Generierung und Aktualisierung von Kontrollbefunden

AWS Security Hub generiert Ergebnisse, indem Prüfungen anhand von Sicherheitskontrollen durchgeführt werden. Für diese Ergebnisse wird das AWS Security Finding Format (ASFF) verwendet. Beachten Sie, dass das Resource.Details Objekt entfernt wird, wenn die Ergebnisgröße den Höchstwert von 240 KB überschreitet. Bei Steuerelementen, die durch AWS Config Ressourcen unterstützt werden, können Sie die Ressourcendetails in der AWS Config Konsole einsehen.

Security Hub berechnet normalerweise für jede Sicherheitskontrolle eine Gebühr. Wenn jedoch mehrere Kontrollen dieselbe AWS Config Regel verwenden, berechnet Security Hub für jede Überprüfung anhand der AWS Config Regel nur einmal eine Gebühr. Wenn Sie konsolidierte Kontrollergebnisse aktivieren, generiert Security Hub ein einziges Ergebnis für eine Sicherheitsüberprüfung, auch wenn die Kontrolle in mehreren aktivierten Standards enthalten ist.

Die AWS Config Regel iam-password-policy wird beispielsweise von mehreren Kontrollen im Benchmark-Standard der Center for Internet Security (CIS) AWS Foundations und im Standard Foundational Security Best Practices verwendet. Jedes Mal, wenn Security Hub eine Überprüfung anhand dieser AWS Config Regel durchführt, generiert es ein separates Ergebnis für jede zugehörige Kontrolle, berechnet jedoch nur einmal für die Prüfung eine Gebühr.

Konsolidierte Kontrollergebnisse

Wenn konsolidierte Kontrollergebnisse in Ihrem Konto aktiviert sind, generiert Security Hub für jede Sicherheitsüberprüfung einer Kontrolle ein einzelnes neues Ergebnis oder eine Aktualisierung der Ergebnisse, auch wenn eine Kontrolle für mehrere aktivierte Standards gilt. Eine Liste der Kontrollen und der Standards, für die sie gelten, finden Sie unterReferenz zu Security Hub-Steuerungen. Wir empfehlen, konsolidierte Kontrollergebnisse zu verwenden, um das Störgeräusch zu reduzieren.

Wenn Sie Security Hub AWS-Konto vor dem 23. Februar 2023 für einen aktiviert haben, können Sie konsolidierte Kontrollergebnisse aktivieren, indem Sie den Anweisungen weiter unten in diesem Abschnitt folgen. Wenn Sie Security Hub am oder nach dem 23. Februar 2023 aktivieren, werden konsolidierte Kontrollergebnisse automatisch in Ihrem Konto aktiviert. Wenn Sie jedoch die Security Hub Hub-Integration mit Mitgliedskonten verwenden AWS Organizations oder Mitgliedskonten über einen manuellen Einladungsprozess eingeladen haben, sind konsolidierte Kontrollergebnisse nur dann in Mitgliedskonten aktiviert, wenn sie im Administratorkonto aktiviert sind. Wenn die Funktion im Administratorkonto deaktiviert ist, ist sie auch in den Mitgliedskonten deaktiviert. Dieses Verhalten gilt für neue und bestehende Mitgliedskonten.

Wenn Sie konsolidierte Kontrollergebnisse in Ihrem Konto deaktivieren, generiert Security Hub für jeden aktivierten Standard, der eine Kontrolle enthält, einen separaten Befund pro Sicherheitsüberprüfung. Wenn sich beispielsweise vier aktivierte Standards eine Kontrolle mit derselben zugrunde liegenden AWS Config Regel teilen, erhalten Sie nach einer Sicherheitsprüfung der Kontrolle vier separate Ergebnisse. Wenn Sie konsolidierte Kontrollergebnisse aktivieren, erhalten Sie nur ein Ergebnis.

Wenn Sie konsolidierte Kontrollergebnisse aktivieren, erstellt Security Hub neue standardunabhängige Ergebnisse und archiviert die ursprünglichen standardbasierten Ergebnisse. Einige Felder und Werte für Kontrollergebnisse werden sich ändern und können sich auf bestehende Workflows auswirken. Weitere Informationen zu diesen Änderungen finden Sie unter Konsolidierte Kontrollergebnisse — ASFF-Änderungen.

Die Aktivierung konsolidierter Kontrollergebnisse kann sich auch auf die Ergebnisse auswirken, die integrierte Drittanbieterprodukte von Security Hub erhalten. Automated Security Response auf AWS Version 2.0.0 unterstützt konsolidierte Kontrollergebnisse.

Um Consolidated Control Findings zu aktivieren oder zu deaktivieren, müssen Sie mit einem Administratorkonto oder einem eigenständigen Konto angemeldet sein.

Anmerkung

Nach der Aktivierung konsolidierter Kontrollergebnisse kann es bis zu 24 Stunden dauern, bis Security Hub neue, konsolidierte Ergebnisse generiert und die ursprünglichen, standardbasierten Ergebnisse archiviert hat. Ebenso kann es nach der Deaktivierung konsolidierter Kontrollergebnisse bis zu 24 Stunden dauern, bis Security Hub neue, standardbasierte Ergebnisse generiert und die konsolidierten Ergebnisse archiviert hat. Während dieser Zeit kann es sein, dass Sie in Ihrem Konto eine Mischung aus standardunabhängigen und standardbasierten Ergebnissen sehen.

Security Hub console

So aktivieren oder deaktivieren Sie Consolidated Control Findings (Konsole)

1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

2. Wählen Sie im Navigationsbereich Settings (Einstellungen).

3. Wählen Sie die Registerkarte Allgemein.

4. Aktivieren oder deaktivieren Sie für Kontrollen die Option Konsolidierte Kontrollergebnisse.

5. Wählen Sie Save (Speichern) aus.

Security Hub API, AWS CLI

Um konsolidierte Kontrollergebnisse (API, AWS CLI) zu aktivieren oder zu deaktivieren

1. Verwenden Sie die UpdateSecurityHubConfigurationOperation. Wenn Sie den verwenden AWS CLI, führen Sie den update-security-hub-configurationBefehl aus.

2. Auf control-finding-generator gleich setzen, SECURITY_CONTROL um konsolidierte Kontrollergebnisse zu ermöglichen. Auf control-finding-generator gleich setzen, STANDARD_CONTROL um konsolidierte Kontrollergebnisse zu deaktivieren

   Mit dem folgenden AWS CLI Befehl werden beispielsweise konsolidierte Kontrollbefunde aktiviert. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

   $ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

   Mit dem folgenden AWS CLI Befehl werden konsolidierte Kontrollergebnisse deaktiviert. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

   $ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

Generierung neuer Ergebnisse im Vergleich zur Aktualisierung vorhandener Ergebnisse

Security Hub führt Sicherheitsüberprüfungen nach einem Zeitplan durch. Eine nachfolgende Überprüfung anhand einer bestimmten Kontrolle kann zu einem neuen Ergebnis führen. Beispielsweise könnte sich der Status eines Steuerelements von FAILED zu ändernPASSED. In diesem Fall generiert Security Hub ein neues Ergebnis, das das neueste Ergebnis enthält.

Wenn eine nachfolgende Überprüfung anhand einer bestimmten Regel zu einem Ergebnis führt, das mit dem aktuellen Ergebnis identisch ist, aktualisiert Security Hub das bestehende Ergebnis. Es wird kein neues Ergebnis generiert.

Security Hub archiviert automatisch Ergebnisse von Kontrollen, wenn die zugehörige Ressource gelöscht wird, die Ressource nicht existiert oder die Kontrolle deaktiviert ist. Eine Ressource ist möglicherweise nicht mehr vorhanden, da der zugehörige Dienst derzeit nicht verwendet wird. Die Ergebnisse werden automatisch auf der Grundlage eines der folgenden Kriterien archiviert:

• Die Ergebnisse werden erst nach 3—5 Tagen aktualisiert (beachten Sie, dass dies nach bestem Wissen erfolgt und nicht garantiert wird).

• Die zugehörige AWS Config Bewertung wurde zurückgegebenNOT_APPLICABLE.

Kontrolle, Findung, Automatisierung und Unterdrückung

Sie können Security Hub Hub-Automatisierungsregeln verwenden, um bestimmte Kontrollergebnisse zu aktualisieren oder zu unterdrücken. Wenn Sie ein Ergebnis unterdrücken, ist es in Ihrem Konto immer noch zugänglich, aber es deutet darauf hin, dass Sie der Meinung sind, dass keine Maßnahmen erforderlich sind, um das Ergebnis zu beheben. Indem du irrelevante Ergebnisse unterdrückst, kannst du das Auffinden von Fehlern reduzieren. Sie könnten beispielsweise Kontrollergebnisse unterdrücken, die in Testkonten generiert wurden. Oder Sie könnten Ergebnisse unterdrücken, die sich auf bestimmte Ressourcen beziehen. Weitere Informationen zur automatischen Aktualisierung oder Unterdrückung von Ergebnissen finden Sie unterGrundlegendes zu den Automatisierungsregeln in Security Hub.

Automatisierungsregeln eignen sich, wenn Sie bestimmte Kontrollergebnisse aktualisieren oder unterdrücken möchten. Wenn ein Steuerelement jedoch für Ihre Organisation oder Ihren Anwendungsfall nicht relevant ist, empfehlen wir, das Steuerelement zu deaktivieren. Wenn Sie eine Steuerung deaktivieren, führt Security Hub keine Sicherheitsüberprüfungen für sie durch, und es fallen keine Gebühren an.

Einzelheiten zur Einhaltung der Kontrollbestimmungen

Bei Ergebnissen, die durch Sicherheitsprüfungen von Kontrollen generiert wurden, enthält das ComplianceFeld im AWS Security Finding Format (ASFF) Details zu den Kontrollfeststellungen. Das Feld Compliance enthält die folgenden Informationen.

AssociatedStandards

Die aktivierten Standards, nach denen ein Steuerelement aktiviert ist.

RelatedRequirements

Die Liste der zugehörigen Anforderungen für die Steuerung in allen aktivierten Standards. Die Anforderungen stammen aus dem Sicherheitsrahmen eines Drittanbieters für die Kontrolle, z. B. dem Payment Card Industry Data Security Standard (PCI DSS).

SecurityControlId

Die Kennung für eine Kontrolle aller Sicherheitsstandards, die Security Hub unterstützt.

Status

Das Ergebnis der letzten Überprüfung, die Security Hub für ein bestimmtes Steuerelement ausgeführt hat. Die Ergebnisse der vorherigen Überprüfungen werden 90 Tage lang archiviert.

StatusReasons

Enthält eine Liste von Gründen für den Wert vonCompliance.Status. StatusReasons enthält für jeden Grund den Ursachencode und eine Beschreibung.

In der folgenden Tabelle sind die verfügbaren Status-Ursachencodes und Beschreibungen aufgeführt. Die Behebungsschritte hängen davon ab, welche Kontrolle einen Befund mit dem Ursachencode generiert hat. Wählen Sie ein Steuerelement ausReferenz zu Security Hub-Steuerungen, um die Behebungsschritte für dieses Steuerelement anzuzeigen.

Ursachencode	Compliance.Status	Beschreibung
CLOUDTRAIL_METRIC_FILTER_NOT_VALID	FAILED	Für den CloudTrail Trail mit mehreren Regionen gibt es keinen gültigen metrischen Filter.
CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT	FAILED	Metrische Filter sind für den Trail mit mehreren Regionen CloudTrail nicht vorhanden.
CLOUDTRAIL_MULTI_REGION_NOT_PRESENT	FAILED	Das Konto verfügt nicht über einen CloudTrail Trail für mehrere Regionen mit der erforderlichen Konfiguration.
CLOUDTRAIL_REGION_INVAILD	WARNING	CloudTrail Wanderwege mit mehreren Regionen befinden sich nicht in der aktuellen Region.
CLOUDWATCH_ALARM_ACTIONS_NOT_VALID	FAILED	Es sind keine gültigen Alarmaktionen vorhanden.
CLOUDWATCH_ALARMS_NOT_PRESENT	FAILED	CloudWatch Alarme sind im Konto nicht vorhanden.
CONFIG_ACCESS_DENIED	NOT_AVAILABLE AWS Config Status ist ConfigError	AWS Config Zugriff verweigert. Stellen Sie sicher, dass es aktiviert AWS Config ist und dass ihm ausreichende Berechtigungen erteilt wurden.
CONFIG_EVALUATIONS_EMPTY	PASSED	AWS Config hat Ihre Ressourcen anhand der Regel bewertet. Die Regel galt nicht für die AWS Ressourcen in ihrem Geltungsbereich, die angegebenen Ressourcen wurden gelöscht oder die Bewertungsergebnisse wurden gelöscht.
CONFIG_RECORDER_CUSTOM_ROLE	FAILED(für Config.1)	Der AWS Config Rekorder verwendet eine benutzerdefinierte IAM-Rolle anstelle der AWS Config serviceverknüpften Rolle, und der includeConfigServiceLinkedRoleCheck benutzerdefinierte Parameter für Config.1 ist nicht auf festgelegt. false
CONFIG_RECORDER_DISABLED	FAILED(für Config.1)	AWS Config ist nicht aktiviert, wenn der Konfigurationsrekorder eingeschaltet ist.
CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES	FAILED(für Config.1)	AWS Config zeichnet nicht alle Ressourcentypen auf, die den aktivierten Security Hub-Steuerelementen entsprechen. Aktiviert die Aufzeichnung für die folgenden Ressourcen:Resources that aren't being recorded.
CONFIG_RETURNS_NOT_APPLICABLE	NOT_AVAILABLE	Der Konformitätsstatus ist darauf NOT_AVAILABLE zurückzuführen, dass der Status Nicht zutreffend AWS Config zurückgegeben wurde. AWS Config gibt keinen Grund für den Status an. Hier sind einige mögliche Gründe für den Status „Nicht zutreffend“: Die Ressource wurde aus dem Geltungsbereich der AWS Config Regel entfernt. Die AWS Config Regel wurde gelöscht. Die Ressource wurde gelöscht. Die AWS Config Regellogik kann den Status Nicht zutreffend erzeugen.
CONFIG_RULE_EVALUATION_ERROR	NOT_AVAILABLE AWS Config Status ist ConfigError	Dieser Ursachencode wird für verschiedene Arten von Auswertungsfehlern verwendet. Die Beschreibung enthält die spezifischen Ursacheninformationen. Die Art des Fehlers kann einer der folgenden sein: Unmöglichkeit, die Auswertung aufgrund fehlender Berechtigungen durchzuführen. Die Beschreibung enthält die spezifische Berechtigung, die fehlt. Ein fehlender oder ungültiger Wert für einen Parameter. Die Beschreibung enthält den Parameter und die Anforderungen für den Parameterwert. Fehler beim Lesen aus einem S3-Bucket. Die Beschreibung identifiziert den Bucket und stellt den spezifischen Fehler bereit. Ein fehlendes AWS Abonnement. Ein allgemeines Timeout für die Auswertung. Ein gesperrtes Konto.
CONFIG_RULE_NOT_FOUND	NOT_AVAILABLE AWS Config Status ist ConfigError	Die AWS Config Regel wird gerade erstellt.
INTERNAL_SERVICE_ERROR	NOT_AVAILABLE	Es ist ein unbekannter Fehler aufgetreten.
LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE	FEHLGESCHLAGEN	Security Hub kann keine Überprüfung anhand einer benutzerdefinierten Lambda-Laufzeit durchführen.
S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION	WARNING	Das Ergebnis befindet sich in einem WARNING Status, da sich der S3-Bucket, der dieser Regel zugeordnet ist, in einer anderen Region oder einem anderen Konto befindet. Diese Regel unterstützt keine regionsübergreifenden oder kontenübergreifenden Prüfungen. Es wird empfohlen, diese Kontrolle in dieser Region oder diesem Konto zu deaktivieren. Führen Sie sie nur in der Region oder dem Konto aus, in dem sich die Ressource befindet.
SNS_SUBSCRIPTION_NOT_PRESENT	FAILED	Für die CloudWatch Logs-Metrikfilter gibt es kein gültiges Amazon SNS SNS-Abonnement.
SNS_TOPIC_CROSS_ACCOUNT	WARNING	Das Ergebnis befindet sich in einem WARNING Zustand. Das mit dieser Regel verknüpfte SNS-Thema gehört einem anderen Konto. Das aktuelle Konto kann die Abonnementinformationen nicht abrufen. Das Konto, dem das SNS-Thema gehört, muss dem aktuellen Konto die sns:ListSubscriptionsByTopic Berechtigung für das SNS-Thema gewähren.
SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION	WARNING	Das Ergebnis weist einen WARNING Status auf, da sich das mit dieser Regel verknüpfte SNS-Thema in einer anderen Region oder einem anderen Konto befindet. Diese Regel unterstützt keine regionsübergreifenden oder kontenübergreifenden Prüfungen. Es wird empfohlen, diese Kontrolle in dieser Region oder diesem Konto zu deaktivieren. Führen Sie sie nur in der Region oder dem Konto aus, in dem sich die Ressource befindet.
SNS_TOPIC_INVALID	FAILED	Das mit dieser Regel verknüpfte SNS-Thema ist ungültig.
THROTTLING_ERROR	NOT_AVAILABLE	Die entsprechende API-Operation hat die zulässige Rate überschritten.

ProductFields Einzelheiten zu den Kontrollbefunden

Wenn Security Hub Sicherheitsprüfungen durchführt und Kontrollergebnisse generiert, umfasst das ProductFieldsAttribut in ASFF die folgenden Felder:

ArchivalReasons:0/Description

Beschreibt, warum Security Hub bestehende Ergebnisse archiviert hat.

Security Hub archiviert beispielsweise vorhandene Ergebnisse, wenn Sie eine Kontrolle oder einen Standard deaktivieren und wenn Sie konsolidierte Kontrollergebnisse ein- oder ausschalten.

ArchivalReasons:0/ReasonCode

Gibt den Grund an, warum Security Hub bestehende Ergebnisse archiviert hat.

Security Hub archiviert beispielsweise vorhandene Ergebnisse, wenn Sie eine Kontrolle oder einen Standard deaktivieren und wenn Sie konsolidierte Kontrollergebnisse ein- oder ausschalten.

StandardsGuideArn oder StandardsArn

Der ARN des Standards, der dem Steuerelement zugeordnet ist.

Für den Benchmark-Standard der CIS AWS Foundations lautet das FeldStandardsGuideArn.

Für die Standards PCI DSS und AWS Foundational Security Best Practices lautet das Feld. StandardsArn

Diese Felder werden zugunsten von entfernt, Compliance.AssociatedStandards wenn Sie konsolidierte Kontrollergebnisse aktivieren.

StandardsGuideSubscriptionArn oder StandardsSubscriptionArn

Der ARN des Standardabonnements des Kontos.

Für den Benchmark-Standard der CIS AWS Foundations lautet das FeldStandardsGuideSubscriptionArn.

Für die Standards PCI DSS und AWS Foundational Security Best Practices lautet das Feld. StandardsSubscriptionArn

Diese Felder werden entfernt, wenn Sie konsolidierte Kontrollergebnisse aktivieren.

RuleId oder ControlId

Die Kennung der Kontrolle.

Für den Benchmark-Standard der CIS AWS Foundations lautet das FeldRuleId.

Für andere Standards ist das FeldControlId.

Diese Felder werden zugunsten von entfernt, Compliance.SecurityControlId wenn Sie konsolidierte Kontrollergebnisse aktivieren.

RecommendationUrl

Die URL zu den Behebungsinformationen für das Steuerelement. Dieses Feld wird entfernt, Remediation.Recommendation.Url wenn Sie konsolidierte Kontrollergebnisse aktivieren.

RelatedAWSResources:0/name

Der Name der Ressource, die dem Ergebnis zugeordnet ist.

RelatedAWSResource:0/type

Der Typ der Ressource, die dem Steuerelement zugeordnet ist.

StandardsControlArn

Der ARN des Steuerelements. Dieses Feld wird entfernt, wenn Sie konsolidierte Kontrollergebnisse aktivieren.

aws/securityhub/ProductName

Für Ergebnisse, die auf Kontrollen basieren, lautet der Produktname Security Hub.

aws/securityhub/CompanyName

Für Ergebnisse, die auf Kontrollen basieren, lautet der Firmenname. AWS

aws/securityhub/annotation

Eine Beschreibung des bei der Kontrolle aufgedeckten Problems.

aws/securityhub/FindingId

Die Kennung des Befundes. Dieses Feld verweist nicht auf einen Standard, wenn Sie konsolidierte Kontrollergebnisse aktivieren.

Schweregrad der Kontrollergebnisse

Der Schweregrad, der einem Security Hub-Steuerelement zugewiesen wurde, zeigt die Wichtigkeit der Kontrolle an. Der Schweregrad einer Kontrolle bestimmt den Schweregrad, der den Kontrollergebnissen zugewiesen wird.

Schweregradkriterien

Der Schweregrad einer Kontrolle wird anhand der folgenden Kriterien bestimmt:

• Wie schwierig ist es für einen Bedrohungsakteur, die mit der Kontrolle verbundene Konfigurationsschwäche auszunutzen?

  Die Schwierigkeit wird durch den Grad an Raffinesse oder Komplexität bestimmt, der erforderlich ist, um die Schwachstelle zur Ausführung eines Bedrohungsszenarios auszunutzen.

• Wie wahrscheinlich ist es, dass die Schwachstelle zu einer Beeinträchtigung Ihrer Ressourcen AWS-Konten oder Ihrer Ressourcen führt?

  Eine Beeinträchtigung Ihrer AWS-Konten Ressourcen bedeutet, dass die Vertraulichkeit, Integrität oder Verfügbarkeit Ihrer Daten oder AWS Infrastruktur in irgendeiner Weise beeinträchtigt wird.

  Die Wahrscheinlichkeit einer Gefährdung gibt an, wie wahrscheinlich es ist, dass das Bedrohungsszenario zu einer Unterbrechung oder einem Verstoß gegen Ihre AWS Dienste oder Ressourcen führt.

Betrachten Sie als Beispiel die folgenden Konfigurationsschwächen:

• Benutzerzugriffsschlüssel werden nicht alle 90 Tage ausgetauscht.

• Der IAM-Root-Benutzerschlüssel ist vorhanden.

Beide Schwächen sind für einen Gegner gleichermaßen schwer auszunutzen. In beiden Fällen kann der Angreifer Anmeldeinformationen stehlen oder eine andere Methode verwenden, um an einen Benutzerschlüssel zu gelangen. Er kann es dann verwenden, um auf unautorisierte Weise auf Ihre Ressourcen zuzugreifen.

Die Wahrscheinlichkeit einer Kompromittierung ist jedoch viel höher, wenn der Bedrohungsakteur den Root-Benutzerzugriffsschlüssel erwirbt, da er dadurch besseren Zugriff hat. Infolgedessen hat die Schwäche des Root-Benutzerschlüssels einen höheren Schweregrad.

Der Schweregrad berücksichtigt nicht die Wichtigkeit der zugrunde liegenden Ressource. Kritikalität ist der Grad der Wichtigkeit der Ressourcen, die mit dem Ergebnis verknüpft sind. Beispielsweise ist eine Ressource, die einer geschäftskritischen Anwendung zugeordnet ist, kritischer als eine, die nicht produktionstechnischen Tests zugeordnet ist. Verwenden Sie das Criticality Feld des AWS Security Finding Format (ASFF), um Informationen zur Ressourcenkritik zu erfassen.

In der folgenden Tabelle werden die Sicherheitsbeschriftungen aufgeführt, wie schwierig es auszunutzen ist und wie wahrscheinlich es ist, dass sie gefährdet werden.

	Ein Kompromiss ist sehr wahrscheinlich	Kompromiss wahrscheinlich	Kompromiss unwahrscheinlich	Ein Kompromiss ist höchst unwahrscheinlich
Sehr einfach auszunutzen	Kritisch	Kritisch	Hoch	Mittelschwer
Etwas einfach auszunutzen	Kritisch	Hoch	Mittelschwer	Mittelschwer
Etwas schwer auszunutzen	Hoch	Mittelschwer	Mittelschwer	Niedrig
Sehr schwer auszunutzen	Mittelschwer	Mittelschwer	Niedrig	Niedrig

Definitionen des Schweregrads

Die Schweregrade sind wie folgt definiert.

Kritisch — Das Problem sollte sofort behoben werden, um eine Eskalation zu vermeiden.

Beispielsweise wird ein offener S3-Bucket mit kritischem Schweregrad bewertet. Da so viele Bedrohungsakteure nach offenen S3-Buckets suchen, ist es wahrscheinlich, dass Daten in exponierten S3-Buckets von anderen entdeckt und abgerufen werden.

Im Allgemeinen gelten öffentlich zugängliche Ressourcen als kritische Sicherheitslücken. Sie sollten kritische Ergebnisse mit äußerster Dringlichkeit behandeln. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.

Hoch — Das Problem muss als kurzfristige Priorität angegangen werden.

Wenn eine Standard-VPC-Sicherheitsgruppe beispielsweise für eingehenden und ausgehenden Datenverkehr geöffnet ist, wird sie als hochgradig eingestuft. Für einen Bedrohungsakteur ist es ziemlich einfach, eine VPC mit dieser Methode zu kompromittieren. Es ist auch wahrscheinlich, dass der Bedrohungsakteur in der Lage sein wird, Ressourcen zu unterbrechen oder zu exfiltrieren, sobald sie sich in der VPC befinden.

Security Hub empfiehlt, dass Sie einen Befund mit hohem Schweregrad als kurzfristige Priorität behandeln. Sie sollten sofort Abhilfemaßnahmen ergreifen. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.

Mittel — Das Problem sollte als mittelfristige Priorität behandelt werden.

Mangelnde Verschlüsselung für Daten bei der Übertragung wird beispielsweise als mittelgradig eingestuft. Um diese Schwachstelle auszunutzen, ist ein ausgeklügelter man-in-the-middle Angriff erforderlich. Mit anderen Worten, es ist etwas schwierig. Es ist wahrscheinlich, dass einige Daten gefährdet werden, wenn das Bedrohungsszenario erfolgreich ist.

Security Hub empfiehlt, die betroffene Ressource so schnell wie möglich zu untersuchen. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.

Niedrig — Das Problem erfordert keine eigenständigen Maßnahmen.

Beispielsweise wird das Versäumnis, forensische Informationen zu sammeln, als niedriger Schweregrad angesehen. Diese Kontrolle kann dazu beitragen, future Kompromisse zu verhindern, aber das Fehlen von Forensik führt nicht direkt zu einem Kompromiss.

Bei Ergebnissen mit geringem Schweregrad müssen Sie nicht sofort Maßnahmen ergreifen, aber sie können einen Kontext bieten, wenn Sie sie mit anderen Problemen korrelieren.

Informativ — Es wurde keine Sicherheitslücke in der Konfiguration gefunden.

Mit anderen Worten, der Status ist PASSEDWARNING, oderNOT AVAILABLE.

Es gibt keine empfohlene Aktion. Informationsergebnisse helfen Kunden dabei, nachzuweisen, dass sie sich in einem konformen Zustand befinden.