Security Hub 개념

AWS 리소스가 포함된 표준 AWS 계정입니다. AWS AWS 계정으로에 로그인하여 Security Hub를 활성화합니다.

계정이에 등록된 경우 AWS Organizations조직에서 Security Hub 관리자 계정을 지정합니다. 이 계정은 다른 조직 계정을 멤버 계정으로 활성화할 수 있습니다.

조직은 관리자 계정을 1개만 보유할 수 있습니다. 한 계정이 관리자 계정이면서 동시에 멤버 계정일 수 없습니다.

Security Hub는 다음 계정을 지원합니다.

이 유형의 AWS 계정은 연결된 멤버 계정에 대한 조사 결과를 볼 수 있습니다.

이 유형의 AWS 계정은 조직 관리 계정이 Security Hub 관리자 계정으로 지정한 경우 관리자 계정이 됩니다. Security Hub 관리자 계정은 모든 조직 계정을 멤버 계정으로 활성화할 수 있으며 다른 계정을 멤버 계정으로 초대할 수도 있습니다.

조직은 관리자 계정을 1개만 보유할 수 있습니다. 한 계정이 관리자 계정이면서 동시에 멤버 계정일 수 없습니다.

집계 리전을 사용하면 단일 창에서 여러의 보안 결과를 볼 AWS 리전 수 있습니다.

집계 리전은 조사 결과를 보고 관리하는 AWS 리전 입니다. 조사 결과는 연결된 리전에서 집계 영역으로 집계됩니다. 업데이트된 조사 결과는 리전 전체에 복제됩니다.

집계 영역의 대시보드 및 인벤토리 페이지에는 모든 연결된 리전의 데이터가 포함됩니다. 자동화 페이지는 집계 영역에서 자동화 규칙을 정의하는 데만 사용할 수 있습니다. 서드 파티 티켓팅 통합은 집계 영역에서만 구성할 수 있습니다.

상태가 ARCHIVED인 조사 결과입니다. 이러한 조사 결과는 조사 결과를 조사하는 조사 결과 공급자 또는 고객이 해당 조사 결과가 더 이상 관련성이 없다고 판단한다는 것을 나타냅니다.

조사 결과 공급자는 자신이 생성한 조사 결과를 보관할 수 있습니다. 고객은 Security Hub API의 BatchUpdateFindingsV2 작업을 사용하거나 Security Hub 콘솔에서 상태를 업데이트하여 더 이상 관련이 없다고 생각되는 모든 결과를 보관할 수 있습니다.

Security Hub 콘솔의 기본 필터 설정은 조사 결과 목록 및 테이블에서 보관된 결과를 제외합니다. 보관된 조사 결과를 포함하도록 필터를 업데이트할 수 있습니다. GetFindingsV2 작업을 사용하여 조사 결과를 검색하면 작업은 보관된 조사 결과와 활성 조사 결과를 모두 검색합니다. 다음 예제에서는 결과에서 보관된 조사 결과를 제외하는 방법을 보여줍니다.

{
    "StringFilters":
    [
        {
            "FieldName": "status",
            "Filter":
            {
                "Value": "Archived",
                "Comparison": "EQUALS"
            }
        }
    ]
}

조사 결과 및 리소스가 연결된 리전에서 집계 영역으로 집계됩니다. 집계 영역에서 모든 데이터를 보고 조사 결과를 업데이트할 수 있습니다.

에서 서비스의 AWS Organizations위임된 관리자 계정은 조직의 서비스 사용을 관리할 수 있습니다.

Security Hub에서 Security Hub 관리자 계정은 Security Hub의 위임된 관리자 계정이기도 합니다. 조직 관리 계정이 Security Hub 관리자 계정을 처음 지정하면 Security Hub가 조직을 호출하여 해당 계정을 위임된 관리자 계정으로 설정합니다.

그런 다음에는 조직 관리 계정이 모든 리전에서 Security Hub 관리자 계정으로 위임된 관리자 계정을 선택해야 합니다.

노출이란 보안 제어, 잘못된 구성 또는 활성 위협으로 악용될 수 있는 기타 영역의 광범위한 약점입니다.

노출의 예는 다음과 같습니다.

환경에 존재하는 노출을 설명하는 조사 결과의 유형입니다. 노출 조사 결과에는 특성과 신호가 포함됩니다. 신호에는 여러 유형의 노출 특성이 포함될 수 있습니다. AWS Security Hub는 AWS Security Hub CSPM, Amazon Inspector, Amazon GuardDuty, Amazon Macie 또는 기타 AWS 서비스의 신호가 노출 여부를 나타낼 때 노출 결과를 생성합니다. 리소스는 하나 이상의 노출 결과에 관여할 수 있습니다. 리소스에 노출 특성이 없거나 부족한 경우 Security Hub는 해당 리소스에 대한 노출 조사 결과를 생성하지 않습니다.

노출 결과의 예로는 인터넷에서 연결할 수 있고 악용 가능성이 높은 소프트웨어 취약성이 있는 EC2 인스턴스가 있습니다.

보안 점검 또는 보안 관련 감지의 관찰 가능한 기록입니다. Security Hub는 다른 보안 조사 결과의 상관관계를 통해 조사 결과를 생성하고 업데이트합니다. 이를 노출 조사 결과라고 합니다. 조사 결과는 다른 AWS 서비스 및 타사 제품과의 통합에서도 얻을 수 있습니다.

조사 결과를 Security Hub로 가져오는 것입니다. 조사 결과 수집 이벤트에는 새로운 조사 결과와 기존의 조사 결과에 대한 업데이트가 모두 포함됩니다.

교차 리전 집계를 활성화하면 연결된 리전은 조사 결과 및 리소스 인벤토리를 집계 영역으로 집계하는 리전입니다.

연결된 리전에서 대시보드 및 인벤토리 페이지에는 이에 대한 조사 결과만 포함됩니다 AWS 리전.

Open Cybersecurity Schema Framework(OCSF)는 사이버 보안 업계의 AWS 및 주요 파트너가 공동으로 수행하는 오픈 소스 작업입니다. OCSF는 일반적인 보안 이벤트에 대한 표준 스키마를 제공하고, 스키마 진화를 촉진하기 위한 버전 관리 기준을 정의하며, 보안 로그 생성자와 소비자를 위한 자체 거버넌스 프로세스를 포함합니다. 자세한 내용은 Security Hub의 OCSF 조사 결과를 참조하세요.

관리자 계정에 조사 결과를 보고 조치를 취할 수 AWS 계정 있는 권한을 부여한 입니다. 이러한 종류의 AWS 계정 는 Security Hub 관리자 계정이 멤버 계정으로 활성화할 때 멤버 계정이 됩니다.

노출 조사 결과에 기여하는 조사 결과입니다. 신호를 기여 조사 결과라고 할 수 있습니다. 신호는 Security Hub CSPM AWS Config또는 Amazon Inspector AWS 서비스와 같은 기타에서 발생할 수 있습니다.

노출 조사 결과를 초래하는 보안 편차입니다. 특성 유형에는 수임 가능성, 잘못된 구성, 연결성, 민감한 데이터 및 취약성이 포함됩니다. 특성은 하나의 신호와 연결되며 각 신호에는 여러 특성이 포함될 수 있습니다. 예를 들어 Security Hub CSPM 제어는 고객 관리형 정책이 관리 액세스 제어를 허용함을 나타냅니다. 이 신호에는 잘못된 구성 특성이 포함되어 있습니다.