Integration mit AWS Security Hub CSPM - AWS IoT Device Defender
Aktivieren und Konfigurieren der IntegrationSo sendet AWS IoT Device Defender Erkenntnisse an Security Hub CSPMTypische Erkenntnis von AWS IoT Device Defender So geben Sie an, dass keine Erkenntnisse mehr von AWS IoT Device Defender an Security Hub CSPM gesendet werden

Integration mit AWS Security Hub CSPM

AWS Security Hub CSPM liefert einen umfassenden Überblick über den Sicherheitsstatus in AWS und hilft Ihnen dabei, Ihre Umgebung anhand von Sicherheitsstandards und bewährten Methoden der Branche zu überprüfen. Security Hub CSPM sammelt Sicherheitsdaten aus Ihren gesamten AWS-Konten, Services und unterstützten Produkten von Drittanbietern. Mit Security Hub CSPM können Sie Ihre Sicherheitstrends analysieren und Sicherheitsprobleme mit höchster Priorität identifizieren.

Mit der AWS IoT Device Defender-Integration in Security Hub CSPM können Sie Erkenntnisse aus AWS IoT Device Defender an Security Hub CSPM senden. Security Hub CSPM bezieht diese Erkenntnisse dann in die Analyse Ihrer Sicherheitslage ein.

Aktivieren und Konfigurieren der Integration

Vor der Integration von AWS IoT Device Defender in Security Hub CSPM müssen Sie Security Hub CSPM zunächst aktivieren. Informationen zur Aktivierung von Security Hub CSPM finden Sie unter Einrichten von Security Hub im AWS Security Hub-Benutzerhandbuch.

Nachdem Sie sowohl AWS IoT Device Defender als auch Security Hub CSPM aktiviert haben, öffnen Sie die Seite „Integrationen“ in der Konsole von Security Hub CSPM und wählen dann Ergebnisse akzeptieren für Audit, Detect oder beides aus. AWS IoT Device Defender beginnt, Erkenntnisse an Security Hub CSPM zu senden.

So sendet AWS IoT Device Defender Erkenntnisse an Security Hub CSPM

In Security Hub CSPM werden Sicherheitsprobleme als Erkenntnisse verfolgt. Einige Erkenntnisse stammen von Problemen, die von anderen AWS-Services oder von Produkten von Drittanbietern erkannt werden.

Security Hub CSPM bietet Tools zur Verwaltung von Erkenntnissen aus all diesen Quellen. Sie können Listen mit Erkenntnissen anzeigen und filtern und Details zu einer Erkenntnis anzeigen. Weitere Informationen finden Sie unter Anzeigen der Erkenntnisse im AWS Security Hub-Benutzerhandbuch. Sie können auch den Status einer Untersuchung zu einer Erkenntnis nachverfolgen. Weitere Informationen finden Sie unter Ergreifen von Maßnahmen zu Erkenntnissen im AWS Security Hub-Benutzerhandbuch.

Alle Erkenntnisse in Security Hub CSPM verwenden ein Standard-JSON-Format, das so genannte AWS-Security Finding Format (ASFF). Das ASFF enthält Details über die Ursache des Problems, die betroffenen Ressourcen und den aktuellen Status der Erkenntnis. Weitere Informationen zu ASFF finden Sie unter AWS-Security Finding-Format (ASFF) im AWS Security Hub-Benutzerhandbuch.

AWS IoT Device Defender ist einer der AWS-Services, die Erkenntnisse an Security Hub CSPM senden.

Arten von Erkenntnissen, die AWS IoT Device Defender sendet

Nachdem Sie die Integration in Security Hub CSPM aktiviert haben, sendet AWS IoT Device Defender Audit die generierten Erkenntnisse (sogenannte Prüfungszusammenfassungen) an Security Hub CSPM. Bei Prüfungszusammenfassungen handelt es sich um allgemeine Informationen zu einem bestimmten Prüfungstyp und einer bestimmten Prüfungsaufgabe. Weitere Informationen finden Sie unter Audit-Prüfungen.

AWS IoT Device Defender Audit sendet in jeder Audit-Aufgabe sowohl für Audit-Prüfungszusammenfassungen als auch für Audit-Erkenntnisse Aktualisierungen an Security Hub CSPM. Wenn alle in Audit-Prüfungen gefundenen Ressourcen konform sind oder eine Audit-Aufgabe abgebrochen wird, aktualisiert Audit die Prüfzusammenfassungen in Security Hub CSPM auf den Datensatzstatus ARCHIVIERT. Wenn eine Ressource für eine Audit-Prüfung als nonkonform gemeldet wurde, aber in der letzten Audit-Aufgabe als konform gemeldet wurde, ändert Audit den Status dieser Ressource zu „konform“ und aktualisiert auch die Erkenntnis in Security Hub CSPM auf den Datensatzstatus ARCHIVIERT.

AWS IoT Device Defender Detect sendet Erkenntnisse zu Verstößen an Security Hub CSPM. Zu diesen Erkenntnissen zu Verstößen gehören Machine Learning (ML), Statistikdaten und statisches Verhalten.

AWS IoT Device Defender sendet die Erkenntnisse unter Verwendung des AWS-Security Finding Format (ASFF) an Security Hub CSPM. In ASFF gibt das Types-Feld die Art der Erkenntnis an. Die Erkenntnisse von AWS IoT Device Defender können die folgenden Werte für Types haben.

Ungewöhnliches Verhalten

Der Erkenntnistyp für widersprüchliche MQTT-Client-IDs und Prüfungen von geteilten Gerätezertifikaten und der Erkenntnistyp für Detect.

Software- und Konfigurationsprüfung/Schwachstellen

Der Erkenntnistyp für alle anderen Audit-Prüfungen.

Latenz für das Senden von Erkenntnissen

Wenn AWS IoT Device Defender Audit eine neue Erkenntnis erstellt, wird diese sofort an Security Hub CSPM gesendet, nachdem die Audit-Aufgabe abgeschlossen ist. Die Latenz hängt vom Umfang der bei der Autit-Aufgabe generierten Erkenntnisse ab. Security Hub CSPM erhält die Erkenntnisse in der Regel innerhalb einer Stunde.

AWS IoT Device Defender Detect sendet Erkenntnisse zu Verstößen nahezu in Echtzeit. Wenn bei einem Verstoß ein Alarm ausgelöst oder überschritten wird (d. h. der Alarm wurde erstellt oder gelöscht), wird die entsprechende Erkenntnis von Security Hub CSPM sofort erstellt oder archiviert.

Wiederholung, wenn Security Hub CSPM nicht verfügbar ist

Wenn Security Hub CSPM nicht verfügbar ist, versuchen AWS IoT Device Defender Audit und AWS IoT Device Defender Detect so lange erneut, die Erkenntnisse zu senden, bis sie empfangen wurden.

Aktualisieren von vorhandenen Erkenntnissen in Security Hub CSPM

Nachdem eine AWS IoT Device Defender-Audit-Erkenntnis an Security Hub CSPM gesendet wurde, können Sie sie anhand der geprüften Ressourcen-ID und des Typs von Audit-Prüfung identifizieren. Wenn eine neue Audit-Erkenntnis mit einer nachfolgenden Audit-Aufgabe für dieselbe Ressource und dieselbe Audit-Prüfung generiert wird, sendet AWS IoT Device Defender Audit Aktualisierungen, um zusätzliche Beobachtungen der Erkenntnisaktivität an Security Hub CSPM zu reflektieren. Wenn bei einer nachfolgenden Audit-Aufgabe für dieselbe Ressource und dieselbe Audit-Prüfung keine zusätzliche Audit-Erkenntnis generiert wird, wird im Status der Ressource die Konformität mit der Audit-Prüfung festgestellt. AWS IoT Device Defender Audit archiviert dann die Erkenntnisse in Security Hub CSPM.

AWS IoT Device Defender Audit aktualisiert auch die Prüfungszusammenfassungen in Security Hub CSPM. Wenn bei einer Audit-Prüfung nonkonforme Ressourcen gefunden werden oder die Prüfung fehlschlägt, wird für die Erkenntnis von Security Hub CSPM der Status „Aktiv“ festgelegt. Andernfalls archiviert AWS IoT Device Defender Audit die Erkenntnis in Security Hub CSPM.

AWS IoT Device Defender Detect erstellt eine Erkenntnis von Security Hub CSPM, wenn ein Verstoß festgestellt wird (z. B. bei einem Alarm). Diese Erkenntnis wird nur aktualisiert, wenn eines der folgenden Kriterien erfüllt ist:

  • Die Erkenntnis läuft bald in Security Hub CSPM ab und AWS IoT Device Defender sendet daher eine Aktualisierung, um die Erkenntnis auf dem neuesten Stand zu halten. Erkenntnisse werden 90 Tage nach der letzten Aktualisierung gelöscht – oder 90 Tage nach ihrer Erstellung, wenn es keine Aktualisierungen gibt. Weitere Informationen finden Sie unter Kontingente für Security Hub CSPM im AWS Security Hub-Benutzerhandbuch.

  • Für den entsprechenden Verstoß wird der Alarm aufgehoben, daher wird der Status der Erkenntnis von AWS IoT Device Defender zu ARCHIVIERT aktualisiert.

Typische Erkenntnis von AWS IoT Device Defender

AWS IoT Device Defender sendet die Erkenntnisse unter Verwendung des AWS-Security Finding Format (ASFF) an Security Hub CSPM.

Das folgende Beispiel zeigt eine typische Erkenntnis von Security Hub CSPM für eine Audit-Erkenntnis. Der ReportType in ProductFields lautet AuditFinding.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-west-2",
  "GeneratorId": "1928b87ab338ee2f541f6fab8c41c4f5",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities"
  ],
  "CreatedAt": "2022-11-06T22:11:40.941Z",
  "UpdatedAt": "2022-11-06T22:11:40.941Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK: ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "Description": "IOT_POLICY policyexample:1 is reported as non-compliant for IOT_POLICY_OVERLY_PERMISSIVE_CHECK by Audit task 9f71b6e90cfb57d4ac671be3a4898e6a. The non-compliant reason is Policy allows broad access to IoT data plane actions: [iot:Connect].",
  "SourceUrl": "https://us-west-2.console.aws.amazon.com/iot/home?region=us-west-2#/policy/policyexample",
  "ProductFields": {
    "CheckName": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK",
    "TaskId": "9f71b6e90cfb57d4ac671be3a4898e6a",
    "TaskType": "ON_DEMAND_AUDIT_TASK",
    "PolicyName": "policyexample",
    "IsSuppressed": "false",
    "ReasonForNonComplianceCode": "ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "ResourceType": "IOT_POLICY",
    "FindingId": "1928b87ab338ee2f541f6fab8c41c4f5",
    "PolicyVersionId": "1",
    "ReportType": "AuditFinding",
    "TaskStartTime": "1667772700554",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit/336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotPolicy",
      "Id": "policyexample",
      "Partition": "aws",
      "Region": "us-west-2",
      "Details": {
        "Other": {
          "PolicyVersionId": "1"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities"
    ]
  }
}

Das folgende Beispiel zeigt eine Erkenntnis von Security Hub CSPM für eine Audit-Prüfungszusammenfassung. Der ReportType in ProductFields lautet CheckSummary.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "615243839755/SCHEDULED_AUDIT_TASK/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "f3021945485adf92487c273558fcaa51",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities/CVE"
  ],
  "CreatedAt": "2022-10-18T14:20:13.933Z",
  "UpdatedAt": "2022-10-18T14:20:13.933Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK Summary: Completed with 2 non-compliant resources",
  "Description": "Task f3021945485adf92487c273558fcaa51 of weekly scheduled Audit daily_audit_schedule_checks completes. 2 non-cimpliant resources are found for DEVICE_CERTIFICATE_KEY_QUALITY_CHECK out of 1000 resources in the account. The percentage of non-compliant resources is 0.2%.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/audit/results/f3021945485adf92487c273558fcaa51/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductFields": {
    "TaskId": "f3021945485adf92487c273558fcaa51",
    "TaskType": "SCHEDULED_AUDIT_TASK",
    "ScheduledAuditName": "daily_audit_schedule_checks",
    "CheckName": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "ReportType": "CheckSummary",
    "CheckRunStatus": "COMPLETED_NON_COMPLIANT",
    "NonComopliantResourcesCount": "2",
    "SuppressedNonCompliantResourcesCount": "1",
    "TotalResourcesCount": "1000",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit/615243839755/SCHEDULED/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotAuditTask",
      "Id": "f3021945485adf92487c273558fcaa51",
      "Region": "us-east-1"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities/CVE"
    ]
  }
}

Das folgende Beispiel zeigt eine typische Erkenntnis von Security Hub CSPM für einen AWS IoT Device Defender-Detect-Verstoß.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "e92a782593c6f5b1fc7cb6a443dc1a12",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect",
  "ProductName": "IoT Device Defender - Detect",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "arn:aws:iot:us-east-1:123456789012:securityprofile/MySecurityProfile",
  "AwsAccountId": "123456789012",
  "Types": [
    "Unusual Behaviors"
  ],
  "CreatedAt": "2022-11-09T22:45:00Z",
  "UpdatedAt": "2022-11-09T22:45:00Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40
  },
  "Title": "Registered thing MyThing is in alarm for STATIC behavior MyBehavior.",
  "Description": "Registered thing MyThing violates STATIC behavior MyBehavior of security profile MySecurityProfile. Violation was triggered because the device did not conform to aws:num-disconnects less-than 1.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/securityProfile/MySecurityProfile?tab=violations",
  "ProductFields": {
    "ComparisonOperator": "less-than",
    "BehaviorName": "MyBehavior",
    "ViolationId": "e92a782593c6f5b1fc7cb6a443dc1a12",
    "ViolationStartTime": "1668033900000",
    "SuppressAlerts": "false",
    "ConsecutiveDatapointsToAlarm": "1",
    "ConsecutiveDatapointsToClear": "1",
    "DurationSeconds": "300",
    "Count": "1",
    "MetricName": "aws:num-disconnects",
    "BehaviorCriteriaType": "STATIC",
    "ThingName": "MyThing",
    "SecurityProfileName": "MySecurityProfile",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect/e92a782593c6f5b1fc7cb6a443dc1a12",
    "aws/securityhub/ProductName": "IoT Device Defender - Detect",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotRegisteredThing",
      "Id": "MyThing",
      "Region": "us-east-1",
      "Details": {
        "Other": {
          "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/thing/MyThing?tab=violations",
          "IsRegisteredThing": "true",
          "ThingArn": "arn:aws:iot:us-east-1:123456789012:thing/MyThing"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM"
    },
    "Types": [
      "Unusual Behaviors"
    ]
  }
}

So geben Sie an, dass keine Erkenntnisse mehr von AWS IoT Device Defender an Security Hub CSPM gesendet werden

Um anzugeben, dass keine Erkenntnisse mehr an Security Hub CSPM gesendet werden, können Sie entweder die Konsole von Security Hub CSPM oder die API verwenden.

Weitere Informationen finden Sie unter Deaktivieren und Aktivieren des Flows von Erkenntnissen aus einer Integration (Konsole) oder Deaktivieren des Flows von Erkenntnissen aus einer Integration (API von Security Hub CSPM, AWS CLI) im AWS Security Hub-Benutzerhandbuch.