Konsep Security Hub

AWS Akun standar yang berisi AWS sumber daya Anda. Masuk AWS dengan AWS akun Anda untuk mengaktifkan Security Hub.

Jika akun Anda terdaftar AWS Organizations, organisasi Anda menetapkan akun administrator Security Hub. Akun ini dapat mengaktifkan akun organisasi lain sebagai akun anggota.

Sebuah organisasi hanya dapat memiliki satu akun administrator. Akun tidak dapat berupa akun administrator dan akun anggota secara bersamaan.

Security Hub mendukung akun berikut:

Jenis AWS akun ini dapat melihat temuan untuk akun anggota terkait.

Jenis AWS akun ini menjadi akun administrator ketika akun ditetapkan oleh akun manajemen organisasi sebagai akun administrator Security Hub. Akun administrator Security Hub dapat mengaktifkan akun organisasi apa pun sebagai akun anggota dan juga dapat mengundang akun lain untuk menjadi akun anggota.

Sebuah organisasi hanya dapat memiliki satu akun administrator. Akun tidak dapat berupa akun administrator dan akun anggota secara bersamaan.

Wilayah agregasi memungkinkan Anda untuk melihat temuan keamanan dari beberapa Wilayah AWS dalam satu panel kaca.

Wilayah agregasi adalah Wilayah AWS tempat Anda melihat dan mengelola temuan. Temuan dikumpulkan dalam Wilayah agregasi dari Wilayah terkait. Temuan yang diperbarui direplikasi di seluruh Wilayah.

Di Wilayah agregasi, dasbor dan halaman inventaris menyertakan data dari semua Wilayah yang ditautkan. Halaman otomasi hanya dapat digunakan untuk menentukan aturan otomatisasi di wilayah agregasi. Integrasi tiket pihak ketiga hanya dapat dikonfigurasi di wilayah agregasi.

Temuan dengan statusARCHIVED. Temuan ini menunjukkan penyedia temuan atau pelanggan yang menyelidiki temuan tersebut percaya bahwa temuan tersebut tidak lagi relevan.

Penyedia pencarian dapat mengarsipkan temuan yang mereka buat. Pelanggan dapat mengarsipkan temuan apa pun yang mereka yakini tidak lagi relevan menggunakan operasi BatchUpdateFindingsV2 dari Security Hub API atau dengan memperbarui status di konsol Security Hub.

Di konsol Security Hub, setelan filter default mengecualikan temuan yang diarsipkan dari daftar dan tabel pencarian. Anda dapat memperbarui filter untuk menyertakan temuan yang diarsipkan. Jika Anda mengambil temuan dengan menggunakan operasi GetFindingsV2, operasi mengambil temuan yang diarsipkan dan aktif. Contoh berikut menunjukkan cara mengecualikan temuan yang diarsipkan dalam hasil.

{
    "StringFilters":
    [
        {
            "FieldName": "status",
            "Filter":
            {
                "Value": "Archived",
                "Comparison": "EQUALS"
            }
        }
    ]
}

Agregasi temuan dan sumber daya dari Wilayah terkait ke Wilayah agregasi. Anda dapat melihat semua data Anda dari Wilayah agregasi dan memperbarui temuan dari Wilayah agregasi.

Di AWS Organizations, akun administrator yang didelegasikan untuk suatu layanan dapat mengelola penggunaan layanan untuk organisasi.

Di Security Hub, akun administrator Security Hub juga merupakan akun administrator yang didelegasikan untuk Security Hub. Saat akun manajemen organisasi pertama kali menunjuk akun administrator Security Hub, Security Hub memanggil Organizations untuk menjadikan akun tersebut sebagai akun administrator yang didelegasikan.

Akun manajemen organisasi kemudian harus memilih akun administrator yang didelegasikan sebagai akun administrator Security Hub di semua Wilayah.

Eksposur adalah kelemahan yang lebih luas dalam kontrol keamanan, kesalahan konfigurasi, atau area lain yang dapat dieksploitasi oleh ancaman aktif.

Contoh eksposur meliputi:

Jenis temuan yang menggambarkan paparan yang ada di lingkungan Anda. Temuan eksposur mencakup sifat dan sinyal. Sinyal dapat mencakup satu atau lebih jenis sifat eksposur. AWS Security Hub menghasilkan temuan eksposur saat sinyal dari AWS Security Hub CSPM, Amazon Inspector, GuardDuty Amazon, Amazon Macie, AWS atau layanan lainnya, menunjukkan adanya eksposur. Sumber daya dapat terlibat dalam satu atau lebih temuan paparan. Jika sumber daya tidak memiliki sifat eksposur atau memiliki sifat yang tidak mencukupi, Security Hub tidak menghasilkan temuan eksposur untuk sumber daya tersebut.

Contoh temuan eksposur adalah: Sebuah EC2 contoh yang dapat dijangkau dari internet dan memiliki kerentanan perangkat lunak yang memiliki kecenderungan eksploitasi yang tinggi.

Catatan yang dapat diamati dari pemeriksaan keamanan atau deteksi terkait keamanan. Security Hub menghasilkan dan memperbarui temuan melalui korelasi temuan keamanan lainnya. Ini disebut temuan eksposur. Temuan juga dapat berasal dari integrasi dengan produk lain Layanan AWS dan pihak ketiga.

Impor temuan ke Security Hub. Menemukan peristiwa konsumsi mencakup temuan baru dan pembaruan untuk temuan yang ada.

Saat Anda mengaktifkan agregasi Lintas wilayah, Wilayah tertaut adalah wilayah yang mengumpulkan temuan dan inventaris sumber daya ke Wilayah agregasi.

Di Wilayah tertaut, dasbor dan halaman inventaris hanya berisi temuan untuk itu Wilayah AWS.

Open Cybersecurity Schema Framework (OCSF) adalah upaya kolaboratif dan open-source oleh AWS dan mitra terkemuka di industri keamanan siber. OCSF menyediakan skema standar untuk peristiwa keamanan umum, mendefinisikan kriteria pembuatan versi untuk memfasilitasi evolusi skema, dan mencakup proses tata kelola sendiri untuk produsen log keamanan dan konsumen. Untuk informasi selengkapnya, lihat temuan OCSF di Security Hub.

Sebuah Akun AWS yang memberikan izin kepada akun administrator untuk melihat dan mengambil tindakan atas temuan mereka. Jenis ini Akun AWS menjadi akun anggota ketika akun administrator Security Hub mengaktifkannya sebagai akun anggota.

Temuan yang berkontribusi pada temuan eksposur. Sinyal dapat disebut sebagai temuan yang berkontribusi. Sinyal dapat berasal dari Security Hub CSPM,, atau lainnya AWS Config Layanan AWS, seperti Amazon Inspector.

Deviasi keamanan yang menghasilkan temuan eksposur. Jenis sifat termasuk Asumsi, Kesalahan Konfigurasi, Jangkauan, Data Sensitif, dan Kerentanan. Suatu sifat dikaitkan dengan satu sinyal, dan sinyal dapat mengandung banyak sifat. Misalnya, kontrol CSPM Security Hub menunjukkan kebijakan yang dikelola pelanggan memungkinkan kontrol akses administratif. Sinyal ini mengandung sifat salah konfigurasi.