Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Bereiten Sie Ihr skalierbares Vulnerability Management-Programm vor
Zur Vorbereitung eines skalierbaren Schwachstellen-Management-Programms gehören die Schulung der Mitarbeiter, die Entwicklung von Prozessen und die Implementierung der richtigen Technologie gemäß den bewährten Verfahren. Mitarbeiter, Prozesse und Technologien sind für ein effektives Schwachstellen-Management-Programm gleichermaßen wichtig, und Sie müssen sie eng integrieren, um Sicherheitslücken in großem Umfang zu managen.
In diesem Abschnitt des Leitfadens werden die grundlegenden Maßnahmen beschrieben, die Sie ergreifen können, um Ihr skalierbares Schwachstellen-Management-Programm vorzubereiten. AWS
**Topics**
+ [Definieren Sie einen Plan für das Schwachstellenmanagement](vulnerability-management-plan.md)
+ [Verteilen Sie die Eigentumsrechte an](distribute-ownership.md)
+ [Entwickeln Sie ein Programm zur Offenlegung von Sicherheitslücken](disclosure-program.md)
+ [Bereite deine AWS Umgebung vor](prepare-environment.md)
+ [Überwachen Sie die Sicherheitsbulletins AWS](monitor-aws-security-bulletins.md)
+ [Sicherheitsdienste konfigurieren AWS](configure-aws-security-services.md)
+ [Bereiten Sie sich auf die Zuordnung von Sicherheitsergebnissen vor](prepare-finding-assignments.md)
# Definieren Sie einen Plan für das Schwachstellenmanagement
Der erste Schritt bei der Vorbereitung Ihres Cloud-Vulnerability Management-Programms ist die Definition Ihres *Schwachstellen-Management-Plans*. Dieser Plan umfasst die Richtlinien und Prozesse, denen Ihr Unternehmen folgt. Dieser Plan sollte dokumentiert und für alle Beteiligten zugänglich sein. Ein Schwachstellenmanagementplan ist ein Dokument auf hoher Ebene, das in der Regel die folgenden Abschnitte umfasst:
+ **Ziele und Umfang** — Erläutern Sie die Ziele, Funktionen und den Umfang des Schwachstellenmanagements.
+ **Rollen und Zuständigkeiten** — Führen Sie die Akteure des Schwachstellenmanagements auf und erläutern Sie deren Zuständigkeiten.
+ **Definitionen des Schweregrads und der Priorisierung von Sicherheitslücken** — Legen Sie fest, wie der Schweregrad einer Sicherheitslücke klassifiziert und wie sie priorisiert werden soll.
+ **Service Level Agreements (SLAs)** **für die Behebung** — Definieren Sie für jeden Schweregrad, wie viel Zeit dem Eigentümer der Behebung maximal zur Verfügung steht, um eine Sicherheitslücke zu beheben. Da die Einhaltung von SLAs ein integraler Bestandteil eines effektiven und skalierbaren Schwachstellen-Management-Programms ist, sollten Sie sich überlegen, wie Sie nachverfolgen können, ob Sie diese Anforderungen erfüllen. SLAs
+ **Ausnahmeprozess** — Erläutern Sie den Prozess der Einreichung, Genehmigung und Aktualisierung von Ausnahmen. Dieser Prozess sollte sicherstellen, dass Ausnahmen legitim und zeitgebunden sind und nachverfolgt werden.
+ **Informationsquellen zu Sicherheitslücken** — Führen Sie die Quellen oder Tools auf, die zu Sicherheitsergebnissen führen. Weitere Informationen dazu AWS-Services , die Quellen für Sicherheitserkenntnisse sein könnten, finden Sie [Sicherheitsdienste konfigurieren AWS](configure-aws-security-services.md) in diesem Handbuch.
Obwohl diese Abschnitte in Unternehmen unterschiedlicher Größe und Branche üblich sind, ist der Schwachstellen-Management-Plan jedes Unternehmens einzigartig. Sie müssen einen Plan für das Schwachstellenmanagement erstellen, der für Ihr Unternehmen am besten geeignet ist. Gehen Sie davon aus, dass Sie Ihren Plan im Laufe der Zeit wiederholen werden, um die gewonnenen Erkenntnisse und die sich weiterentwickelnden Technologien zu berücksichtigen.
# Verteilen Sie die Eigentumsrechte an
Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) definiert, wie AWS und die Kunden gemeinsam die Verantwortung für Cloud-Sicherheit und Compliance übernehmen. In diesem Modell wird die Infrastruktur AWS gesichert, auf der alle in der angebotenen Dienste ausgeführt werden AWS Cloud, und die AWS Kunden sind für den Schutz ihrer Daten und Anwendungen verantwortlich.
Sie können dieses Modell innerhalb Ihres Unternehmens widerspiegeln und die Verantwortlichkeiten zwischen Ihren Cloud- und Anwendungsteams verteilen. Auf diese Weise können Sie Ihre Cloud-Sicherheitsprogramme effektiver skalieren, da die Anwendungsteams die Verantwortung für bestimmte Sicherheitsaspekte ihrer Anwendungen übernehmen. Die einfachste Interpretation des Modells der gemeinsamen Verantwortung ist, dass Sie für die Sicherheit dieser Ressource verantwortlich sind, wenn Sie Zugriff auf die Konfiguration der Ressource haben.
Ein wichtiger Teil der Verteilung von Sicherheitsaufgaben auf Anwendungsteams ist die Entwicklung von Self-Service-Sicherheitstools, die Ihren Anwendungsteams bei der Automatisierung helfen. Anfänglich kann dies eine gemeinsame Anstrengung sein. Das Sicherheitsteam kann Sicherheitsanforderungen in Tools zum Scannen von Code umsetzen, und dann können Anwendungsteams diese Tools verwenden, um Lösungen zu entwickeln und mit ihrer internen Entwickler-Community zu teilen. Dies trägt zu einer höheren Effizienz anderer Teams bei, die ähnliche Sicherheitsanforderungen erfüllen müssen.
In der folgenden Tabelle werden die Schritte zur Verteilung der Eigentumsrechte an die Anwendungsteams beschrieben und es werden Beispiele aufgeführt.
****
| Schritt | Action | Beispiel |
| --- | --- | --- |
| 1 | Definieren Sie Ihre Sicherheitsanforderungen — Was möchten Sie erreichen? Dies kann auf einen Sicherheitsstandard oder eine Compliance-Anforderung zurückzuführen sein. | Ein Beispiel für eine Sicherheitsanforderung ist der Zugriff mit den geringsten Rechten für Anwendungsidentitäten. |
| 2 | Kontrollen für eine Sicherheitsanforderung aufzählen — Was bedeutet diese Anforderung eigentlich aus Kontrollsicht? Was muss ich tun, um dies zu erreichen? | Um die geringste Zugriffsberechtigung für Anwendungsidentitäten zu erreichen, gibt es im Folgenden zwei Beispiele für Steuerelemente:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/vulnerability-management/distribute-ownership.html) |
| 3 | Dokumentierter Leitfaden für die Kontrollen — Welche Hinweise können Sie Entwicklern mit diesen Kontrollen geben, um sie bei der Einhaltung der Kontrollen zu unterstützen? | Zunächst könnten Sie mit der Dokumentation einfacher Beispielrichtlinien beginnen, darunter sichere und unsichere IAM-Richtlinien und Bucket-Richtlinien für Amazon Simple Storage Service (Amazon S3). [Als Nächstes können Sie Lösungen zum Scannen von Richtlinien in CI/CD-Pipelines (Continuous Integration and Continuous Delivery) einbetten, z. B. mithilfe von Regeln für die proaktive Bewertung.AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html) |
| 4 | Wiederverwendbare Artefakte entwickeln — Können Sie es anhand der Anleitung noch einfacher machen und wiederverwendbare Artefakte für Entwickler entwickeln? | Sie könnten Infrastructure as Code (IaC) erstellen, um IAM-Richtlinien bereitzustellen, die dem Prinzip der geringsten Rechte folgen. Sie können diese wiederverwendbaren Artefakte in einem Code-Repository speichern. |
Self-Service funktioniert möglicherweise nicht für alle Sicherheitsanforderungen, aber er kann für Standardszenarien funktionieren. Wenn Unternehmen diese Schritte befolgen, können sie ihre Anwendungsteams in die Lage versetzen, mehr ihrer eigenen Sicherheitsaufgaben auf skalierbare Weise zu übernehmen. Insgesamt führt das Modell der verteilten Verantwortung in vielen Organisationen zu mehr kollaborativen Sicherheitspraktiken.
# Entwickeln Sie ein Programm zur Offenlegung von Sicherheitslücken
Als [defense-in-depth](apg-gloss.md#glossary-defense-in-depth)Ansatz für das Schwachstellenmanagement sollten Sie ein Programm zur Offenlegung von Sicherheitslücken einrichten, damit Personen innerhalb oder außerhalb Ihres Unternehmens Sicherheitslücken oder -risiken melden können.
Richten Sie für Personen innerhalb Ihres Unternehmens ein Verfahren zur Meldung von Risiken oder Sicherheitslücken ein. Dies kann über ein Ticketsystem oder per E-Mail erfolgen. Unabhängig davon, für welchen Prozess Sie sich entscheiden, ist es wichtig, dass Ihre Mitarbeiter sich des Prozesses bewusst sind und alle Sicherheitslücken oder Risiken, auf die sie stoßen, problemlos melden können.
Richten Sie für Personen außerhalb Ihres Unternehmens eine externe Webseite ein, auf der potenzielle Sicherheitslücken gemeldet werden können. Ein Beispiel finden Sie auf der Webseite [AWS Vulnerability Reporting](https://aws.amazon.com/security/vulnerability-reporting/). Diese Webseite sollte auch Offenlegungsrichtlinien zum Schutz der Daten und Vermögenswerte Ihres Unternehmens enthalten. Ein Programm zur Offenlegung von Sicherheitslücken sollte potenziell schädliche Aktivitäten nicht fördern. Daher ist es wichtig, dass Sie klare Richtlinien mit Richtlinien haben. Der Aufbau eines ausgereiften, verantwortungsvollen Offenlegungsprogramms ist ein Ziel, das Sie im Zuge der Weiterentwicklung Ihres Programms anstreben sollten. Die meisten beginnen nicht mit einem externen Offenlegungsprogramm, und es braucht Zeit, bis es richtig ist.
# Bereite deine AWS Umgebung vor
Stellen Sie vor der Implementierung von Tools für das Schwachstellenmanagement sicher, dass Ihre AWS Umgebung so konzipiert ist, dass sie ein skalierbares Schwachstellen-Management-Programm unterstützt. Die Struktur der Tagging-Richtlinien von Ihnen AWS-Konten und Ihrer Organisation kann den Aufbau eines skalierbaren Schwachstellen-Management-Programms vereinfachen.
## Entwickeln Sie eine Struktur AWS-Konto
[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)hilft dabei, eine AWS Umgebung zentral zu verwalten und zu steuern, wenn Ihr Unternehmen wächst und seine AWS Ressourcen skaliert. Eine *Organisation* in AWS Organizations konsolidiert Sie AWS-Konten in logische Gruppen oder *Organisationseinheiten*, sodass Sie sie als eine einzige Einheit verwalten können. Sie verwalten AWS Organizations von einem speziellen Konto aus, dem sogenannten *Verwaltungskonto*. Weitere Informationen zu finden Sie unter [Terminologie und Konzepte für AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).
Wir empfehlen Ihnen, Ihre Umgebung mit AWS mehreren Konten in AWS Organizations zu verwalten. Auf diese Weise können Sie ein vollständiges Inventar der Konten und Ressourcen Ihres Unternehmens erstellen. Dieses vollständige Asset-Inventar ist ein wichtiger Aspekt des Schwachstellenmanagements. Anwendungsteams sollten keine Konten verwenden, die sich außerhalb des Unternehmens befinden.
[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)hilft Ihnen bei der Einrichtung und Verwaltung einer Umgebung AWS mit mehreren Konten und folgt dabei den vorgeschriebenen Best Practices. Wenn Sie noch keine Umgebung mit mehreren Konten eingerichtet haben, AWS Control Tower ist dies ein guter Ausgangspunkt.
Wir empfehlen, die [spezielle Kontostruktur](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/dedicated-accounts.html) und die in der [AWS Security Reference Architecture (AWS SRA](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/)) beschriebenen bewährten Methoden zu verwenden. Das [Security Tooling-Konto](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) sollte als delegierter Administrator für Ihre Sicherheitsdienste dienen. Weitere Informationen zur Konfiguration Ihrer Vulnerability Management-Tools in diesem Konto finden Sie weiter unten in diesem Handbuch. Hosten Sie Anwendungen in speziellen Konten in der [Workloads Organization Unit (OU)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/application.html). Dadurch wird eine starke Isolierung auf Workload-Ebene und explizite Sicherheitsgrenzen für jede Anwendung eingeführt. Informationen zu den Entwurfsprinzipien und den Vorteilen eines Ansatzes mit mehreren Konten finden Sie unter [Organizing Your AWS Environment Using Multi-Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-multiple-aws-accounts.html) (AWS Whitepaper).
Eine gezielte Kontostruktur und die zentrale Verwaltung von Sicherheitsdiensten von einem speziellen Konto aus sind wichtige Aspekte eines skalierbaren Schwachstellen-Management-Programms.
## Definieren, implementieren und durchsetzen Sie Tags
*Tags* sind Schlüssel-Wert-Paare, die als Metadaten für die Organisation Ihrer AWS Ressourcen dienen. Weitere Informationen finden Sie unter [Markieren Ihrer AWS -Ressourcen](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html). Sie können Tags verwenden, um Geschäftskontext bereitzustellen, z. B. Geschäftseinheit, Anwendungsinhaber, Umgebung und Kostenstelle. Die folgende Tabelle zeigt eine Reihe von Beispiel-Tags.
****
| Key (Schlüssel) | Value (Wert) |
| --- | --- |
| BusinessUnit | HumanResources |
| CostCenter | CC101 |
| ApplicationTeam | HumanResourcesTechnology |
| Umgebung | Produktion |
Mithilfe von Tags können Sie Ergebnisse priorisieren. Es kann dir zum Beispiel helfen:
+ Identifizieren Sie den Besitzer einer Ressource, der für das Patchen einer Sicherheitslücke verantwortlich ist
+ Verfolgen Sie, welche Anwendungen oder Geschäftsbereiche über eine große Anzahl von Ergebnissen verfügen
+ Erhöhen Sie den Schweregrad der Ergebnisse bei bestimmten Datenklassifizierungen, z. B. bei personenbezogenen Daten (PII) oder Daten der Zahlungskartenbranche (PCI)
+ Identifizieren Sie den Datentyp in der Umgebung, z. B. Testdaten in einer untergeordneten Entwicklungsumgebung oder Produktionsdaten
Folgen Sie den Anweisungen unter [Aufbau Ihrer Tagging-Strategie in *Best Practices for* Tagging Resources (Whitepaper), damit Sie effektives Tagging](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/building-your-tagging-strategy.html) in großem Umfang erreichen können. AWS AWS
# Überwachen Sie die Sicherheitsbulletins AWS
Wir empfehlen dringend, die [AWS Sicherheitsbulletins regelmäßig und regelmäßig zu überprüfen](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinId&card-body.sort-order=desc&awsf.bulletins-flag=*all&awsf.bulletins-year=*all). Sicherheitsbulletins können Sie über neue sicherheitsrelevante Sicherheitslücken, betroffene Dienste und entsprechende Updates informieren. Sie können auch einen [RSS-Feed](https://aws.amazon.com/security/security-bulletins/rss/feed/) für die Sicherheitsbulletins abonnieren und im Rahmen Ihres Schwachstellen-Management-Programms einen Prozess zur Erfassung und Behebung dieser Bulletins einrichten.
# Sicherheitsdienste konfigurieren AWS
AWS bietet eine Vielzahl von Sicherheitsdiensten, die zum Schutz Ihrer AWS Umgebung entwickelt wurden. Für Ihr Vulnerability Management-Programm empfehlen wir, dass Sie AWS-Services in jedem Konto Folgendes aktivieren:
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) hilft Ihnen dabei, aktive Bedrohungen in Ihrer Umgebung zu erkennen. Ein GuardDuty Ergebnis könnte Ihnen helfen, eine unbekannte Sicherheitslücke zu identifizieren, die in Ihrer Umgebung ausgenutzt wurde. Es könnte Ihnen auch helfen, die Auswirkungen einer nicht gepatchten Sicherheitsanfälligkeit zu verstehen.
+ [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html)bietet fortlaufenden Einblick in die Leistung Ihrer Ressourcen und die Verfügbarkeit Ihrer Konten AWS-Services .
+ [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)analysiert die ressourcenbasierten Richtlinien in Ihrer AWS Umgebung, um Ressourcen zu identifizieren, die gemeinsam mit einer externen Entität genutzt werden. Dies kann Ihnen helfen, Sicherheitslücken im Zusammenhang mit unbeabsichtigtem Zugriff auf Ihre Ressourcen und Daten zu identifizieren. Für jede Instance einer Ressource, die außerhalb Ihres Kontos geteilt wird, generiert IAM Access Analyzer ein Ergebnis.
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) ist ein Schwachstellen-Management-Service, der Ihre AWS Workloads kontinuierlich auf Softwareschwachstellen und unbeabsichtigte Netzwerkbedrohungen überprüft.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)hilft Ihnen dabei, Ihre AWS Umgebung anhand der Sicherheitsstandards der Branche zu überprüfen und Risiken bei der Cloud-Konfiguration zu identifizieren. Es bietet auch einen umfassenden Überblick über Ihren AWS Sicherheitsstatus, indem es die Ergebnisse anderer AWS Sicherheitsdienste und Sicherheitstools von Drittanbietern zusammenfasst.
In diesem Abschnitt wird beschrieben, wie Sie Amazon Inspector und Security Hub CSPM aktivieren und konfigurieren, um Sie bei der Einrichtung eines skalierbaren Vulnerability Management-Programms zu unterstützen.
# Verwendung von Amazon Inspector in Ihrem Vulnerability Management-Programm
[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) ist ein Schwachstellen-Management-Service, der Ihre Amazon Elastic Compute Cloud (Amazon EC2) -Instances, Amazon Elastic Container Registry (Amazon ECR) Container-Images und AWS Lambda Funktionen kontinuierlich auf Softwareschwachstellen und unbeabsichtigte Netzwerkgefährdung überprüft. Mit Amazon Inspector können Sie sich einen Überblick verschaffen und die Behebung von Softwareschwachstellen in Ihren AWS Umgebungen priorisieren.
Amazon Inspector bewertet Ihre Umgebung kontinuierlich während des gesamten Lebenszyklus Ihrer Ressourcen. Als Reaktion auf Änderungen, die zu einer neuen Sicherheitslücke führen könnten, werden Ressourcen automatisch erneut gescannt. Es scannt beispielsweise erneut, wenn Sie ein neues Paket auf einer EC2 Instanz installieren, wenn Sie einen Patch installieren oder wenn ein neues CVE (Common Vulnerabilities and Exposures) veröffentlicht wird, das die Ressource betrifft. Wenn Amazon Inspector eine Sicherheitslücke oder einen offenen Netzwerkpfad identifiziert, wird ein Ergebnis generiert, das Sie untersuchen können. Das Ergebnis bietet umfassende Informationen über die Sicherheitsanfälligkeit, einschließlich der folgenden Informationen:
+ [Amazon Inspector-Risikobewertung](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-score.html)
+ [Bewertung des Common Vulnerability Scoring System (CVSS)](https://www.first.org/cvss/calculator/3.1)
+ Betroffene Ressource
+ Schwachstelleninformationen über das CVE von Amazon [https://www.recordedfuture.com/](https://www.recordedfuture.com/), und [https://www.cisa.gov/](https://www.cisa.gov/)
+ Empfehlungen zur Problembehebung
Anweisungen zur Einrichtung von Amazon Inspector finden Sie unter [Erste Schritte mit Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html). Der Schritt *Amazon Inspector aktivieren* in diesem Tutorial bietet zwei Konfigurationsoptionen: eine eigenständige Kontoumgebung und eine Umgebung mit mehreren Konten. Wir empfehlen die Verwendung der Umgebungsoption mit mehreren Konten, wenn Sie mehrere AWS-Konten Mitglieder einer Organisation überwachen möchten. AWS Organizations
Wenn Sie Amazon Inspector für eine Umgebung mit mehreren Konten einrichten, bestimmen Sie ein Konto in der Organisation als delegierten Amazon Inspector-Administrator. Der delegierte Administrator kann Ergebnisse und einige Einstellungen für Organisationsmitglieder verwalten. Der delegierte Administrator kann beispielsweise die Details der aggregierten Ergebnisse für alle Mitgliedskonten einsehen, Scans für Mitgliedskonten aktivieren oder deaktivieren und gescannte Ressourcen überprüfen. Die AWS SRA empfiehlt, dass Sie ein [Security Tooling-Konto](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) erstellen und es als delegierten Amazon Inspector-Administrator verwenden.
# Verwendung AWS Security Hub CSPM in Ihrem Vulnerability Management-Programm
Der Aufbau eines skalierbaren Schwachstellen-Management-Programms AWS beinhaltet neben Cloud-Konfigurationsrisiken auch das Management herkömmlicher Software- und Netzwerkschwachstellen. [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)hilft Ihnen dabei, Ihre AWS Umgebung anhand der Sicherheitsstandards der Branche zu überprüfen und Risiken bei der Cloud-Konfiguration zu identifizieren. Security Hub CSPM bietet auch einen umfassenden Überblick über Ihren Sicherheitsstatus, AWS indem es Sicherheitsergebnisse von anderen Sicherheitsdiensten und AWS Sicherheitstools von Drittanbietern zusammenfasst.
In den folgenden Abschnitten finden Sie bewährte Methoden und Empfehlungen für die Einrichtung von Security Hub CSPM zur Unterstützung Ihres Vulnerability Management-Programms:
+ [Security Hub CSPM einrichten](#setting-up-security-hub)
+ [Aktivierung der Security Hub CSPM-Standards](#enabling-security-hub-standards)
+ [Verwaltung der CSPM-Ergebnisse von Security Hub](#managing-security-hub-findings)
+ [Zusammenfassung der Ergebnisse anderer Sicherheitsdienste und -tools](#aggregating-findings-from-other-security-services-and-tools)
## Security Hub CSPM einrichten
Anweisungen zur Einrichtung finden Sie unter [Einrichtung](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html). AWS Security Hub CSPM Um Security Hub CSPM verwenden zu können, müssen Sie es aktivieren. [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) Weitere Informationen finden Sie unter [Aktivierung und Konfiguration AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) in der Security Hub CSPM-Dokumentation.
Wenn Sie integriert sind AWS Organizations, bestimmen Sie über das Organisationsverwaltungskonto ein Konto als delegierten Security Hub CSPM-Administrator. Eine Anleitung finden Sie unter [Den delegierten Security Hub CSPM-Administrator benennen](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#designate-admin-overview). Die AWS SRA empfiehlt, dass Sie ein [Security Tooling-Konto](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) erstellen und es als delegierten Security Hub CSPM-Administrator verwenden.
Der delegierte Administrator hat automatisch Zugriff darauf, Security Hub CSPM für alle Mitgliedskonten in der Organisation zu konfigurieren und die mit diesen Konten verknüpften Ergebnisse einzusehen. Wir empfehlen Ihnen, AWS Config Security Hub CSPM in allen Ihren AWS-Regionen zu aktivieren. AWS-Konten Sie können Security Hub CSPM so konfigurieren, dass neue Organisationskonten automatisch als Security Hub CSPM-Mitgliedskonten behandelt werden. Anweisungen finden Sie unter [Mitgliedskonten verwalten, die zu einer Organisation gehören](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html).
## Aktivierung der Security Hub CSPM-Standards
*Security Hub CSPM generiert Ergebnisse, indem es automatisierte und kontinuierliche Sicherheitsprüfungen anhand von Sicherheitskontrollen durchführt.* Die Kontrollen sind mit einem oder mehreren *Sicherheitsstandards* verknüpft. Mithilfe der Kontrollen können Sie feststellen, ob die Anforderungen eines Standards erfüllt werden.
Wenn Sie einen Standard in Security Hub CSPM aktivieren, aktiviert Security Hub CSPM automatisch die Kontrollen, die für den Standard gelten. Security Hub CSPM verwendet AWS Config [Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html), um die meisten Sicherheitsprüfungen für Kontrollen durchzuführen. Sie können die Security Hub CSPM-Standards jederzeit aktivieren oder deaktivieren. Weitere Informationen finden Sie unter [Sicherheitskontrollen und -standards](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html) unter. AWS Security Hub CSPM Eine vollständige Liste der Standards finden Sie unter [Security Hub CSPM-Standardreferenz](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html).
Wenn Ihr Unternehmen noch keinen bevorzugten Sicherheitsstandard hat, empfehlen wir die Verwendung des [FSBP-Standards (AWS Foundational Security Best Practices)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html). Dieser Standard wurde entwickelt, um zu erkennen, wann AWS-Konten und welche Ressourcen von den bewährten Sicherheitsmethoden abweichen. AWS kuratiert diesen Standard und aktualisiert ihn regelmäßig, um neue Funktionen und Dienste abzudecken. Nachdem Sie die FSBP-Ergebnisse geprüft haben, sollten Sie erwägen, andere Standards zu aktivieren.
## Verwaltung der CSPM-Ergebnisse von Security Hub
Security Hub CSPM bietet mehrere Funktionen, die Ihnen helfen, große Mengen an Ergebnissen aus Ihrem gesamten Unternehmen zu verarbeiten und den Sicherheitsstatus Ihrer AWS Umgebung zu verstehen. Um Ihnen bei der Verwaltung der Ergebnisse zu helfen, empfehlen wir, die folgenden beiden Security Hub CSPM-Funktionen zu aktivieren:
+ Verwenden Sie die [regionsübergreifende Aggregation](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html), um Ergebnisse zu aggregieren, Updates und Erkenntnisse zu finden, den Compliance-Status und Sicherheitswerte aus mehreren Regionen in einer einzigen Aggregationsregion AWS-Regionen zu kontrollieren.
+ Verwenden Sie [konsolidierte Kontrollergebnisse, um das Auffinden von Ergebnissen](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) zu reduzieren, indem Sie doppelte Ergebnisse entfernen. Wenn konsolidierte Kontrollergebnisse in Ihrem Konto aktiviert sind, generiert Security Hub CSPM für jede Sicherheitsüberprüfung einer Kontrolle ein einzelnes neues Ergebnis oder ein Befundupdate, auch wenn eine Kontrolle für mehrere aktivierte Standards gilt.
## Zusammenfassung der Ergebnisse anderer Sicherheitsdienste und -tools
Zusätzlich zur Generierung von Sicherheitsergebnissen können Sie Security Hub CSPM verwenden, um Funddaten aus verschiedenen AWS-Services und unterstützten Sicherheitslösungen von Drittanbietern zu aggregieren. Dieser Abschnitt konzentriert sich auf das Senden von Sicherheitsergebnissen an Security Hub CSPM. Im nächsten Abschnitt wird erläutert[Bereiten Sie sich auf die Zuordnung von Sicherheitsergebnissen vor](prepare-finding-assignments.md), wie Sie Security Hub CSPM in Produkte integrieren können, die Erkenntnisse von Security Hub CSPM erhalten können.
Es gibt viele Produkte und Open-Source-Lösungen von Drittanbietern AWS-Services, die Sie in Security Hub CSPM integrieren können. Wenn Sie gerade erst anfangen, empfehlen wir Folgendes:
1. **Integriert aktivieren AWS-Services** — Die meisten AWS-Service Integrationen, die Ergebnisse an Security Hub CSPM senden, werden automatisch aktiviert, nachdem Sie sowohl Security Hub CSPM als auch den integrierten Dienst aktiviert haben. Für Ihr Vulnerability Management-Programm empfehlen wir, Amazon Inspector GuardDuty AWS Health, Amazon und IAM Access Analyzer in jedem Konto zu aktivieren. Diese Dienste senden ihre Ergebnisse automatisch an Security Hub CSPM. Eine vollständige Liste der unterstützten AWS-Service Integrationen finden Sie unter Die [Ergebnisse AWS-Services an Security Hub CSPM senden](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html).
**Anmerkung**
AWS Health sendet Ergebnisse an Security Hub CSPM, wenn eine der folgenden Bedingungen erfüllt ist:
Der Befund steht im Zusammenhang mit einem Sicherheitsdienst AWS
Der **Typcode** des Befundes enthält die Wörter`security`,`abuse`, oder `certificate`
Der AWS Health Suchdienst ist oder `risk` `abuse`
1. **Integrationen von Drittanbietern einrichten** — Eine Liste der derzeit unterstützten Integrationen finden Sie unter [Verfügbare Produktintegrationen von Drittanbietern](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html). Wählen Sie alle zusätzlichen Tools aus, die Ergebnisse an Security Hub CSPM senden oder Ergebnisse von Security Hub CSPM empfangen können. Möglicherweise verfügen Sie bereits über einige dieser Tools von Drittanbietern. Folgen Sie den Produktanweisungen, um die Integration mit Security Hub CSPM zu konfigurieren.
# Bereiten Sie sich auf die Zuordnung von Sicherheitsergebnissen vor
In diesem Abschnitt richten Sie die Tools ein, die Ihre Teams zur Verwaltung und Zuweisung von Sicherheitsergebnissen verwenden. Dieser Abschnitt umfasst die folgenden Optionen:
+ [Verwalte Ergebnisse in bestehenden Tools und Workflows](existing-tools.md)— Diese Option lässt sich in bestehende Systeme integrieren, AWS Security Hub CSPM mit denen Ihre Teams ihre täglichen Aufgaben verwalten, z. B. einen Produkt-Backlog. Diese Option wird Teams empfohlen, die über etablierte Tools zur Verwaltung ihrer Workflows verfügen.
+ [Ergebnisse im Security Hub CSPM verwalten](manage-findings-in-security-hub.md)— Mit dieser Option werden Benachrichtigungen für Security Hub CSPM-Ereignisse konfiguriert, sodass das entsprechende Team eine Warnung erhält und das Ergebnis in Security Hub CSPM beheben kann.
Entscheiden Sie, welcher Workflow für Ihre Teams am besten geeignet ist, und stellen Sie sicher, dass Sicherheitserkenntnisse umgehend ihren jeweiligen Eigentümern übermittelt werden.
# Verwalte Ergebnisse in bestehenden Tools und Workflows
Wir empfehlen zusätzliche Security Hub CSPM-Integrationen für Unternehmen, die über etablierte Tools verfügen, mit denen Teams ihre täglichen Aufgaben verwalten oder ausführen können. Sie können Security Hub CSPM-Suchdaten in mehrere Technologieplattformen importieren. Zu den Beispielen gehören:
+ [SIEM-Systeme (Security Information and Event Management)](apg-gloss.md#glossary-siem) helfen Sicherheitsteams dabei, betriebliche Sicherheitsereignisse zu analysieren. SIEM-Systeme ermöglichen eine Echtzeitanalyse von Sicherheitswarnungen, die von Anwendungen und Netzwerkhardware generiert werden.
+ [GRC-Systeme (Governance, Risk and Compliance)](https://aws.amazon.com/what-is/grc/) unterstützen Compliance- und Governance-Teams bei der Überwachung und Berichterstattung über Risikomanagementdaten. GRC-Tools sind Softwareanwendungen, mit denen Unternehmen Richtlinien verwalten, Risiken einschätzen, den Benutzerzugriff kontrollieren und die Einhaltung von Vorschriften optimieren können. Sie könnten GRC-Tools verwenden, um Geschäftsprozesse zu integrieren, Kosten zu senken und die Effizienz zu verbessern.
+ Produkt-Backlog- und Ticketsysteme helfen Anwendungs- und Cloud-Teams dabei, Funktionen zu verwalten und Entwicklungsaufgaben zu priorisieren. [https://www.atlassian.com/software/jira](https://www.atlassian.com/software/jira)und [https://learn.microsoft.com/en-us/azure/devops/user-guide/what-is-azure-devops](https://learn.microsoft.com/en-us/azure/devops/user-guide/what-is-azure-devops)sind Beispiele für diese Systeme.
Durch die direkte Integration der CSPM-Ergebnisse von Security Hub in diese bestehenden Unternehmenssysteme können die Mean Time to Recovery (MTTR) und die Sicherheitsergebnisse verbessert werden, da sich der tägliche Betriebsablauf nicht ändern muss. Teams können viel schneller reagieren und aus Sicherheitsergebnissen lernen, da sie keine separaten Workflows und Tools verwenden müssen. Durch die Integration wird die Bearbeitung von Sicherheitslücken zu einem Teil des normalen Standardworkflows.
Security Hub CSPM lässt sich in mehrere Partnerprodukte von Drittanbietern integrieren. Eine vollständige Liste und Anweisungen finden Sie unter [Verfügbare Produktintegrationen von Drittanbietern](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html) in der Security Hub CSPM-Dokumentation. Zu den gängigen Integrationen gehören die [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-atlassian-jira-service-management](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-atlassian-jira-service-management)[bidirektionale](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html) Integration mit Software und. AWS Security Hub CSPM Jira [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-servicenow-itsm](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-servicenow-itsm) Das folgende Diagramm zeigt, wie Sie Amazon Inspector so konfigurieren können, dass Ergebnisse an Security Hub CSPM gesendet werden, und anschließend Security Hub CSPM so konfigurieren können, dass alle Ergebnisse gesendet werden. Jira
![\[Senden Sie Amazon Inspector und die AWS Security Hub CSPM Ergebnisse an Jira\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/vulnerability-management/images/jira-integration-security-hub.png)
# Ergebnisse im Security Hub CSPM verwalten
Mithilfe von [ EventBridgeAmazon-Regeln und Amazon Simple Notification Service (Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) SNS) -Themen können Sie ein cloudbasiertes Benachrichtigungssystem für Security Hub CSPM-Ergebnisse erstellen. Dieses System benachrichtigt das entsprechende Team über ein Ergebnis, wenn es erstellt wird. Für diesen Ansatz ist die unter beschriebene Strategie mit mehreren Konten von [Entwickeln Sie eine Struktur AWS-Konto](prepare-environment.md#account-structure) entscheidender Bedeutung, da die Anwendungen in spezielle Konten aufgeteilt sind. Auf diese Weise können Sie bei jedem Ergebnis die richtigen Teams benachrichtigen.
Sicherheits- oder Cloud-Teams können sich dafür entscheiden, Ereignisse von allen zu erhalten AWS-Konten. Erstellen Sie in diesem Fall eine EventBridge Regel innerhalb des delegierten Security Hub-CSPM-Administratorkontos und abonnieren Sie ein Amazon SNS SNS-Thema, das diese Teams benachrichtigt. Anwendungsteams müssen eine EventBridge Regel und ein SNS-Thema in ihren jeweiligen Anwendungskonten konfigurieren. Wenn ein Security Hub CSPM-Befund in einem Anwendungskonto auftritt, wird das zuständige Team über den Befund informiert.
Security Hub CSPM sendet bereits automatisch alle neuen Ergebnisse und alle Aktualisierungen vorhandener Ergebnisse EventBridge als **Security Hub CSPM** Findings — Importierte Ereignisse. Jedes **Security Hub Hub-Ereignis „CSPM Findings — Imported**“ enthält ein einzelnes Ergebnis. Sie können Filter auf EventBridge Regeln anwenden, sodass ein Ergebnis die Regel nur dann auslöst, wenn das Ergebnis den Filtern entspricht. Anweisungen finden Sie unter [Konfiguration einer EventBridge Regel für automatisch gesendete Ergebnisse](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-all-findings.html). Weitere Informationen zum Erstellen und Abonnieren von Amazon SNS-Themen finden Sie unter [Amazon SNS konfigurieren](https://docs.aws.amazon.com/sns/latest/dg/sns-configuring.html).
Berücksichtigen Sie bei diesem Ansatz Folgendes:
+ Für Anwendungsteams sollten Sie EventBridge Regeln für jede Anwendung AWS-Konto und den Ort erstellen, AWS-Region an dem die Anwendung gehostet wird.
+ Für Sicherheits- und Cloud-Teams erstellen Sie EventBridge Regeln im delegierten Security Hub-CSPM-Administratorkonto. Dadurch werden die Teams über alle Ergebnisse in den Mitgliedskonten informiert.
+ Amazon SNS sendet jeden Tag eine Benachrichtigung, wenn der Status der Sicherheitsfeststellung lautet`NEW`. Wenn Sie die täglichen Benachrichtigungen ausschalten möchten, können Sie eine benutzerdefinierte AWS Lambda Funktion erstellen, die den Status des Ergebnisses von `NEW` zu ändert, `NOTIFIED` nachdem der Amazon SNS SNS-Abonnent die Benachrichtigung erhalten hat.