Conceptos de Security Hub

La AWS cuenta estándar que contiene sus AWS recursos. Inicia sesión AWS con tu AWS cuenta para activar Security Hub.

Si su cuenta está inscrita AWS Organizations, su organización designa una cuenta de administrador de Security Hub. Esta cuenta puede habilitar otras cuentas de la organización como cuentas de miembro.

Una organización solo puede tener una cuenta administradora. Una cuenta no puede ser simultáneamente una cuenta administradora y una cuenta de miembro.

Security Hub es compatible con los siguientes tipos de cuentas:

Este tipo de AWS cuenta puede ver los resultados de las cuentas de los miembros asociadas.

Este tipo de AWS cuenta se convierte en una cuenta de administrador cuando una cuenta de administración de la organización la designa como cuenta de administrador de Security Hub. La cuenta de administrador de Security Hub puede habilitar cualquier cuenta de la organización como cuenta de miembro y también puede invitar a otras cuentas a convertirse en cuentas de miembro.

Una organización solo puede tener una cuenta administradora. Una cuenta no puede ser simultáneamente una cuenta administradora y una cuenta de miembro.

Una región de agregación le permite ver los hallazgos de seguridad desde varios Regiones de AWS puntos de vista en un solo panel.

La región de agregación es Región de AWS donde se visualizan y administran los hallazgos. Los resultados se agregan en la región de agregación desde las regiones vinculadas. Los resultados actualizados se replican en las regiones.

En la región de agregación, las páginas del panel y del inventario incluyen datos de todas las regiones vinculadas. La página de automatizaciones solo se puede utilizar para definir reglas de automatización en la región de agregación. Las integraciones de sistemas de emisión de tickets de terceros solo se pueden configurar en la región de agregación.

Un resultado con estado ARCHIVED. Estos resultados indican que el proveedor del resultado, o el cliente que investiga el resultado, considera que el resultado ya no es relevante.

Al encontrar proveedores, se pueden archivar los hallazgos que generen. Los clientes pueden archivar cualquier hallazgo que consideren que ya no es relevante mediante la operación BatchUpdateFindingsV2 de la API de Security Hub o actualizando el estado en la consola de Security Hub.

En la consola de Security Hub, la configuración predeterminada de los filtros excluye los resultados archivados de las listas y tablas de resultados. Puede actualizar los filtros para incluir los resultados archivados. Si recupera los hallazgos mediante la operación GetFindingsV2, la operación recupera tanto los hallazgos archivados como los activos. El siguiente ejemplo muestra cómo excluir resultados archivados de la salida.

{
    "StringFilters":
    [
        {
            "FieldName": "status",
            "Filter":
            {
                "Value": "Archived",
                "Comparison": "EQUALS"
            }
        }
    ]
}

La agregación de resultados y recursos de regiones vinculadas se dirige a una región de agregación. Puede ver todos los datos desde la región de agregación y actualizar los resultados desde la región de agregación.

En AWS Organizations, la cuenta de administrador delegado de un servicio puede gestionar el uso de un servicio para la organización.

En Security Hub, la cuenta de administrador de Security Hub también es la cuenta de administrador delegado de Security Hub. Cuando la cuenta de administración de la organización designa por primera vez la cuenta de administrador de Security Hub, Security Hub solicita a las organizaciones que conviertan esa cuenta en la cuenta de administrador delegado.

A continuación, la cuenta de administración de la organización debe elegir la cuenta de administrador delegado como cuenta de administrador de Security Hub en todas las regiones.

Las exposiciones son debilidades más amplias en los controles de seguridad, errores de configuración u otras áreas que podrían ser aprovechadas por amenazas activas.

Algunos ejemplos de exposiciones son:

Un tipo de resultado describe una exposición presente en el entorno. Un resultado de exposición incluye condiciones y señales. Una señal puede incluir uno o varios tipos de condiciones de exposición. AWS Security Hub genera un hallazgo de exposición cuando las señales de AWS Security Hub CSPM, Amazon Inspector GuardDuty, Amazon, Amazon Macie u AWS otros servicios indican la presencia de una exposición. Un recurso puede estar implicado en uno o más hallazgos de exposición. Si un recurso no presenta condiciones de exposición, o estas son insuficientes, Security Hub no genera un resultado de exposición para ese recurso.

Un ejemplo de hallazgo de exposición es: una EC2 instancia a la que se puede acceder desde Internet y que tiene vulnerabilidades de software que tienen una alta probabilidad de explotación.

El registro observable de un control de seguridad o una detección relacionada con la seguridad. Security Hub genera y actualiza resultados al correlacionar otros resultados de seguridad. Estos se conocen como resultados de exposición. Los resultados también pueden provenir de integraciones con productos de otros fabricantes Servicios de AWS y de terceros.

La importación de resultados a Security Hub. Los eventos de ingesta de resultados incluyen tanto resultados nuevos como actualizaciones de resultados existentes.

Cuando habilita la agregación entre regiones, una región vinculada es aquella que envía los resultados y el inventario de recursos a la región de agregación.

En una región vinculada, el panel de control y las páginas de inventario solo contienen los resultados correspondientes. Región de AWS

El Open Cybersecurity Schema Framework (OCSF) es un esfuerzo colaborativo AWS y de código abierto realizado por socios líderes de la industria de la ciberseguridad. El OCSF proporciona un esquema estándar para los eventos de seguridad comunes, define los criterios de control de versiones para facilitar la evolución del esquema e incluye un proceso de autogobierno para los productores y consumidores de registros de seguridad. Para obtener más información, consulte Resultados en OCSF en Security Hub.

Y Cuenta de AWS que otorgó permiso a una cuenta de administrador para ver sus hallazgos y tomar medidas al respecto. Se Cuenta de AWS convierte en una cuenta de miembro cuando la cuenta de administrador de Security Hub la habilita como cuenta de miembro.

Un resultado que contribuye a un resultado de exposición. Una señal puede denominarse un resultado que contribuye. Una señal puede originarse en Security Hub, CSPM u otro AWS Config Servicios de AWS, como Amazon Inspector.

Una desviación de seguridad que produce un resultado de exposición. Los tipos de condiciones incluyen: capacidad de asumir, configuración incorrecta, alcance, información confidencial y vulnerabilidad. Una condición se asocia con una señal, y una señal puede incluir varias condiciones. Por ejemplo, un control del CSPM de Security Hub indica que una política administrada por el cliente permite controlar el acceso administrativo. Esta señal incluye una condición de configuración incorrecta.