Generierung und Aktualisierung von Kontrollbefunden - AWS Security Hub
Konsolidierte KontrollergebnisseGenerierung, Aktualisierung und Archivierung von KontrollbefundenAutomatisierung und Unterdrückung von KontrollbefundenEinzelheiten zur Einhaltung der KontrollbestimmungenProductFields Einzelheiten zu den KontrollbefundenSchweregrade der Kontrollbefunde

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Generierung und Aktualisierung von Kontrollbefunden

AWS Security Hub Cloud Security Posture Management (CSPM) generiert und aktualisiert Kontrollergebnisse, wenn es Prüfungen anhand von Sicherheitskontrollen durchführt. Die Kontrollergebnisse verwenden das AWS Security Finding Format (ASFF).

Security Hub CSPM berechnet normalerweise Gebühren für jede Sicherheitsüberprüfung für eine Kontrolle. Wenn jedoch mehrere Kontrollen dieselbe AWS Config Regel verwenden, berechnet Security Hub CSPM für jede Überprüfung anhand der Regel nur einmal eine Gebühr. Die AWS Config iam-password-policy Regel wird beispielsweise von mehreren Kontrollen im CIS AWS Foundations Benchmark-Standard und im AWS Foundational Security Best Practices-Standard verwendet. Jedes Mal, wenn Security Hub CSPM eine Überprüfung anhand dieser Regel durchführt, generiert es ein separates Kontrollergebnis für jede zugehörige Kontrolle, berechnet jedoch nur einmal für die Prüfung eine Gebühr.

Wenn die Größe eines Kontrollergebnisses das Maximum von 240 KB überschreitet, entfernt Security Hub CSPM das Resource.Details Objekt aus dem Befund. Bei Kontrollen, die durch AWS Config Ressourcen unterstützt werden, können Sie die Ressourcendetails mithilfe der AWS Config Konsole überprüfen.

Konsolidierte Kontrollergebnisse

Wenn konsolidierte Kontrollergebnisse für Ihr Konto aktiviert sind, generiert Security Hub CSPM für jede Sicherheitsüberprüfung einer Kontrolle ein einzelnes Ergebnis oder ein einzelnes Befundupdate, auch wenn eine Kontrolle für mehrere aktivierte Standards gilt. Eine Liste der Kontrollen und der Standards, für die sie gelten, finden Sie unter. Kontrollreferenz für Security Hub CSPM Wir empfehlen, konsolidierte Kontrollergebnisse zu aktivieren, um das Störgeräusch zu reduzieren.

Wenn Sie Security Hub CSPM AWS-Konto vor dem 23. Februar 2023 aktiviert haben, können Sie konsolidierte Kontrollergebnisse aktivieren, indem Sie den Anweisungen weiter unten in diesem Abschnitt folgen. Wenn Sie Security Hub CSPM am oder nach dem 23. Februar 2023 aktivieren, werden die konsolidierten Kontrollergebnisse automatisch für Ihr Konto aktiviert.

Wenn Sie die Security Hub CSPM-Integration mit Mitgliedskonten verwenden AWS Organizations oder Mitgliedskonten über einen manuellen Einladungsprozess eingeladen haben, ist Consolidated Control Findings nur dann für Mitgliedskonten aktiviert, wenn sie für das Administratorkonto aktiviert ist. Wenn die Funktion für das Administratorkonto deaktiviert ist, ist sie auch für Mitgliedskonten deaktiviert. Dieses Verhalten gilt für neue und bestehende Mitgliedskonten. Wenn der Administrator die zentrale Konfiguration verwendet, um Security Hub CSPM für mehrere Konten zu verwalten, kann er außerdem keine zentralen Konfigurationsrichtlinien verwenden, um konsolidierte Kontrollergebnisse für die Konten zu aktivieren oder zu deaktivieren.

Wenn Sie konsolidierte Kontrollergebnisse für Ihr Konto deaktivieren, generiert oder aktualisiert Security Hub CSPM ein separates Kontrollergebnis für jeden aktivierten Standard, der eine Kontrolle enthält. Wenn Sie beispielsweise vier Standards aktivieren, die sich eine Kontrolle teilen, erhalten Sie nach einer Sicherheitsüberprüfung für die Kontrolle vier separate Ergebnisse. Wenn Sie konsolidierte Kontrollergebnisse aktivieren, erhalten Sie nur ein Ergebnis.

Wenn Sie konsolidierte Kontrollergebnisse aktivieren, erstellt Security Hub CSPM neue standardunabhängige Ergebnisse und archiviert die ursprünglichen standardbasierten Ergebnisse. Einige Felder und Werte für Kontrollergebnisse werden sich ändern, was sich auf Ihre bestehenden Workflows auswirken kann. Informationen zu diesen Änderungen finden Sie unterKonsolidierte Kontrollergebnisse — ASFF-Änderungen. Die Aktivierung konsolidierter Kontrollergebnisse kann sich auch auf die Ergebnisse auswirken, die integrierte Drittanbieterprodukte von Security Hub CSPM erhalten. Wenn Sie die Lösung Automated Security Response auf AWS Version 2.0.0 verwenden, beachten Sie, dass sie konsolidierte Kontrollergebnisse unterstützt.

Um Consolidated Control Findings zu aktivieren oder zu deaktivieren, müssen Sie mit einem Administratorkonto oder einem eigenständigen Konto angemeldet sein.

Anmerkung

Nachdem Sie die konsolidierten Kontrollergebnisse aktiviert haben, kann es bis zu 24 Stunden dauern, bis Security Hub CSPM neue konsolidierte Ergebnisse generiert und die vorhandenen standardbasierten Ergebnisse archiviert hat. Ebenso kann es nach der Deaktivierung konsolidierter Kontrollergebnisse bis zu 24 Stunden dauern, bis Security Hub CSPM neue standardbasierte Ergebnisse generiert und die vorhandenen konsolidierten Ergebnisse archiviert hat. In diesen Zeiten kann es sein, dass Sie in Ihrem Konto eine Mischung aus standardunabhängigen und standardbasierten Ergebnissen sehen.

Security Hub CSPM console
Um konsolidierte Kontrollergebnisse zu aktivieren oder zu deaktivieren

  1. Öffnen Sie die AWS Security Hub Cloud Security Posture Management (CSPM) -Konsole unter. https://console.aws.amazon.com/securityhub/

  2. Klicken Sie im Navigationsbereich unter Settings auf General.

  3. Wählen Sie im Bereich Controls die Option Bearbeiten aus.

  4. Verwenden Sie den Schalter Konsolidierte Kontrollergebnisse, um konsolidierte Kontrollergebnisse zu aktivieren oder zu deaktivieren.

  5. Wählen Sie Speichern.

Security Hub CSPM API

Verwenden Sie den UpdateSecurityHubConfigurationBetrieb der Security Hub CSPM-API, um konsolidierte Kontrollergebnisse programmgesteuert zu aktivieren oder zu deaktivieren. Oder, wenn Sie den verwenden, führen Sie den Befehl aus AWS CLI. update-security-hub-configuration

Geben Sie für den control-finding-generator Parameter SECURITY_CONTROL an, ob konsolidierte Kontrollergebnisse aktiviert werden sollen. Geben Sie an, um konsolidierte Kontrollergebnisse zu deaktivierenSTANDARD_CONTROL.

Mit dem folgenden AWS CLI Befehl werden beispielsweise konsolidierte Kontrollbefunde aktiviert.

$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

Mit dem folgenden AWS CLI Befehl werden konsolidierte Kontrollergebnisse deaktiviert.

$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

Generierung, Aktualisierung und Archivierung von Kontrollbefunden

Security Hub CSPM führt Sicherheitsüberprüfungen nach einem Zeitplan durch. Wenn Security Hub CSPM zum ersten Mal eine Sicherheitsüberprüfung für ein Steuerelement durchführt, generiert es für jede AWS Ressource, die das Steuerelement überprüft, ein neues Ergebnis. Jedes Mal, wenn Security Hub CSPM anschließend eine Sicherheitsüberprüfung für die Kontrolle durchführt, aktualisiert es die vorhandenen Ergebnisse, um die Ergebnisse der Prüfung zu melden. Das bedeutet, dass Sie anhand der Daten einzelner Ergebnisse die Konformität bestimmter Ressourcen anhand bestimmter Kontrollen nachverfolgen können.

Wenn sich beispielsweise der Konformitätsstatus einer Ressource PASSED für eine bestimmte Kontrolle von FAILED zu ändert, generiert Security Hub CSPM kein neues Ergebnis. Stattdessen aktualisiert Security Hub CSPM die vorhandenen Ergebnisse für das Steuerelement und die Ressource. In diesem Ergebnis ändert Security Hub CSPM den Wert für das Feld Compliance-Status (Compliance.Status) auf. PASSED Security Hub CSPM aktualisiert auch die Werte für zusätzliche Felder, um die Ergebnisse der Prüfung widerzuspiegeln, z. B. den Schweregrad, den Workflow-Status und Zeitstempel, die angeben, wann Security Hub CSPM die Prüfung zuletzt ausgeführt und das Ergebnis aktualisiert hat.

Bei der Meldung von Änderungen des Compliance-Status aktualisiert Security Hub CSPM möglicherweise eines der folgenden Felder in einem Kontrollergebnis:

  • Compliance.Status— Der neue Konformitätsstatus der Ressource für die angegebene Kontrolle.

  • FindingProviderFields.Severity.Label— Die neue qualitative Darstellung des Schweregrads des Befundes, z. B. LOWMEDIUM, oderHIGH.

  • FindingProviderFields.Severity.Original— Die neue quantitative Darstellung des Schweregrads des Fehlers, z. B. 0 für eine konforme Ressource.

  • FirstObservedAt— Wann sich der Konformitätsstatus der Ressource zuletzt geändert hat.

  • LastObservedAt— Wann Security Hub CSPM die Sicherheitsüberprüfung für das angegebene Steuerelement und die angegebene Ressource zuletzt ausgeführt hat.

  • ProcessedAt— Wann Security Hub CSPM zuletzt mit der Verarbeitung des Ergebnisses begann.

  • ProductFields.PreviousComplianceStatus— Der vorherige Konformitätsstatus (Compliance.Status) der Ressource für die angegebene Kontrolle.

  • UpdatedAt— Wann Security Hub CSPM das Ergebnis zuletzt aktualisiert hat.

  • Workflow.Status— Der Stand der Untersuchung des Ergebnisses, basierend auf dem neuen Konformitätsstatus der Ressource für die angegebene Kontrolle.

Ob Security Hub CSPM ein Feld aktualisiert, hängt in erster Linie von den Ergebnissen der letzten Sicherheitsprüfung für die entsprechende Kontrolle und Ressource ab. Wenn sich beispielsweise der Konformitätsstatus einer Ressource FAILED für eine bestimmte Kontrolle von PASSED zu ändert, ändert Security Hub CSPM den Workflow-Status des Ergebnisses auf. NEW Um Aktualisierungen einzelner Ergebnisse nachzuverfolgen, können Sie auf die Historie eines Befundes zurückgreifen. Einzelheiten zu einzelnen Feldern in Ergebnissen finden Sie unter AWS Security Finding Format (ASFF).

In bestimmten Fällen generiert Security Hub CSPM neue Ergebnisse für nachfolgende Prüfungen durch eine Kontrolle, anstatt bestehende Ergebnisse zu aktualisieren. Dies kann der Fall sein, wenn ein Problem mit der AWS Config Regel vorliegt, die ein Steuerelement unterstützt. In diesem Fall archiviert Security Hub CSPM den vorhandenen Befund und generiert für jede Prüfung einen neuen Befund. In den neuen Ergebnissen lautet der Compliance-Status NOT_AVAILABLE und der Datensatzstatus lautet. ARCHIVED Nachdem Sie das Problem mit der AWS Config Regel behoben haben, generiert Security Hub CSPM neue Ergebnisse und beginnt, diese zu aktualisieren, um nachfolgende Änderungen am Compliance-Status einzelner Ressourcen nachzuverfolgen.

Security Hub CSPM generiert und aktualisiert nicht nur Kontrollergebnisse, sondern archiviert auch automatisch Kontrollergebnisse, die bestimmte Kriterien erfüllen. Security Hub CSPM archiviert einen Befund, wenn das Steuerelement deaktiviert ist, die angegebene Ressource gelöscht wurde oder die angegebene Ressource nicht mehr existiert. Eine Ressource ist möglicherweise nicht mehr vorhanden, da der zugehörige Dienst nicht mehr verwendet wird. Insbesondere archiviert Security Hub CSPM automatisch ein Kontrollergebnis, wenn das Ergebnis eines der folgenden Kriterien erfüllt:

  • Das Ergebnis wurde seit 3‐5 Tagen nicht aktualisiert. Beachten Sie, dass die Archivierung auf der Grundlage dieses Zeitrahmens nach bestem Wissen und Gewissen erfolgt und nicht garantiert werden kann.

  • NOT_APPLICABLEBei der zugehörigen AWS Config Bewertung wurde der Konformitätsstatus der angegebenen Ressource ermittelt.

Um festzustellen, ob ein Ergebnis archiviert ist, können Sie im Feld Datensatzstatus (RecordState) des Ergebnisses nachschlagen. Wenn ein Ergebnis archiviert ist, lautet der Wert für dieses FeldARCHIVED.

Security Hub CSPM speichert archivierte Kontrollbefunde 30 Tage lang. Nach 30 Tagen laufen die Ergebnisse ab und Security Hub CSPM löscht sie dauerhaft. Um festzustellen, ob ein archiviertes Kontrollergebnis abgelaufen ist, stützt Security Hub CSPM seine Berechnung auf den Wert für das UpdatedAt Feld des Ergebnisses.

Um archivierte Kontrollergebnisse für mehr als 30 Tage zu speichern, können Sie die Ergebnisse in einen S3-Bucket exportieren. Sie können dies tun, indem Sie eine benutzerdefinierte Aktion mit einer EventBridge Amazon-Regel verwenden. Weitere Informationen finden Sie unter Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen.

Anmerkung

Vor dem 3. Juli 2025 generierte und aktualisierte Security Hub CSPM Kontrollergebnisse unterschiedlich, wenn sich der Compliance-Status einer Ressource für eine Kontrolle änderte. Zuvor hat Security Hub CSPM einen neuen Kontrollbefund erstellt und den vorhandenen Befund für eine Ressource archiviert. Daher haben Sie möglicherweise mehrere archivierte Ergebnisse für eine bestimmte Kontrolle und Ressource, bis diese Ergebnisse ablaufen (nach 30 Tagen).

Automatisierung und Unterdrückung von Kontrollbefunden

Sie können die CSPM-Automatisierungsregeln von Security Hub verwenden, um bestimmte Kontrollergebnisse zu aktualisieren oder zu unterdrücken. Wenn Sie ein Ergebnis unterdrücken, können Sie weiterhin darauf zugreifen. Eine Unterdrückung deutet jedoch darauf hin, dass Sie der Meinung sind, dass keine Maßnahmen erforderlich sind, um das Ergebnis zu beheben.

Durch das Unterdrücken von Ergebnissen können Sie das Suchrauschen reduzieren. Sie können beispielsweise Kontrollergebnisse unterdrücken, die in Testkonten generiert wurden. Oder Sie könnten Ergebnisse unterdrücken, die sich auf bestimmte Ressourcen beziehen. Weitere Informationen zur automatischen Aktualisierung oder Unterdrückung von Ergebnissen finden Sie unterGrundlegendes zu den Automatisierungsregeln in Security Hub CSPM.

Automatisierungsregeln eignen sich, wenn Sie bestimmte Kontrollergebnisse aktualisieren oder unterdrücken möchten. Wenn ein Steuerelement jedoch für Ihre Organisation oder Ihren Anwendungsfall nicht relevant ist, empfehlen wir, das Steuerelement zu deaktivieren. Wenn Sie eine Kontrolle deaktivieren, führt Security Hub CSPM keine Sicherheitsprüfungen für sie durch und es werden Ihnen keine Gebühren dafür berechnet.

Einzelheiten zur Einhaltung der Kontrollbestimmungen

Bei Ergebnissen, die durch Sicherheitsprüfungen für Kontrollen generiert wurden, enthalten das Compliance-Objekt und die Felder im AWS Security Finding Format (ASFF) Konformitätsdetails für einzelne Ressourcen, die von einer Kontrolle überprüft wurden. Dazu gehören die folgenden Informationen:

  • AssociatedStandards— Die aktivierten Standards, in denen das Steuerelement aktiviert ist.

  • RelatedRequirements— Die entsprechenden Anforderungen für die Steuerung in allen aktivierten Standards. Diese Anforderungen ergeben sich aus Sicherheits-Frameworks von Drittanbietern für die Steuerung, wie dem Payment Card Industry Data Security Standard (PCI DSS) oder dem Standard NIST SP 800-171 Revision 2.

  • SecurityControlId— Die Kennung für die Steuerung aller Standards, die Security Hub CSPM unterstützt.

  • Status— Das Ergebnis der letzten Überprüfung, die Security Hub CSPM für die Kontrolle durchgeführt hat. Die Ergebnisse früherer Prüfungen werden in der Befundhistorie gespeichert.

  • StatusReasons— Ein Array, das die Gründe für den durch das Status Feld angegebenen Wert auflistet. Für jeden Grund enthält dies einen Ursachencode und eine Beschreibung.

In der folgenden Tabelle sind Ursachencodes und Beschreibungen aufgeführt, die ein Ergebnis in der StatusReasons Matrix enthalten könnte. Die Behebungsschritte hängen davon ab, welche Kontrolle ein Ergebnis mit einem bestimmten Ursachencode generiert hat. Die Anleitungen zur Problembehebung für eine Kontrolle finden Sie in der. Kontrollreferenz für Security Hub CSPM

Ursachencode Compliance status (Compliance-Status) Beschreibung

CLOUDTRAIL_METRIC_FILTER_NOT_VALID

FAILED

Für den CloudTrail Trail mit mehreren Regionen gibt es keinen gültigen metrischen Filter.

CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT

FAILED

Metrische Filter sind für den Trail mit mehreren Regionen CloudTrail nicht vorhanden.

CLOUDTRAIL_MULTI_REGION_NOT_PRESENT

FAILED

Das Konto verfügt nicht über einen CloudTrail Trail für mehrere Regionen mit der erforderlichen Konfiguration.

CLOUDTRAIL_REGION_INVAILD

WARNING

CloudTrail Wanderwege mit mehreren Regionen befinden sich nicht in der aktuellen Region.

CLOUDWATCH_ALARM_ACTIONS_NOT_VALID

FAILED

Es sind keine gültigen Alarmaktionen vorhanden.

CLOUDWATCH_ALARMS_NOT_PRESENT

FAILED

CloudWatch Alarme sind im Konto nicht vorhanden.

CONFIG_ACCESS_DENIED

NOT_AVAILABLE

AWS Config Status ist ConfigError

AWS Config Zugriff verweigert.

Stellen Sie sicher, dass es aktiviert AWS Config ist und dass ihm ausreichende Berechtigungen erteilt wurden.

CONFIG_EVALUATIONS_EMPTY

PASSED

AWS Config hat Ihre Ressourcen anhand der Regel bewertet.

Die Regel galt nicht für die AWS Ressourcen in ihrem Geltungsbereich, die angegebenen Ressourcen wurden gelöscht oder die Bewertungsergebnisse wurden gelöscht.

CONFIG_RECORDER_CUSTOM_ROLE

FAILED(für Config.1)

Der AWS Config Rekorder verwendet eine benutzerdefinierte IAM-Rolle anstelle der AWS Config serviceverknüpften Rolle, und der includeConfigServiceLinkedRoleCheck benutzerdefinierte Parameter für Config.1 ist nicht auf festgelegt. false

CONFIG_RECORDER_DISABLED

FAILED(für Config.1)

AWS Config ist nicht aktiviert, wenn der Konfigurationsrekorder eingeschaltet ist.

CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES

FAILED(für Config.1)

AWS Config zeichnet nicht alle Ressourcentypen auf, die den aktivierten Security Hub CSPM-Steuerelementen entsprechen. Schalten Sie die Aufzeichnung für die folgenden Ressourcen ein:. Resources that aren't being recorded

CONFIG_RETURNS_NOT_APPLICABLE

NOT_AVAILABLE

Der Konformitätsstatus ist darauf NOT_AVAILABLE zurückzuführen, dass der Status Nicht zutreffend AWS Config zurückgegeben wurde.

AWS Config gibt keinen Grund für den Status an. Hier sind einige mögliche Gründe für den Status „Nicht zutreffend“:

  • Die Ressource wurde aus dem Geltungsbereich der AWS Config Regel entfernt.

  • Die AWS Config Regel wurde gelöscht.

  • Die Ressource wurde gelöscht.

  • Die AWS Config Regellogik kann den Status Nicht zutreffend erzeugen.

CONFIG_RULE_EVALUATION_ERROR

NOT_AVAILABLE

AWS Config Der Status ist ConfigError

Dieser Ursachencode wird für verschiedene Arten von Auswertungsfehlern verwendet.

Die Beschreibung enthält die spezifischen Ursacheninformationen.

Die Art des Fehlers kann einer der folgenden sein:

  • Unmöglichkeit, die Auswertung aufgrund fehlender Berechtigungen durchzuführen. Die Beschreibung enthält die spezifische Berechtigung, die fehlt.

  • Ein fehlender oder ungültiger Wert für einen Parameter. Die Beschreibung enthält den Parameter und die Anforderungen für den Parameterwert.

  • Fehler beim Lesen aus einem S3-Bucket. Die Beschreibung identifiziert den Bucket und stellt den spezifischen Fehler bereit.

  • Ein fehlendes AWS Abonnement.

  • Ein allgemeines Timeout für die Auswertung.

  • Ein gesperrtes Konto.

CONFIG_RULE_NOT_FOUND

NOT_AVAILABLE

AWS Config Status ist ConfigError

Die AWS Config Regel wird gerade erstellt.

INTERNAL_SERVICE_ERROR

NOT_AVAILABLE

Es ist ein unbekannter Fehler aufgetreten.

LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE

FAILED

Security Hub CSPM kann keine Überprüfung anhand einer benutzerdefinierten Lambda-Laufzeit durchführen.

S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION

WARNING

Das Ergebnis weist einen WARNING Status auf, da sich der S3-Bucket, der dieser Regel zugeordnet ist, in einer anderen Region oder einem anderen Konto befindet.

Diese Regel unterstützt keine regionsübergreifenden oder kontenübergreifenden Prüfungen.

Es wird empfohlen, diese Kontrolle in dieser Region oder diesem Konto zu deaktivieren. Führen Sie sie nur in der Region oder dem Konto aus, in dem sich die Ressource befindet.

SNS_SUBSCRIPTION_NOT_PRESENT

FAILED

Für die CloudWatch Logs-Metrikfilter gibt es kein gültiges Amazon SNS SNS-Abonnement.

SNS_TOPIC_CROSS_ACCOUNT

WARNING

Das Ergebnis befindet sich in einem WARNING Zustand.

Das mit dieser Regel verknüpfte SNS-Thema gehört einem anderen Konto. Das aktuelle Konto kann die Abonnementinformationen nicht abrufen.

Das Konto, dem das SNS-Thema gehört, muss dem aktuellen Konto die sns:ListSubscriptionsByTopic Berechtigung für das SNS-Thema gewähren.

SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION

WARNING

Das Ergebnis weist einen WARNING Status auf, da sich das mit dieser Regel verknüpfte SNS-Thema in einer anderen Region oder einem anderen Konto befindet.

Diese Regel unterstützt keine regionsübergreifenden oder kontenübergreifenden Prüfungen.

Es wird empfohlen, diese Kontrolle in dieser Region oder diesem Konto zu deaktivieren. Führen Sie sie nur in der Region oder dem Konto aus, in dem sich die Ressource befindet.

SNS_TOPIC_INVALID

FAILED

Das mit dieser Regel verknüpfte SNS-Thema ist ungültig.

THROTTLING_ERROR

NOT_AVAILABLE

Die entsprechende API-Operation hat die zulässige Rate überschritten.

ProductFields Einzelheiten zu den Kontrollbefunden

Bei Ergebnissen, die bei Sicherheitsprüfungen für Kontrollen generiert wurden, kann das ProductFieldsAttribut im AWS Security Finding Format (ASFF) die folgenden Felder enthalten.

ArchivalReasons:0/Description

Beschreibt, warum Security Hub CSPM einen Befund archiviert hat.

Security Hub CSPM archiviert beispielsweise vorhandene Ergebnisse, wenn Sie eine Kontrolle oder einen Standard deaktivieren oder wenn Sie konsolidierte Kontrollergebnisse aktivieren oder deaktivieren.

ArchivalReasons:0/ReasonCode

Gibt an, warum Security Hub CSPM einen Befund archiviert hat.

Security Hub CSPM archiviert beispielsweise vorhandene Ergebnisse, wenn Sie eine Kontrolle oder einen Standard deaktivieren oder wenn Sie konsolidierte Kontrollergebnisse aktivieren oder deaktivieren.

PreviousComplianceStatus

Der vorherige Konformitätsstatus (Compliance.Status) der Ressource für die angegebene Kontrolle, zum Zeitpunkt der letzten Aktualisierung des Ergebnisses. Wenn sich der Konformitätsstatus der Ressource während der letzten Aktualisierung nicht geändert hat, entspricht dieser Wert dem Wert für das Compliance.Status Ergebnisfeld. Eine Liste möglicher Werte finden Sie unter Bewertung des Konformitätsstatus und des Kontrollstatus.

StandardsGuideArn oder StandardsArn

Der ARN des Standards, der dem Steuerelement zugeordnet ist.

Für den Benchmark-Standard der CIS AWS Foundations lautet das FeldStandardsGuideArn. Für die Standards PCI DSS und AWS Foundational Security Best Practices lautet das Feld. StandardsArn

Diese Felder werden zugunsten von entfernt, Compliance.AssociatedStandards wenn Sie konsolidierte Kontrollergebnisse aktivieren.

StandardsGuideSubscriptionArn oder StandardsSubscriptionArn

Der ARN des Standardabonnements des Kontos.

Für den Benchmark-Standard der CIS AWS Foundations lautet das FeldStandardsGuideSubscriptionArn. Für die Standards PCI DSS und AWS Foundational Security Best Practices lautet das Feld. StandardsSubscriptionArn

Diese Felder werden entfernt, wenn Sie konsolidierte Kontrollergebnisse aktivieren.

RuleId oder ControlId

Der Bezeichner für das Steuerelement.

Für den Benchmark-Standard der CIS AWS Foundations lautet das FeldRuleId. Für andere Standards ist das FeldControlId.

Diese Felder werden zugunsten von entfernt, Compliance.SecurityControlId wenn Sie konsolidierte Kontrollergebnisse aktivieren.

RecommendationUrl

Die URL mit Behebungsinformationen für das Steuerelement. Dieses Feld wird entfernt, Remediation.Recommendation.Url wenn Sie konsolidierte Kontrollergebnisse aktivieren.

RelatedAWSResources:0/name

Der Name der Ressource, die dem Ergebnis zugeordnet ist.

RelatedAWSResource:0/type

Der Typ der Ressource, die dem Steuerelement zugeordnet ist.

StandardsControlArn

Der ARN des Steuerelements. Dieses Feld wird entfernt, wenn Sie konsolidierte Kontrollergebnisse aktivieren.

aws/securityhub/ProductName

Für Kontrollergebnisse lautet der ProduktnameSecurity Hub.

aws/securityhub/CompanyName

Für Kontrollergebnisse lautet der FirmennameAWS.

aws/securityhub/annotation

Eine Beschreibung des bei der Kontrolle aufgedeckten Problems.

aws/securityhub/FindingId

Die Kennung für den Befund.

Dieses Feld verweist nicht auf einen Standard, wenn Sie konsolidierte Kontrollergebnisse aktivieren.

Schweregrade der Kontrollbefunde

Der Schweregrad, der einer Security Hub-CSPM-Steuerung zugewiesen wurde, weist auf die Wichtigkeit der Kontrolle hin. Der Schweregrad einer Kontrolle bestimmt den Schweregrad, der den Kontrollergebnissen zugewiesen wird.

Schweregradkriterien

Der Schweregrad einer Kontrolle wird anhand der folgenden Kriterien bestimmt:

  • Wie schwierig ist es für einen Bedrohungsakteur, die mit der Kontrolle verbundene Konfigurationsschwäche auszunutzen? Die Schwierigkeit wird durch den Grad an Raffinesse oder Komplexität bestimmt, der erforderlich ist, um die Schwachstelle zur Ausführung eines Bedrohungsszenarios auszunutzen.

  • Wie wahrscheinlich ist es, dass die Schwachstelle zu einer Beeinträchtigung Ihrer Ressourcen AWS-Konten oder Ihrer Ressourcen führt? Eine Beeinträchtigung Ihrer AWS-Konten Ressourcen bedeutet, dass die Vertraulichkeit, Integrität oder Verfügbarkeit Ihrer Daten oder AWS Infrastruktur in irgendeiner Weise beeinträchtigt wird. Die Wahrscheinlichkeit einer Gefährdung gibt an, wie wahrscheinlich es ist, dass das Bedrohungsszenario zu einer Störung oder einem Angriff auf Ihre Ressourcen AWS-Services oder Ihre Ressourcen führt.

Betrachten Sie als Beispiel die folgenden Konfigurationsschwächen:

  • Benutzerzugriffsschlüssel werden nicht alle 90 Tage ausgetauscht.

  • Der IAM-Root-Benutzerschlüssel ist vorhanden.

Beide Schwächen sind für einen Gegner gleichermaßen schwer auszunutzen. In beiden Fällen kann der Angreifer Anmeldeinformationen stehlen oder eine andere Methode verwenden, um an einen Benutzerschlüssel zu gelangen. Er kann es dann verwenden, um auf unautorisierte Weise auf Ihre Ressourcen zuzugreifen.

Die Wahrscheinlichkeit einer Kompromittierung ist jedoch viel höher, wenn der Bedrohungsakteur den Root-Benutzerzugriffsschlüssel erwirbt, da er dadurch besseren Zugriff hat. Infolgedessen hat die Schwäche des Root-Benutzerschlüssels einen höheren Schweregrad.

Der Schweregrad berücksichtigt nicht die Wichtigkeit der zugrunde liegenden Ressource. Kritikalität ist der Grad der Wichtigkeit der Ressourcen, die mit dem Ergebnis verknüpft sind. Beispielsweise ist eine Ressource, die einer geschäftskritischen Anwendung zugeordnet ist, kritischer als eine, die nicht produktionstechnischen Tests zugeordnet ist. Verwenden Sie das Criticality Feld des AWS Security Finding Formats (ASFF), um Informationen zur Ressourcenkritik zu erfassen.

In der folgenden Tabelle werden die Sicherheitsbeschriftungen aufgeführt, wie schwierig es auszunutzen ist, und wie wahrscheinlich es ist, dass sie gefährdet werden.

Ein Kompromiss ist sehr wahrscheinlich

Kompromiss wahrscheinlich

Ein Kompromiss ist unwahrscheinlich

Ein Kompromiss ist höchst unwahrscheinlich

Sehr einfach auszunutzen

Kritisch

Kritisch

Hoch

Mittelschwer

Etwas einfach auszunutzen

Kritisch

Hoch

Mittelschwer

Mittelschwer

Etwas schwer auszunutzen

Hoch

Mittelschwer

Mittelschwer

Niedrig

Sehr schwer auszunutzen

Mittelschwer

Mittelschwer

Niedrig

Niedrig

Definitionen des Schweregrads

Die Schweregrade sind wie folgt definiert.

Kritisch — Das Problem sollte sofort behoben werden, um eine Eskalation zu vermeiden.

Beispielsweise wird ein offener S3-Bucket mit kritischem Schweregrad bewertet. Da so viele Bedrohungsakteure nach offenen S3-Buckets suchen, ist es wahrscheinlich, dass Daten in exponierten S3-Buckets von anderen entdeckt und abgerufen werden.

Im Allgemeinen gelten öffentlich zugängliche Ressourcen als kritische Sicherheitslücken. Sie sollten kritische Ergebnisse mit äußerster Dringlichkeit behandeln. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.

Hoch — Das Problem muss als kurzfristige Priorität angegangen werden.

Wenn eine Standard-VPC-Sicherheitsgruppe beispielsweise für eingehenden und ausgehenden Datenverkehr geöffnet ist, wird sie als hochgradig eingestuft. Für einen Bedrohungsakteur ist es ziemlich einfach, eine VPC mit dieser Methode zu kompromittieren. Es ist auch wahrscheinlich, dass der Bedrohungsakteur in der Lage sein wird, Ressourcen zu unterbrechen oder zu exfiltrieren, sobald sie sich in der VPC befinden.

Security Hub CSPM empfiehlt, dass Sie einen Befund mit hohem Schweregrad als kurzfristige Priorität behandeln. Sie sollten sofort Abhilfemaßnahmen ergreifen. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.

Mittel — Das Problem sollte als mittelfristige Priorität behandelt werden.

Mangelnde Verschlüsselung für Daten bei der Übertragung wird beispielsweise als mittelgradig eingestuft. Um diese Schwachstelle auszunutzen, ist ein ausgeklügelter man-in-the-middle Angriff erforderlich. Mit anderen Worten, es ist etwas schwierig. Es ist wahrscheinlich, dass einige Daten gefährdet werden, wenn das Bedrohungsszenario erfolgreich ist.

Security Hub CSPM empfiehlt, dass Sie die betroffene Ressource so schnell wie möglich untersuchen. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.

Niedrig — Das Problem erfordert keine eigenständigen Maßnahmen.

Beispielsweise wird das Versäumnis, forensische Informationen zu sammeln, als niedriger Schweregrad angesehen. Diese Kontrolle kann dazu beitragen, future Kompromisse zu verhindern, aber das Fehlen von Forensik führt nicht direkt zu einem Kompromiss.

Bei Ergebnissen mit geringem Schweregrad müssen Sie nicht sofort Maßnahmen ergreifen, aber sie können einen Kontext bieten, wenn Sie sie mit anderen Problemen korrelieren.

Informativ — Es wurde keine Sicherheitslücke in der Konfiguration gefunden.

Mit anderen Worten, der Status ist PASSEDWARNING, oderNOT AVAILABLE.

Es gibt keine empfohlene Aktion. Informationsergebnisse helfen Kunden dabei, nachzuweisen, dass sie sich in einem konformen Zustand befinden.