Integration in AWS Security Hub - AWS IoT Device Defender
Aktivieren und Konfigurieren der IntegrationSo sendet AWS IoT Device Defender Erkenntnisse an Security HubTypische Erkenntnis von AWS IoT Device Defender So geben Sie an, dass keine Erkenntnisse mehr von AWS IoT Device Defender an Security Hub gesendet werden

Integration in AWS Security Hub

AWS Security Hub liefert einen umfassenden Überblick über den Sicherheitsstatus in AWS und hilft Ihnen dabei, Ihre Umgebung anhand von Sicherheitsstandards und bewährten Methoden der Branche zu überprüfen. Security Hub sammelt Sicherheitsdaten aus Ihren gesamten AWS-Konten, Services und unterstützten Produkten von Drittanbietern. Mit dem Security Hub können Sie Ihre Sicherheitstrends analysieren und Sicherheitsprobleme mit höchster Priorität identifizieren.

Mit der AWS IoT Device Defender-Integration in den Security Hub können Sie Erkenntnisse aus AWS IoT Device Defender an den Security Hub senden. Security Hub bezieht diese Erkenntnisse dann in die Analyse Ihrer Sicherheitslage ein.

Aktivieren und Konfigurieren der Integration

Vor der Integration von AWS IoT Device Defender in den Security Hub müssen Sie den Security Hub zunächst aktivieren. Informationen zur Aktivierung von Security Hub finden Sie unter Einrichten von Security Hub im AWS Security Hub-Benutzerhandbuch.

Nachdem Sie sowohl AWS IoT Device Defender als auch Security Hub aktiviert haben, öffnen Sie die Seite „Integrationen“ in der Security Hub-Konsole und wählen dann Ergebnisse akzeptieren für Audit, Detect oder beides aus. AWS IoT Device Defender beginnt, Erkenntnisse an Security Hub zu senden.

So sendet AWS IoT Device Defender Erkenntnisse an Security Hub

Im Security Hub werden Sicherheitsprobleme als Erkenntnisse verfolgt. Einige Erkenntnisse stammen von Problemen, die von anderen AWS-Services oder von Produkten von Drittanbietern erkannt werden.

Security Hub bietet Tools zur Verwaltung von Erkenntnissen aus all diesen Quellen. Sie können Listen mit Erkenntnissen anzeigen und filtern und Details zu einer Erkenntnis anzeigen. Weitere Informationen finden Sie unter Anzeigen der Erkenntnisse im AWS Security Hub-Benutzerhandbuch. Sie können auch den Status einer Untersuchung zu einer Erkenntnis nachverfolgen. Weitere Informationen finden Sie unter Ergreifen von Maßnahmen zu Erkenntnissen im AWS Security Hub-Benutzerhandbuch.

Alle Erkenntnisse in Security Hub verwenden ein Standard-JSON-Format, das so genannte AWS-Security Finding Format (ASFF). Das ASFF enthält Details über die Ursache des Problems, die betroffenen Ressourcen und den aktuellen Status der Erkenntnis. Weitere Informationen zu ASFF finden Sie unter AWS-Security Finding-Format (ASFF) im AWS Security Hub-Benutzerhandbuch.

AWS IoT Device Defender ist einer der AWS-Services, die Erkenntnisse an den Security Hub senden.

Arten von Erkenntnissen, die AWS IoT Device Defender sendet

Nachdem Sie die Security Hub-Integration aktiviert haben, sendet AWS IoT Device Defender Audit die generierten Erkenntnisse (sogenannte Prüfungszusammenfassungen) an Security Hub. Bei Prüfungszusammenfassungen handelt es sich um allgemeine Informationen zu einem bestimmten Prüfungstyp und einer bestimmten Prüfungsaufgabe. Weitere Informationen finden Sie unter Audit-Prüfungen.

AWS IoT Device Defender Audit sendet in jeder Audit-Aufgabe sowohl für Audit-Prüfungszusammenfassungen als auch für Audit-Erkenntnisse Aktualisierungen an Security Hub. Wenn alle in Audit-Prüfungen gefundenen Ressourcen konform sind oder eine Audit-Aufgabe abgebrochen wird, aktualisiert Audit die Prüfzusammenfassungen in Security Hub auf den Datensatzstatus ARCHIVIERT. Wenn eine Ressource für eine Audit-Prüfung als nonkonform gemeldet wurde, aber in der letzten Audit-Aufgabe als konform gemeldet wurde, ändert Audit den Status dieser Ressource zu „konform“ und aktualisiert auch die Erkenntnis in Security Hub auf den Datensatzstatus ARCHIVIERT.

AWS IoT Device Defender Detect sendet Erkenntnisse zu Verstößen an Security Hub. Zu diesen Erkenntnissen zu Verstößen gehören Machine Learning (ML), Statistikdaten und statisches Verhalten.

AWS IoT Device Defender sendet die Erkenntnisse unter Verwendung des AWS-Security Finding Format (ASFF) an Security Hub. In ASFF gibt das Types-Feld die Art der Erkenntnis an. Die Erkenntnisse von AWS IoT Device Defender können die folgenden Werte für Types haben.

Ungewöhnliches Verhalten

Der Erkenntnistyp für widersprüchliche MQTT-Client-IDs und Prüfungen von geteilten Gerätezertifikaten und der Erkenntnistyp für Detect.

Software- und Konfigurationsprüfung/Schwachstellen

Der Erkenntnistyp für alle anderen Audit-Prüfungen.

Latenz für das Senden von Erkenntnissen

Wenn AWS IoT Device Defender Audit eine neue Erkenntnis erstellt, wird diese sofort an Security Hub gesendet, nachdem die Audit-Aufgabe abgeschlossen ist. Die Latenz hängt vom Umfang der bei der Autit-Aufgabe generierten Erkenntnisse ab. Security Hub erhält die Erkenntnisse in der Regel innerhalb einer Stunde.

AWS IoT Device Defender Detect sendet Erkenntnisse zu Verstößen nahezu in Echtzeit. Wenn bei einem Verstoß ein Alarm ausgelöst oder überschritten wird (d. h. der Alarm wurde erstellt oder gelöscht), wird die entsprechende Security Hub-Erkenntnis sofort erstellt oder archiviert.

Wiederholung, wenn Security Hub nicht verfügbar ist

Wenn Security Hub nicht verfügbar ist, versuchen AWS IoT Device Defender Audit und AWS IoT Device Defender Detect so lange erneut, die Erkenntnisse zu senden, bis sie empfangen wurden.

Aktualisieren von vorhandenen Erkenntnissen in Security Hub

Nachdem eine AWS IoT Device Defender Audit-Erkenntnis an Security Hub gesendet wurde, können Sie sie anhand der geprüften Ressourcen-ID und des Typs von Audit-Prüfung identifizieren. Wenn eine neue Audit-Erkenntnis mit einer nachfolgenden Audit-Aufgabe für dieselbe Ressource und dieselbe Audit-Prüfung generiert wird, sendet AWS IoT Device Defender Audit Aktualisierungen, um zusätzliche Beobachtungen der Erkenntnisaktivität an Security Hub zu reflektieren. Wenn bei einer nachfolgenden Audit-Aufgabe für dieselbe Ressource und dieselbe Audit-Prüfung keine zusätzliche Audit-Erkenntnis generiert wird, wird im Status der Ressource die Konformität mit der Audit-Prüfung festgestellt. AWS IoT Device Defender Audit archiviert dann die Erkenntnisse in Security Hub.

AWS IoT Device Defender Audit aktualisiert auch die Prüfungszusammenfassungen in Security Hub. Wenn bei einer Audit-Prüfung nonkonforme Ressourcen gefunden werden oder die Prüfung fehlschlägt, wird für die Security Hub-Erkenntnis der Status „Aktiv“ festgelegt. Andernfalls archiviert AWS IoT Device Defender Audit die Erkenntnis in Security Hub.

AWS IoT Device Defender Detect erstellt eine Security Hub-Erkenntnis, wenn ein Verstoß festgestellt wird (z. B. bei einem Alarm). Diese Erkenntnis wird nur aktualisiert, wenn eines der folgenden Kriterien erfüllt ist:

  • Die Erkenntnis läuft bald in Security Hub ab und AWS IoT Device Defender sendet daher eine Aktualisierung, um die Erkenntnis auf dem neuesten Stand zu halten. Erkenntnisse werden 90 Tage nach der letzten Aktualisierung gelöscht – oder 90 Tage nach ihrer Erstellung, wenn es keine Aktualisierungen gibt. Weitere Informationen finden Sie unter Security Hub-Kontingente im AWS Security Hub-Benutzerhandbuch.

  • Für den entsprechenden Verstoß wird der Alarm aufgehoben, daher wird der Status der Erkenntnis von AWS IoT Device Defender zu ARCHIVIERT aktualisiert.

Typische Erkenntnis von AWS IoT Device Defender

AWS IoT Device Defender sendet die Erkenntnisse unter Verwendung des AWS-Security Finding Format (ASFF) an Security Hub.

Das folgende Beispiel zeigt eine typische Erkenntnis von Security Hub für eine Audit-Erkenntnis. Der ReportType in ProductFields lautet AuditFinding.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-west-2",
  "GeneratorId": "1928b87ab338ee2f541f6fab8c41c4f5",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities"
  ],
  "CreatedAt": "2022-11-06T22:11:40.941Z",
  "UpdatedAt": "2022-11-06T22:11:40.941Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK: ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "Description": "IOT_POLICY policyexample:1 is reported as non-compliant for IOT_POLICY_OVERLY_PERMISSIVE_CHECK by Audit task 9f71b6e90cfb57d4ac671be3a4898e6a. The non-compliant reason is Policy allows broad access to IoT data plane actions: [iot:Connect].",
  "SourceUrl": "https://us-west-2.console.aws.amazon.com/iot/home?region=us-west-2#/policy/policyexample",
  "ProductFields": {
    "CheckName": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK",
    "TaskId": "9f71b6e90cfb57d4ac671be3a4898e6a",
    "TaskType": "ON_DEMAND_AUDIT_TASK",
    "PolicyName": "policyexample",
    "IsSuppressed": "false",
    "ReasonForNonComplianceCode": "ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "ResourceType": "IOT_POLICY",
    "FindingId": "1928b87ab338ee2f541f6fab8c41c4f5",
    "PolicyVersionId": "1",
    "ReportType": "AuditFinding",
    "TaskStartTime": "1667772700554",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit/336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotPolicy",
      "Id": "policyexample",
      "Partition": "aws",
      "Region": "us-west-2",
      "Details": {
        "Other": {
          "PolicyVersionId": "1"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities"
    ]
  }
}

Das folgende Beispiel zeigt eine Erkenntnis von Security Hub für eine Audit-Prüfungszusammenfassung. Der ReportType in ProductFields lautet CheckSummary.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "615243839755/SCHEDULED_AUDIT_TASK/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "f3021945485adf92487c273558fcaa51",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities/CVE"
  ],
  "CreatedAt": "2022-10-18T14:20:13.933Z",
  "UpdatedAt": "2022-10-18T14:20:13.933Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK Summary: Completed with 2 non-compliant resources",
  "Description": "Task f3021945485adf92487c273558fcaa51 of weekly scheduled Audit daily_audit_schedule_checks completes. 2 non-cimpliant resources are found for DEVICE_CERTIFICATE_KEY_QUALITY_CHECK out of 1000 resources in the account. The percentage of non-compliant resources is 0.2%.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/audit/results/f3021945485adf92487c273558fcaa51/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductFields": {
    "TaskId": "f3021945485adf92487c273558fcaa51",
    "TaskType": "SCHEDULED_AUDIT_TASK",
    "ScheduledAuditName": "daily_audit_schedule_checks",
    "CheckName": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "ReportType": "CheckSummary",
    "CheckRunStatus": "COMPLETED_NON_COMPLIANT",
    "NonComopliantResourcesCount": "2",
    "SuppressedNonCompliantResourcesCount": "1",
    "TotalResourcesCount": "1000",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit/615243839755/SCHEDULED/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotAuditTask",
      "Id": "f3021945485adf92487c273558fcaa51",
      "Region": "us-east-1"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities/CVE"
    ]
  }
}

Das folgende Beispiel zeigt eine typische Erkenntnis von Security Hub für einen AWS IoT Device Defender Detect-Verstoß.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "e92a782593c6f5b1fc7cb6a443dc1a12",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect",
  "ProductName": "IoT Device Defender - Detect",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "arn:aws:iot:us-east-1:123456789012:securityprofile/MySecurityProfile",
  "AwsAccountId": "123456789012",
  "Types": [
    "Unusual Behaviors"
  ],
  "CreatedAt": "2022-11-09T22:45:00Z",
  "UpdatedAt": "2022-11-09T22:45:00Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40
  },
  "Title": "Registered thing MyThing is in alarm for STATIC behavior MyBehavior.",
  "Description": "Registered thing MyThing violates STATIC behavior MyBehavior of security profile MySecurityProfile. Violation was triggered because the device did not conform to aws:num-disconnects less-than 1.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/securityProfile/MySecurityProfile?tab=violations",
  "ProductFields": {
    "ComparisonOperator": "less-than",
    "BehaviorName": "MyBehavior",
    "ViolationId": "e92a782593c6f5b1fc7cb6a443dc1a12",
    "ViolationStartTime": "1668033900000",
    "SuppressAlerts": "false",
    "ConsecutiveDatapointsToAlarm": "1",
    "ConsecutiveDatapointsToClear": "1",
    "DurationSeconds": "300",
    "Count": "1",
    "MetricName": "aws:num-disconnects",
    "BehaviorCriteriaType": "STATIC",
    "ThingName": "MyThing",
    "SecurityProfileName": "MySecurityProfile",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect/e92a782593c6f5b1fc7cb6a443dc1a12",
    "aws/securityhub/ProductName": "IoT Device Defender - Detect",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotRegisteredThing",
      "Id": "MyThing",
      "Region": "us-east-1",
      "Details": {
        "Other": {
          "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/thing/MyThing?tab=violations",
          "IsRegisteredThing": "true",
          "ThingArn": "arn:aws:iot:us-east-1:123456789012:thing/MyThing"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM"
    },
    "Types": [
      "Unusual Behaviors"
    ]
  }
}

So geben Sie an, dass keine Erkenntnisse mehr von AWS IoT Device Defender an Security Hub gesendet werden

Um anzugeben, dass keine Erkenntnisse mehr an Security Hub gesendet werden, können Sie entweder die Security Hub-Konsole oder die API verwenden.

Weitere Informationen finden Sie unter Deaktivieren und Aktivieren des Flows von Erkenntnissen aus einer Integration (Konsole) oder Deaktivieren des Flows von Erkenntnissen aus einer Integration (Security Hub-API, AWS CLI) im AWS Security Hub-Benutzerhandbuch.