Integración de IAM Access Analyzer con AWS Security Hub CSPM - AWS Identity and Access Management
Cómo el analizador de acceso de IAM envía los resultados a Security Hub CSPMVisualización de los resultados del analizador de acceso de IAM en Security Hub CSPMResultados típicos del Analizador de acceso de IAMHabilitación y configuración de la integraciónCómo dejar de enviar resultados

Integración de IAM Access Analyzer con AWS Security Hub CSPM

AWS Security Hub CSPM proporciona una visión completa de su estado de seguridad en AWS. Ayuda a evaluar su entorno en relación a los estándares de seguridad de la industria y las prácticas recomendadas. Security Hub CSPM recopila datos de seguridad de todas las Cuentas de AWS, los servicios y los productos de socios terceros compatibles. Luego, analiza sus tendencias de seguridad e identifica los problemas de seguridad de mayor prioridad.

La integración del analizador de acceso de IAM con Security Hub CSPM permite enviar los resultados del analizador de acceso de IAM a Security Hub CSPM. Security Hub CSPM puede incluir esos resultados en su análisis de la posición de seguridad general.

Cómo el analizador de acceso de IAM envía los resultados a Security Hub CSPM

En el CSPM de Security Hub, se realiza seguimiento de los problemas de seguridad como resultados. Algunos resultados provienen de problemas detectados por otros Servicios de AWS o por socios terceros. El CSPM de Security Hub también cuenta con un conjunto de reglas que utiliza para detectar problemas de seguridad y generar resultados.

El CSPM de Security Hub proporciona herramientas para administrar resultados procedentes de todos estos orígenes. Puede ver y filtrar listas de resultados, así como consultar información detallada sobre cada uno. Para obtener más información, consulte Visualización de resultados en la Guía del usuario de AWS Security Hub. También puede realizar un seguimiento del estado de investigaciones un resultados. Para obtener más información, consulte Adopción de medidas en función de los resultados en la Guía del usuario de AWS Security Hub.

Todos los resultados en Security Hub CSPM usan un formato JSON estándar llamado Formato AWS Security Finding (ASFF). El ASFF incluye detalles sobre el origen del problema, los recursos afectados y el estado actual del resultado. Para obtener más información, consulte AWS Security Finding Format (ASFF) en la Guía del usuario de AWS Security Hub.

El AWS Identity and Access Management Access Analyzer es uno de los Servicios de AWS que envía los resultados a Security Hub CSPM. Para el acceso no utilizado, el Analizador de acceso de IAM genera un resultado cuando detecta el acceso no utilizado concedido a los usuarios de IAM o sus roles. A continuación, el analizador de acceso de IAM envía los resultados a Security Hub CSPM.

Para el acceso externo, IAM Access Analyzer detecta declaraciones de políticas que brindan acceso público o acceso entre cuentas a entidades principales externas en recursos admitidos en su organización o cuenta. El analizador de acceso de IAM genera un resultado de acceso público y lo envía a Security Hub CSPM. Para el acceso entre cuentas, el analizador de acceso de IAM envía un único resultado para una entidad principal externa a la vez a Security Hub CSPM. Si hay varios resultados entre cuentas en el analizador de acceso de IAM, debe resolver el resultado de Security Hub CSPM para la única entidad principal externa antes de que el analizador de acceso de IAM proporcione el siguiente resultado entre cuentas. Para obtener una lista completa de entidades principales externas con acceso entre cuentas fuera de la zona de confianza para el analizador, debe ver los resultados en el Analizador de acceso de IAM. Los detalles sobre la política de control de recursos (RCP) están disponibles en la sección de detalles de recursos.

Tipos de resultados que envía el Analizador de acceso de IAM

El analizador de acceso de IAM envía los resultados a Security Hub CSPM mediante el Formato de resultados de seguridad de AWS (ASFF). En ASFF, el campo Types proporciona el tipo de resultado. Los resultados del Analizador de acceso de IAM pueden tener los siguientes valores para Types.

  • Resultados de acceso externo: Efectos/Exposición de datos/Acceso Externo Concedido

  • Resultados del acceso externo: comprobaciones de software y configuración/Prácticas recomendadas de seguridad de AWS/Acceso externo concedido

  • Resultados de accesos no utilizados: comprobaciones de software y configuración/Prácticas recomendadas de seguridad de AWS/Permiso no utilizado

  • Resultados de accesos no utilizados: comprobaciones de software y configuración/Prácticas recomendadas de seguridad de AWS/Rol de IAM no utilizado

  • Resultados de accesos no utilizados: comprobaciones de software y configuración/Prácticas recomendadas de seguridad de AWS/Contraseña de usuario de IAM no utilizada

  • Resultados de accesos no utilizados: comprobaciones de software y configuración/Prácticas recomendadas de seguridad de AWS/Clave de acceso de usuario de IAM no utilizada

Latencia para el envío de resultados

Cuando el analizador de acceso de IAM crea un nuevo resultado, generalmente se envía a Security Hub CSPM en un plazo de 30 minutos. Sin embargo, en raras ocasiones, es posible que no se notifique a IAM Access Analyzer acerca de un cambio de política. Por ejemplo:

  • Los cambios en la configuración de acceso público al bloqueo de nivel de cuenta de Amazon S3 pueden tardar hasta 12 horas hasta que se reflejen en IAM Access Analyzer.

  • Los cambios en una política de control de recursos (RCP) sin un cambio en la política basada en recursos no activan un nuevo análisis del recurso que se comunicó en el resultado. El Analizador de acceso de IAM analiza la política nueva o actualizada durante el siguiente análisis periódico, que es dentro de las 24 horas.

  • Si hay un problema de entrega con la entrega de registro de AWS CloudTrail, el cambio de política no activa un nuevo análisis del recurso que se comunicó en el resultado.

En estos casos, IAM Access Analyzer analiza la política nueva o actualizada durante el siguiente análisis periódico.

Reintentos cuando el CSPM de Security Hub no está disponible

Si Security Hub CSPM no está disponible, el analizador de acceso de IAM vuelve a intentar enviar los resultados periódicamente.

Actualización de resultados existentes en el CSPM de Security Hub

Después de enviar un resultado a Security Hub CSPM, el analizador de acceso de IAM sigue enviando actualizaciones para reflejar observaciones adicionales de la actividad del resultado a Security Hub CSPM. Estas actualizaciones se reflejan en el mismo resultado.

En cuanto a los resultados sobre el acceso externo, IAM Access Analyzer los agrupa por recurso. El resultado de un recurso en Security Hub CSPM está activo si al menos uno de los resultados del recurso está activo en el analizador de acceso de IAM. Si todos los resultados de un recurso se archivan o resuelven en el analizador de acceso de IAM, el resultado de Security Hub CSPM también se archivará. El resultado de Security Hub CSPM se actualiza cuando cambia el acceso a la política entre el acceso público y el acceso entre cuentas. Esta actualización puede incluir cambios en el tipo, título, descripción y gravedad del resultado.

En el caso de los resultados de acceso no utilizado, IAM Access Analyzer no los agrupa por recurso. En cambio, si un resultado de acceso no utilizado se resuelve en el analizador de acceso de IAM, también se resuelve el resultado de Security Hub CSPM correspondiente. El resultado de Security Hub CSPM se actualiza cuando actualiza el usuario o rol de IAM que generó el resultado de acceso no utilizado.

Visualización de los resultados del analizador de acceso de IAM en Security Hub CSPM

Para ver sus resultados del analizador de acceso de IAM en Security Hub CSPM, elija Ver resultados en la sección AWS: analizador de acceso de IAM de la página de resumen. También puede seleccionar Resultados en el panel de navegación. A continuación, puede filtrar las conclusiones para mostrar solo los resultados de AWS Identity and Access Management Access Analyzer seleccionando el campo Nombre del producto: con un valor de IAM Access Analyzer.

Interpretación de los nombres de los resultados del analizador de acceso de IAM en Security Hub CSPM

AWS Identity and Access Management Access Analyzer envía los resultados a Security Hub CSPM mediante el Formato de resultados de seguridad de AWS (ASFF). En ASFF, el campo Tipos proporciona el tipo de resultado. Los tipos ASFF utilizan un esquema de nomenclatura diferente al de AWS Identity and Access Management Access Analyzer. En la siguiente tabla, se incluyen detalles sobre todos los tipos de ASFF asociados a los resultados de AWS Identity and Access Management Access Analyzer tal como aparecen en Security Hub CSPM.

Tipo de resultado de ASFF Título del resultado de Security Hub CSPM Descripción
Efectos/Exposición de datos/Acceso Externo Concedido <resource ARN> permite el acceso público Una política basada en recursos adjunta al recurso permite el acceso público del recurso a todas las entidades principales externas.
Comprobaciones de software y configuración/Prácticas recomendadas de seguridad de AWS/Acceso externo concedido <resource ARN> permite el acceso entre cuentas Una política basada en recursos adjunta al recurso permite el acceso entre cuentas a principales externos fuera de la zona de confianza para el analizador.
Comprobaciones de software y configuración/Prácticas recomendadas de seguridad de AWS/Permisos no utilizados <resource ARN> contiene permisos no utilizados Un usuario o rol contiene permisos de servicio y acción no utilizados.
Comprobaciones de software y configuración/Prácticas recomendadas de seguridad de AWS/Rol de IAM no utilizado <resource ARN> contiene un rol de IAM no utilizado Un usuario o rol contiene un rol de IAM no utilizado.
Comprobaciones de software y configuración/Prácticas recomendadas de seguridad de AWS/Contraseña de usuario de IAM no utilizada <resource ARN> contiene una contraseña de usuario de IAM no utilizada Un usuario o rol contiene una contraseña de usuario de IAM no utilizada.
Comprobaciones de software y configuración/Prácticas recomendadas de seguridad de AWS/Clave de acceso de usuario de IAM no utilizado <resource ARN> contiene una clave de acceso de usuario de IAM no utilizada Un usuario o rol contiene una clave de acceso de usuario de IAM no utilizada.

Resultados típicos del Analizador de acceso de IAM

El analizador de acceso de IAM envía los resultados a Security Hub CSPM mediante el Formato de resultados de seguridad de AWS (ASFF).

Aquí hay un ejemplo de un resultado típico del Analizador de acceso de IAM para resultados de acceso externo.

{
    "SchemaVersion": "2018-10-08",
    "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::amzn-s3-demo-bucket",
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
    "GeneratorId": "aws/access-analyzer",
    "AwsAccountId": "111122223333",
    "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"],
    "CreatedAt": "2020-11-10T16:17:47Z",
    "UpdatedAt": "2020-11-10T16:43:49Z",
    "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
    },
    "Title": "AwsS3Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access",
    "Description": "AWS::S3::Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access from AWS 444455556666",
    "Remediation": {
        "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."}
    },
    "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798",
    "Resources": [
        {
            "Type": "AwsS3Bucket",
            "Id": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Details": {
                "Other": {
                    "External Principal Type": "AWS",
                    "Condition": "none",
                    "Action Granted": "s3:GetObject,s3:GetObjectVersion",
                    "External Principal": "444455556666"
                }
            }
        }
    ],
    "WorkflowState": "NEW",
    "Workflow": {"Status": "NEW"},
    "RecordState": "ACTIVE"
}

Aquí hay un ejemplo de un resultado típico del Analizador de acceso de IAM para resultados de acceso externo.

{
    "Findings": [
    {
      "SchemaVersion": "2018-10-08",
      "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
      "ProductName": "IAM Access Analyzer",
      "CompanyName": "AWS",
      "Region": "us-west-2",
      "GeneratorId": "aws/access-analyzer",
      "AwsAccountId": "111122223333",
      "Types": [
        "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
      ],
      "CreatedAt": "2023-09-18T16:29:09.657Z",
      "UpdatedAt": "2023-09-21T20:39:16.651Z",
      "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
      },
      "Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions",
      "Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions",
      "Remediation": {
        "Recommendation": {
          "Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved."
        }
      },
      "SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole",
      "ProductFields": {
      "numberOfUnusedActions": "256",
      "numberOfUnusedServices": "15",
      "resourceOwnerAccount": "111122223333",
      "findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7",
      "findingType": "UnusedPermission",
      "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "aws/securityhub/ProductName": "AM Access Analyzer",
      "aws/securityhub/CompanyName": "AWS"
    },
    "Resources": [
    {
      "Type": "AwsIamRole",
      "Id": "arn:aws:iam::111122223333:role/TestRole"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
    },
  "RecordState": "ARCHIVED",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW"
    },
    "Types": [
    "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
    ]
  }
  }
]
}

Habilitación y configuración de la integración

Para utilizar la integración con Security Hub CSPM, debe habilitar Security Hub CSPM. Para obtener información acerca de cómo habilitar Security Hub CSPM, consulte Configuración de Security Hub en la Guía del usuario de AWS Security Hub.

Cuando habilita el analizador de acceso de IAM y Security Hub CSPM, la integración se habilita automáticamente. El analizador de acceso de IAM comienza a enviar inmediatamente los resultados a Security Hub CSPM.

Cómo dejar de enviar resultados

Para dejar de enviar resultados a Security Hub CSPM, puede utilizar la consola de Security Hub CSPM o la API.

Consulte Desactivar y habilitar el flujo de resultados desde una integración (consola) o Desactivar el flujo de resultados desde una integración (Security Hub API, AWS CLI) en la Guía del usuario de AWS Security Hub.