Concepts et terminologie dans Security Hub CSPM

Un compte Amazon Web Services (AWS) standard contenant vos AWS ressources. Vous pouvez vous connecter AWS avec votre compte et activer Security Hub CSPM.

Un compte peut inviter d'autres comptes à activer Security Hub CSPM et à s'associer à ce compte dans Security Hub CSPM. L'acceptation d'une invitation d'adhésion est facultative. Si les invitations sont acceptées, le compte devient un compte administrateur, et les comptes ajoutés sont des comptes membres. Les comptes administrateurs peuvent consulter les résultats dans leurs comptes de membres.

Si vous êtes inscrit AWS Organizations, votre organisation désigne un compte administrateur Security Hub CSPM pour l'organisation. Le compte administrateur Security Hub CSPM peut activer d'autres comptes d'organisation en tant que comptes de membres.

Un compte ne peut pas être à la fois un compte administrateur et un compte membre. Un compte ne peut comporter qu'un seul compte administrateur.

Pour de plus amples informations, veuillez consulter Gestion des comptes d'administrateur et de membre dans Security Hub CSPM.

Un compte dans Security Hub CSPM autorisé à consulter les résultats des comptes de membres associés.

Un compte devient un compte administrateur de l'une des manières suivantes :

Un compte ne peut comporter qu'un seul compte administrateur. Un compte ne peut pas être à la fois un compte administrateur et un compte membre.

La définition d'une région d'agrégation vous permet de visualiser les résultats de sécurité provenant de plusieurs Régions AWS sites sur un seul écran.

La région d'agrégation est la région à partir de laquelle vous visualisez et gérez les résultats. Les résultats sont agrégés dans la région d'agrégation à partir des régions liées. Les mises à jour des résultats sont reproduites dans toutes les régions.

Dans la région d'agrégation, les pages Normes de sécurité, Informations et Conclusions incluent des données provenant de toutes les régions liées.

Pour de plus amples informations, veuillez consulter Comprendre l'agrégation entre régions dans Security Hub CSPM.

Une découverte dont l'état d'enregistrement (RecordState) estARCHIVED. L'archivage d'un résultat indique que le fournisseur du résultat estime que le résultat n'est plus pertinent. L'état de l'enregistrement est différent de l'état du flux de travail, qui permet de suivre l'état de l'enquête menée jusqu'à un résultat.

Les fournisseurs de recherche peuvent utiliser le BatchImportFindingsfonctionnement de l'API Security Hub CSPM pour archiver les résultats qu'ils ont créés. Security Hub CSPM archive automatiquement les résultats des contrôles qui répondent à certains critères. Pour de plus amples informations, veuillez consulter Génération, mise à jour et archivage des résultats des contrôles.

Sur la console Security Hub CSPM, les paramètres de filtre par défaut excluent les résultats archivés des listes et des tableaux de recherche. Vous pouvez mettre à jour les paramètres pour inclure les résultats archivés. Si vous récupérez des résultats à l'aide de l'GetFindingsAPI Security Hub CSPM, l'opération récupère à la fois les résultats archivés et les résultats actifs. Pour exclure les résultats archivés, vous pouvez filtrer les résultats. Par exemple :

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],

Format standardisé pour le contenu des résultats que Security Hub CSPM agrège ou génère. Le AWS Security Finding Format vous permet d'utiliser Security Hub CSPM pour consulter et analyser les résultats générés par les services de sécurité, les solutions tierces ou le AWS Security Hub CSPM lui-même à la suite de l'exécution de contrôles de sécurité. Pour de plus amples informations, veuillez consulter AWS Format de recherche de sécurité (ASFF).

Protection ou contre-mesure prescrite pour un système d'information ou une organisation visant à protéger la confidentialité, l'intégrité et la disponibilité de ses informations, ainsi qu’à satisfaire à un ensemble d'exigences de sécurité définies. Une norme de sécurité est associée à un ensemble de contrôles.

Le terme contrôle de sécurité fait référence aux contrôles dotés d'un identifiant et d'un titre de contrôle uniques, quelle que soit la norme. Le terme contrôle standard fait référence aux contrôles dotés d'un contrôle IDs et de titres spécifiques à une norme. Actuellement, Security Hub CSPM prend en charge les contrôles standard uniquement dans les régions de Chine et. AWS GovCloud (US) Regions Les contrôles de sécurité sont pris en charge dans toutes les autres régions.

Un mécanisme Security Hub CSPM permettant d'envoyer des résultats sélectionnés à. EventBridge Une action personnalisée est créée dans Security Hub CSPM. Il est ensuite lié à une EventBridge règle. La règle définit une action spécifique à effectuer lorsqu'un résultat reçu est associé à l'ID de l'action personnalisée. Des actions personnalisées peuvent être utilisées, par exemple pour envoyer un résultat spécifique, ou un petit ensemble de résultats, vers un flux de travail de réponse ou de correction. Pour de plus amples informations, veuillez consulter Création d'une action personnalisée.

Dans AWS Organizations, le compte d'administrateur délégué d'un service est capable de gérer l'utilisation d'un service pour l'organisation.

Dans Security Hub CSPM, le compte administrateur Security Hub CSPM est également le compte administrateur délégué pour Security Hub CSPM. Lorsque le compte de gestion de l'organisation désigne pour la première fois un compte administrateur Security Hub CSPM, Security Hub CSPM appelle Organizations pour faire de ce compte le compte administrateur délégué.

Le compte de gestion de l'organisation doit ensuite choisir le compte d'administrateur délégué comme compte d'administrateur Security Hub CSPM dans toutes les régions.

Enregistrement observable d'une vérification de sécurité ou d'une détection liée à la sécurité. Security Hub CSPM génère des résultats après avoir effectué les vérifications de sécurité relatives aux contrôles. C'est ce que l'on appelle les résultats de contrôle. Les résultats peuvent également provenir d'intégrations avec Services AWS d'autres produits tiers.

Pour de plus amples informations, veuillez consulter Création et mise à jour des résultats dans Security Hub CSPM.

L'agrégation des résultats, des informations, des états de conformité des contrôles et des scores de sécurité des régions liées à une région d'agrégation. Vous pouvez ensuite consulter toutes vos données de la région d'agrégation et mettre à jour les résultats et les informations de la région d'agrégation.

Pour de plus amples informations, veuillez consulter Comprendre l'agrégation entre régions dans Security Hub CSPM.

L'importation dans Security Hub CSPM de résultats provenant d'autres AWS services et de fournisseurs partenaires tiers.

La découverte d'événements liés à l'ingestion inclut à la fois de nouvelles découvertes et des mises à jour des résultats existants.

Ensemble de conclusions connexes définies par une déclaration d'agrégation et des filtres facultatifs. Une information identifie un domaine de sécurité qui nécessite une attention et une intervention particulières. Security Hub CSPM propose plusieurs informations gérées (par défaut) que vous ne pouvez pas modifier. Vous pouvez également créer des informations personnalisées sur Security Hub CSPM pour suivre les problèmes de sécurité propres à votre AWS environnement et à votre utilisation. Pour de plus amples informations, veuillez consulter Afficher des informations dans Security Hub CSPM.

Lorsque vous activez l'agrégation entre régions, une région liée est une région qui regroupe les résultats, les informations, le contrôle des états de conformité et les scores de sécurité dans la région d'agrégation.

Dans une région liée, les pages Résultats et Perspectives contiennent uniquement les résultats de cette région.

Pour de plus amples informations, veuillez consulter Comprendre l'agrégation entre régions dans Security Hub CSPM.

Un compte qui a autorisé un compte administrateur à consulter ses conclusions et à prendre des mesures en conséquence.

Un compte devient un compte membre de l'une des manières suivantes :

Ensemble d'exigences sectorielles ou réglementaires qui sont mappées à un contrôle.

Ensemble de critères automatisés utilisés pour évaluer si un contrôle est respecté. Lorsqu'une règle est évaluée, elle peut aboutir ou échouer. Si l'évaluation ne parvient pas à déterminer si la règle réussit ou échoue, la règle est alors dans un état d'avertissement. Si la règle ne peut pas être évaluée, son état est Non disponible.

point-in-timeÉvaluation spécifique d'une règle par rapport à une ressource unique aboutissant à un NOT_AVAILABLE état PASSED FAILEDWARNING,, ou. L'exécution d'une vérification de sécurité génère un résultat.

Un compte d'organisation qui gère l'adhésion à Security Hub CSPM pour une organisation.

Le compte de gestion de l'organisation désigne le compte administrateur Security Hub CSPM dans chaque région. Le compte de gestion de l'organisation doit choisir le même compte administrateur Security Hub CSPM dans toutes les régions.

Le compte administrateur Security Hub CSPM est également le compte administrateur délégué pour Security Hub CSPM in Organizations.

Le compte administrateur Security Hub CSPM peut activer n'importe quel compte d'organisation en tant que compte membre. Le compte administrateur du Security Hub CSPM peut également inviter d'autres comptes à devenir des comptes membres.

Déclaration publiée sur un sujet et qui spécifie les caractéristiques, généralement mesurables et sous la forme de contrôles, qui doivent être satisfaites ou atteintes pour la conformité. Les normes de sécurité peuvent être basées sur des cadres réglementaires, des bonnes pratiques ou des politiques internes de l'entreprise. Un contrôle peut être associé à une ou plusieurs normes prises en charge dans Security Hub CSPM. Pour en savoir plus sur les normes de sécurité dans Security Hub CSPM, consultez. Comprendre les normes de sécurité dans Security Hub CSPM

La sévérité attribuée à un contrôle Security Hub CSPM identifie l'importance du contrôle. La sévérité d'un contrôle peut être critique, élevée, moyenne, faible ou informative. La sévérité attribuée aux résultats du contrôle est égale à la sévérité du contrôle lui-même. Pour en savoir plus sur la manière dont Security Hub CSPM attribue la sévérité à un contrôle, consultez. Niveaux de gravité des résultats de contrôle

État d'avancement d'une enquête sur un résultat. Ceci est suivi à l'aide de l'Workflow.Statusattribut.

L'état du flux de travail est initialement NEW. Si vous avez demandé au propriétaire de la ressource d'agir sur le résultat, vous pouvez définir l'état du flux de travail sur NOTIFIED. Si le résultat ne pose pas de problème et ne nécessite aucune action, définissez l'état du flux de travail sur SUPPRESSED. Après avoir examiné et corrigé un résultat, définissez l'état du flux de travail sur RESOLVED.

Par défaut, la plupart des listes de recherche incluent uniquement les résultats dont le statut de flux de travail est NEW ou NOTIFIED. Les listes de constatations pour les contrôles comprennent également les résultats RESOLVED.

Pour l'opération GetFindings, vous pouvez inclure un filtre sur l'état du flux de travail.

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

La console Security Hub CSPM propose une option permettant de définir l'état du flux de travail en fonction des résultats. Les clients (ou les outils SIEM, billetterie, gestion des incidents ou SOAR travaillant pour le compte d'un client pour mettre à jour les résultats des fournisseurs de recherche) peuvent également utiliser BatchUpdateFindings pour mettre à jour l'état du flux de travail.