Integrasikan IAM Access Analyzer dengan AWS Security Hub CSPM - AWS Identity and Access Management
Bagaimana IAM Access Analyzer mengirimkan temuan ke Security Hub CSPMMelihat temuan IAM Access Analyzer di Security Hub CSPMTemuan khas dari IAM Access AnalyzerMengaktifkan dan mengonfigurasi integrasiBagaimana cara menghentikan pengiriman temuan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Integrasikan IAM Access Analyzer dengan AWS Security Hub CSPM

AWS Security Hub CSPMmemberikan pandangan komprehensif tentang keadaan keamanan Anda di seluruh AWS. Ini membantu Anda menilai lingkungan Anda terhadap standar industri keamanan dan praktik terbaik. Security Hub CSPM mengumpulkan data keamanan dari seluruh layanan Akun AWS, dan produk mitra pihak ketiga yang didukung. Kemudian menganalisis tren keamanan Anda dan mengidentifikasi masalah keamanan prioritas tertinggi.

Saat Anda mengintegrasikan IAM Access Analyzer dengan Security Hub CSPM, Anda dapat mengirim temuan dari IAM Access Analyzer ke Security Hub CSPM. Security Hub CSPM kemudian dapat memasukkan temuan-temuan tersebut dalam analisisnya tentang postur keamanan Anda secara keseluruhan.

Bagaimana IAM Access Analyzer mengirimkan temuan ke Security Hub CSPM

Di Security Hub CSPM, masalah keamanan dilacak sebagai temuan. Beberapa temuan berasal dari masalah yang terdeteksi oleh pihak lain Layanan AWS atau oleh mitra pihak ketiga. Security Hub CSPM juga memiliki seperangkat aturan yang digunakan untuk mendeteksi masalah keamanan dan menghasilkan temuan.

Security Hub CSPM menyediakan alat untuk mengelola temuan dari seluruh sumber ini. Anda dapat melihat dan memfilter daftar temuan dan melihat informasi rinci tentang setiap temuan. Untuk informasi lebih lanjut, lihat Melihat temuan dalam Panduan Pengguna AWS Security Hub . Anda juga dapat melacak status investigasi terhadap temuan. Untuk informasi lebih lanjut, lihat Mengambil tindakan pada temuan dalam Panduan Pengguna AWS Security Hub .

Semua temuan di Security Hub CSPM menggunakan format JSON standar yang disebut AWS Security Finding Format (ASFF). ASFF mencakup detail tentang sumber masalah, sumber daya yang terpengaruh, dan status temuan saat ini. Untuk informasi lebih lanjut, lihat AWS Security Finding Format (ASFF) di Panduan Pengguna AWS Security Hub .

AWS Identity and Access Management Access Analyzer adalah salah satu Layanan AWS yang mengirimkan temuan ke Security Hub CSPM. Untuk akses yang tidak digunakan, IAM Access Analyzer mendeteksi akses yang tidak terpakai yang diberikan kepada pengguna atau peran IAM dan menghasilkan temuan untuk masing-masing peran tersebut. IAM Access Analyzer kemudian mengirimkan temuan ini ke Security Hub CSPM.

Untuk akses eksternal, IAM Access Analyzer mendeteksi pernyataan kebijakan yang memungkinkan akses publik atau akses lintas akun ke prinsipal eksternal pada sumber daya yang didukung di organisasi atau akun Anda. IAM Access Analyzer menghasilkan temuan untuk akses publik dan mengirimkannya ke Security Hub CSPM. Untuk akses lintas akun, IAM Access Analyzer mengirimkan satu temuan untuk satu prinsipal eksternal sekaligus ke Security Hub CSPM. Jika ada beberapa temuan lintas akun di IAM Access Analyzer, Anda harus menyelesaikan temuan CSPM Security Hub untuk prinsipal eksternal tunggal sebelum IAM Access Analyzer menyediakan temuan lintas akun berikutnya. Untuk daftar lengkap prinsipal eksternal dengan akses lintas akun di luar zona kepercayaan untuk penganalisis, Anda harus melihat temuan di IAM Access Analyzer. Rincian tentang kebijakan kontrol sumber daya (RCP) tersedia di bagian detail sumber daya.

Jenis temuan yang dikirim IAM Access Analyzer

IAM Access Analyzer mengirimkan temuan ke Security Hub CSPM menggunakan AWS Security Finding Format (ASFF). Dalam ASFF, bidang Types menyediakan jenis temuan. Temuan dari IAM Access Analyzer dapat memiliki nilai berikut untuk. Types

  • Temuan akses eksternal - Effects/Data Paparan /Akses Eksternal Diberikan

  • Temuan akses eksternal — Pemeriksaan Perangkat Lunak dan AWS Konfigurasi/Keamanan Akses Terbaik Diberikan Practices/External

  • Temuan akses yang tidak digunakan — Pemeriksaan Perangkat Lunak dan Konfigurasi/Izin Terbaik AWS Keamanan Practices/Unused

  • Temuan akses yang tidak digunakan — Pemeriksaan Perangkat Lunak dan AWS Konfigurasi/Keamanan Peran IAM Terbaik Practices/Unused

  • Temuan akses yang tidak digunakan — Pemeriksaan Perangkat Lunak dan AWS Konfigurasi/Keamanan Kata Sandi Pengguna IAM Terbaik Practices/Unused

  • Temuan akses yang tidak digunakan — Pemeriksaan Perangkat Lunak dan AWS Konfigurasi/Keamanan Kunci Akses Pengguna Practices/Unused IAM Terbaik

Latensi untuk mengirim temuan

Ketika IAM Access Analyzer membuat temuan baru, biasanya dikirim ke Security Hub CSPM dalam waktu 30 menit. Namun, ada kasus yang jarang terjadi ketika IAM Access Analyzer mungkin tidak diberi tahu tentang perubahan kebijakan. Contoh:

  • Perubahan pada pengaturan akses publik blok tingkat akun Amazon S3 dapat memakan waktu hingga 12 jam untuk tercermin dalam IAM Access Analyzer.

  • Perubahan pada kebijakan kontrol sumber daya (RCP) tanpa perubahan pada kebijakan berbasis sumber daya tidak memicu pemindaian ulang sumber daya yang dilaporkan dalam temuan. IAM Access Analyzer menganalisis kebijakan baru atau yang diperbarui selama pemindaian berkala berikutnya, yaitu dalam 24 jam.

  • Jika ada masalah pengiriman dengan pengiriman AWS CloudTrail log, perubahan kebijakan mungkin tidak memicu pemindaian ulang sumber daya yang dilaporkan dalam temuan.

Dalam situasi ini, IAM Access Analyzer menganalisis kebijakan baru atau yang diperbarui selama pemindaian berkala berikutnya.

Mencoba lagi saat Security Hub CSPM tidak tersedia

Jika Security Hub CSPM tidak tersedia, IAM Access Analyzer mencoba mengirimkan temuan secara berkala.

Memperbarui temuan yang ada di Security Hub CSPM

Setelah mengirim temuan ke Security Hub CSPM, IAM Access Analyzer terus mengirim pembaruan untuk mencerminkan pengamatan tambahan dari aktivitas temuan ke Security Hub CSPM. Pembaruan ini tercermin dalam temuan yang sama.

Untuk temuan akses eksternal IAM Access Analyzer mengelompokkannya per sumber daya. Di Security Hub CSPM, temuan untuk sumber daya tetap aktif jika setidaknya salah satu temuan untuk sumber daya tersebut aktif di IAM Access Analyzer. Jika semua temuan di IAM Access Analyzer untuk sumber daya diarsipkan atau diselesaikan, maka temuan CSPM Security Hub juga diarsipkan. Temuan CSPM Security Hub diperbarui ketika akses kebijakan berubah antara akses publik dan lintas akun. Pembaruan ini dapat mencakup perubahan jenis, judul, deskripsi, dan tingkat keparahan temuan.

Untuk temuan akses yang tidak digunakan, IAM Access Analyzer tidak mengelompokkannya berdasarkan sumber daya. Sebaliknya, jika temuan akses yang tidak digunakan diselesaikan di IAM Access Analyzer, maka temuan CSPM Security Hub terkait juga diselesaikan. Temuan CSPM Security Hub diperbarui saat Anda memperbarui pengguna IAM atau peran yang menghasilkan pencarian akses yang tidak digunakan.

Melihat temuan IAM Access Analyzer di Security Hub CSPM

Untuk melihat temuan IAM Access Analyzer Anda di Security Hub CSPM, pilih Lihat temuan di bagian AWS: IAM Access Analyzer pada halaman ringkasan. Sebagai alternatif, Anda dapat memilih Temuan dari panel navigasi. Anda kemudian dapat memfilter temuan untuk hanya menampilkan AWS Identity and Access Management Access Analyzer temuan dengan memilih bidang Nama produk: dengan nilaiIAM Access Analyzer.

Menafsirkan IAM Access Analyzer menemukan nama di Security Hub CSPM

AWS Identity and Access Management Access Analyzer mengirimkan temuan ke Security Hub CSPM menggunakan AWS Security Finding Format (ASFF). Dalam ASFF, Tipe menyediakan jenis temuan. Jenis ASFF menggunakan skema penamaan yang berbeda dari AWS Identity and Access Management Access Analyzer. Tabel berikut mencakup rincian tentang semua jenis ASFF yang terkait dengan AWS Identity and Access Management Access Analyzer temuan seperti yang muncul di Security Hub CSPM.

Tipe temuan ASFF Judul pencarian CSPM Security Hub Deskripsi
Effects/Data Exposure/ExternalAkses Diberikan <resource ARN> memungkinkan akses publik Sebuah kebijakan berbasis sumber daya yang melekat pada sumber daya memungkinkan akses publik pada sumber daya untuk semua penanggung jawab eksternal.
Pemeriksaan Perangkat Lunak dan AWS Konfigurasi/Keamanan Akses Terbaik Diberikan Practices/External <resource ARN> memungkinkan akses lintas akun Kebijakan berbasis sumber daya yang melekat pada sumber daya memungkinkan akses lintas akun ke pelaku eksternal di luar zona kepercayaan untuk penganalisis.
Pemeriksaan Perangkat Lunak dan Konfigurasi/Praktik Terbaik AWS Keamanan/Izin yang Tidak Digunakan <resource ARN>berisi izin yang tidak digunakan Pengguna atau peran berisi izin layanan dan tindakan yang tidak digunakan.
Pemeriksaan Perangkat Lunak dan AWS Konfigurasi/Keamanan Peran IAM Terbaik Practices/Unused <resource ARN>berisi peran IAM yang tidak digunakan Pengguna atau peran berisi peran IAM yang tidak digunakan.
Pemeriksaan Perangkat Lunak dan AWS Konfigurasi/Keamanan Kata Sandi Pengguna Practices/Unused IAM Terbaik <resource ARN>berisi kata sandi pengguna IAM yang tidak digunakan Pengguna atau peran berisi kata sandi pengguna IAM yang tidak digunakan.
Pemeriksaan Perangkat Lunak dan AWS Konfigurasi/Keamanan Kunci Akses Pengguna Practices/Unused IAM Terbaik <resource ARN>berisi kunci akses pengguna IAM yang tidak digunakan Pengguna atau peran berisi kunci akses pengguna IAM yang tidak digunakan.

Temuan khas dari IAM Access Analyzer

IAM Access Analyzer mengirimkan temuan ke Security Hub CSPM menggunakan AWS Security Finding Format (ASFF).

Berikut adalah contoh temuan khas dari IAM Access Analyzer untuk temuan akses eksternal.

{
    "SchemaVersion": "2018-10-08",
    "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::amzn-s3-demo-bucket",
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
    "GeneratorId": "aws/access-analyzer",
    "AwsAccountId": "111122223333",
    "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"],
    "CreatedAt": "2020-11-10T16:17:47Z",
    "UpdatedAt": "2020-11-10T16:43:49Z",
    "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
    },
    "Title": "AwsS3Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access",
    "Description": "AWS::S3::Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access from AWS 444455556666",
    "Remediation": {
        "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."}
    },
    "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798",
    "Resources": [
        {
            "Type": "AwsS3Bucket",
            "Id": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Details": {
                "Other": {
                    "External Principal Type": "AWS",
                    "Condition": "none",
                    "Action Granted": "s3:GetObject,s3:GetObjectVersion",
                    "External Principal": "444455556666"
                }
            }
        }
    ],
    "WorkflowState": "NEW",
    "Workflow": {"Status": "NEW"},
    "RecordState": "ACTIVE"
}

Berikut adalah contoh temuan khas dari IAM Access Analyzer untuk temuan akses yang tidak digunakan.

{
    "Findings": [
    {
      "SchemaVersion": "2018-10-08",
      "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
      "ProductName": "IAM Access Analyzer",
      "CompanyName": "AWS",
      "Region": "us-west-2",
      "GeneratorId": "aws/access-analyzer",
      "AwsAccountId": "111122223333",
      "Types": [
        "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
      ],
      "CreatedAt": "2023-09-18T16:29:09.657Z",
      "UpdatedAt": "2023-09-21T20:39:16.651Z",
      "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
      },
      "Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions",
      "Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions",
      "Remediation": {
        "Recommendation": {
          "Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved."
        }
      },
      "SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole",
      "ProductFields": {
      "numberOfUnusedActions": "256",
      "numberOfUnusedServices": "15",
      "resourceOwnerAccount": "111122223333",
      "findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7",
      "findingType": "UnusedPermission",
      "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "aws/securityhub/ProductName": "AM Access Analyzer",
      "aws/securityhub/CompanyName": "AWS"
    },
    "Resources": [
    {
      "Type": "AwsIamRole",
      "Id": "arn:aws:iam::111122223333:role/TestRole"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
    },
  "RecordState": "ARCHIVED",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW"
    },
    "Types": [
    "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
    ]
  }
  }
]
}

Mengaktifkan dan mengonfigurasi integrasi

Untuk menggunakan integrasi dengan Security Hub CSPM, Anda harus mengaktifkan Security Hub CSPM. Untuk informasi tentang cara mengaktifkan CSPM Security Hub, lihat Menyiapkan Security Hub di AWS Security Hub Panduan Pengguna.

Saat Anda mengaktifkan IAM Access Analyzer dan Security Hub CSPM, integrasi diaktifkan secara otomatis. IAM Access Analyzer segera mulai mengirimkan temuan ke Security Hub CSPM.

Bagaimana cara menghentikan pengiriman temuan

Untuk menghentikan pengiriman temuan ke Security Hub CSPM, Anda dapat menggunakan konsol CSPM Security Hub atau API.

Lihat Menonaktifkan dan mengaktifkan alur temuan dari integrasi (konsol) atau Menonaktifkan alur temuan dari integrasi (Security Hub API, AWS CLI) di Panduan Pengguna.AWS Security Hub