Integração com AWS Security Hub CSPM - AWS IoT Device Defender
Habilitar e configurar a integraçãoComo o AWS IoT Device Defender envia as descobertas para o CSPM do Security HubDescoberta típica do AWS IoT Device Defender Impedir o AWS IoT Device Defender de enviar descobertas ao CSPM do Security Hub

Integração com AWS Security Hub CSPM

O AWS Security Hub CSPM fornece uma visão abrangente do estado de sua segurança na AWS e ajuda a verificar o ambiente conforme os padrões e as melhores práticas do setor de segurança. O CSPM do Security Hub coleta dados de segurança de Contas da AWS, serviços e produtos de terceiros compatíveis. É possível usar o CSPM do Security Hub para analisar tendências de segurança e identificar os problemas de segurança mais prioritários.

Com a integração do AWS IoT Device Defender com CSPM do Security Hub, você pode enviar descobertas do AWS IoT Device Defender ao CSPM do Security Hub. O CSPM do Security Hub inclui essas descobertas na análise feita sobre o procedimento de segurança.

Habilitar e configurar a integração

Antes da integração do AWS IoT Device Defender com o CSPM do Security Hub, você deve primeiro habilitar o CSPM do Security Hub. Para ter informações sobre como habilitar o CSPM do Security Hub, consulte Configurar o Security Hub no Guia do usuário do AWS Security Hub.

Depois de habilitar o AWS IoT Device Defender e o CSPM do Security Hub, abra a página “Integrações” no console do CSPM do Security Hub e escolha Aceitar descobertas para Auditoria, Detecção ou ambas. O AWS IoT Device Defender vai começar a enviar descobertas ao CSPM do Security Hub.

Como o AWS IoT Device Defender envia as descobertas para o CSPM do Security Hub

No CSPM do Security Hub, os problemas de segurança são rastreados como descobertas. Algumas descobertas provêm de problemas que são detectados por outros serviços da AWS ou por terceiros.

O CSPM do Security Hub fornece ferramentas para gerenciar descobertas em todas essas origens. É possível exibir e filtrar listas de descobertas e exibir detalhes de uma descoberta. Para obter mais informações, consulte Visualizar descobertas no Guia do usuário do AWS Security Hub. Também é possível rastrear o status de uma investigação em uma descoberta. Para obter mais informações, consulte Tomar medidas sobre descobertas no Manual do usuário do AWS Security Hub.

Todas as descobertas no CSPM do Security Hub usam um formato JSON padrão chamado Formato de Descobertas de Segurança da AWS (ASFF). O ASFF inclui detalhes sobre a origem do problema, os recursos afetados e o status atual da descoberta. Para obter mais informações, consulte AWS Security Finding Format (ASFF) no Manual do usuário do AWS Security Hub.

O AWS IoT Device Defender é um dos serviços da AWS que enviam descobertas ao CSPM do Security Hub.

Tipos de descobertas que o AWS IoT Device Defender envia

Depois de habilitar a integração do CSPM do Security Hub, o AWS IoT Device Defender Audit envia as descobertas geradas (chamadas de resumos de verificação) ao CSPM do Security Hub. Os resumos de verificação são informações gerais para um tipo específico de verificação de auditoria e uma tarefa de auditoria específica. Para obter mais informações, consulte Verificações de auditoria.

O AWS IoT Device Defender Audit envia atualizações de descoberta ao CSPM do Security Hub para resumos de verificação de auditoria e resultados de auditoria em cada tarefa de auditoria. Se todos os recursos encontrados nas verificações de auditoria estiverem em conformidade ou se uma tarefa de auditoria for cancelada, o Audit atualizará os resumos de verificação no CSPM do Security Hub para um estado de registro ARQUIVADO. Se um recurso tiver sido relatado como não compatível para uma verificação de auditoria, mas foi relatado como compatível na última tarefa de auditoria, o Audit o alterará para compatível e também atualizará a descoberta no CSPM do Security Hub para um estado de registro ARQUIVADO.

O AWS IoT Device Defender Detect envia descobertas de violação ao CSPM do Security Hub. Essas descobertas de violação incluem machine learning (ML), comportamentos estatísticos e estáticos.

Para enviar as descobertas ao CSPM do Security Hub, o AWS IoT Device Defender usa o Formato de Descobertas de Segurança da AWS (ASFF). No ASFF, o campo Types fornece o tipo de descoberta. As descobertas do AWS IoT Device Defender podem ter os seguintes valores para Types.

Comportamentos incomuns

O tipo de descoberta para IDs de clientes MQTT e verificações compartilhadas de certificados de dispositivos conflitantes e o tipo de descoberta para Detecção.

Verificações de software e configuração/vulnerabilidades

O tipo de descoberta para todas as outras verificações de Auditoria.

Latência para enviar descobertas

Quando o AWS IoT Device Defender Audit cria uma descoberta, ela é enviada imediatamente ao CSPM do Security Hub após a conclusão da tarefa de auditoria. A latência depende do volume das descobertas geradas na tarefa de auditoria. O CSPM do Security Hub normalmente recebe as descobertas no espaço de uma hora.

O AWS IoT Device Defender Detect envia descobertas de violações praticamente em tempo real. Depois que uma violação entra ou sai do alarme (isto é, o alarme é criado ou excluído), a descoberta correspondente do CSPM do Security Hub é imediatamente criada ou arquivada.

Tentar novamente quando o CSPM do Security Hub não está disponível

Se o CSPM do Security Hub não estiver disponível, o AWS IoT Device Defender Audit e o AWS IoT Device Defender Detect tentarão enviar novamente as descobertas até que elas sejam recebidas.

Atualização das descobertas existentes no CSPM do Security Hub

Depois que uma descoberta do AWS IoT Device Defender Audit é enviada ao CSPM do Security Hub, você pode identificá-la pelo identificador de recurso verificado e pelo tipo de verificação de auditoria. Se uma nova descoberta de auditoria for gerada com uma tarefa de auditoria subsequente para o mesmo recurso e verificação de auditoria, o AWS IoT Device Defender Audit enviará atualizações ao CSPM do Security Hub para refletir observações adicionais da atividade de descoberta. Se nenhuma descoberta de auditoria adicional for gerada com uma tarefa de auditoria subsequente para o mesmo recurso e a verificação de auditoria, o recurso será alterado para compatível com a verificação de auditoria. O AWS IoT Device Defender Em seguida, o Audit arquiva as descobertas no CSPM do Security Hub.

O AWS IoT Device Defender Audit também atualiza os resumos de verificações no CSPM do Security Hub. Se em uma verificação de auditoria forem encontrados recursos que não estão em conformidade ou se a verificação falhar, o status da descoberta do CSPM do Security Hub se tornará ativo. Do contrário, o AWS IoT Device Defender Audit arquivará as descobertas no CSPM do Security Hub.

O AWS IoT Device Defender Detect cria uma descoberta do CSPM do Security Hub quando há uma violação (por exemplo, em alarme). Essa descoberta é atualizada somente se um destes critérios for atendido:

  • A descoberta expirará em breve no CSPM do Security Hub, então o AWS IoT Device Defender envia uma atualização para mantê-la atualizada. As descobertas são excluídas 90 dias após a atualização mais recente ou 90 dias após a data de criação, se não ocorrer nenhuma atualização. Para ter mais informações, consulte Cotas do CSPM do Security Hub no Guia do usuário do AWS Security Hub.

  • A violação correspondente dispara o alarme, então o AWS IoT Device Defender atualiza o status de descoberta para ARQUIVADO.

Descoberta típica do AWS IoT Device Defender

O AWS IoT Device Defender usa o Formato de Descobertas de Segurança da AWS (ASFF) para enviar descobertas ao CSPM do Security Hub.

O exemplo a seguir mostra uma descoberta típica do CSPM do Security Hub referente a uma descoberta de auditoria. O ReportType em ProductFields é AuditFinding.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-west-2",
  "GeneratorId": "1928b87ab338ee2f541f6fab8c41c4f5",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities"
  ],
  "CreatedAt": "2022-11-06T22:11:40.941Z",
  "UpdatedAt": "2022-11-06T22:11:40.941Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK: ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "Description": "IOT_POLICY policyexample:1 is reported as non-compliant for IOT_POLICY_OVERLY_PERMISSIVE_CHECK by Audit task 9f71b6e90cfb57d4ac671be3a4898e6a. The non-compliant reason is Policy allows broad access to IoT data plane actions: [iot:Connect].",
  "SourceUrl": "https://us-west-2.console.aws.amazon.com/iot/home?region=us-west-2#/policy/policyexample",
  "ProductFields": {
    "CheckName": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK",
    "TaskId": "9f71b6e90cfb57d4ac671be3a4898e6a",
    "TaskType": "ON_DEMAND_AUDIT_TASK",
    "PolicyName": "policyexample",
    "IsSuppressed": "false",
    "ReasonForNonComplianceCode": "ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "ResourceType": "IOT_POLICY",
    "FindingId": "1928b87ab338ee2f541f6fab8c41c4f5",
    "PolicyVersionId": "1",
    "ReportType": "AuditFinding",
    "TaskStartTime": "1667772700554",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit/336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotPolicy",
      "Id": "policyexample",
      "Partition": "aws",
      "Region": "us-west-2",
      "Details": {
        "Other": {
          "PolicyVersionId": "1"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities"
    ]
  }
}

O exemplo a seguir mostra uma descoberta do CSPM do Security Hub para um resumo de verificação de auditoria. O ReportType em ProductFields é CheckSummary.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "615243839755/SCHEDULED_AUDIT_TASK/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "f3021945485adf92487c273558fcaa51",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities/CVE"
  ],
  "CreatedAt": "2022-10-18T14:20:13.933Z",
  "UpdatedAt": "2022-10-18T14:20:13.933Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK Summary: Completed with 2 non-compliant resources",
  "Description": "Task f3021945485adf92487c273558fcaa51 of weekly scheduled Audit daily_audit_schedule_checks completes. 2 non-cimpliant resources are found for DEVICE_CERTIFICATE_KEY_QUALITY_CHECK out of 1000 resources in the account. The percentage of non-compliant resources is 0.2%.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/audit/results/f3021945485adf92487c273558fcaa51/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductFields": {
    "TaskId": "f3021945485adf92487c273558fcaa51",
    "TaskType": "SCHEDULED_AUDIT_TASK",
    "ScheduledAuditName": "daily_audit_schedule_checks",
    "CheckName": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "ReportType": "CheckSummary",
    "CheckRunStatus": "COMPLETED_NON_COMPLIANT",
    "NonComopliantResourcesCount": "2",
    "SuppressedNonCompliantResourcesCount": "1",
    "TotalResourcesCount": "1000",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit/615243839755/SCHEDULED/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotAuditTask",
      "Id": "f3021945485adf92487c273558fcaa51",
      "Region": "us-east-1"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities/CVE"
    ]
  }
}

O exemplo a seguir mostra uma descoberta típica do CSPM do Security Hub referente a uma violação do AWS IoT Device Defender Detect.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "e92a782593c6f5b1fc7cb6a443dc1a12",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect",
  "ProductName": "IoT Device Defender - Detect",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "arn:aws:iot:us-east-1:123456789012:securityprofile/MySecurityProfile",
  "AwsAccountId": "123456789012",
  "Types": [
    "Unusual Behaviors"
  ],
  "CreatedAt": "2022-11-09T22:45:00Z",
  "UpdatedAt": "2022-11-09T22:45:00Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40
  },
  "Title": "Registered thing MyThing is in alarm for STATIC behavior MyBehavior.",
  "Description": "Registered thing MyThing violates STATIC behavior MyBehavior of security profile MySecurityProfile. Violation was triggered because the device did not conform to aws:num-disconnects less-than 1.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/securityProfile/MySecurityProfile?tab=violations",
  "ProductFields": {
    "ComparisonOperator": "less-than",
    "BehaviorName": "MyBehavior",
    "ViolationId": "e92a782593c6f5b1fc7cb6a443dc1a12",
    "ViolationStartTime": "1668033900000",
    "SuppressAlerts": "false",
    "ConsecutiveDatapointsToAlarm": "1",
    "ConsecutiveDatapointsToClear": "1",
    "DurationSeconds": "300",
    "Count": "1",
    "MetricName": "aws:num-disconnects",
    "BehaviorCriteriaType": "STATIC",
    "ThingName": "MyThing",
    "SecurityProfileName": "MySecurityProfile",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect/e92a782593c6f5b1fc7cb6a443dc1a12",
    "aws/securityhub/ProductName": "IoT Device Defender - Detect",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotRegisteredThing",
      "Id": "MyThing",
      "Region": "us-east-1",
      "Details": {
        "Other": {
          "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/thing/MyThing?tab=violations",
          "IsRegisteredThing": "true",
          "ThingArn": "arn:aws:iot:us-east-1:123456789012:thing/MyThing"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM"
    },
    "Types": [
      "Unusual Behaviors"
    ]
  }
}

Impedir o AWS IoT Device Defender de enviar descobertas ao CSPM do Security Hub

Para interromper o envio de descobertas ao CSPM do Security Hub, você poderá usar o console ou a API do CSPM do Security Hub.

Para ter mais informações, consulte Desabilitação e habilitação do fluxo de descobertas de uma integração (console) ou Desabilitação do fluxo de descobertas de uma integração (API do Security Hub, AWS CLI) no Guia do usuário do AWS Security Hub.