Integrazione di Sistema di analisi degli accessi IAM con AWS Security Hub - AWS Identity and Access Management
Come Sistema di analisi degli accessi IAM invia i risultati a Security HubVisualizzazione dei risultati di Sistema di analisi degli accessi IAM in Security HubRisultato tipico da Sistema di analisi degli accessi IAMAbilitazione e configurazione dell'integrazioneCome interrompere l'invio di esiti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Integrazione di Sistema di analisi degli accessi IAM con AWS Security Hub

AWS Security Hub fornisce una visione completa dello stato di sicurezza in AWS. Consente di valutare l'ambiente rispetto agli standard e alle best practice del settore della sicurezza. Security Hub raccoglie dati sulla sicurezza da tutti Account AWS i servizi e i prodotti partner di terze parti supportati. Quindi analizza le tendenze di sicurezza e identifica i problemi di sicurezza più importanti.

L'integrazione di Sistema di analisi degli accessi IAM con Centrale di sicurezza consente di inviare i risultati da Sistema di analisi degli accessi IAM a Centrale di sicurezza. Centrale di sicurezza può quindi includere tali risultati nella sua analisi della posizione di sicurezza generale.

Come Sistema di analisi degli accessi IAM invia i risultati a Security Hub

Nella Centrale di sicurezza, i problemi di sicurezza vengono monitorati come esiti. Alcuni risultati derivano da problemi rilevati da altri partner Servizi AWS o da partner terzi. Security Hub dispone inoltre di una serie di regole che utilizza per rilevare problemi di sicurezza e generare risultati.

Security Hub fornisce strumenti per gestire i risultati da tutte queste fonti. È possibile visualizzare e filtrare gli elenchi dei risultati e visualizzare informazioni dettagliate su ciascun risultato. Per ulteriori informazioni, consulta Visualizzazione dei riscontri nella Guida per l'utente AWS Security Hub . È inoltre possibile monitorare lo stato delle indagini in un risultato. Per ulteriori informazioni, consulta Operazioni sugli esiti nella Guida per l'utente di AWS Security Hub .

Tutti i risultati in Security Hub utilizzano un formato JSON standard chiamato AWS Security Finding Format (ASFF). L'ASFF include dettagli sull'origine del problema, sulle risorse interessate e sullo stato corrente del risultato. Per ulteriori informazioni, consulta AWS Security Finding Format (ASFF) nella Guida per l'utente di AWS Security Hub .

AWS Identity and Access Management Access Analyzer è uno di quelli Servizi AWS che invia i risultati a Security Hub. Per gli accessi inutilizzati, Sistema di analisi degli accessi IAM rileva l'accesso inutilizzato concesso a ruoli o utenti IAM e genera un risultato per ognuno di essi. Sistema di analisi degli accessi IAM invia quindi questi risultati a Centrale di sicurezza.

Per gli accessi esterni, Sistema di analisi degli accessi IAM rileva le istruzioni della policy che consentono a un principale esterno l'accesso pubblico o l'accesso multi-account su risorse supportate nell'organizzazione o nell'account. Il Sistema di analisi degli accessi IAM genera un risultato per l'accesso pubblico e lo invia alla Centrale di sicurezza. Per l'accesso multi-account, il Sistema di analisi degli accessi IAM invia alla Centrale di sicurezza un singolo risultato per un principale esterno alla volta. Se sono presenti più risultati tra account nel Sistema di analisi degli accessi IAM, è necessario risolvere il risultato della Centrale di sicurezza per il singolo principale esterno prima che il Sistema di analisi degli accessi IAM fornisca il successivo risultato tra account. Per un elenco completo dei principali esterni con accesso multi-account al di fuori della zona di attendibilità per il sistema di analisi, è necessario visualizzare i risultati nel Sistema di analisi degli accessi IAM. I dettagli della policy di controllo delle risorse (RCP) sono disponibili nella sezione dei dettagli della risorsa.

Tipi di risultati inviati da Sistema di analisi degli accessi IAM

Sistema di analisi degli accessi IAM invia i risultati a Security Hub utilizzando il formato ASFF (Security Finding Format) di AWS. In ASFF, il Types campo fornisce il tipo di esito. I risultati ottenuti da Sistema di analisi degli accessi IAM possono avere i seguenti valori per Types.

  • Risultati di accesso esterno: Effects/Data Exposure/External accesso concesso

  • Risultati relativi all'accesso esterno: controlli del software e della configurazione/Best practice di AWS sicurezza/Accesso esterno garantito

  • Risultati relativi agli accessi non utilizzati: controlli del software e della configurazione/best practice di sicurezza/Autorizzazioni non utilizzate AWS

  • Risultati relativi agli accessi non utilizzati: controlli del software e della configurazione/best practice di sicurezza/ruolo IAM non utilizzato AWS

  • Risultati relativi agli accessi non utilizzati: controlli del software e della configurazione/best practice di sicurezza/password utente IAM non utilizzata AWS

  • Risultati di accesso non utilizzati: controlli del software e della configurazione/best practice di sicurezza/chiave di accesso utente IAM non utilizzata AWS

Latenza per l'invio degli esiti

Quando Sistema di analisi degli accessi IAM crea un nuovo risultato, lo invia a Security Hub solitamente entro 30 minuti. Tuttavia, ci sono rari casi in cui il Sistema di analisi degli accessi IAM potrebbe non ricevere notifiche in merito a una modifica della policy. Per esempio:

  • Le modifiche alle impostazioni di accesso pubblico in blocco a livello di account di Amazon S3 possono richiedere fino a 12 ore per essere applicate nel Sistema di analisi degli accessi IAM.

  • Le modifiche a una policy di controllo delle risorse (RCP) senza una modifica della policy del bucket non attivano una nuova scansione della risorsa riportata nel risultato. In questo caso, Sistema di analisi degli accessi IAM analizza la policy nuova o aggiornata durante la scansione periodica successiva che avviene entro 24 ore.

  • Se si verifica un problema di consegna con la consegna dei AWS CloudTrail log, una modifica della politica potrebbe non innescare una nuova scansione della risorsa segnalata nel risultato.

In questo caso, Sistema di analisi degli accessi IAM analizza la policy nuova o aggiornata durante la scansione periodica successiva.

Nuovo tentativo quando Security Hub non è disponibile

Se Security Hub non è disponibile, Sistema di analisi degli accessi IAM riprova a inviare i risultati su base periodica.

Aggiornamento degli esiti esistenti nella Centrale di sicurezza

Dopo aver inviato un risultato alla Centrale di sicurezza, Sistema di analisi degli accessi IAM continua a inviare aggiornamenti per riflettere ulteriori osservazioni dell'attività di ricerca a Centrale di sicurezza. Questi aggiornamenti vengono riflessi all'interno dello stesso risultato.

Per i risultati degli accessi esterni, il Sistema di analisi degli accessi IAM li raggruppa per risorsa. In Centrale di sicurezza, il risultato per una risorsa rimane attivo se almeno uno dei risultati per quella risorsa è attivo in Sistema di analisi degli accessi IAM. Se tutti i risultati in Sistema di analisi degli accessi IAM di una risorsa vengono archiviati o risolti, viene archiviato anche il risultato di Centrale di sicurezza. Il risultato di Centrale di sicurezza viene aggiornato quando si modifica l'accesso alla policy tra l'accesso pubblico e l'accesso multi-account. Questo aggiornamento può includere modifiche al tipo, al titolo, alla descrizione e alla gravità del risultato.

Per i risultati degli accessi inutilizzati, il Sistema di analisi degli accessi IAM non li raggruppa per risorsa. Se invece un risultato di accesso inutilizzato viene risolto nel Sistema di analisi degli accessi IAM, viene risolto anche il risultato della Centrale di sicurezza corrispondente. Il risultato di Security Hub viene aggiornato quando aggiorni l'utente o il ruolo IAM che ha generato il risultato di accesso inutilizzato.

Visualizzazione dei risultati di Sistema di analisi degli accessi IAM in Security Hub

Per visualizzare i risultati di Sistema di analisi degli accessi IAM in Security Hub, scegli Visualizza risultati nella sezione AWS: Sistema di analisi degli accessi IAM della pagina di riepilogo. In alternativa, è possibile scegliere Risultati dal pannello di navigazione. È quindi possibile filtrare i risultati per visualizzare solo AWS Identity and Access Management Access Analyzer i risultati scegliendo il campo Nome prodotto: con un valore diIAM Access Analyzer.

Interpretazione dei nomi dei risultati di Sistema di analisi degli accessi IAM in Security Hub

AWS Identity and Access Management Access Analyzer invia i risultati a Security Hub utilizzando il AWS Security Finding Format (ASFF). In ASFF, il campo Tipi fornisce il tipo di risultato. I tipi ASFF utilizzano uno schema di denominazione diverso da. AWS Identity and Access Management Access Analyzer La tabella seguente include dettagli su tutti i tipi di ASFF associati ai AWS Identity and Access Management Access Analyzer risultati così come appaiono in Security Hub.

Tipo di risultati ASFF Titolo del risultato di Security Hub Descrizione
Effects/Data Exposure/ExternalAccesso concesso <resource ARN>consente l'accesso pubblico Una politica basata sulle risorse collegata alla risorsa consente l'accesso pubblico alla risorsa a tutte le entità esterne.
Controlli del software e della configurazione/Best practice AWS di sicurezza/Accesso esterno concesso <resource ARN> consente l'accesso tra account Una politica basata sulle risorse collegata alla risorsa consente l'accesso tra account alle entità esterne all'area di trust per l'analizzatore.
Controlli del software e della configurazione/Best practice di sicurezza/Autorizzazioni non utilizzate AWS <resource ARN> contiene autorizzazioni inutilizzate Un utente o un ruolo contiene autorizzazioni di servizio e operazioni inutilizzate.
Controlli del software e della configurazione/Best practice di sicurezza/Ruolo IAM non utilizzato AWS <resource ARN> contiene un ruolo IAM inutilizzato Un utente o un ruolo contiene un ruolo IAM inutilizzato.
Controlli AWS del software e della configurazione/Best practice di sicurezza/Password utente IAM non utilizzata <resource ARN> contiene una password utente IAM inutilizzata Un utente o un ruolo contiene una password utente IAM inutilizzata.
Controlli del software e della configurazione/Best practice di sicurezza/Chiave di accesso utente IAM AWS non utilizzata <resource ARN> contiene una chiave di accesso dell'utente IAM inutilizzata Un utente o un ruolo contiene una chiave di accesso dell'utente IAM inutilizzata.

Risultato tipico da Sistema di analisi degli accessi IAM

Sistema di analisi degli accessi IAM invia i risultati a Security Hub utilizzando AWS Security Finding Format (ASFF).

Ecco un esempio di un tipico risultato da Sistema di analisi degli accessi IAM per i risultati degli accessi esterni.

{
    "SchemaVersion": "2018-10-08",
    "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::amzn-s3-demo-bucket",
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
    "GeneratorId": "aws/access-analyzer",
    "AwsAccountId": "111122223333",
    "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"],
    "CreatedAt": "2020-11-10T16:17:47Z",
    "UpdatedAt": "2020-11-10T16:43:49Z",
    "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
    },
    "Title": "AwsS3Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access",
    "Description": "AWS::S3::Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access from AWS 444455556666",
    "Remediation": {
        "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."}
    },
    "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798",
    "Resources": [
        {
            "Type": "AwsS3Bucket",
            "Id": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Details": {
                "Other": {
                    "External Principal Type": "AWS",
                    "Condition": "none",
                    "Action Granted": "s3:GetObject,s3:GetObjectVersion",
                    "External Principal": "444455556666"
                }
            }
        }
    ],
    "WorkflowState": "NEW",
    "Workflow": {"Status": "NEW"},
    "RecordState": "ACTIVE"
}

Ecco un esempio di un tipico risultato da Sistema di analisi degli accessi IAM per i risultati degli accessi inutilizzati.

{
    "Findings": [
    {
      "SchemaVersion": "2018-10-08",
      "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
      "ProductName": "IAM Access Analyzer",
      "CompanyName": "AWS",
      "Region": "us-west-2",
      "GeneratorId": "aws/access-analyzer",
      "AwsAccountId": "111122223333",
      "Types": [
        "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
      ],
      "CreatedAt": "2023-09-18T16:29:09.657Z",
      "UpdatedAt": "2023-09-21T20:39:16.651Z",
      "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
      },
      "Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions",
      "Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions",
      "Remediation": {
        "Recommendation": {
          "Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved."
        }
      },
      "SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole",
      "ProductFields": {
      "numberOfUnusedActions": "256",
      "numberOfUnusedServices": "15",
      "resourceOwnerAccount": "111122223333",
      "findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7",
      "findingType": "UnusedPermission",
      "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "aws/securityhub/ProductName": "AM Access Analyzer",
      "aws/securityhub/CompanyName": "AWS"
    },
    "Resources": [
    {
      "Type": "AwsIamRole",
      "Id": "arn:aws:iam::111122223333:role/TestRole"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
    },
  "RecordState": "ARCHIVED",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW"
    },
    "Types": [
    "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
    ]
  }
  }
]
}

Abilitazione e configurazione dell'integrazione

Per utilizzare l'integrazione con Security Hub, è necessario abilitare Security Hub. Per informazioni su come abilitare Security Hub, consulta Configurazione di Security Hub nella Guida per l'utente di AWS Security Hub .

Una volta abilitati Sistema di analisi degli accessi IAM e Security Hub, l'integrazione viene abilitata automaticamente. Sistema di analisi degli accessi IAM inizia immediatamente a inviare i risultati a Security Hub.

Come interrompere l'invio di esiti

Per interrompere l'invio dei risultati a Security Hub, puoi utilizzare la console o l'API di Security Hub.

Consulta Disabilitazione e abilitazione del flusso dei risultati da un'integrazione (console) o Disabilitazione del flusso di risultati da un'integrazione (API Security Hub, AWS CLI) nella Guida per l'utente di AWS Security Hub .