Intégration à AWS Security Hub CSPM - AWS IoT Device Defender
Activation et configuration de l'intégrationComment AWS IoT Device Defender envoie des résultats à Security Hub CSPMRésultats types de AWS IoT Device Defender Empêcher AWS IoT Device Defender d’envoyer les résultats à Security Hub CSPM

Intégration à AWS Security Hub CSPM

AWS Security Hub CSPM fournit une vue complète de votre état de sécurité dans AWS et vous permet de vérifier votre environnement par rapport aux normes et aux bonnes pratiques du secteur de la sécurité. Security Hub CSPM collecte des données de sécurité entre les Comptes AWS, les services et les produits de partenaires tiers pris en charge. Vous pouvez utiliser Security Hub CSPM pour analyser vos tendances en matière de sécurité et identifier les problèmes de sécurité les plus prioritaires.

Grâce à l’intégration AWS IoT Device Defender à Security Hub CSPM, vous pouvez envoyer des résultats de AWS IoT Device Defender vers Security Hub CSPM. Security Hub CSPM inclut ces résultats dans son analyse de votre posture de sécurité.

Activation et configuration de l'intégration

Avant d’intégrer AWS IoT Device Defender à Security Hub CSPM, vous devez d’abord activer Security Hub CSPM. Pour plus d’informations sur la façon d’activer Security Hub CSPM, consultez Configuration de Security Hub dans le Guide de l’utilisateur AWS Security Hub.

Après avoir activé à la fois AWS IoT Device Defender et Security Hub CSPM, ouvrez la page Intégrations dans la console Security Hub CSPM, puis choisissez Accepter les résultats pour Audit, Detect ou les deux. AWS IoT Device Defender commence à envoyer les résultats à Security Hub CSPM.

Comment AWS IoT Device Defender envoie des résultats à Security Hub CSPM

Dans Security Hub CSPM, les problèmes de sécurité sont suivis en tant que findings (résultats). Certains résultats proviennent de problèmes qui sont détectés par d'autres services AWS ou par des produits tiers.

Security Hub CSPM fournit des outils permettant de gérer les résultats provenant de toutes ces sources. Vous pouvez afficher et filtrer les listes de résultats et afficher les informations sur un résultat. Pour de plus amples informations, consultez la section Viewing findings (Affichage des résultats) dans le Guide de l'utilisateur AWS Security Hub. Vous pouvez également suivre le statut d'une analyse dans un résultat. Pour de plus amples informations, veuillez consulter Prendre des mesure en fonction des résultats dans le Guide de l'utilisateur AWS Security Hub.

Tous les résultats dans Security Hub CSPM utilisent un format JSON standard appelé format ASFF (AWS Security Finding Format). Le format ASFF comprend des informations sur la source du problème, les ressources affectées et le statut actuel du résultat. Pour de plus amples informations sur ASFF, veuillez consulter AWS Security Finding Format (ASFF) dans le Guide de l'utilisateur AWS Security Hub.

AWS IoT Device Defender représente un des services AWS qui envoie les résultats à Security Hub CSPM.

Types de résultats que AWS IoT Device Defender envoie

Une fois que vous avez activé l’intégration de Security Hub CSPM, AWS IoT Device Defender Audit envoie les résultats qu’il génère (appelés résumés des vérifications) à Security Hub CSPM. Les résumés des vérifications sont des informations générales relatives à un type de contrôle d'audit spécifique et à une tâche d'audit spécifique. Pour plus d'informations, consultez Audit checks. (Contrôles d'audit)

AWS IoT Device Defender Audit envoie des mises à jour des résultats à Security Hub CSPM pour les résumés des contrôles d’audit et les résultats d’audit pour chaque tâche d’audit. Si toutes les ressources trouvées dans les vérifications d’audit sont conformes ou si une tâche d’audit est annulée, Audit met à jour les résumés des vérifications dans Security Hub CSPM à l’état d’enregistrement ARCHIVED. Si une ressource a été signalée comme non conforme lors d’un contrôle d’audit, mais qu’elle l’a été lors de la dernière tâche d’audit, Audit la rend conforme et met également à jour le résultat dans Security Hub CSPM à l’état d’enregistrement ARCHIVED.

AWS IoT Device Defender Detect envoie les résultats des violations à Security Hub CSPM. Ces violations constatées incluent la machine learning (ML), les statistiques et les comportements statiques.

Pour envoyer les résultats à Security Hub CSPM, AWS IoT Device Defender utilise le format ASFF (AWS Security Finding Format). Dans le format ASFF, le champ Types fournit le type de résultat. Les résultats de AWS IoT Device Defender peuvent avoir les valeurs suivantes pour Types.

Comportements inhabituels

Le type de résultat pour les ID client MQTT en conflit et les vérifications partagées des certificats de périphérique, ainsi que le type de résultat pour Detect.

Vérification/vulnérabilités du logiciel et de la configuration

Le type de résultat pour tous les autres contrôles d’audit.

Latence pour l'envoi des résultats

Quand AWS IoT Device Defender Audit crée un résultat, ce dernier est immédiatement envoyé à Security Hub CSPM une fois la tâche d’audit terminée. La latence dépend du volume des résultats générés dans le cadre de la tâche d'audit. Security Hub CSPM reçoit généralement les résultats dans un délai d’une heure.

AWS IoT Device Defender Detect envoie les résultats des violations presque en temps réel. Une fois qu’une violation est activée ou désactivée (c’est-à-dire que l’alarme est créée ou supprimée), le résultat correspondant du Security Hub CSPM est immédiatement créé ou archivé.

Réessayer lorsque Security Hub CSPM n’est pas disponible

Si Security Hub CSPM n’est pas disponible, AWS IoT Device Defender Audit et AWS IoT Device Defender Detect essaient de renvoyer les résultats jusqu’à ce qu’ils soient reçus.

Mise à jour des résultats existants dans Security Hub CSPM

Une fois le résultat d’un AWS IoT Device Defender Audit envoyé à Security Hub CSPM, vous pouvez l’identifier à l’aide de l’identifiant de ressource vérifié et du type de contrôle d’audit. Si un résultat d’audit est généré avec une tâche d’audit suivante pour la même ressource et vérification d’audit, AWS IoT Device Defender Audit envoie des mises à jour pour refléter d’autres observations de l’activité de recherche à Security Hub CSPM. Si aucun résultat d'audit supplémentaire n'est généré avec une tâche d'audit ultérieure pour la même ressource et le même contrôle d'audit, la ressource devient conforme au contrôle d'audit. AWS IoT Device Defender Audit archive ensuite les résultats dans Security Hub CSPM.

AWS IoT Device Defender Audit met également à jour les résumés des vérifications dans Security Hub CSPM. Si des ressources non conformes sont détectées lors d’un contrôle d’audit ou si le contrôle échoue, le statut de résultat du Security Hub CSPM devient actif. Sinon, AWS IoT Device Defender Audit archive les résultats dans Security Hub CSPM.

AWS IoT Device Defender Detect crée un résultat Security Hub CSPM en cas de violation (par exemple, en cas d’alarme). Ce résultat n'est mis à jour que si l'un des critères suivants est rempli :

  • Le résultat expire bientôt dans Security Hub CSPM. AWS IoT Device Defender envoie donc une mise à jour pour tenir le résultat à jour. Les conclusions sont supprimées 90 jours après la dernière mise à jour ou 90 jours après la date de création si aucune mise à jour n'a lieu. Pour plus d’informations, consultez Security Hub CSPM quotas dans le Guide de l’utilisateur AWS Security Hub.

  • La violation correspondante est désactivée et AWS IoT Device Defender met donc son statut de résultat à ARCHIVED.

Résultats types de AWS IoT Device Defender

Pour envoyer les résultats à Security Hub CSPM, AWS IoT Device Defender utilise le format ASFF (AWS Security Finding Format).

L’exemple suivant montre un résultat typique de Security Hub CSPM pour un résultat d’audit. Le ReportType dans ProductFields est AuditFinding.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-west-2",
  "GeneratorId": "1928b87ab338ee2f541f6fab8c41c4f5",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities"
  ],
  "CreatedAt": "2022-11-06T22:11:40.941Z",
  "UpdatedAt": "2022-11-06T22:11:40.941Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK: ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "Description": "IOT_POLICY policyexample:1 is reported as non-compliant for IOT_POLICY_OVERLY_PERMISSIVE_CHECK by Audit task 9f71b6e90cfb57d4ac671be3a4898e6a. The non-compliant reason is Policy allows broad access to IoT data plane actions: [iot:Connect].",
  "SourceUrl": "https://us-west-2.console.aws.amazon.com/iot/home?region=us-west-2#/policy/policyexample",
  "ProductFields": {
    "CheckName": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK",
    "TaskId": "9f71b6e90cfb57d4ac671be3a4898e6a",
    "TaskType": "ON_DEMAND_AUDIT_TASK",
    "PolicyName": "policyexample",
    "IsSuppressed": "false",
    "ReasonForNonComplianceCode": "ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "ResourceType": "IOT_POLICY",
    "FindingId": "1928b87ab338ee2f541f6fab8c41c4f5",
    "PolicyVersionId": "1",
    "ReportType": "AuditFinding",
    "TaskStartTime": "1667772700554",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit/336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotPolicy",
      "Id": "policyexample",
      "Partition": "aws",
      "Region": "us-west-2",
      "Details": {
        "Other": {
          "PolicyVersionId": "1"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities"
    ]
  }
}

L’exemple suivant montre un résultat typique de Security Hub CSPM pour un résultat d’audit. Le ReportType dans ProductFields est CheckSummary.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "615243839755/SCHEDULED_AUDIT_TASK/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "f3021945485adf92487c273558fcaa51",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities/CVE"
  ],
  "CreatedAt": "2022-10-18T14:20:13.933Z",
  "UpdatedAt": "2022-10-18T14:20:13.933Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK Summary: Completed with 2 non-compliant resources",
  "Description": "Task f3021945485adf92487c273558fcaa51 of weekly scheduled Audit daily_audit_schedule_checks completes. 2 non-cimpliant resources are found for DEVICE_CERTIFICATE_KEY_QUALITY_CHECK out of 1000 resources in the account. The percentage of non-compliant resources is 0.2%.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/audit/results/f3021945485adf92487c273558fcaa51/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductFields": {
    "TaskId": "f3021945485adf92487c273558fcaa51",
    "TaskType": "SCHEDULED_AUDIT_TASK",
    "ScheduledAuditName": "daily_audit_schedule_checks",
    "CheckName": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "ReportType": "CheckSummary",
    "CheckRunStatus": "COMPLETED_NON_COMPLIANT",
    "NonComopliantResourcesCount": "2",
    "SuppressedNonCompliantResourcesCount": "1",
    "TotalResourcesCount": "1000",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit/615243839755/SCHEDULED/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotAuditTask",
      "Id": "f3021945485adf92487c273558fcaa51",
      "Region": "us-east-1"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities/CVE"
    ]
  }
}

L’exemple suivant montre un résultat typique de Security Hub CSPM pour une violation AWS IoT Device Defender Detect.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "e92a782593c6f5b1fc7cb6a443dc1a12",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect",
  "ProductName": "IoT Device Defender - Detect",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "arn:aws:iot:us-east-1:123456789012:securityprofile/MySecurityProfile",
  "AwsAccountId": "123456789012",
  "Types": [
    "Unusual Behaviors"
  ],
  "CreatedAt": "2022-11-09T22:45:00Z",
  "UpdatedAt": "2022-11-09T22:45:00Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40
  },
  "Title": "Registered thing MyThing is in alarm for STATIC behavior MyBehavior.",
  "Description": "Registered thing MyThing violates STATIC behavior MyBehavior of security profile MySecurityProfile. Violation was triggered because the device did not conform to aws:num-disconnects less-than 1.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/securityProfile/MySecurityProfile?tab=violations",
  "ProductFields": {
    "ComparisonOperator": "less-than",
    "BehaviorName": "MyBehavior",
    "ViolationId": "e92a782593c6f5b1fc7cb6a443dc1a12",
    "ViolationStartTime": "1668033900000",
    "SuppressAlerts": "false",
    "ConsecutiveDatapointsToAlarm": "1",
    "ConsecutiveDatapointsToClear": "1",
    "DurationSeconds": "300",
    "Count": "1",
    "MetricName": "aws:num-disconnects",
    "BehaviorCriteriaType": "STATIC",
    "ThingName": "MyThing",
    "SecurityProfileName": "MySecurityProfile",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect/e92a782593c6f5b1fc7cb6a443dc1a12",
    "aws/securityhub/ProductName": "IoT Device Defender - Detect",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotRegisteredThing",
      "Id": "MyThing",
      "Region": "us-east-1",
      "Details": {
        "Other": {
          "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/thing/MyThing?tab=violations",
          "IsRegisteredThing": "true",
          "ThingArn": "arn:aws:iot:us-east-1:123456789012:thing/MyThing"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM"
    },
    "Types": [
      "Unusual Behaviors"
    ]
  }
}

Empêcher AWS IoT Device Defender d’envoyer les résultats à Security Hub CSPM

Pour arrêter l’envoi des résultats à Security Hub CSPM, vous pouvez utiliser la console Security Hub CSPM ou l’API.

Pour plus d’informations, consultez Désactivation et activation du flux de résultats d’une intégration (console) ou Désactivation du flux de résultats d’une intégration (API Security Hub CSPM, AWS CLI) dans le Guide de l’utilisateur AWS Security Hub.