Security Hub CSPM의 개념 및 용어

AWS 리소스가 포함된 표준 Amazon Web Services(AWS) 계정입니다. 계정으로에 로그인하고 Security Hub CSPM AWS 을 활성화할 수 있습니다.

계정은 다른 계정을 초대하여 Security Hub CSPM을 활성화하고 Security Hub CSPM에서 해당 계정과 연결할 수 있습니다. 멤버십 초대 수락은 선택 사항입니다. 초대가 수락되면 계정은 관리자 계정이 되며, 추가된 계정은 멤버 계정이 됩니다. 관리자 계정은 멤버 계정에 있는 조사 결과를 볼 수 있습니다.

에 등록하면 AWS Organizations조직에서 조직의 Security Hub CSPM 관리자 계정을 지정합니다. Security Hub CSPM 관리자 계정은 다른 조직 계정을 멤버 계정으로 활성화할 수 있습니다.

한 계정이 관리자 계정이면서 동시에 멤버 계정일 수 없습니다. 계정에는 관리자 계정이 하나만 있을 수 있습니다.

자세한 내용은 Security Hub CSPM에서 관리자 및 멤버 계정 관리 섹션을 참조하세요.

Security Hub CSPM에서 연결된 멤버 계정에 대한 조사 결과를 볼 수 있는 액세스 권한이 부여된 계정입니다.

계정은 다음 방법 중 하나로 관리자 계정이 됩니다.

계정에는 관리자 계정이 하나만 있을 수 있습니다. 한 계정이 관리자 계정이면서 동시에 멤버 계정일 수 없습니다.

집계 리전을 설정하면 단일 창에서 여러의 보안 결과를 볼 수 AWS 리전 있습니다.

집계 리전은 사용자가 조사 결과를 보고 관리하는 리전입니다. 조사 결과는 연결된 리전의 집계 리전에 집계됩니다. 조사 결과 업데이트는 리전 전체에 복제됩니다.

집계 리전에서 보안 표준, 통찰력, 조사 결과 페이지에는 연결된 모든 리전의 데이터가 포함됩니다.

자세한 내용은 Security Hub CSPM의 교차 리전 집계 이해 단원을 참조하십시오.

레코드 상태(RecordState)가 인 결과입니다ARCHIVED. 조사 결과를 보관하면 조사 결과 공급자가 해당 조사 결과가 더 이상 관련이 없다고 판단한다는 의미입니다. 레코드 상태는 조사 결과에 대한 조사 상태를 추적하는 워크플로 상태와 다릅니다.

결과 공급자는 Security Hub CSPM API의 BatchImportFindings 작업을 사용하여 자신이 생성한 결과를 보관할 수 있습니다. Security Hub CSPM은 특정 기준을 충족하는 제어 조사 결과를 자동으로 보관합니다. 자세한 내용은 제어 조사 결과 생성, 업데이트 및 보관 단원을 참조하십시오.

Security Hub CSPM 콘솔에서 기본 필터 설정은 결과 목록 및 테이블에서 보관된 결과를 제외합니다. 보관된 조사 결과를 포함하도록 설정을 업데이트할 수 있습니다. Security Hub CSPM API의 GetFindings 작업을 사용하여 조사 결과를 검색하면 작업은 보관된 조사 결과와 활성 조사 결과를 모두 검색합니다. 보관된 결과를 제외하려면 결과를 필터링하면 됩니다. 예시:

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],

Security Hub CSPM이 집계하거나 생성하는 조사 결과의 내용에 대한 표준화된 형식입니다. AWS Security Finding 형식을 사용하면 Security Hub CSPM을 사용하여 AWS 보안 서비스, 타사 솔루션 또는 Security Hub CSPM 자체에서 생성된 결과를 보고 분석하여 보안 검사를 실행할 수 있습니다. 자세한 내용은 AWS 보안 조사 결과 형식(ASFF) 단원을 참조하십시오.

정보의 기밀성, 무결성 및 가용성을 보호하고 정의된 보안 요구 사항을 충족하도록 설계된 정보 시스템 또는 조직에 대해 규정된 보호 조치 또는 대책입니다. 보안 표준은 제어 기능의 모음과 연관되어 있습니다.

보안 제어 기능이라는 용어는 표준 전반에서 단일 제어 ID와 제목을 가지고 있는 제어 기능을 말합니다. 표준 제어 기능이라는 용어는 표준별 제어 ID와 제목을 가지고 있는 제어 기능을 말합니다. 현재 Security Hub CSPM은 중국 리전 및 에서만 표준 제어를 지원합니다 AWS GovCloud (US) Regions. 보안 제어 기능은 다른 모든 리전에서 지원됩니다.

선택한 결과를 EventBridge로 보내기 위한 Security Hub CSPM 메커니즘입니다. 사용자 지정 작업은 Security Hub CSPM에서 생성됩니다. 그런 다음에는 EventBridge 규칙에 연결됩니다. 이 규칙은 사용자 지정 작업 ID와 연결된 조사 결과가 수신될 때 수행할 특정 작업을 정의합니다. 예를 들어, 사용자 지정 작업을 사용하여 특정 조사 결과 또는 작은 조사 결과 집합을 응답 또는 수정 작업 흐름에 보낼 수 있습니다. 자세한 내용은 사용자 지정 작업 생성 섹션을 참조하세요.

에서 서비스의 AWS Organizations위임된 관리자 계정은 조직의 서비스 사용을 관리할 수 있습니다.

Security Hub CSPM에서 Security Hub CSPM 관리자 계정은 Security Hub CSPM의 위임된 관리자 계정이기도 합니다. 조직 관리 계정이 Security Hub CSPM 관리자 계정을 처음 지정하면 Security Hub CSPM은 Organizations를 호출하여 해당 계정을 위임된 관리자 계정으로 만듭니다.

그런 다음 조직 관리 계정은 위임된 관리자 계정을 모든 리전의 Security Hub CSPM 관리자 계정으로 선택해야 합니다.

보안 점검 또는 보안 관련 감지의 관찰 가능한 기록입니다. Security Hub CSPM은 제어에 대한 보안 검사를 완료한 후 조사 결과를 생성하고 업데이트합니다. 이를 제어 조사 결과라고 합니다. 조사 결과는 다른 AWS 서비스 및 타사 제품과의 통합에서도 얻을 수 있습니다.

자세한 내용은 Security Hub CSPM에서 조사 결과 생성 및 업데이트 단원을 참조하십시오.

연결된 리전의 조사 결과, 통찰력, 제어 기능 규정 준수 상태, 보안 점수를 집계 리전으로 집계합니다. 그런 다음에는 집계 리전에서 모든 데이터를 보고 집계 리전에서 조사 결과 및 통찰력을 업데이트할 수 있습니다.

자세한 내용은 Security Hub CSPM의 교차 리전 집계 이해 단원을 참조하십시오.

다른 AWS 서비스 및 타사 파트너 공급자에서 Security Hub CSPM으로 조사 결과를 가져옵니다.

조사 결과 수집 이벤트에는 새로운 조사 결과와 기존의 조사 결과에 대한 업데이트가 모두 포함됩니다.

집계 설명 및 선택적 필터로 정의된 관련 조사 결과의 모음입니다. 인사이트는 주의와 개입이 필요한 보안 영역을 식별합니다. Security Hub CSPM은 수정할 수 없는 여러 관리형(기본값) 인사이트를 제공합니다. 사용자 지정 Security Hub CSPM 인사이트를 생성하여 AWS 환경 및 사용량에 고유한 보안 문제를 추적할 수도 있습니다. 자세한 내용은 Security Hub CSPM에서 인사이트 보기 단원을 참조하십시오.

교차 리전 집계를 활성화하면, 연결된 리전은 조사 결과, 통찰력, 제어 기능 규정 준수 상태, 보안 점수를 집계 리전으로 집계하는 리전입니다.

연결된 리전에서 조사 결과 및 통찰력 페이지에는 해당 리전의 조사 결과만 포함됩니다.

자세한 내용은 Security Hub CSPM의 교차 리전 집계 이해 단원을 참조하십시오.

관리자 계정에 조사 결과를 보고 조치를 취할 수 있는 권한을 부여한 계정입니다.

계정은 다음 방법 중 하나로 멤버 계정이 됩니다.

제어에 매핑되는 일련의 업계 또는 규정 요구 사항입니다.

제어의 준수 여부를 평가하는 데 사용되는 자동화된 기준 세트입니다. 규칙이 평가되면 통과하거나 실패할 수 있습니다. 평가에서 규칙의 통과 여부를 확인할 수 없는 경우, 규칙이 경고 상태에 있는 것입니다. 규칙을 평가할 수 없는 경우, 사용할 수 없는 상태입니다.

단일 리소스에 대한 규칙의 특정 시점 평가로, PASSED, FAILED, WARNING, 또는 NOT_AVAILABLE 상태의 결과를 얻습니다. 보안 점검을 실행하면 조사 결과가 생성됩니다.

조직의 Security Hub CSPM 멤버십을 관리하는 조직 계정입니다.

조직 관리 계정은 각 리전에서 Security Hub CSPM 관리자 계정을 지정합니다. 조직 관리 계정은 모든 리전에서 동일한 Security Hub CSPM 관리자 계정을 선택해야 합니다.

Security Hub CSPM 관리자 계정은 Organizations의 Security Hub CSPM에 대한 위임된 관리자 계정이기도 합니다.

Security Hub CSPM 관리자 계정은 모든 조직 계정을 멤버 계정으로 활성화할 수 있습니다. Security Hub CSPM 관리자 계정은 다른 계정을 멤버 계정으로 초대할 수도 있습니다.

규정 준수를 위해 충족시키거나 달성해야 하는 특성(일반적으로 측정 가능하고 제어 형식을 취함)을 명시한, 주제에 대해 게시된 진술입니다. 보안 표준은 규제 프레임워크, 모범 사례 또는 사내 정책을 기반으로 할 수 있습니다. 제어는 Security Hub CSPM에서 지원되는 하나 이상의 표준과 연결될 수 있습니다. Security Hub CSPM의 보안 표준에 대한 자세한 내용은 섹션을 참조하세요Security Hub CSPM의 보안 표준 이해.

Security Hub CSPM 제어에 할당된 심각도는 제어의 중요성을 식별합니다. 제어 기능의 심각도는 심각, 높음, 중간, 낮음 또는 정보일 수 있습니다. 제어 기능의 조사 결과에 할당된 심각도는 해당 제어 기능 자체의 심각도와 동일합니다. Security Hub CSPM이 제어에 심각도를 할당하는 방법에 대한 자세한 내용은 섹션을 참조하세요제어 조사 결과의 심각도 수준.

결과에 대한 조사의 상태입니다. 이는 Workflow.Status 속성을 사용하여 추적됩니다.

워크플로 상태는 초기에 NEW입니다. 리소스 소유자에게 조사 결과에 대한 작업을 수행하도록 통지한 경우, 워크플로 상태를 NOTIFIED(으)로 설정할 수 있습니다. 조사 결과가 문제가 아니고 작업이 필요하지 않은 경우, 워크플로 상태를 SUPPRESSED(으)로 설정합니다. 조사 결과를 검토하고 수정한 후 워크플로 상태를 RESOLVED(으)로 설정합니다.

기본적으로 대부분의 조사 결과 목록에는 워크플로 상태가 NEW 또는 NOTIFIED인 조사 결과만 포함됩니다. 컨트롤에 대한 조사 결과 목록에는 RESOLVED 조사 결과도 포함됩니다.

GetFindings 작업의 경우, 워크플로 상태에 대한 필터를 포함할 수 있습니다.

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

Security Hub CSPM 콘솔은 조사 결과에 대한 워크플로 상태를 설정하는 옵션을 제공합니다. 고객(또는 고객을 대신해 조사 결과 공급자의 조사 결과를 업데이트하기 위해 작업하는 SIEM, 티켓팅, 인시던트 관리 또는 SOAR 도구)도 BatchUpdateFindings을(를) 사용하여 워크플로 상태를 업데이트할 수 있습니다.