Integrazione di Sistema di analisi degli accessi IAM con AWS Security Hub CSPM - AWS Identity and Access Management
In che modo IAM Access Analyzer invia i risultati al Security Hub CSPMVisualizzazione dei risultati di IAM Access Analyzer in Security Hub CSPMRisultato tipico da Sistema di analisi degli accessi IAMAbilitazione e configurazione dell'integrazioneCome interrompere l'invio degli esiti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Integrazione di Sistema di analisi degli accessi IAM con AWS Security Hub CSPM

AWS Security Hub CSPM fornisce una visione completa dello stato di sicurezza in AWS. Consente di valutare l'ambiente rispetto agli standard e alle best practice del settore della sicurezza. Security Hub CSPM raccoglie dati di sicurezza da tutti Account AWS i servizi e dai prodotti partner di terze parti supportati. Quindi analizza le tendenze di sicurezza e identifica i problemi di sicurezza più importanti.

Quando integri IAM Access Analyzer con Security Hub CSPM, puoi inviare i risultati da IAM Access Analyzer a Security Hub CSPM. Security Hub CSPM può quindi includere tali risultati nella sua analisi del livello di sicurezza complessivo.

In che modo IAM Access Analyzer invia i risultati al Security Hub CSPM

In Security Hub CSPM, i problemi di sicurezza vengono registrati come risultati. Alcuni risultati derivano da problemi rilevati da altri partner Servizi AWS o da partner terzi. Security Hub CSPM dispone anche di una serie di regole che utilizza per rilevare problemi di sicurezza e generare risultati.

Security Hub CSPM fornisce strumenti per gestire i risultati provenienti da tutte queste fonti. È possibile visualizzare e filtrare gli elenchi di esiti e visualizzare informazioni dettagliate per ogni esito. Per ulteriori informazioni, consulta Visualizzazione degli esiti nella Guida per l'utente AWS Security Hub . È inoltre possibile monitorare lo stato delle indagini in un risultato. Per ulteriori informazioni, consulta Operazioni sugli esiti nella Guida per l'utente di AWS Security Hub .

Tutti i risultati in Security Hub CSPM utilizzano un formato JSON standard chiamato AWS Security Finding Format (ASFF). L'ASFF include dettagli sull'origine del problema, sulle risorse interessate e sullo stato corrente dell'esito. Per ulteriori informazioni, consulta AWS Security Finding Format (ASFF) nella Guida per l'utente di AWS Security Hub .

AWS Identity and Access Management Access Analyzer è uno di quelli Servizi AWS che invia i risultati al Security Hub CSPM. Per gli accessi inutilizzati, Sistema di analisi degli accessi IAM rileva l'accesso inutilizzato concesso a ruoli o utenti IAM e genera un risultato per ognuno di essi. IAM Access Analyzer invia quindi questi risultati a Security Hub CSPM.

Per gli accessi esterni, Sistema di analisi degli accessi IAM rileva le istruzioni della policy che consentono a un principale esterno l'accesso pubblico o l'accesso multi-account su risorse supportate nell'organizzazione o nell'account. IAM Access Analyzer genera un risultato per l'accesso pubblico e lo invia a Security Hub CSPM. Per l'accesso su più account, IAM Access Analyzer invia un singolo risultato per un principale esterno alla volta a Security Hub CSPM. Se sono presenti più risultati tra account in IAM Access Analyzer, è necessario risolvere il risultato CSPM di Security Hub per il singolo principale esterno prima che IAM Access Analyzer fornisca il successivo risultato tra account. Per un elenco completo dei principali esterni con accesso multi-account al di fuori della zona di attendibilità per il sistema di analisi, è necessario visualizzare i risultati nel Sistema di analisi degli accessi IAM. I dettagli della policy di controllo delle risorse (RCP) sono disponibili nella sezione dei dettagli della risorsa.

Tipi di risultati inviati da Sistema di analisi degli accessi IAM

IAM Access Analyzer invia i risultati a Security Hub CSPM utilizzando il AWS Security Finding Format (ASFF). In ASFF, il Types campo fornisce il tipo di esito. I risultati ottenuti da Sistema di analisi degli accessi IAM possono avere i seguenti valori per Types.

  • Risultati di accesso esterno: esposizione/accesso esterno concesso Effects/Data

  • Risultati relativi all'accesso esterno: controlli del software e della configurazione/sicurezza Miglior accesso garantito AWS Practices/External

  • Risultati relativi agli accessi non utilizzati: controlli del software e della configurazione/migliore autorizzazione di sicurezza AWS Practices/Unused

  • Risultati relativi agli accessi non utilizzati: controlli AWS del software e della configurazione/sicurezza Best IAM Role Practices/Unused

  • Risultati di accesso non utilizzati: controlli del software e della configurazione/sicurezza Best IAM User Password AWS Practices/Unused

  • Risultati di accesso non utilizzati: controlli del software e della AWS configurazione/sicurezza Best IAM User Access Key Practices/Unused

Latenza per l'invio degli esiti

Quando IAM Access Analyzer crea un nuovo risultato, di solito viene inviato a Security Hub CSPM entro 30 minuti. Tuttavia, ci sono rari casi in cui il Sistema di analisi degli accessi IAM potrebbe non ricevere notifiche in merito a una modifica della policy. Esempio:

  • Le modifiche alle impostazioni di accesso pubblico in blocco a livello di account di Amazon S3 possono richiedere fino a 12 ore per essere applicate nel Sistema di analisi degli accessi IAM.

  • Le modifiche a una policy di controllo delle risorse (RCP) senza una modifica della policy del bucket non attivano una nuova scansione della risorsa riportata nel risultato. In questo caso, Sistema di analisi degli accessi IAM analizza la policy nuova o aggiornata durante la scansione periodica successiva che avviene entro 24 ore.

  • Se si verifica un problema di consegna con la consegna dei AWS CloudTrail log, una modifica della politica potrebbe non innescare una nuova scansione della risorsa segnalata nel risultato.

In questo caso, Sistema di analisi degli accessi IAM analizza la policy nuova o aggiornata durante la scansione periodica successiva.

Riprovare quando Security Hub CSPM non è disponibile

Se Security Hub CSPM non è disponibile, IAM Access Analyzer riprova a inviare i risultati su base periodica.

Aggiornamento dei risultati esistenti in Security Hub CSPM

Dopo aver inviato un risultato a Security Hub CSPM, IAM Access Analyzer continua a inviare aggiornamenti per riflettere eventuali osservazioni aggiuntive sull'attività di ricerca a Security Hub CSPM. Questi aggiornamenti vengono riflessi all'interno dello stesso risultato.

Per i risultati degli accessi esterni, il Sistema di analisi degli accessi IAM li raggruppa per risorsa. In Security Hub CSPM, il risultato di una risorsa rimane attivo se almeno uno dei risultati per quella risorsa è attivo in IAM Access Analyzer. Se tutti i risultati in IAM Access Analyzer per una risorsa vengono archiviati o risolti, viene archiviato anche il risultato CSPM di Security Hub. Il risultato del Security Hub CSPM viene aggiornato quando l'accesso alle policy cambia tra accesso pubblico e accesso tra account. Questo aggiornamento può includere modifiche al tipo, al titolo, alla descrizione e alla gravità del risultato.

Per i risultati degli accessi inutilizzati, il Sistema di analisi degli accessi IAM non li raggruppa per risorsa. Invece, se un risultato di accesso non utilizzato viene risolto in IAM Access Analyzer, viene risolto anche il corrispondente risultato CSPM di Security Hub. Il risultato CSPM di Security Hub viene aggiornato quando aggiorni l'utente o il ruolo IAM che ha generato il risultato di accesso inutilizzato.

Visualizzazione dei risultati di IAM Access Analyzer in Security Hub CSPM

Per visualizzare i risultati di IAM Access Analyzer in Security Hub CSPM, scegli Vedi risultati nella sezione AWS: IAM Access Analyzer della pagina di riepilogo. In alternativa, è possibile scegliere Risultati dal pannello di navigazione. Puoi quindi filtrare i risultati per visualizzare solo AWS Identity and Access Management Access Analyzer i risultati scegliendo il campo Nome prodotto: con un valore di. IAM Access Analyzer

Interpretazione dei nomi di ricerca di IAM Access Analyzer in Security Hub (CSPM)

AWS Identity and Access Management Access Analyzer invia i risultati a Security Hub CSPM utilizzando il AWS Security Finding Format (ASFF). In ASFF, il campo Tipi fornisce il tipo di risultato. I tipi ASFF utilizzano uno schema di denominazione diverso da. AWS Identity and Access Management Access Analyzer La tabella seguente include dettagli su tutti i tipi di ASFF associati ai AWS Identity and Access Management Access Analyzer risultati così come appaiono in Security Hub CSPM.

Tipo di risultati ASFF Titolo della ricerca CSPM di Security Hub Description
Effects/Data Exposure/ExternalAccesso concesso <resource ARN>consente l'accesso pubblico Una politica basata sulle risorse collegata alla risorsa consente l'accesso pubblico alla risorsa a tutte le entità esterne.
Controlli del software e della configurazione/Miglior accesso AWS di sicurezza garantito Practices/External <resource ARN> consente l'accesso tra account Una politica basata sulle risorse collegata alla risorsa consente l'accesso tra account alle entità esterne all'area di trust per l'analizzatore.
Controlli del software e della configurazione/Migliori pratiche di AWS sicurezza/Autorizzazioni non utilizzate <resource ARN> contiene autorizzazioni inutilizzate Un utente o un ruolo contiene autorizzazioni di servizio e operazioni inutilizzate.
Controlli del software e della configurazione/Sicurezza/Miglior ruolo IAM AWS Practices/Unused <resource ARN> contiene un ruolo IAM inutilizzato Un utente o un ruolo contiene un ruolo IAM inutilizzato.
Controlli del software e della AWS configurazione/sicurezza Migliore password utente IAM Practices/Unused <resource ARN> contiene una password utente IAM inutilizzata Un utente o un ruolo contiene una password utente IAM inutilizzata.
Controlli del software e della AWS configurazione/sicurezza Best Practices/Unused IAM User Access Key <resource ARN> contiene una chiave di accesso dell'utente IAM inutilizzata Un utente o un ruolo contiene una chiave di accesso dell'utente IAM inutilizzata.

Risultato tipico da Sistema di analisi degli accessi IAM

IAM Access Analyzer invia i risultati a Security Hub CSPM utilizzando il AWS Security Finding Format (ASFF).

Ecco un esempio di un tipico risultato da Sistema di analisi degli accessi IAM per i risultati degli accessi esterni.

{
    "SchemaVersion": "2018-10-08",
    "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::amzn-s3-demo-bucket",
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
    "GeneratorId": "aws/access-analyzer",
    "AwsAccountId": "111122223333",
    "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"],
    "CreatedAt": "2020-11-10T16:17:47Z",
    "UpdatedAt": "2020-11-10T16:43:49Z",
    "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
    },
    "Title": "AwsS3Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access",
    "Description": "AWS::S3::Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access from AWS 444455556666",
    "Remediation": {
        "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."}
    },
    "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798",
    "Resources": [
        {
            "Type": "AwsS3Bucket",
            "Id": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Details": {
                "Other": {
                    "External Principal Type": "AWS",
                    "Condition": "none",
                    "Action Granted": "s3:GetObject,s3:GetObjectVersion",
                    "External Principal": "444455556666"
                }
            }
        }
    ],
    "WorkflowState": "NEW",
    "Workflow": {"Status": "NEW"},
    "RecordState": "ACTIVE"
}

Ecco un esempio di un tipico risultato da Sistema di analisi degli accessi IAM per i risultati degli accessi inutilizzati.

{
    "Findings": [
    {
      "SchemaVersion": "2018-10-08",
      "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
      "ProductName": "IAM Access Analyzer",
      "CompanyName": "AWS",
      "Region": "us-west-2",
      "GeneratorId": "aws/access-analyzer",
      "AwsAccountId": "111122223333",
      "Types": [
        "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
      ],
      "CreatedAt": "2023-09-18T16:29:09.657Z",
      "UpdatedAt": "2023-09-21T20:39:16.651Z",
      "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
      },
      "Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions",
      "Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions",
      "Remediation": {
        "Recommendation": {
          "Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved."
        }
      },
      "SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole",
      "ProductFields": {
      "numberOfUnusedActions": "256",
      "numberOfUnusedServices": "15",
      "resourceOwnerAccount": "111122223333",
      "findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7",
      "findingType": "UnusedPermission",
      "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "aws/securityhub/ProductName": "AM Access Analyzer",
      "aws/securityhub/CompanyName": "AWS"
    },
    "Resources": [
    {
      "Type": "AwsIamRole",
      "Id": "arn:aws:iam::111122223333:role/TestRole"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
    },
  "RecordState": "ARCHIVED",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW"
    },
    "Types": [
    "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
    ]
  }
  }
]
}

Abilitazione e configurazione dell'integrazione

Per utilizzare l'integrazione con Security Hub CSPM, è necessario abilitare Security Hub CSPM. Per informazioni su come abilitare Security Hub CSPM, vedere Configurazione di Security Hub nella Guida per l'AWS Security Hub utente.

Quando abiliti sia IAM Access Analyzer che Security Hub CSPM, l'integrazione viene abilitata automaticamente. IAM Access Analyzer inizia immediatamente a inviare i risultati al Security Hub CSPM.

Come interrompere l'invio degli esiti

Per interrompere l'invio dei risultati a Security Hub CSPM, puoi utilizzare la console CSPM di Security Hub o l'API.

Consulta Disabilitazione e abilitazione del flusso dei risultati da un'integrazione (console) o Disabilitazione del flusso di risultati da un'integrazione (API Security Hub, AWS CLI) nella Guida per l'utente di AWS Security Hub .