Concetti di Security Hub

L' AWS account standard contenente AWS le tue risorse. Accedi AWS con il tuo AWS account per abilitare Security Hub.

Se l'account è registrato AWS Organizations, l'organizzazione designa un account amministratore di Security Hub. Questo account può abilitare altri account dell'organizzazione come account membro.

Un'organizzazione può avere un solo account amministratore. Un account non può essere contemporaneamente un account amministratore e un account membro.

Security Hub supporta i seguenti account:

Questo tipo di AWS account può visualizzare i risultati degli account dei membri associati.

Questo tipo di AWS account diventa un account amministratore quando l'account viene designato da un account di gestione dell'organizzazione come account amministratore del Security Hub. L'account amministratore di Security Hub può abilitare qualsiasi account dell'organizzazione come account membro e può anche invitare altri account a diventare account membro.

Un'organizzazione può avere un solo account amministratore. Un account non può essere contemporaneamente un account amministratore e un account membro.

Una regione di aggregazione consente di visualizzare i risultati di sicurezza provenienti da più parti Regioni AWS in un unico pannello di controllo.

La regione di aggregazione è l'area Regione AWS in cui è possibile visualizzare e gestire i risultati. I risultati vengono aggregati nella regione di aggregazione delle regioni collegate. I risultati aggiornati vengono replicati in tutte le regioni.

Nella regione di aggregazione, la dashboard e le pagine di inventario includono i dati di tutte le regioni collegate. La pagina delle automazioni può essere utilizzata solo per definire le regole di automazione nell'area di aggregazione. Le integrazioni di ticketing di terze parti possono essere configurate solo nella regione di aggregazione.

Un risultato con uno status di. ARCHIVED Questi risultati indicano che il fornitore o il cliente che esamina il risultato ritiene che il risultato non sia più pertinente.

I fornitori di servizi di ricerca possono archiviare i risultati che creano. I clienti possono archiviare tutti i risultati che ritengono non più pertinenti utilizzando il funzionamento BatchUpdateFindingsV2 dell'API Security Hub o aggiornando lo stato nella console Security Hub.

Nella console Security Hub, le impostazioni di filtro predefinite escludono i risultati archiviati dagli elenchi e dalle tabelle dei risultati. È possibile aggiornare i filtri per includere i risultati archiviati. Se si recuperano i risultati utilizzando l'operazione GetFindingsV2, l'operazione recupera sia i risultati archiviati che quelli attivi. L'esempio seguente mostra come escludere i risultati archiviati nei risultati.

{
    "StringFilters":
    [
        {
            "FieldName": "status",
            "Filter":
            {
                "Value": "Archived",
                "Comparison": "EQUALS"
            }
        }
    ]
}

L'aggregazione dei risultati e delle risorse provenienti dalle regioni collegate a una regione di aggregazione. Puoi visualizzare tutti i dati della regione di aggregazione e aggiornare i risultati della regione di aggregazione.

In AWS Organizations, l'account amministratore delegato di un servizio è in grado di gestire l'uso di un servizio per l'organizzazione.

In Security Hub, l'account amministratore di Security Hub è anche l'account amministratore delegato per Security Hub. Quando l'account di gestione dell'organizzazione designa per la prima volta l'account amministratore di Security Hub, Security Hub chiama Organizations per rendere quell'account l'account amministratore delegato.

L'account di gestione dell'organizzazione deve quindi scegliere l'account amministratore delegato come account amministratore di Security Hub in tutte le regioni.

Le esposizioni sono punti deboli più ampi nei controlli di sicurezza, configurazioni errate o altre aree che potrebbero essere sfruttate dalle minacce attive.

Esempi di esposizioni includono:

Un tipo di risultato che descrive un'esposizione presente nell'ambiente. Un risultato sull'esposizione include caratteristiche e segnali. Un segnale può includere uno o più tipi di caratteristiche di esposizione. AWS Security Hub genera un risultato di esposizione quando i segnali provenienti da AWS Security Hub CSPM, Amazon Inspector, GuardDuty Amazon, Amazon Macie AWS o altri servizi indicano la presenza di un'esposizione. Una risorsa può essere coinvolta in uno o più risultati sull'esposizione. Se una risorsa non presenta caratteristiche di esposizione o presenta caratteristiche insufficienti, Security Hub non genera un risultato di esposizione per quella risorsa.

Un esempio di rilevazione dell'esposizione è: un' EC2 istanza raggiungibile da Internet e che presenta vulnerabilità software che hanno un'alta probabilità di sfruttamento.

La registrazione osservabile di un controllo di sicurezza o di un rilevamento correlato alla sicurezza. Security Hub genera e aggiorna i risultati attraverso la correlazione di altri risultati di sicurezza. Questi sono chiamati risultati sull'esposizione. I risultati possono provenire anche da integrazioni con altri prodotti Servizi AWS e di terze parti.

L'importazione dei risultati in Security Hub. Gli eventi di ingestione di Finding includono sia nuovi risultati che aggiornamenti dei risultati esistenti.

Quando si abilita l'aggregazione tra aree geografiche, una regione collegata è un'area che aggrega i risultati e l'inventario delle risorse nella regione di aggregazione.

In una regione collegata, la dashboard e le pagine di inventario contengono solo i risultati relativi a tale area. Regione AWS

L'Open Cybersecurity Schema Framework (OCSF) è uno sforzo collaborativo e open source di partner leader nel settore della sicurezza informatica. AWS OCSF fornisce uno schema standard per gli eventi di sicurezza più comuni, definisce i criteri di controllo delle versioni per facilitare l'evoluzione dello schema e include un processo di autogoverno per produttori e consumatori di registri di sicurezza. Per ulteriori informazioni, consulta i risultati OCSF in Security Hub.

E Account AWS che ha concesso l'autorizzazione a un account amministratore di visualizzare i risultati e intervenire in base a tali risultati. Questo tipo di account Account AWS diventa membro quando l'account amministratore di Security Hub lo abilita come account membro.

Una scoperta che contribuisce a un accertamento dell'esposizione. Un segnale può essere definito un risultato che contribuisce. Un segnale può avere origine in Security Hub CSPM o altro AWS Config Servizi AWS, come Amazon Inspector.

Una deviazione di sicurezza che dà come risultato un rilevamento dell'esposizione. I tipi di caratteristiche includono Assumibilità, Configurazione errata, Raggiungibilità, Dati sensibili e Vulnerabilità. Una caratteristica è associata a un segnale e un segnale può contenere più caratteristiche. Ad esempio, un controllo CSPM di Security Hub indica che una politica gestita dal cliente consente il controllo amministrativo degli accessi. Questo segnale contiene una caratteristica di configurazione errata.