Security Hub Hub-Konzepte

Das AWS Standardkonto, das Ihre AWS Ressourcen enthält. Melden Sie sich AWS mit Ihrem AWS Konto an, um Security Hub zu aktivieren.

Wenn Ihr Konto registriert ist AWS Organizations, weist Ihre Organisation ein Security Hub-Administratorkonto zu. Dieses Konto kann andere Unternehmenskonten als Mitgliedskonten aktivieren.

Eine Organisation kann nur ein Administratorkonto haben. Ein Konto kann nicht gleichzeitig ein Administratorkonto und ein Mitgliedskonto sein.

Security Hub unterstützt die folgenden Konten:

Bei diesem AWS Kontotyp können Ergebnisse für verknüpfte Mitgliedskonten angezeigt werden.

Dieser AWS Kontotyp wird zu einem Administratorkonto, wenn das Konto von einem Organisationsverwaltungskonto als Security Hub-Administratorkonto festgelegt wird. Das Security Hub-Administratorkonto kann jedes Unternehmenskonto als Mitgliedskonto aktivieren und auch andere Konten als Mitgliedskonten einladen.

Eine Organisation kann nur ein Administratorkonto haben. Ein Konto kann nicht gleichzeitig ein Administratorkonto und ein Mitgliedskonto sein.

Ein Aggregationsbereich ermöglicht es Ihnen, Sicherheitserkenntnisse aus mehreren Bereichen AWS-Regionen in einem einzigen Fenster anzuzeigen.

In der Aggregationsregion können Sie AWS-Region Ergebnisse einsehen und verwalten. Ergebnisse werden in der Aggregationsregion aus verknüpften Regionen aggregiert. Aktualisierte Ergebnisse werden in allen Regionen repliziert.

In der Aggregationsregion enthalten das Dashboard und die Inventarseiten Daten aus allen verknüpften Regionen. Die Automationsseite kann nur verwendet werden, um Automatisierungsregeln in der Aggregationsregion zu definieren. Ticketing-Integrationen von Drittanbietern können nur in der Aggregationsregion konfiguriert werden.

Ein Befund mit dem StatusARCHIVED. Diese Ergebnisse deuten darauf hin, dass der Anbieter oder Kunde, der das Ergebnis untersucht, der Ansicht ist, dass das Ergebnis nicht mehr relevant ist.

Finding Provider können die von ihnen erstellten Ergebnisse archivieren. Kunden können alle Ergebnisse, die ihrer Meinung nach nicht mehr relevant sind, mithilfe des BatchUpdateFindingsV2-Betriebs der Security Hub Hub-API oder durch Aktualisierung des Status in der Security Hub Hub-Konsole archivieren.

In der Security Hub Hub-Konsole schließen die Standardfiltereinstellungen archivierte Ergebnisse aus Suchlisten und Tabellen aus. Sie können die Filter aktualisieren, um archivierte Ergebnisse einzubeziehen. Wenn Sie Ergebnisse mithilfe des GetFindingsV2-Vorgangs abrufen, ruft der Vorgang sowohl archivierte als auch aktive Ergebnisse ab. Das folgende Beispiel zeigt, wie archivierte Ergebnisse in den Ergebnissen ausgeschlossen werden können.

{
    "StringFilters":
    [
        {
            "FieldName": "status",
            "Filter":
            {
                "Value": "Archived",
                "Comparison": "EQUALS"
            }
        }
    ]
}

Die Aggregation von Ergebnissen und Ressourcen aus verknüpften Regionen zu einer Aggregationsregion. Sie können alle Ihre Daten aus der Aggregationsregion anzeigen und die Ergebnisse aus der Aggregationsregion aktualisieren.

AWS Organizations In kann das delegierte Administratorkonto für einen Dienst die Nutzung eines Dienstes für die Organisation verwalten.

In Security Hub ist das Security Hub-Administratorkonto auch das delegierte Administratorkonto für Security Hub. Wenn das Organisationsverwaltungskonto das Security Hub-Administratorkonto zum ersten Mal festlegt, ruft Security Hub Organizations auf, dieses Konto zum delegierten Administratorkonto zu machen.

Das Organisationsverwaltungskonto muss dann das delegierte Administratorkonto als Security Hub-Administratorkonto in allen Regionen auswählen.

Gefahren sind umfassendere Schwächen bei Sicherheitskontrollen, Fehlkonfigurationen oder anderen Bereichen, die durch aktive Bedrohungen ausgenutzt werden könnten.

Zu den Risikopositionen gehören beispielsweise:

Eine Art von Befund, der eine in Ihrer Umgebung vorhandene Exposition beschreibt. Ein Expositionsergebnis umfasst Merkmale und Signale. Ein Signal kann eine oder mehrere Arten von Expositionsmerkmalen enthalten. AWS Security Hub generiert eine Risikofeststellung, wenn Signale von AWS Security Hub CSPM, Amazon Inspector, Amazon GuardDuty, Amazon Macie oder anderen AWS Diensten auf das Vorliegen einer Gefährdung hinweisen. Eine Ressource kann an einer oder mehreren Expositionsfeststellungen beteiligt sein. Wenn eine Ressource keine oder nur unzureichende Merkmale aufweist, generiert Security Hub für diese Ressource keine Gefährdungsermittlung.

Ein Beispiel für eine Sicherheitslücke ist: Eine EC2 Instanz, die über das Internet erreichbar ist und Software-Sicherheitslücken aufweist, die mit hoher Wahrscheinlichkeit ausgenutzt werden können.

Der beobachtbare Datensatz einer Sicherheitsprüfung oder sicherheitsrelevanten Erkennung. Security Hub generiert und aktualisiert Ergebnisse durch die Korrelation anderer Sicherheitsergebnisse. Diese werden als Expositionsergebnisse bezeichnet. Die Ergebnisse können auch aus Integrationen mit anderen Produkten AWS-Services und Produkten von Drittanbietern stammen.

Der Import von Ergebnissen in Security Hub. Das Auffinden von Verschluckungsereignissen umfasst sowohl neue Erkenntnisse als auch Aktualisierungen vorhandener Ergebnisse.

Wenn Sie die regionsübergreifende Aggregation aktivieren, ist eine verknüpfte Region eine Region, die Ergebnisse und Ressourceninventar in der Aggregationsregion zusammenfasst.

In einer verknüpften Region enthalten das Dashboard und die Inventarseiten nur Ergebnisse für diese Region. AWS-Region

Das Open Cybersecurity Schema Framework (OCSF) ist eine gemeinsame Open-Source-Initiative von AWS führenden Partnern in der Cybersicherheitsbranche. OCSF bietet ein Standardschema für allgemeine Sicherheitsereignisse, definiert Versionierungskriterien, um die Schemaentwicklung zu erleichtern, und beinhaltet einen Selbstverwaltungsprozess für Hersteller und Nutzer von Sicherheitsprotokollen. Weitere Informationen finden Sie unter OCSF-Ergebnisse in Security Hub.

Eine AWS-Konto , die einem Administratorkonto die Erlaubnis erteilt hat, ihre Ergebnisse einzusehen und entsprechende Maßnahmen zu ergreifen. Diese Art AWS-Konto wird zu einem Mitgliedskonto, wenn das Security Hub-Administratorkonto sie als Mitgliedskonto aktiviert.

Ein Befund, der zur Feststellung einer Exposition beiträgt. Ein Signal kann als beitragendes Ergebnis bezeichnet werden. Ein Signal kann von Security Hub, CSPM oder einem anderen AWS Config System wie Amazon AWS-Services Inspector stammen.

Eine Sicherheitsabweichung, die zu einer Risikofeststellung führt. Zu den Merkmalstypen gehören Vermutbarkeit, Fehlkonfiguration, Erreichbarkeit, sensible Daten und Sicherheitslücke. Ein Merkmal ist mit einem Signal verknüpft, und ein Signal kann mehrere Merkmale enthalten. Ein Security Hub CSPM-Steuerelement weist beispielsweise darauf hin, dass eine vom Kunden verwaltete Richtlinie eine administrative Zugriffskontrolle ermöglicht. Dieses Signal enthält ein Merkmal einer Fehlkonfiguration.