Integrazione con AWS Security Hub CSPM - AWS IoT Device Defender
Abilitazione e configurazione dell'integrazioneIn che modo AWS IoT Device Defender invia gli esiti a CSPM di Security HubRisultato tipico da AWS IoT Device Defender Impedire a AWS IoT Device Defender di inviare gli esiti a CSPM Security Hub

Integrazione con AWS Security Hub CSPM

AWS Security Hub CSPM fornisce una visione completa dello stato di sicurezza in AWS e ti aiuta a controllare l'ambiente rispetto agli standard di sicurezza del settore e alle best practice. CSPM Security Hub raccoglie i dati di sicurezza da Account AWS, servizi e prodotti di terze parti supportati. È possibile utilizzare CSPM Security Hub per analizzare le tendenze di sicurezza e identificare i problemi di sicurezza più urgenti.

Grazie all'integrazione AWS IoT Device Defender con Security Hub, è possibile inviare i risultati da AWS IoT Device Defender a Security Hub. CSPM Security Hub include tali esiti nella sua analisi della posizione di sicurezza.

Abilitazione e configurazione dell'integrazione

Prima di integrare AWS IoT Device Defender con Security Hub, è necessario abilitare CSPM di Security Hub. Per informazioni su come abilitare CSPM Security Hub, consulta la sezione relativa alla configurazione di Security Hub nella Guida per l'utente di AWS Security Hub.

Dopo aver abilitato AWS IoT Device Defender e CSPM Security Hub, apri la pagina relativa alla integrazioni nella console CSPM Security Hub, quindi scegli Accetta i risultati per Audit, Detect o entrambi. AWS IoT Device Defender inizia a inviare i risultati a CSPM Security Hub.

In che modo AWS IoT Device Defender invia gli esiti a CSPM di Security Hub

In CSPM Security Hub, i problemi di sicurezza vengono monitorati come esiti. Alcuni risultati provengono da problemi rilevati da altri servizi AWS o da prodotti di terze parti.

CSPM Security Hub fornisce strumenti per gestire gli esiti da tutte queste origini. È possibile visualizzare e filtrare gli elenchi di esiti e visualizzare i dettagli per un riscontro. Per ulteriori informazioni, consulta Visualizzazione degli esiti nella Guida per l'utenteAWS Security Hub. È inoltre possibile monitorare lo stato di un'indagine in un esito. Per ulteriori informazioni, consulta Operazioni sugli esiti nella Guida per l'utente di AWS Security Hub.

Tutti i risultati in CSPM Security Hub utilizzano un formato JSON standard denominato AWS Security Finding Format (ASFF). L'ASFF include dettagli sull'origine del problema, sulle risorse interessate e sullo stato corrente dell'esito. Per ulteriori informazioni su ASFF, consulta AWS Security Finding Format (ASFF) in Guida per l'utente di AWS Security Hub.

AWS IoT Device Defender è uno dei servizi AWS che invia i risultati a CSPM Security Hub.

Tipi di esiti che AWS IoT Device Defender invia

Dopo aver abilitato l'integrazione di CSPM Security Hub, AWS IoT Device Defender Audit invia gli esiti generati (chiamati riepiloghi del controllo) a CSPM Security Hub. I riepiloghi del controllo sono informazioni generali per un tipo di controllo di auditing specifico e un'attività di auditing specifica. Per ulteriori informazioni, consulta Controlli di auditing.

AWS IoT Device Defender Audit invia gli aggiornamenti degli esiti a CSPM Security Hub per i riepiloghi dei controlli di auditi e per gli esiti di audit in ogni attività di audit. Se tutte le risorse trovate nei controlli di audit sono conformi o un'attività di audit viene annullata, Audit aggiorna i riepiloghi del controllo in CSPM Security Hub in uno stato del record ARCHIVIATO. Se una risorsa è stata segnalata come non conforme per un controllo di Audit, ma è stata segnalata come conforme nell'ultima attività di Audit, viene modificata da Audit per renderla conforme e anche il risultato in CSPM Security Hub viene aggiornato a uno stato del record ARCHIVIATO.

AWS IoT Device Defender Detect invia gli esiti di violazione a CSPM Security Hub. Questi risultati di violazione includono comportamenti machine learning (ML), statistico e statico.

Per inviare i risultati a CSPM Securiy Hub, AWS IoT Device Defender utilizza AWS Security Finding Format (ASFF). In ASFF, il Types campo fornisce il tipo di esito. I risultati ottenuti da AWS IoT Device Defender possono avere i seguenti valori per Types.

Comportamenti insoliti

Il tipo di risultato per ID client MQTT in conflitto e controlli condivisi dei certificati dei dispositivi e il tipo di risultato per Detect.

Controllo del software e della configurazione/vulnerabilità

Il tipo di risultato per tutti gli altri controlli di audit.

Latenza per l'invio degli esiti

Quando AWS IoT Device Defender Audit crea un nuovo esito, viene inviato immediatamente a CSPM Security Hub al termine dell'attività di audit. La latenza dipende dal volume dei risultati generati nell'attività di audit. CSPM Security Hub riceve in genere gli esiti entro un'ora.

AWS IoT Device Defender Detect invia i risultati delle violazioni quasi in tempo reale. Dopo che una violazione attiva o disattiva l'allarme (ovvero l'allarme viene creato o eliminato), l’esito CSPM Security Hub corrispondente viene immediatamente creato o archiviato.

Riprova quando CSPM Security Hub non è disponibile

Se CSPM Security Hub non è disponibile, AWS IoT Device Defender Audit e AWS IoT Device Defender Detect tentano di inviare gli esiti finché non vengono ricevuti.

Aggiornamento degli esiti esistenti CSPM Security Hub

Dopo che un esito AWS IoT Device Defender Audit viene inviato a CSPM Security Hub, può essere identificato tramite l'identificatore della risorsa controllata e il tipo di controllo di audit. Se un nuovo esito di audit viene generato con una successiva attività di audit per la stessa risorsa e controllo di audit, AWS IoT Device Defender Audit invia a CSPM Security Hub aggiornamenti per riportare osservazioni aggiuntive dell'attività dell’esito. Se non viene generato alcun risultato di audit aggiuntivo con un'attività di audit successiva per la stessa risorsa e controllo di audit, la risorsa cambia per la conformità con il controllo di audit. AWS IoT Device Defender Audit archivia quindi i risultati in CSPM Security Hub.

AWS IoT Device Defender Audit aggiorna anche i riepiloghi del controllo in CSPM Security Hub. Se vengono rilevate risorse non conformi in un controllo di audit o il controllo non va a buon fine, lo stato dell’esito di CSPM Security Hub diventa attivo. In caso contrario, AWS IoT Device Defender Audit archivia l’esito in CSPM Security Hub.

AWS IoT Device Defender Detect crea un esito CSPM Security Hub che rileva quando c'è una violazione (ad esempio, in-alarm). Tale risultato viene aggiornato solo se viene soddisfatto uno dei criteri seguenti:

  • L’esito scadrà a breve in CSPM Security Hub, quindi AWS IoT Device Defender invia un aggiornamento per mantenere l’esito aggiornato. I risultati vengono eliminati 90 giorni dopo l'aggiornamento più recente o 90 giorni dopo la data di creazione se non viene eseguito un aggiornamento. Per ulteriori informazioni, consulta Quote di CSPM Security Hub nella Guida per l'utente di AWS Security Hub.

  • La violazione corrispondente esce dall'allarme, pertanto AWS IoT Device Defender aggiorna il suo stato risultato su ARCHIVED.

Risultato tipico da AWS IoT Device Defender

AWS IoT Device Defender utilizza AWS Security Finding Format (ASFF) per inviare gli esiti a CSPM Security Hub.

L'esempio seguente mostra un esito tipico di CSPM Security Hub per un esito di audit. ReportType in ProductFields è AuditFinding.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-west-2",
  "GeneratorId": "1928b87ab338ee2f541f6fab8c41c4f5",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities"
  ],
  "CreatedAt": "2022-11-06T22:11:40.941Z",
  "UpdatedAt": "2022-11-06T22:11:40.941Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK: ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "Description": "IOT_POLICY policyexample:1 is reported as non-compliant for IOT_POLICY_OVERLY_PERMISSIVE_CHECK by Audit task 9f71b6e90cfb57d4ac671be3a4898e6a. The non-compliant reason is Policy allows broad access to IoT data plane actions: [iot:Connect].",
  "SourceUrl": "https://us-west-2.console.aws.amazon.com/iot/home?region=us-west-2#/policy/policyexample",
  "ProductFields": {
    "CheckName": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK",
    "TaskId": "9f71b6e90cfb57d4ac671be3a4898e6a",
    "TaskType": "ON_DEMAND_AUDIT_TASK",
    "PolicyName": "policyexample",
    "IsSuppressed": "false",
    "ReasonForNonComplianceCode": "ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "ResourceType": "IOT_POLICY",
    "FindingId": "1928b87ab338ee2f541f6fab8c41c4f5",
    "PolicyVersionId": "1",
    "ReportType": "AuditFinding",
    "TaskStartTime": "1667772700554",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit/336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotPolicy",
      "Id": "policyexample",
      "Partition": "aws",
      "Region": "us-west-2",
      "Details": {
        "Other": {
          "PolicyVersionId": "1"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities"
    ]
  }
}

L'esempio seguente mostra un esito di CSPM Security Hub per un riepilogo del controllo di audit. ReportType in ProductFields è CheckSummary.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "615243839755/SCHEDULED_AUDIT_TASK/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "f3021945485adf92487c273558fcaa51",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities/CVE"
  ],
  "CreatedAt": "2022-10-18T14:20:13.933Z",
  "UpdatedAt": "2022-10-18T14:20:13.933Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK Summary: Completed with 2 non-compliant resources",
  "Description": "Task f3021945485adf92487c273558fcaa51 of weekly scheduled Audit daily_audit_schedule_checks completes. 2 non-cimpliant resources are found for DEVICE_CERTIFICATE_KEY_QUALITY_CHECK out of 1000 resources in the account. The percentage of non-compliant resources is 0.2%.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/audit/results/f3021945485adf92487c273558fcaa51/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductFields": {
    "TaskId": "f3021945485adf92487c273558fcaa51",
    "TaskType": "SCHEDULED_AUDIT_TASK",
    "ScheduledAuditName": "daily_audit_schedule_checks",
    "CheckName": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "ReportType": "CheckSummary",
    "CheckRunStatus": "COMPLETED_NON_COMPLIANT",
    "NonComopliantResourcesCount": "2",
    "SuppressedNonCompliantResourcesCount": "1",
    "TotalResourcesCount": "1000",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit/615243839755/SCHEDULED/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotAuditTask",
      "Id": "f3021945485adf92487c273558fcaa51",
      "Region": "us-east-1"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities/CVE"
    ]
  }
}

L'esempio seguente mostra un esito tipico di CSPM Security Hub per una violazione AWS IoT Device Defender Detect.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "e92a782593c6f5b1fc7cb6a443dc1a12",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect",
  "ProductName": "IoT Device Defender - Detect",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "arn:aws:iot:us-east-1:123456789012:securityprofile/MySecurityProfile",
  "AwsAccountId": "123456789012",
  "Types": [
    "Unusual Behaviors"
  ],
  "CreatedAt": "2022-11-09T22:45:00Z",
  "UpdatedAt": "2022-11-09T22:45:00Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40
  },
  "Title": "Registered thing MyThing is in alarm for STATIC behavior MyBehavior.",
  "Description": "Registered thing MyThing violates STATIC behavior MyBehavior of security profile MySecurityProfile. Violation was triggered because the device did not conform to aws:num-disconnects less-than 1.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/securityProfile/MySecurityProfile?tab=violations",
  "ProductFields": {
    "ComparisonOperator": "less-than",
    "BehaviorName": "MyBehavior",
    "ViolationId": "e92a782593c6f5b1fc7cb6a443dc1a12",
    "ViolationStartTime": "1668033900000",
    "SuppressAlerts": "false",
    "ConsecutiveDatapointsToAlarm": "1",
    "ConsecutiveDatapointsToClear": "1",
    "DurationSeconds": "300",
    "Count": "1",
    "MetricName": "aws:num-disconnects",
    "BehaviorCriteriaType": "STATIC",
    "ThingName": "MyThing",
    "SecurityProfileName": "MySecurityProfile",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect/e92a782593c6f5b1fc7cb6a443dc1a12",
    "aws/securityhub/ProductName": "IoT Device Defender - Detect",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotRegisteredThing",
      "Id": "MyThing",
      "Region": "us-east-1",
      "Details": {
        "Other": {
          "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/thing/MyThing?tab=violations",
          "IsRegisteredThing": "true",
          "ThingArn": "arn:aws:iot:us-east-1:123456789012:thing/MyThing"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM"
    },
    "Types": [
      "Unusual Behaviors"
    ]
  }
}

Impedire a AWS IoT Device Defender di inviare gli esiti a CSPM Security Hub

Per interrompere l'invio degli esiti a CSPM Security Hub, è possibile utilizzare la console CSPM Security Hub o l'API.

Per ulteriori informazioni, consulta Disabilitazione e abilitazione del flusso di esiti di un'integrazione (Console) o Disabilitazione del flusso di esiti di un'integrazione (API CSPM Security Hub, AWS CLI) nella Guida per l'utente di AWS Security Hub.