Concetti e terminologia in Security Hub CSPM

Un account Amazon Web Services (AWS) standard che contiene AWS le tue risorse. Puoi accedere AWS con il tuo account e abilitare Security Hub CSPM.

Un account può invitare altri account ad abilitare Security Hub CSPM e associarsi a quell'account in Security Hub CSPM. L'accettazione di un invito è facoltativa. Se gli inviti vengono accettati, l'account diventa un account amministratore e gli account aggiunti sono account membro. Gli account amministratore possono visualizzare i risultati nei propri account membri.

Se sei registrato AWS Organizations, l'organizzazione designa un account amministratore CSPM di Security Hub per l'organizzazione. L'account amministratore CSPM di Security Hub può abilitare altri account dell'organizzazione come account membro.

Un account non può essere contemporaneamente un account amministratore e un account membro. Un account può avere un solo account amministratore.

Per ulteriori informazioni, consulta Gestione degli account di amministratore e membro in Security Hub CSPM.

Un account in Security Hub CSPM a cui è concesso l'accesso per visualizzare i risultati degli account dei membri associati.

Un account diventa un account amministratore in uno dei seguenti modi:

Un account può avere un solo account amministratore. Un account non può essere contemporaneamente un account amministratore e un account membro.

L'impostazione di una regione di aggregazione consente di visualizzare i risultati di sicurezza provenienti da più aree Regioni AWS in un unico pannello di controllo.

La regione di aggregazione è la regione da cui è possibile visualizzare e gestire i risultati. I risultati vengono aggregati alla regione di aggregazione delle regioni collegate. Gli aggiornamenti ai risultati vengono replicati in tutte le regioni.

Nella regione di aggregazione, le pagine degli standard di sicurezza, degli approfondimenti e dei risultati includono i dati di tutte le aree collegate.

Per ulteriori informazioni, consulta Comprendere l'aggregazione interregionale in Security Hub CSPM.

Un risultato il cui stato di registrazione (RecordState) èARCHIVED. L'archiviazione di un risultato indica che il fornitore del risultato ritiene che il risultato non sia più pertinente. Lo stato del record è diverso dallo stato del flusso di lavoro, che tiene traccia dello stato dell'indagine su un risultato.

I provider di ricerca possono utilizzare il BatchImportFindingsfunzionamento dell'API CSPM Security Hub per archiviare i risultati che hanno creato. Security Hub CSPM archivia automaticamente i risultati di controllo che soddisfano determinati criteri. Per ulteriori informazioni, consulta Generazione, aggiornamento e archiviazione dei risultati di controllo.

Nella console Security Hub CSPM, le impostazioni di filtro predefinite escludono i risultati archiviati dagli elenchi e dalle tabelle dei risultati. È possibile aggiornare le impostazioni per includere i risultati archiviati. Se si recuperano i risultati utilizzando l'GetFindingsoperazione dell'API CSPM Security Hub, l'operazione recupera sia i risultati archiviati che quelli attivi. Per escludere i risultati archiviati, puoi filtrare i risultati. Per esempio:

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],

Un formato standardizzato per il contenuto dei risultati aggregati o generati da Security Hub CSPM. Il AWS Security Finding Format consente di utilizzare Security Hub CSPM per visualizzare e analizzare i risultati generati dai servizi di AWS sicurezza, dalle soluzioni di terze parti o dallo stesso Security Hub CSPM dall'esecuzione dei controlli di sicurezza. Per ulteriori informazioni, consulta AWS Formato ASFF (Security Finding Format).

Una salvaguardia o contromisura prescritta per un sistema informatico o un'organizzazione concepita per proteggere la riservatezza, l'integrità e la disponibilità delle sue informazioni e per soddisfare una serie di requisiti di sicurezza definiti. Uno standard di sicurezza è associato a una raccolta di controlli.

Il termine controllo di sicurezza si riferisce ai controlli che hanno un unico ID e titolo di controllo per tutti gli standard. Il termine controllo standard si riferisce ai controlli con controlli IDs e titoli specifici dello standard. Attualmente, Security Hub CSPM supporta i controlli standard solo nelle regioni della Cina e. AWS GovCloud (US) Regions I controlli di sicurezza sono supportati in tutte le altre regioni.

Un meccanismo CSPM di Security Hub per l'invio di risultati selezionati a. EventBridge Viene creata un'azione personalizzata in Security Hub CSPM. Viene quindi collegata a una EventBridge regola. La regola definisce un'operazione specifica da eseguire quando viene ricevuta una ricerca associata all'ID operazione personalizzato. Le operazioni personalizzate possono essere utilizzate, ad esempio, per inviare una ricerca specifica, o un piccolo set di risultati, a un flusso di lavoro di risposta o di correzione. Per ulteriori informazioni, consulta Creazione di un'azione personalizzata.

In AWS Organizations, l'account amministratore delegato per un servizio è in grado di gestire l'uso di un servizio per l'organizzazione.

In Security Hub CSPM, l'account amministratore CSPM di Security Hub è anche l'account amministratore delegato per Security Hub CSPM. Quando l'account di gestione dell'organizzazione designa per la prima volta un account amministratore CSPM di Security Hub, Security Hub CSPM chiama Organizations per rendere quell'account l'account amministratore delegato.

L'account di gestione dell'organizzazione deve quindi scegliere l'account amministratore delegato come account amministratore CSPM di Security Hub in tutte le regioni.

La registrazione osservabile di un controllo di sicurezza o di un rilevamento correlato alla sicurezza. Security Hub CSPM genera e aggiorna i risultati dopo aver completato i controlli di sicurezza. Questi sono chiamati risultati del controllo. I risultati possono provenire anche da integrazioni con altri prodotti Servizi AWS e di terze parti.

Per ulteriori informazioni, consulta Creazione e aggiornamento dei risultati in Security Hub CSPM.

L'aggregazione di risultati, approfondimenti, stati di conformità dei controlli e punteggi di sicurezza dalle regioni collegate a una regione di aggregazione. È quindi possibile visualizzare tutti i dati della regione di aggregazione e aggiornare i risultati e gli approfondimenti della regione di aggregazione.

Per ulteriori informazioni, consulta Comprendere l'aggregazione interregionale in Security Hub CSPM.

L'importazione di risultati in Security Hub CSPM da altri AWS servizi e da fornitori partner terzi.

Gli eventi di inserimento di Finding includono sia nuovi risultati che aggiornamenti dei risultati esistenti.

Una raccolta di risultati correlati definiti da un'istruzione di aggregazione e filtri opzionali. Un’informazione dettagliata identifica un'area di sicurezza che richiede attenzione e intervento. Security Hub CSPM offre diverse informazioni gestite (predefinite) che non è possibile modificare. Puoi anche creare approfondimenti CSPM personalizzati di Security Hub per tenere traccia dei problemi di sicurezza specifici per il tuo AWS ambiente e il tuo utilizzo. Per ulteriori informazioni, consulta Visualizzazione degli approfondimenti in Security Hub CSPM.

Quando si abilita l'aggregazione tra aree geografiche, una regione collegata è un'area che aggrega risultati, approfondimenti, stati di conformità di controllo e punteggi di sicurezza nella regione di aggregazione.

In una regione collegata, le pagine Findings e Insights contengono solo i risultati relativi a quella regione.

Per ulteriori informazioni, consulta Comprendere l'aggregazione interregionale in Security Hub CSPM.

Un account che ha concesso l'autorizzazione a un account amministratore per visualizzare i risultati e intervenire in base ai risultati.

Un account diventa un account membro in uno dei seguenti modi:

Un set di requisiti di settore o normativi mappati a un controllo.

Un set di criteri automatizzati utilizzati per valutare se un controllo viene rispettato. Quando viene valutata una regola, il risultato può essere positivo o negativo. Se la valutazione non è in grado di determinare se la regola ha esito negativo o positivo, la regola è in uno stato di avviso. Se la regola non può essere valutata, significa che è in uno stato non disponibile.

Una point-in-time valutazione specifica di una regola rispetto a una singola risorsa risultante in unoPASSED, FAILEDWARNING, o NOT_AVAILABLE stato. L'esecuzione di un controllo di sicurezza produce un risultato.

Un account dell'organizzazione che gestisce l'iscrizione a Security Hub CSPM per un'organizzazione.

L'account di gestione dell'organizzazione designa l'account amministratore CSPM di Security Hub in ciascuna regione. L'account di gestione dell'organizzazione deve scegliere lo stesso account amministratore CSPM di Security Hub in tutte le regioni.

L'account amministratore CSPM di Security Hub è anche l'account amministratore delegato per Security Hub CSPM in Organizations.

L'account amministratore CSPM di Security Hub può abilitare qualsiasi account dell'organizzazione come account membro. L'account amministratore CSPM di Security Hub può anche invitare altri account a diventare account membri.

Un'istruzione pubblicata su un argomento che specifica le caratteristiche, di solito misurabili e sotto forma di controlli, che devono essere soddisfatte o archiviate per conformità. Gli standard di sicurezza possono essere basati su framework normativi, best practice o policy aziendali interne. Un controllo può essere associato a uno o più standard supportati in Security Hub CSPM. Per ulteriori informazioni sugli standard di sicurezza in Security Hub CSPM, vedere. Comprensione degli standard di sicurezza in Security Hub CSPM

La severità assegnata a un controllo CSPM di Security Hub identifica l'importanza del controllo. La severità di un controllo può essere critica, alta, media, bassa o informativa. La severità assegnata ai risultati del controllo è uguale alla gravità del controllo stesso. Per ulteriori informazioni su come Security Hub CSPM assegna la gravità a un controllo, vedere. Livelli di gravità per i risultati del controllo

Lo stato di un'indagine su un risultato. Questo viene tracciato utilizzando l'attributo. Workflow.Status

Lo stato del flusso di lavoro è inizialmente NEW. Se hai notificato al proprietario della risorsa che viene intrapresa un'azione per il risultato, puoi impostare lo stato del flusso di lavoro su NOTIFIED. Se il risultato non è un problema e non richiede alcuna azione, imposta lo stato del flusso di lavoro su SUPPRESSED. Dopo aver esaminato e risolto un risultato, imposta lo stato del flusso di lavoro su RESOLVED.

Per impostazione predefinita, la maggior parte degli elenchi di risultati include solo risultati con stato del flusso di lavoro NEW o NOTIFIED. Gli elenchi di risultati per i controlli includono anche i risultati RESOLVED.

Per l'operazione GetFindings, puoi includere un filtro per lo stato del flusso di lavoro.

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

La console Security Hub CSPM offre un'opzione per impostare lo stato del flusso di lavoro per i risultati. I clienti (o gli strumenti SIEM, creazione di ticket, gestione degli incidenti o SOAR che lavorano per conto di un cliente per aggiornare i risultati dei provider di risultati) possono anche utilizzare BatchUpdateFindings per aggiornare lo stato del flusso di lavoro.