Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Integrasi dengan AWS Security Hub CSPM
AWS Security Hub CSPMmemberi Anda pandangan komprehensif tentang keadaan keamanan Anda AWS dan membantu Anda memeriksa lingkungan Anda terhadap standar industri keamanan dan praktik terbaik. Security Hub CSPM mengumpulkan data keamanan dari seluruh layanan Akun AWS, dan produk pihak ketiga yang didukung. Anda dapat menggunakan Security Hub CSPM untuk menganalisis tren keamanan Anda dan mengidentifikasi masalah keamanan prioritas tertinggi.
Dengan AWS IoT Device Defender integrasi dengan Security Hub CSPM, Anda dapat mengirim temuan dari AWS IoT Device Defender Security Hub CSPM. Security Hub CSPM menyertakan temuan-temuan tersebut dalam analisisnya tentang postur keamanan Anda.
Daftar Isi
Mengaktifkan dan mengonfigurasi integrasi
Sebelum Anda mengintegrasikan AWS IoT Device Defender dengan Security Hub CSPM, Anda harus terlebih dahulu mengaktifkan Security Hub CSPM. Untuk informasi tentang cara mengaktifkan CSPM Security Hub, lihat Menyiapkan Security Hub di AWS Security Hub Panduan Pengguna.
Setelah mengaktifkan keduanya AWS IoT Device Defender dan Security Hub CSPM, buka halaman Integrasi di konsol CSPM Security Hub
Cara AWS IoT Device Defender mengirimkan temuan ke Security Hub CSPM
Di Security Hub CSPM, masalah keamanan dilacak sebagai temuan. Beberapa temuan berasal dari masalah yang terdeteksi oleh AWS layanan lain atau oleh produk pihak ketiga.
Security Hub CSPM menyediakan alat untuk mengelola temuan dari seluruh sumber ini. Anda dapat melihat dan mem-filter daftar temuan dan melihat detail suatu temuan. Untuk informasi lebih lanjut, lihat Melihat temuan dalam Panduan Pengguna AWS Security Hub . Anda juga dapat melacak status penyelidikan temuan. Untuk informasi lebih lanjut, lihat Mengambil tindakan pada temuan dalam Panduan Pengguna AWS Security Hub .
Semua temuan di Security Hub CSPM menggunakan format JSON standar yang disebut AWS Security Finding Format (ASFF). ASFF mencakup detail tentang sumber masalah, sumber daya yang terpengaruh, dan status temuan saat ini. Untuk informasi selengkapnya tentang ASFF, lihat AWS Security Finding Format (ASFF) di AWS Security Hub Panduan Pengguna.
AWS IoT Device Defender adalah salah satu AWS layanan yang mengirimkan temuan ke Security Hub CSPM.
Jenis temuan yang dikirim AWS IoT Device Defender
Setelah Anda mengaktifkan integrasi CSPM Security Hub, AWS IoT Device Defender Audit mengirimkan temuan yang dihasilkannya (disebut ringkasan cek) ke Security Hub CSPM. Ringkasan cek adalah informasi umum untuk jenis pemeriksaan audit tertentu dan tugas audit tertentu. Untuk informasi selengkapnya, lihat Pemeriksaan audit.
AWS IoT Device Defender Audit mengirimkan pembaruan temuan ke CSPM Security Hub untuk Ringkasan Pemeriksaan Audit dan Temuan Audit di setiap tugas Audit. Jika semua sumber daya yang ditemukan di Pemeriksaan Audit sesuai, atau Tugas Audit dibatalkan, Audit akan memperbarui Ringkasan Pemeriksaan di CSPM Security Hub ke status catatan YANG DIARSIPKAN. Jika sumber daya dilaporkan tidak sesuai untuk Pemeriksaan Audit, tetapi dilaporkan sesuai dalam tugas Audit terakhir, Audit mengubahnya menjadi sesuai dan juga memperbarui temuan di CSPM Security Hub ke status catatan ARCHIVED.
AWS IoT Device Defender Deteksi mengirimkan temuan pelanggaran ke Security Hub CSPM. Temuan pelanggaran ini termasuk pembelajaran mesin (ML), statistik, dan perilaku statis.
Untuk mengirim temuan ke Security Hub CSPM, AWS IoT Device Defender gunakan AWS Security Finding Format (ASFF). Dalam ASFF, bidang Types menyediakan jenis temuan. Temuan dari AWS IoT Device Defender dapat memiliki nilai berikut untukTypes.
- Perilaku yang tidak biasa
-
Jenis temuan untuk pemeriksaan bersama klien MQTT dan sertifikat perangkat yang bertentangan, IDs dan jenis temuan untuk Detect.
- Periksaan/Kerentanan Perangkat Lunak dan Konfigurasi
-
Jenis temuan untuk semua pemeriksaan Audit lainnya.
Latensi untuk mengirim temuan
Ketika AWS IoT Device Defender Audit membuat temuan baru, itu segera dikirim ke Security Hub CSPM setelah tugas audit selesai. Latensi tergantung pada volume temuan yang dihasilkan dalam tugas audit. Security Hub CSPM biasanya menerima temuan dalam waktu satu jam.
AWS IoT Device Defender Deteksi mengirimkan temuan untuk pelanggaran dalam waktu dekat. Setelah pelanggaran masuk atau keluar dari alarm (artinya alarm dibuat atau dihapus), temuan CSPM Security Hub yang sesuai segera dibuat atau diarsipkan.
Mencoba lagi saat CSPM Security Hub tidak tersedia
Jika CSPM Security Hub tidak tersedia, AWS IoT Device Defender Audit dan AWS IoT Device Defender Deteksi coba lagi mengirimkan temuan hingga temuan tersebut diterima.
Memperbarui temuan yang ada di Security Hub CSPM
Setelah temuan AWS IoT Device Defender Audit dikirim ke Security Hub CSPM, Anda dapat mengidentifikasinya dengan pengenal sumber daya yang diperiksa dan jenis pemeriksaan audit. Jika temuan audit baru dihasilkan dengan tugas audit berikutnya untuk sumber daya dan pemeriksaan audit yang sama, AWS IoT Device Defender Audit mengirimkan pembaruan untuk mencerminkan pengamatan tambahan dari aktivitas temuan ke Security Hub CSPM. Jika tidak ada temuan audit tambahan yang dihasilkan dengan tugas audit berikutnya untuk sumber daya dan pemeriksaan audit yang sama, sumber daya berubah menjadi sesuai dengan pemeriksaan audit. AWS IoT Device Defender Audit kemudian mengarsipkan temuan di Security Hub CSPM.
AWS IoT Device Defender Audit juga memperbarui ringkasan cek di Security Hub CSPM. Jika ada sumber daya yang tidak sesuai yang ditemukan dalam pemeriksaan audit atau pemeriksaan gagal, status temuan CSPM Security Hub menjadi aktif. Jika tidak, AWS IoT Device Defender Audit mengarsipkan temuan di Security Hub CSPM.
AWS IoT Device Defender Detect membuat temuan CSPM Security Hub ketika ada pelanggaran (misalnya, dalam alarm). Temuan itu diperbarui hanya jika salah satu kriteria berikut terpenuhi:
-
Temuan ini akan segera kedaluwarsa di Security Hub CSPM sehingga AWS IoT Device Defender mengirimkan pembaruan untuk menjaga temuan terkini. Temuan dihapus 90 hari setelah pembaruan terbaru atau 90 hari setelah tanggal pembuatan jika tidak ada pembaruan yang terjadi. Untuk informasi selengkapnya, lihat kuota CSPM Security Hub di Panduan Pengguna.AWS Security Hub
-
Pelanggaran terkait keluar dari alarm, jadi AWS IoT Device Defender perbarui status temuannya ke ARCHIVED.
Temuan khas dari AWS IoT Device Defender
AWS IoT Device Defender menggunakan AWS Security Finding Format (ASFF) untuk mengirim temuan ke Security Hub CSPM.
Contoh berikut menunjukkan temuan khas dari Security Hub CSPM untuk temuan audit. ReportTypeDi ProductFields dalamnyaAuditFinding.
{ "SchemaVersion": "2018-10-08", "Id": "336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit", "ProductName": "IoT Device Defender - Audit", "CompanyName": "AWS", "Region": "us-west-2", "GeneratorId": "1928b87ab338ee2f541f6fab8c41c4f5", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Check/Vulnerabilities" ], "CreatedAt": "2022-11-06T22:11:40.941Z", "UpdatedAt": "2022-11-06T22:11:40.941Z", "Severity": { "Label": "CRITICAL", "Normalized": 90 }, "Title": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK: ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS", "Description": "IOT_POLICY policyexample:1 is reported as non-compliant for IOT_POLICY_OVERLY_PERMISSIVE_CHECK by Audit task 9f71b6e90cfb57d4ac671be3a4898e6a. The non-compliant reason is Policy allows broad access to IoT data plane actions: [iot:Connect].", "SourceUrl": "https://us-west-2.console.aws.amazon.com/iot/home?region=us-west-2#/policy/policyexample", "ProductFields": { "CheckName": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK", "TaskId": "9f71b6e90cfb57d4ac671be3a4898e6a", "TaskType": "ON_DEMAND_AUDIT_TASK", "PolicyName": "policyexample", "IsSuppressed": "false", "ReasonForNonComplianceCode": "ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS", "ResourceType": "IOT_POLICY", "FindingId": "1928b87ab338ee2f541f6fab8c41c4f5", "PolicyVersionId": "1", "ReportType": "AuditFinding", "TaskStartTime": "1667772700554", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit/336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS", "aws/securityhub/ProductName": "IoT Device Defender - Audit", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsIotPolicy", "Id": "policyexample", "Partition": "aws", "Region": "us-west-2", "Details": { "Other": { "PolicyVersionId": "1" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "CRITICAL" }, "Types": [ "Software and Configuration Check/Vulnerabilities" ] } }
Contoh berikut menunjukkan temuan dari Security Hub CSPM untuk ringkasan pemeriksaan audit. ReportTypeDi ProductFields dalamnyaCheckSummary.
{ "SchemaVersion": "2018-10-08", "Id": "615243839755/SCHEDULED_AUDIT_TASK/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit", "ProductName": "IoT Device Defender - Audit", "CompanyName": "AWS", "Region": "us-east-1", "GeneratorId": "f3021945485adf92487c273558fcaa51", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Check/Vulnerabilities/CVE" ], "CreatedAt": "2022-10-18T14:20:13.933Z", "UpdatedAt": "2022-10-18T14:20:13.933Z", "Severity": { "Label": "CRITICAL", "Normalized": 90 }, "Title": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK Summary: Completed with 2 non-compliant resources", "Description": "Task f3021945485adf92487c273558fcaa51 of weekly scheduled Audit daily_audit_schedule_checks completes. 2 non-cimpliant resources are found for DEVICE_CERTIFICATE_KEY_QUALITY_CHECK out of 1000 resources in the account. The percentage of non-compliant resources is 0.2%.", "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/audit/results/f3021945485adf92487c273558fcaa51/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK", "ProductFields": { "TaskId": "f3021945485adf92487c273558fcaa51", "TaskType": "SCHEDULED_AUDIT_TASK", "ScheduledAuditName": "daily_audit_schedule_checks", "CheckName": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK", "ReportType": "CheckSummary", "CheckRunStatus": "COMPLETED_NON_COMPLIANT", "NonComopliantResourcesCount": "2", "SuppressedNonCompliantResourcesCount": "1", "TotalResourcesCount": "1000", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit/615243839755/SCHEDULED/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK", "aws/securityhub/ProductName": "IoT Device Defender - Audit", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsIotAuditTask", "Id": "f3021945485adf92487c273558fcaa51", "Region": "us-east-1" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "CRITICAL" }, "Types": [ "Software and Configuration Check/Vulnerabilities/CVE" ] } }
Contoh berikut menunjukkan temuan khas dari Security Hub CSPM untuk pelanggaran AWS IoT Device Defender Detect.
{ "SchemaVersion": "2018-10-08", "Id": "e92a782593c6f5b1fc7cb6a443dc1a12", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect", "ProductName": "IoT Device Defender - Detect", "CompanyName": "AWS", "Region": "us-east-1", "GeneratorId": "arn:aws:iot:us-east-1:123456789012:securityprofile/MySecurityProfile", "AwsAccountId": "123456789012", "Types": [ "Unusual Behaviors" ], "CreatedAt": "2022-11-09T22:45:00Z", "UpdatedAt": "2022-11-09T22:45:00Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "Registered thing MyThing is in alarm for STATIC behavior MyBehavior.", "Description": "Registered thing MyThing violates STATIC behavior MyBehavior of security profile MySecurityProfile. Violation was triggered because the device did not conform to aws:num-disconnects less-than 1.", "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/securityProfile/MySecurityProfile?tab=violations", "ProductFields": { "ComparisonOperator": "less-than", "BehaviorName": "MyBehavior", "ViolationId": "e92a782593c6f5b1fc7cb6a443dc1a12", "ViolationStartTime": "1668033900000", "SuppressAlerts": "false", "ConsecutiveDatapointsToAlarm": "1", "ConsecutiveDatapointsToClear": "1", "DurationSeconds": "300", "Count": "1", "MetricName": "aws:num-disconnects", "BehaviorCriteriaType": "STATIC", "ThingName": "MyThing", "SecurityProfileName": "MySecurityProfile", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect/e92a782593c6f5b1fc7cb6a443dc1a12", "aws/securityhub/ProductName": "IoT Device Defender - Detect", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsIotRegisteredThing", "Id": "MyThing", "Region": "us-east-1", "Details": { "Other": { "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/thing/MyThing?tab=violations", "IsRegisteredThing": "true", "ThingArn": "arn:aws:iot:us-east-1:123456789012:thing/MyThing" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Unusual Behaviors" ] } }
AWS IoT Device Defender Berhenti mengirim temuan ke Security Hub CSPM
Untuk menghentikan pengiriman temuan ke Security Hub CSPM, Anda dapat menggunakan konsol CSPM Security Hub atau API.
Untuk informasi selengkapnya, lihat Menonaktifkan dan mengaktifkan aliran temuan dari integrasi (konsol) atau Menonaktifkan aliran temuan dari integrasi (Security Hub CSPM API,) di Panduan Pengguna. AWS CLIAWS Security Hub
