema als. AWS Identity and Access Management Access Analyzer Die folgende Tabelle enthält Details zu allen ASFF-Typen, die mit AWS Identity and Access Management Access Analyzer Ergebnissen verknüpft sind, so wie sie in Security Hub CSPM erscheinen.

ASFF-Ergebnistyp Der Titel des Security Hub CSPM findet Description
Effects/Data Exposure/ExternalZugriff gewährt <resource ARN> ermöglicht öffentlichen Zugang Eine ressourcenbasierte Richtlinie, die der Ressource zugewiesen ist, ermöglicht allen externen Prinzipalen den öffentlichen Zugriff auf die Ressource.
Software- und AWS Konfigurationsprüfungen/Sicherheit: Bester Zugriff gewährt Practices/External <resource ARN> ermöglicht kontoübergreifenden Zugriff Eine ressourcenbasierte Richtlinie, die der Ressource zugewiesen ist, ermöglicht dem Analysator kontoübergreifenden Zugriff auf externe Prinzipale außerhalb der Vertrauenszone.
Software- und Konfigurationsprüfungen/ Bewährte AWS Sicherheitsvorgehen/Ungenutzte Berechtigungen <resource ARN> enthält ungenutzte Berechtigungen Ein Benutzer oder eine Rolle enthält ungenutzte Service- und Aktionsberechtigungen.
Software- und AWS Konfigurationsprüfungen/ Beste IAM-Rolle im Bereich Sicherheit Practices/Unused <resource ARN> enthält ungenutzte IAM-Rolle Ein Benutzer oder eine Rolle enthält eine ungenutzte IAM-Rolle.
Software- und Konfigurationsprüfungen/ Sicherheit Bestes IAM-Benutzerkennwort AWS Practices/Unused <resource ARN> enthält ungenutztes IAM-Benutzerpasswort Ein Benutzer oder eine Rolle enthält ein ungenutztes IAM-Benutzerpasswort.
Software- und Konfigurationsprüfungen/AWS Sicherheit Bester IAM-Benutzerzugriffsschlüssel Practices/Unused <resource ARN> enthält einen ungenutzten IAM-Benutzer-Zugriffsschlüssel Ein Benutzer oder eine Rolle enthält einen ungenutzten IAM-Benutzer-Zugriffsschlüssel.

Typische Ergebnisse von IAM Access Analyzer

IAM Access Analyzer sendet Ergebnisse mithilfe des Security Finding Formats (ASFF) an AWS Security Hub CSPM.

Hier ist ein Beispiel für ein typisches Ergebnis von IAM Access Analyzer für Ergebnisse für externen Zugriff.

{
    "SchemaVersion": "2018-10-08",
    "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::amzn-s3-demo-bucket",
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
    "GeneratorId": "aws/access-analyzer",
    "AwsAccountId": "111122223333",
    "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"],
    "CreatedAt": "2020-11-10T16:17:47Z",
    "UpdatedAt": "2020-11-10T16:43:49Z",
    "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
    },
    "Title": "AwsS3Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access",
    "Description": "AWS::S3::Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access from AWS 444455556666",
    "Remediation": {
        "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."}
    },
    "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798",
    "Resources": [
        {
            "Type": "AwsS3Bucket",
            "Id": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Details": {
                "Other": {
                    "External Principal Type": "AWS",
                    "Condition": "none",
                    "Action Granted": "s3:GetObject,s3:GetObjectVersion",
                    "External Principal": "444455556666"
                }
            }
        }
    ],
    "WorkflowState": "NEW",
    "Workflow": {"Status": "NEW"},
    "RecordState": "ACTIVE"
}

Hier ist ein Beispiel für ein typisches Ergebnis von IAM Access Analyzer für Ergebnisse für ungenutzten Zugriff.

{
    "Findings": [
    {
      "SchemaVersion": "2018-10-08",
      "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
      "ProductName": "IAM Access Analyzer",
      "CompanyName": "AWS",
      "Region": "us-west-2",
      "GeneratorId": "aws/access-analyzer",
      "AwsAccountId": "111122223333",
      "Types": [
        "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
      ],
      "CreatedAt": "2023-09-18T16:29:09.657Z",
      "UpdatedAt": "2023-09-21T20:39:16.651Z",
      "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
      },
      "Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions",
      "Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions",
      "Remediation": {
        "Recommendation": {
          "Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved."
        }
      },
      "SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole",
      "ProductFields": {
      "numberOfUnusedActions": "256",
      "numberOfUnusedServices": "15",
      "resourceOwnerAccount": "111122223333",
      "findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7",
      "findingType": "UnusedPermission",
      "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "aws/securityhub/ProductName": "AM Access Analyzer",
      "aws/securityhub/CompanyName": "AWS"
    },
    "Resources": [
    {
      "Type": "AwsIamRole",
      "Id": "arn:aws:iam::111122223333:role/TestRole"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
    },
  "RecordState": "ARCHIVED",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW"
    },
    "Types": [
    "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
    ]
  }
  }
]
}

Aktivieren und Konfigurieren der Integration

Um die Integration mit Security Hub CSPM nutzen zu können, müssen Sie Security Hub CSPM aktivieren. Informationen zur Aktivierung von Security Hub CSPM finden Sie unter Security Hub einrichten im AWS Security Hub Benutzerhandbuch.

Wenn Sie sowohl IAM Access Analyzer als auch Security Hub CSPM aktivieren, wird die Integration automatisch aktiviert. IAM Access Analyzer beginnt sofort, Ergebnisse an Security Hub CSPM zu senden.

So beenden Sie das Senden von Ergebnissen

Um das Senden von Ergebnissen an Security Hub CSPM zu beenden, können Sie entweder die Security Hub CSPM-Konsole oder die API verwenden.

Siehe Deaktivieren und Aktivieren des Flows von Ergebnissen aus einer Integration (Konsole) oder Deaktivieren des Flows von Ergebnissen aus einer Integration (Security Hub-API, AWS CLI) im AWS Security Hub -Leitfaden.