Conceitos e terminologia no Security Hub CSPM

Uma conta padrão da Amazon Web Services (AWS) que contém seus AWS recursos. Você pode entrar AWS com sua conta e ativar o CSPM do Security Hub.

Uma conta pode convidar outras contas para habilitar o CSPM do Security Hub e se associar a essa conta no CSPM do Security Hub. Aceitar um convite de associação é opcional. Se os convites forem aceitos, a conta se torna uma conta de administrador e as contas adicionadas serão contas de membro. As contas de administrador podem ver as descobertas em suas contas de membro.

Se você estiver inscrito AWS Organizations, sua organização designará uma conta de administrador CSPM do Security Hub para a organização. A conta de administrador do Security Hub CSPM pode habilitar outras contas da organização como contas de membros.

Uma conta não pode ser uma conta de administrador e uma conta de membro ao mesmo tempo. Uma conta só pode ter uma conta de administrador.

Para obter mais informações, consulte Gerenciando contas de administrador e membro no Security Hub CSPM.

Uma conta no Security Hub CSPM que tem acesso para visualizar as descobertas das contas de membros associadas.

Uma conta se torna uma conta de administrador de uma das seguintes maneiras:

Uma conta só pode ter uma conta de administrador. Uma conta não pode ser uma conta de administrador e uma conta de membro ao mesmo tempo.

Definir uma região de agregação permite que você visualize as descobertas de segurança de várias Regiões da AWS em um único painel de vidro.

A região de agregação é a região a partir da qual você visualiza e gerencia as descobertas. As descobertas são agregadas à região de agregação das regiões vinculadas. As atualizações das descobertas são replicadas em todas as regiões.

Na região de agregação, as páginas Padrões de segurança, Insights e Descobertas incluem dados de todas as regiões vinculadas.

Para obter mais informações, consulte Compreendendo a agregação entre regiões no Security Hub CSPM.

Uma descoberta cujo estado de registro (RecordState) éARCHIVED. O arquivamento de uma descoberta indica que o provedor da descoberta acredita que ela não é mais relevante. O estado do registro é diferente do status do fluxo de trabalho, que rastreia o status da investigação em uma descoberta.

Os provedores de localização podem usar a BatchImportFindingsoperação da API CSPM do Security Hub para arquivar as descobertas que eles criaram. O Security Hub CSPM arquiva automaticamente as descobertas de controle que atendem a determinados critérios. Para obter mais informações, consulte Gerando, atualizando e arquivando descobertas de controle.

No console CSPM do Security Hub, as configurações de filtro padrão excluem as descobertas arquivadas das listas e tabelas de busca. Você pode atualizar as configurações para incluir descobertas arquivadas. Se você recuperar descobertas usando a GetFindingsoperação da API CSPM do Security Hub, a operação recuperará tanto as descobertas arquivadas quanto as ativas. Para excluir descobertas arquivadas, você pode filtrar os resultados. Por exemplo:

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],

Um formato padronizado para o conteúdo das descobertas que o Security Hub CSPM agrega ou gera. O Formato AWS de descoberta de segurança permite que você use o CSPM do Security Hub para visualizar e analisar descobertas geradas por serviços de AWS segurança, soluções de terceiros ou pelo próprio CSPM do Security Hub a partir da execução de verificações de segurança. Para obter mais informações, consulte AWS Formato de descoberta de segurança (ASFF).

Uma proteção ou contramedida prescrita para um sistema de informações ou uma organização projetada para proteger a confidencialidade, integridade e disponibilidade de suas informações e para atender a um conjunto de requisitos de segurança definidos. Um padrão de segurança está associado a uma coleção de controles.

O termo controle de segurança se refere aos controles que têm um único ID e título de controle em todos os padrões. O termo controle padrão se refere aos controles que têm controle IDs e títulos específicos do padrão. Atualmente, o Security Hub CSPM suporta controles padrão somente nas regiões da China e. AWS GovCloud (US) Regions Os controles de segurança são compatíveis com em todas as outras regiões.

Um mecanismo CSPM do Security Hub para enviar descobertas selecionadas para o. EventBridge Uma ação personalizada é criada no CSPM do Security Hub. Em seguida, ele é vinculado a uma EventBridge regra. A regra define uma ação específica a ser realizada quando for recebida uma descoberta associada ao ID da ação personalizada. As ações personalizadas podem ser usadas, por exemplo, para enviar uma descoberta específica ou um conjunto pequeno de descobertas a um fluxo de trabalho de resposta ou de correção. Para obter mais informações, consulte Criar uma ação personalizada.

Em AWS Organizations, a conta de administrador delegado de um serviço é capaz de gerenciar o uso de um serviço para a organização.

No CSPM do Security Hub, a conta de administrador do Security Hub CSPM também é a conta de administrador delegado do Security Hub CSPM. Quando a conta de gerenciamento da organização designa pela primeira vez uma conta de administrador do CSPM do Security Hub, o CSPM do Security Hub chama Organizations para tornar essa conta a conta do administrador delegado.

A conta de gerenciamento da organização deve então escolher a conta de administrador delegado como a conta de administrador CSPM do Security Hub em todas as regiões.

O registro observável de uma verificação de segurança ou detecção relacionada à segurança. O Security Hub CSPM gera e atualiza as descobertas após concluir as verificações de segurança dos controles. Essas são chamadas de descobertas de controle. As descobertas também podem vir de integrações com outros produtos Serviços da AWS e produtos de terceiros.

Para obter mais informações, consulte Criando e atualizando descobertas no Security Hub CSPM.

A agregação de descobertas, insights, status de conformidade de controle e pontuações de segurança de regiões vinculadas a uma região de agregação. Em seguida, você pode visualizar todos os seus dados da região de agregação e atualizar as descobertas e insights dessa região.

Para obter mais informações, consulte Compreendendo a agregação entre regiões no Security Hub CSPM.

A importação de descobertas para o Security Hub CSPM de outros AWS serviços e de fornecedores parceiros terceirizados.

A descoberta de eventos de ingestão inclui novas descobertas e atualizações das descobertas existentes.

Uma coleção de descobertas relacionadas definidas por uma instrução de agregação e filtros opcionais. Um insight identifica uma área de segurança que requer atenção e intervenção. O Security Hub CSPM oferece vários insights gerenciados (padrão) que você não pode modificar. Você também pode criar insights de CSPM personalizados do Security Hub para rastrear problemas de segurança exclusivos do seu AWS ambiente e uso. Para obter mais informações, consulte Visualizando insights no Security Hub CSPM.

Quando você ativa a agregação entre regiões, uma região vinculada é aquela que agrega descobertas, insights, status de conformidade de controle e pontuações de segurança à região de agregação.

Em uma região vinculada, as páginas Descobertas e Insights contêm descobertas somente dessa região.

Para obter mais informações, consulte Compreendendo a agregação entre regiões no Security Hub CSPM.

Uma conta que concedeu permissão a uma conta de administrador para visualizar e agir de acordo com suas descobertas.

Uma conta se torna uma conta de membro de uma das seguintes maneiras:

Um conjunto de requisitos normativos ou do setor que são mapeados para um controle.

Um conjunto de critérios automatizados que é usado para avaliar se um controle está sendo cumprido. Quando uma regra é avaliada, ela pode ser aprovada ou reprovada. Se a avaliação não puder determinar se a regra será aprovada ou reprovada, a regra estará em um estado de aviso. Se não for possível avaliar a regra, ela estará em um estado indisponível.

Uma point-in-time avaliação específica de uma regra em relação a um único recurso que resulta em um NOT_AVAILABLE estado PASSED FAILEDWARNING,, ou. Executar uma verificação de segurança produz uma descoberta.

Uma conta organizacional que gerencia a associação ao CSPM do Security Hub para uma organização.

A conta de gerenciamento da organização designa a conta de administrador do CSPM do Security Hub em cada região. A conta de gerenciamento da organização deve escolher a mesma conta de administrador CSPM do Security Hub em todas as regiões.

A conta de administrador do Security Hub CSPM também é a conta de administrador delegado do Security Hub CSPM in Organizations.

A conta de administrador do Security Hub CSPM pode habilitar qualquer conta da organização como uma conta membro. A conta de administrador do Security Hub CSPM também pode convidar outras contas para serem contas membros.

Uma instrução publicada em um tópico especificando as características, geralmente mensuráveis e na forma de controles, que devem ser atendidas ou atingidas para estar em conformidade. Os padrões de segurança podem ser baseados em estruturas regulatórias, melhores práticas ou políticas internas da empresa. Um controle pode estar associado a um ou mais padrões suportados no Security Hub CSPM. Para saber mais sobre os padrões de segurança no Security Hub CSPM, consulte. Entendendo os padrões de segurança no Security Hub CSPM

A severidade atribuída a um controle CSPM do Security Hub identifica a importância do controle. A severidade de um controle pode ser Crítica, Alta, Média, Baixa ou Informativa. A severidade atribuída às descobertas de controle é igual à severidade do controle em si. Para saber mais sobre como o Security Hub CSPM atribui severidade a um controle, consulte. Níveis de severidade para resultados de controle

O status de uma investigação sobre uma descoberta. Isso é rastreado usando o Workflow.Status atributo.

O status do fluxo de trabalho é inicialmente NEW. Se você notificou o proprietário do recurso para executar uma ação na descoberta, poderá definir o status do fluxo de trabalho como NOTIFIED. Se a descoberta não for um problema e não exigir nenhuma ação, defina o status do fluxo de trabalho como SUPPRESSED. Depois de revisar e corrigir uma descoberta, defina o status do fluxo de trabalho como RESOLVED.

Por padrão, a maioria das listas de descobertas inclui apenas descobertas com o status de fluxo de trabalho NEW ou NOTIFIED. As listas de descobertas para controles também incluem descobertas RESOLVED.

Para a operação GetFindings, é possível incluir um filtro para o status de fluxo de trabalho.

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

O console CSPM do Security Hub fornece uma opção para definir o status do fluxo de trabalho para as descobertas. Os clientes (ou SIEM, emissão de tíquetes, gerenciamento de incidentes ou ferramentas SOAR que funcionam em nome de um cliente para atualizar as descobertas dos provedores de descobertas) também podem usar BatchUpdateFindings para atualizar o status de fluxo de trabalho.