Konzepte und Terminologie in Security Hub CSPM

Ein Standardkonto von Amazon Web Services (AWS), das Ihre AWS Ressourcen enthält. Sie können sich AWS mit Ihrem Konto anmelden und Security Hub CSPM aktivieren.

Ein Konto kann andere Konten zur Aktivierung von Security Hub CSPM einladen und mit diesem Konto in Security Hub CSPM verknüpft werden. Das Annehmen einer Mitgliedschaftseinladung ist optional. Wenn die Einladungen angenommen werden, wird das Konto zu einem Administratorkonto und die hinzugefügten Konten sind Mitgliedskonten. Administratorkonten können Ergebnisse in ihren Mitgliedskonten einsehen.

Wenn Sie registriert sind AWS Organizations, weist Ihre Organisation ein Security Hub CSPM-Administratorkonto für die Organisation zu. Das Security Hub CSPM-Administratorkonto kann andere Organisationskonten als Mitgliedskonten aktivieren.

Ein Konto kann nicht gleichzeitig Administratorkonto und Mitgliedskonto sein. Ein Konto kann nur ein Administratorkonto haben.

Weitere Informationen finden Sie unter Verwaltung von Administrator- und Mitgliedskonten in Security Hub CSPM.

Ein Konto in Security Hub CSPM, dem Zugriff gewährt wird, um Ergebnisse für zugehörige Mitgliedskonten einzusehen.

Ein Konto wird auf eine der folgenden Arten zu einem Administratorkonto:

Ein Konto kann nur ein Administratorkonto haben. Ein Konto kann nicht gleichzeitig ein Administratorkonto und ein Mitgliedskonto sein.

Wenn Sie eine Aggregationsregion festlegen, können Sie Sicherheitsergebnisse aus mehreren Bereichen AWS-Regionen in einem einzigen Fenster anzeigen.

Die Aggregationsregion ist die Region, von der aus Sie Ergebnisse anzeigen und verwalten. Die Ergebnisse werden aus verknüpften Regionen zur Aggregationsregion aggregiert. Aktualisierungen der Ergebnisse werden in allen Regionen repliziert.

In der Aggregationsregion enthalten die Seiten Sicherheitsstandards, Einblicke und Ergebnisse Daten aus allen verknüpften Regionen.

Weitere Informationen finden Sie unter Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM.

Ein Ergebnis, dessen Datensatzstatus (RecordState) lautetARCHIVED. Die Archivierung eines Ergebnisses weist darauf hin, dass der Befundgeber der Ansicht ist, dass das Ergebnis nicht mehr relevant ist. Der Datensatzstatus unterscheidet sich vom Workflow-Status, der den Status der Untersuchung bis zu einem Ergebnis verfolgt.

Suchdienstleister können den BatchImportFindingsBetrieb der Security Hub CSPM-API verwenden, um von ihnen erstellte Ergebnisse zu archivieren. Security Hub CSPM archiviert automatisch Kontrollergebnisse, die bestimmte Kriterien erfüllen. Weitere Informationen finden Sie unter Generierung, Aktualisierung und Archivierung von Kontrollbefunden.

Auf der Security Hub CSPM-Konsole schließen die Standardfiltereinstellungen archivierte Ergebnisse aus Suchlisten und Tabellen aus. Sie können die Einstellungen aktualisieren, um archivierte Ergebnisse einzubeziehen. Wenn Sie Ergebnisse mithilfe der GetFindingsSecurity Hub CSPM-API abrufen, ruft der Vorgang sowohl archivierte als auch aktive Ergebnisse ab. Um archivierte Ergebnisse auszuschließen, können Sie die Ergebnisse filtern. Zum Beispiel:

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],

Ein standardisiertes Format für den Inhalt von Ergebnissen, die Security Hub CSPM aggregiert oder generiert. Mit dem AWS Security Finding Format können Sie Security Hub CSPM verwenden, um Ergebnisse anzuzeigen und zu analysieren, die von AWS Sicherheitsdiensten, Drittanbieterlösungen oder Security Hub CSPM selbst bei der Durchführung von Sicherheitsprüfungen generiert wurden. Weitere Informationen finden Sie unter AWS Format für Sicherheitssuche (ASFF).

Eine Schutz- oder Gegenmaßnahme, die für ein Informationssystem oder eine Organisation vorgeschrieben ist, um die Vertraulichkeit, Integrität und Verfügbarkeit seiner Informationen zu schützen und eine Reihe definierter Sicherheitsanforderungen zu erfüllen. Ein Sicherheitsstandard ist mit einer Sammlung von Kontrollen verknüpft.

Der Begriff Sicherheitskontrolle bezieht sich auf Kontrollen, die standardübergreifend über eine einzige Kontroll-ID und einen einzigen Titel verfügen. Der Begriff Standardkontrolle bezieht sich auf Steuerelemente mit standardspezifischen Steuerelementen IDs und Titeln. Derzeit unterstützt Security Hub CSPM Standardkontrollen nur in den Regionen China und. AWS GovCloud (US) Regions Sicherheitskontrollen werden in allen anderen Regionen unterstützt.

Ein Security Hub CSPM-Mechanismus zum Senden ausgewählter Ergebnisse an. EventBridge Eine benutzerdefinierte Aktion wird in Security Hub CSPM erstellt. Sie wird dann mit einer EventBridge Regel verknüpft. Die Regel definiert eine bestimmte Aktion, die ausgeführt werden soll, wenn Funde empfangen werden, die der benutzerdefinierten Aktions-ID zugeordnet sind. Benutzerdefinierte Aktionen können beispielsweise verwendet werden, um einen bestimmten Fund oder einen kleinen Satz von Funden an einen Antwort- oder Korrektur-Workflow zu senden. Weitere Informationen finden Sie unter Eine benutzerdefinierte Aktion erstellen.

AWS Organizations In kann das delegierte Administratorkonto für einen Dienst die Nutzung eines Dienstes für die Organisation verwalten.

In Security Hub CSPM ist das Security Hub CSPM-Administratorkonto auch das delegierte Administratorkonto für Security Hub CSPM. Wenn das Organisationsverwaltungskonto zum ersten Mal ein Security Hub CSPM-Administratorkonto festlegt, ruft Security Hub CSPM Organizations auf, dieses Konto zum delegierten Administratorkonto zu machen.

Das Organisationsverwaltungskonto muss dann das delegierte Administratorkonto als Security Hub CSPM-Administratorkonto in allen Regionen auswählen.

Der beobachtbare Datensatz einer Sicherheitsprüfung oder sicherheitsrelevanten Erkennung. Security Hub CSPM generiert Ergebnisse, nachdem die Sicherheitsprüfungen für Kontrollen abgeschlossen wurden. Diese Ergebnisse werden als Kontrollergebnisse bezeichnet. Die Ergebnisse können auch aus Integrationen mit anderen Produkten AWS-Services und Produkten von Drittanbietern stammen.

Weitere Informationen finden Sie unter Ergebnisse in Security Hub CSPM erstellen und aktualisieren.

Die Zusammenfassung von Ergebnissen, Erkenntnissen, Compliance-Status und Sicherheitsbewertungen aus verknüpften Regionen zu einer Aggregationsregion. Anschließend können Sie alle Ihre Daten aus der Aggregationsregion anzeigen und die Ergebnisse und Erkenntnisse aus der Aggregationsregion aktualisieren.

Weitere Informationen finden Sie unter Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM.

Der Import von Ergebnissen aus anderen AWS Diensten und von Drittanbietern in Security Hub CSPM.

Zu den festgestellten Ingestionsereignissen gehören sowohl neue Erkenntnisse als auch Aktualisierungen vorhandener Ergebnisse.

Eine Sammlung zusammenhängender Funde, die durch eine Aggregationsanweisung und optionale Filter definiert wird. Ein Insight identifiziert einen Sicherheitsbereich, der Aufmerksamkeit und Intervention erfordert. Security Hub CSPM bietet mehrere verwaltete (Standard-) Einblicke, die Sie nicht ändern können. Sie können auch benutzerdefinierte Security Hub CSPM-Einblicke erstellen, um Sicherheitsprobleme zu verfolgen, die für Ihre AWS Umgebung und Nutzung spezifisch sind. Weitere Informationen finden Sie unter Einblicke in Security Hub CSPM anzeigen.

Wenn Sie die regionsübergreifende Aggregation aktivieren, ist eine verknüpfte Region eine Region, die Ergebnisse, Erkenntnisse, den Status der Kontrollkonformität und Sicherheitsbewertungen in der Aggregationsregion zusammenfasst.

In einer verknüpften Region enthalten die Seiten „Ergebnisse“ und „Einblicke“ nur Ergebnisse aus dieser Region.

Weitere Informationen finden Sie unter Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM.

Ein Konto, das einem Administratorkonto die Erlaubnis erteilt hat, die Ergebnisse einzusehen und entsprechende Maßnahmen zu ergreifen.

Ein Konto wird auf eine der folgenden Arten zu einem Mitgliedskonto:

Eine Reihe von Branchen- oder regulatorischen Anforderungen, die einem Steuerelement zugeordnet sind.

Eine Reihe von automatisierten Kriterien, die verwendet werden, um zu beurteilen, ob ein Steuerelement eingehalten wird. Wenn eine Regel ausgewertet wird, kann sie erfolgreich sein oder fehlschlagen. Wenn die Auswertung nicht feststellen kann, ob die Regel erfolgreich ist oder fehlschlägt, befindet sich die Regel in einem Warnzustand. Wenn die Regel nicht ausgewertet werden kann, befindet sie sich in einem nicht verfügbaren Zustand.

Eine spezifische point-in-time Auswertung einer Regel anhand einer einzelnen Ressource, die zu einem StatusPASSED, FAILEDWARNING, oder NOT_AVAILABLE führt. Das Ausführen einer Sicherheitsprüfung führt zu einem Ergebnis.

Ein Organisationskonto, das die Security Hub CSPM-Mitgliedschaft für eine Organisation verwaltet.

Das Organisationsverwaltungskonto bestimmt das Security Hub CSPM-Administratorkonto in jeder Region. Das Organisationsverwaltungskonto muss in allen Regionen dasselbe Security Hub CSPM-Administratorkonto wählen.

Das Security Hub CSPM-Administratorkonto ist auch das delegierte Administratorkonto für Security Hub CSPM in Organizations.

Das Security Hub CSPM-Administratorkonto kann jedes Unternehmenskonto als Mitgliedskonto aktivieren. Das Security Hub CSPM-Administratorkonto kann auch andere Konten als Mitgliedskonten einladen.

Eine veröffentlichte Erklärung zu einem Thema, in der die Eigenschaften (in der Regel messbar und in Form von Kontrollen) definiert sind, die gegeben sein oder erreicht werden müssen, um Compliance sicherzustellen. Sicherheitsstandards können auf regulatorischen Rahmenbedingungen, bewährten Methoden oder internen Unternehmensrichtlinien basieren. Ein Steuerelement kann mit einem oder mehreren unterstützten Standards in Security Hub CSPM verknüpft sein. Weitere Informationen zu den Sicherheitsstandards in Security Hub CSPM finden Sie unter. Sicherheitsstandards in Security Hub CSPM verstehen

Der Schweregrad, der einem Security Hub CSPM-Steuerelement zugewiesen wurde, zeigt die Wichtigkeit der Kontrolle an. Der Schweregrad einer Kontrolle kann „Kritisch“, „Hoch“, „Mittel“, „Niedrig“ oder „Informativ“ sein. Der den Kontrollbefunden zugewiesene Schweregrad entspricht dem Schweregrad der Kontrolle selbst. Informationen darüber, wie Security Hub CSPM einer Kontrolle den Schweregrad zuweist, finden Sie unter. Schweregrade der Kontrollergebnisse

Der Status einer Untersuchung zu einem Befund. Dies wird mithilfe des Attributs verfolgt. Workflow.Status

Der Workflow-Status ist zunächst NEW. Wenn Sie den Ressourcenbesitzer benachrichtigt haben, Maßnahmen für das Ergebnis zu ergreifen, können Sie den Workflow-Status auf NOTIFIED festlegen. Wenn die Suche kein Problem darstellt und keine Aktion erfordert, legen Sie den Workflow-Status auf SUPPRESSED fest. Nachdem Sie eine Suche überprüft und korrigiert haben, legen Sie den Workflow-Status auf RESOLVED fest.

Standardmäßig enthalten die meisten Suchlisten nur Ergebnisse mit dem Workflow-Status NEW oder NOTIFIED. Die Suche nach Listen für Steuerelemente umfasst auch RESOLVED-Ergebnisse.

Für die Operation GetFindings können Sie einen Filter für den Workflow-Status einschließen.

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

Die Security Hub CSPM-Konsole bietet eine Option, um den Workflow-Status für Ergebnisse festzulegen. Kunden (oder SIEM-, Ticketing-, Vorfallmanagement- oder SOAR-Tools, die im Auftrag eines Kunden Ergebnisse von Ergebnisanbietern aktualisieren) können mithilfe von BatchUpdateFindings auch den Workflow-Status aktualisieren.