Integración con AWS Security Hub CSPM - AWS IoT Device Defender
Habilitación y configuración de la integraciónCómo AWS IoT Device Defender envía resultados al CSPM de Security HubResultado típico de AWS IoT Device Defender Detención de AWS IoT Device Defender de envío de resultados a Security Hub CSPM

Integración con AWS Security Hub CSPM

AWS Security Hub CSPM le proporciona una visión completa de su estado de seguridad en AWS y le ayuda a comprobar su entorno con los estándares y las prácticas recomendadas del sector de la seguridad. Security Hub CSPM recopila datos de seguridad de las Cuentas de AWS, los servicios y los productos de terceros compatibles. Puede utilizar Security Hub CSPM con el fin de analizar las tendencias de seguridad e identificar los problemas de seguridad más prioritarios.

Con la integración de AWS IoT Device Defender con Security Hub CSPM, puede enviar los resultados de AWS IoT Device Defender a Security Hub CSPM. Security Hub CSPM incluye esos resultados en su análisis de la posición de seguridad.

Habilitación y configuración de la integración

Antes de realizar la integración de AWS IoT Device Defender con Security Hub CSPM, debe habilitar primero Security Hub CSPM. Para obtener información acerca de cómo habilitar Security Hub CSPM, consulte la Configuración de Security Hub en la Guía del usuario de AWS Security Hub.

Tras habilitar AWS IoT Device Defender y Security Hub CSPM, abra la página Integraciones en la consola de Security Hub CSPM y, a continuación, elija Aceptar resultados para Audit, Detect o ambas opciones. AWS IoT Device Defender comienza a enviar los resultados a Security Hub CSPM.

Cómo AWS IoT Device Defender envía resultados al CSPM de Security Hub

En Security Hub CSPM, se realiza seguimiento de los problemas de seguridad como resultados. Algunos resultados provienen de problemas detectados por otros servicios de AWS o productos de terceros.

El CSPM de Security Hub proporciona herramientas para administrar resultados procedentes de todos estos orígenes. Puede ver y filtrar listas de resultados y ver los detalles de una búsqueda. Para obtener más información, consulte Visualización de resultados en la Guía del usuario de AWS Security Hub. También puede realizar un seguimiento del estado de una investigación de un resultado. Para obtener más información, consulte Adopción de medidas en función de los resultados en la Guía del usuario de AWS Security Hub.

Todos los resultados en Security Hub CSPM usan un formato JSON estándar llamado Formato AWS Security Finding (ASFF). El ASFF incluye detalles sobre el origen del problema, los recursos afectados y el estado actual del resultado. Para obtener más información acerca de ASFF, consulte AWS Security Finding Format (ASFF) en la Guía del usuario de AWS Security Hub.

AWS IoT Device Defender es uno de los servicios de AWS que envía resultados al CSPM de Security Hub.

Tipos de resultados que envía AWS IoT Device Defender

Tras habilitar la integración de Security Hub CSPM, AWS IoT Device Defender Audit envía los resultados que genera (llamados resúmenes de comprobación) a Security Hub CSPM. Los resúmenes de comprobación son información general para un tipo de comprobación de auditoría y una tarea de auditoría específicas. Para obtener más información, consulte Comprobaciones de auditoría.

AWS IoT Device Defender Audit envía las actualizaciones de resultados a Security Hub CSPM para los resúmenes de comprobación de auditoría y para los resultados de las auditorías de cada tarea de auditoría. Si todos los recursos que se encuentran en las comprobaciones de auditoría son conformes o se cancela una tarea de auditoría, Audit actualiza los resúmenes de comprobación de Security Hub CSPM a un estado de registro ARCHIVED. Si un recurso se notificó como no conforme para una comprobación de auditoría, pero se notificó que era conforme en la última tarea de auditoría, Audit lo cambia a conforme y también actualiza el resultado en Security Hub CSPM a un estado de registro ARCHIVED.

AWS IoT Device Defender Detect envía los resultados de infracciones a Security Hub CSPM. Estos resultados de infracciones incluyen el machine learning (ML) y los comportamientos estadísticos y estáticos.

Para enviar los resultados a Security Hub CSPM, AWS IoT Device Defender utiliza Formato AWS Security Finding (ASFF). En ASFF, el campo Types proporciona el tipo de resultado. Los resultados de AWS IoT Device Defender pueden tener los siguientes valores para Types.

Comportamientos inusuales

El tipo de resultado para los ID de cliente de MQTT y las comprobaciones compartidas de certificados de dispositivo contradictorios, y el tipo de resultado para Detect.

Comprobaciones de software y configuración/Vulnerabilidades

El tipo de resultado para todas las demás comprobaciones de auditoría.

Latencia para el envío de resultados

Cuando AWS IoT Device Defender Audit crea un nuevo resultado, se envía inmediatamente a Security Hub CSPM una vez finalizada la tarea de auditoría. La latencia depende del volumen de los resultados generados en la tarea de auditoría. Por lo general, Security Hub CSPM recibe los resultados en una hora.

AWS IoT Device Defender Detect envía los resultados de infracciones casi en tiempo real. Cuando una infracción entra o sale de alarma (lo que significa que la alarma se crea o se elimina), el resultado correspondiente de Security Hub CSPM se crea o archiva inmediatamente.

Reintento cuando Security Hub CSPM no está disponible

Si Security Hub CSPM no está disponible, AWS IoT Device Defender Audit y AWS IoT Device Defender Detect vuelven a intentar enviar los resultados hasta que los reciben.

Actualización de resultados existentes en el CSPM de Security Hub

Después de enviar un resultado de AWS IoT Device Defender Audit a Security Hub CSPM, puede identificarlo comprobando el identificador del recurso y el tipo de comprobación de auditoría. Si se genera un nuevo resultado de auditoría con una tarea de auditoría posterior para el mismo recurso y verificación de auditoría, AWS IoT Device Defender Audit envía actualizaciones para reflejar observaciones adicionales de la actividad de resultados a Security Hub CSPM. Si no se genera ningún resultado de auditoría adicional con una tarea de auditoría posterior para el mismo recurso y la misma comprobación de auditoría, el recurso cambia para cumplir la comprobación de auditoría. AWS IoT Device Defender A continuación, Audit archiva los resultados en Security Hub CSPM.

AWS IoT Device Defender Audit también actualiza los resúmenes de comprobación en Security Hub CSPM. Si se encuentran recursos no conformes en una comprobación de auditoría o la comprobación produce un error, el estado del resultado de Security Hub CSPM pasa a estar activo. En caso contrario, AWS IoT Device Defender Audit archiva el resultado en Security Hub CSPM.

AWS IoT Device Defender Detect crea un resultado de Security Hub CSPM cuando se produce una infracción (por ejemplo, en caso de alarma). Ese resultado se actualiza solo si se cumple uno de los siguientes criterios:

  • El resultado caducará pronto en Security Hub CSPM, por lo que AWS IoT Device Defender envía una actualización para mantenerlo actualizado. Los resultados se eliminan al cabo 90 días de la última actualización o 90 días después de que se crearan si no hay actualizaciones. Para obtener más información, consulte Cuotas de Security Hub CSPM en la Guía del usuario de AWS Security Hub.

  • La infracción correspondiente sale de alarma, por lo que AWS IoT Device Defender actualiza el estado de su resultado a ARCHIVED.

Resultado típico de AWS IoT Device Defender

AWS IoT Device Defender utiliza Formato AWS Security Finding (ASFF) para enviar los resultados a Security Hub CSPM.

En el ejemplo siguiente, se muestra un resultado típico de Security Hub CSPM para un resultado de auditoría. El ReportType en ProductFields es AuditFinding.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-west-2",
  "GeneratorId": "1928b87ab338ee2f541f6fab8c41c4f5",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities"
  ],
  "CreatedAt": "2022-11-06T22:11:40.941Z",
  "UpdatedAt": "2022-11-06T22:11:40.941Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK: ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "Description": "IOT_POLICY policyexample:1 is reported as non-compliant for IOT_POLICY_OVERLY_PERMISSIVE_CHECK by Audit task 9f71b6e90cfb57d4ac671be3a4898e6a. The non-compliant reason is Policy allows broad access to IoT data plane actions: [iot:Connect].",
  "SourceUrl": "https://us-west-2.console.aws.amazon.com/iot/home?region=us-west-2#/policy/policyexample",
  "ProductFields": {
    "CheckName": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK",
    "TaskId": "9f71b6e90cfb57d4ac671be3a4898e6a",
    "TaskType": "ON_DEMAND_AUDIT_TASK",
    "PolicyName": "policyexample",
    "IsSuppressed": "false",
    "ReasonForNonComplianceCode": "ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "ResourceType": "IOT_POLICY",
    "FindingId": "1928b87ab338ee2f541f6fab8c41c4f5",
    "PolicyVersionId": "1",
    "ReportType": "AuditFinding",
    "TaskStartTime": "1667772700554",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit/336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotPolicy",
      "Id": "policyexample",
      "Partition": "aws",
      "Region": "us-west-2",
      "Details": {
        "Other": {
          "PolicyVersionId": "1"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities"
    ]
  }
}

En el ejemplo siguiente, se muestra un resultado de Security Hub CSPM para un resumen de comprobación de auditoría. El ReportType en ProductFields es CheckSummary.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "615243839755/SCHEDULED_AUDIT_TASK/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "f3021945485adf92487c273558fcaa51",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities/CVE"
  ],
  "CreatedAt": "2022-10-18T14:20:13.933Z",
  "UpdatedAt": "2022-10-18T14:20:13.933Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK Summary: Completed with 2 non-compliant resources",
  "Description": "Task f3021945485adf92487c273558fcaa51 of weekly scheduled Audit daily_audit_schedule_checks completes. 2 non-cimpliant resources are found for DEVICE_CERTIFICATE_KEY_QUALITY_CHECK out of 1000 resources in the account. The percentage of non-compliant resources is 0.2%.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/audit/results/f3021945485adf92487c273558fcaa51/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductFields": {
    "TaskId": "f3021945485adf92487c273558fcaa51",
    "TaskType": "SCHEDULED_AUDIT_TASK",
    "ScheduledAuditName": "daily_audit_schedule_checks",
    "CheckName": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "ReportType": "CheckSummary",
    "CheckRunStatus": "COMPLETED_NON_COMPLIANT",
    "NonComopliantResourcesCount": "2",
    "SuppressedNonCompliantResourcesCount": "1",
    "TotalResourcesCount": "1000",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit/615243839755/SCHEDULED/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotAuditTask",
      "Id": "f3021945485adf92487c273558fcaa51",
      "Region": "us-east-1"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities/CVE"
    ]
  }
}

En el ejemplo siguiente, se muestra un resultado típico de Security Hub CSPM para una infracción de AWS IoT Device Defender Detect.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "e92a782593c6f5b1fc7cb6a443dc1a12",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect",
  "ProductName": "IoT Device Defender - Detect",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "arn:aws:iot:us-east-1:123456789012:securityprofile/MySecurityProfile",
  "AwsAccountId": "123456789012",
  "Types": [
    "Unusual Behaviors"
  ],
  "CreatedAt": "2022-11-09T22:45:00Z",
  "UpdatedAt": "2022-11-09T22:45:00Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40
  },
  "Title": "Registered thing MyThing is in alarm for STATIC behavior MyBehavior.",
  "Description": "Registered thing MyThing violates STATIC behavior MyBehavior of security profile MySecurityProfile. Violation was triggered because the device did not conform to aws:num-disconnects less-than 1.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/securityProfile/MySecurityProfile?tab=violations",
  "ProductFields": {
    "ComparisonOperator": "less-than",
    "BehaviorName": "MyBehavior",
    "ViolationId": "e92a782593c6f5b1fc7cb6a443dc1a12",
    "ViolationStartTime": "1668033900000",
    "SuppressAlerts": "false",
    "ConsecutiveDatapointsToAlarm": "1",
    "ConsecutiveDatapointsToClear": "1",
    "DurationSeconds": "300",
    "Count": "1",
    "MetricName": "aws:num-disconnects",
    "BehaviorCriteriaType": "STATIC",
    "ThingName": "MyThing",
    "SecurityProfileName": "MySecurityProfile",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect/e92a782593c6f5b1fc7cb6a443dc1a12",
    "aws/securityhub/ProductName": "IoT Device Defender - Detect",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotRegisteredThing",
      "Id": "MyThing",
      "Region": "us-east-1",
      "Details": {
        "Other": {
          "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/thing/MyThing?tab=violations",
          "IsRegisteredThing": "true",
          "ThingArn": "arn:aws:iot:us-east-1:123456789012:thing/MyThing"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM"
    },
    "Types": [
      "Unusual Behaviors"
    ]
  }
}

Detención de AWS IoT Device Defender de envío de resultados a Security Hub CSPM

Para dejar de enviar resultados a Security Hub CSPM, puede utilizar la consola de Security Hub CSPM o la API.

Para obtener más información, consulte Desactivación y habilitación del flujo de resultados desde una integración (consola) o Desactivación del flujo de resultados desde una integración (API de Security Hub CSPM, AWS CLI) en la Guía del usuario de AWS Security Hub.