Concepts du Security Hub

Le AWS compte standard contenant vos AWS ressources. Connectez-vous AWS à votre AWS compte pour activer Security Hub.

Si votre compte est inscrit AWS Organizations, votre organisation désigne un compte administrateur Security Hub. Ce compte peut activer d'autres comptes d'organisation en tant que comptes de membres.

Une organisation ne peut avoir qu'un seul compte administrateur. Un compte ne peut pas être à la fois un compte administrateur et un compte membre.

Security Hub prend en charge les comptes suivants :

Ce type de AWS compte permet de consulter les résultats des comptes de membres associés.

Ce type de AWS compte devient un compte administrateur lorsqu'il est désigné par un compte de gestion de l'organisation comme compte administrateur du Security Hub. Le compte administrateur du Security Hub peut activer n'importe quel compte d'organisation en tant que compte membre et peut également inviter d'autres comptes à devenir des comptes membres.

Une organisation ne peut avoir qu'un seul compte administrateur. Un compte ne peut pas être à la fois un compte administrateur et un compte membre.

Une région d'agrégation vous permet de visualiser les résultats de sécurité provenant Régions AWS de plusieurs sites sur un seul écran.

La région d'agrégation est l' Région AWS endroit où vous pouvez consulter et gérer les résultats. Les résultats sont agrégés dans la région d'agrégation à partir des régions liées. Les résultats mis à jour sont reproduits dans toutes les régions.

Dans la région d'agrégation, le tableau de bord et les pages d'inventaire incluent les données de toutes les régions liées. La page des automatisations ne peut être utilisée que pour définir des règles d'automatisation dans la région d'agrégation. Les intégrations de billetterie tierces ne peuvent être configurées que dans la région d'agrégation.

Une découverte dont le statut est deARCHIVED. Ces résultats indiquent que le fournisseur ou le client enquêtant sur le résultat estime que le résultat n'est plus pertinent.

Les fournisseurs de services de recherche peuvent archiver les résultats qu'ils créent. Les clients peuvent archiver les résultats qui, selon eux, ne sont plus pertinents en utilisant le fonctionnement BatchUpdateFindingsV2 de l'API Security Hub ou en mettant à jour le statut dans la console Security Hub.

Dans la console Security Hub, les paramètres de filtre par défaut excluent les résultats archivés des listes et des tableaux de recherche. Vous pouvez mettre à jour les filtres pour inclure les résultats archivés. Si vous récupérez des résultats à l'aide de l'opération GetFindingsV2, l'opération récupère à la fois les résultats archivés et les résultats actifs. L'exemple suivant montre comment exclure les résultats archivés des résultats.

{
    "StringFilters":
    [
        {
            "FieldName": "status",
            "Filter":
            {
                "Value": "Archived",
                "Comparison": "EQUALS"
            }
        }
    ]
}

L'agrégation des résultats et des ressources des régions liées à une région d'agrégation. Vous pouvez afficher toutes vos données de la région d'agrégation et mettre à jour les résultats de la région d'agrégation.

Dans AWS Organizations, le compte d'administrateur délégué d'un service est capable de gérer l'utilisation d'un service pour l'organisation.

Dans Security Hub, le compte administrateur Security Hub est également le compte administrateur délégué de Security Hub. Lorsque le compte de gestion de l'organisation désigne pour la première fois le compte administrateur Security Hub, Security Hub appelle Organizations pour faire de ce compte le compte administrateur délégué.

Le compte de gestion de l'organisation doit ensuite choisir le compte d'administrateur délégué comme compte d'administrateur du Security Hub dans toutes les régions.

Les expositions sont des faiblesses plus générales liées aux contrôles de sécurité, aux erreurs de configuration ou à d'autres domaines susceptibles d'être exploités par des menaces actives.

Voici des exemples d'expositions :

Type de constatation qui décrit une exposition présente dans votre environnement. Un résultat d'exposition inclut des traits et des signaux. Un signal peut inclure un ou plusieurs types de caractéristiques d'exposition. AWS Security Hub génère une détection d'exposition lorsque des signaux provenant de AWS Security Hub CSPM, Amazon Inspector GuardDuty, Amazon, Amazon Macie ou AWS d'autres services indiquent la présence d'une exposition. Une ressource peut être impliquée dans un ou plusieurs résultats d'exposition. Si une ressource ne présente aucun caractère d'exposition ou si ses caractéristiques sont insuffisantes, Security Hub ne génère pas de résultat d'exposition pour cette ressource.

Voici un exemple de découverte d'exposition : une EC2 instance accessible depuis Internet et présentant des vulnérabilités logicielles présentant un risque élevé d'exploitation.

Enregistrement observable d'une vérification de sécurité ou d'une détection liée à la sécurité. Security Hub génère et met à jour les résultats grâce à la corrélation d'autres résultats de sécurité. C'est ce que l'on appelle les résultats d'exposition. Les résultats peuvent également provenir d'intégrations avec Services AWS d'autres produits tiers.

L'importation des résultats dans Security Hub. La découverte d'événements liés à l'ingestion inclut à la fois de nouvelles découvertes et des mises à jour des résultats existants.

Lorsque vous activez l'agrégation entre régions, une région liée est une région qui regroupe les résultats et l'inventaire des ressources dans la région d'agrégation.

Dans une région liée, le tableau de bord et les pages d'inventaire contiennent uniquement les résultats correspondants Région AWS.

L'Open Cybersecurity Schema Framework (OCSF) est un effort collaboratif AWS et open source mené par des partenaires de premier plan dans le secteur de la cybersécurité. L'OCSF fournit un schéma standard pour les événements de sécurité courants, définit des critères de version pour faciliter l'évolution du schéma et inclut un processus d'autogouvernance pour les producteurs et les consommateurs de journaux de sécurité. Pour plus d'informations, consultez les résultats de l'OCSF dans Security Hub.

Et Compte AWS qui autorisait un compte administrateur à consulter ses conclusions et à y donner suite. Ce type de compte Compte AWS devient un compte membre lorsque le compte administrateur du Security Hub l'active en tant que compte membre.

Une découverte qui contribue à une constatation d'exposition. Un signal peut être considéré comme une découverte contributive. Un signal peut provenir de Security Hub CSPM ou d'un autre AWS Config site Services AWS, tel qu'Amazon Inspector.

Déviation de sécurité qui entraîne la découverte d'une exposition. Les types de caractéristiques incluent l'assumabilité, la mauvaise configuration, l'accessibilité, les données sensibles et la vulnérabilité. Un trait est associé à un signal, et un signal peut contenir plusieurs traits. Par exemple, un contrôle Security Hub CSPM indique qu'une politique gérée par le client autorise le contrôle d'accès administratif. Ce signal contient un trait de mauvaise configuration.