Security Hub Hub-Konzepte - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Security Hub Hub-Konzepte

In diesem Thema werden die wichtigsten Konzepte und Begriffe in AWS Security Hub beschrieben, um Ihnen den Einstieg in den Service zu erleichtern.

Account

Ein Standardkonto von Amazon Web Services (AWS), das Ihre AWS Ressourcen enthält. Sie können sich AWS mit Ihrem Konto anmelden und Security Hub aktivieren.

Ein Konto kann andere Konten zur Aktivierung von Security Hub einladen und mit diesem Konto in Security Hub verknüpft werden. Das Annehmen einer Mitgliedschaftseinladung ist optional. Wenn die Einladungen akzeptiert werden, wird das Konto zu einem Administratorkonto und die hinzugefügten Konten sind Mitgliedskonten. Administratorkonten können Ergebnisse in ihren Mitgliedskonten einsehen.

Wenn Sie registriert sind AWS Organizations, weist Ihre Organisation ein Security Hub-Administratorkonto für die Organisation zu. Das Security Hub-Administratorkonto kann andere Unternehmenskonten als Mitgliedskonten aktivieren.

Ein Konto kann nicht gleichzeitig Administratorkonto und Mitgliedskonto sein. Ein Konto kann nur ein Administratorkonto haben.

Weitere Informationen finden Sie unter Verwaltung von Administrator- und Mitgliedskonten in Security Hub.

Administratorkonto

Ein Konto in Security Hub, dem Zugriff gewährt wird, um Ergebnisse für verknüpfte Mitgliedskonten einzusehen.

Ein Konto wird auf eine der folgenden Arten zu einem Administratorkonto:

  • Das Konto lädt andere Konten ein, ihm in Security Hub zugeordnet zu werden. Wenn diese Konten die Einladung annehmen, werden sie zu Mitgliedskonten und das einladende Konto wird zu ihrem Administratorkonto.

  • Das Konto wird von einem Organisationsverwaltungskonto als Security Hub-Administratorkonto festgelegt. Das Security Hub-Administratorkonto kann jedes Unternehmenskonto als Mitgliedskonto aktivieren und auch andere Konten zu Mitgliedskonten einladen.

Ein Konto kann nur ein Administratorkonto haben. Ein Konto kann nicht gleichzeitig ein Administratorkonto und ein Mitgliedskonto sein.

Aggregationsregion

Wenn Sie eine Aggregationsregion festlegen, können Sie Sicherheitsergebnisse aus mehreren Bereichen AWS-Regionen in einem einzigen Fenster anzeigen.

Die Aggregationsregion ist die Region, von der aus Sie Ergebnisse anzeigen und verwalten. Die Ergebnisse werden aus verknüpften Regionen zur Aggregationsregion aggregiert. Aktualisierungen der Ergebnisse werden in allen Regionen repliziert.

In der Aggregationsregion enthalten die Seiten Sicherheitsstandards, Einblicke und Ergebnisse Daten aus allen verknüpften Regionen.

Siehe Grundlegendes zur regionsübergreifenden Aggregation in Security Hub.

Archiviertes Ergebnis

Ein Fund, bei dem RecordState auf ARCHIVED festgelegt ist. Die Archivierung eines Ergebnisses weist darauf hin, dass der Ergebnisanbieter der Ansicht ist, dass das Ergebnis nicht mehr relevant ist. Der Datensatzstatus ist unabhängig vom Workflow-Status, der den Status einer Untersuchung eines Ergebnisses verfolgt.

Finding-Provider können den BatchImportFindingsBetrieb der Security Hub Hub-API nutzen, um von ihnen erstellte Ergebnisse zu archivieren. Security Hub archiviert automatisch Ergebnisse für Kontrollen, wenn die Steuerung deaktiviert oder die zugehörige Ressource gelöscht wird, basierend auf einem der folgenden Kriterien.

  • Das Ergebnis wird nicht innerhalb von drei bis fünf Tagen aktualisiert (beachten Sie, dass dies nach bestem Wissen erfolgt und nicht garantiert wird).

  • Die zugehörige AWS Config Bewertung wird zurückgegebenNOT_APPLICABLE.

Standardmäßig werden archivierte Ergebnisse aus den Ergebnislisten in der Security Hub Hub-Konsole ausgeschlossen. Sie können den Filter so aktualisieren, dass archivierte Ergebnisse einbezogen werden.

Der GetFindingsBetrieb der Security Hub Hub-API gibt sowohl aktive als auch archivierte Ergebnisse zurück. Sie können einen Filter für den Datensatzstatus einschließen.

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],
AWS Format für Sicherheitsbefunde (ASFF)

Ein standardisiertes Format für den Inhalt von Ergebnissen, die Security Hub aggregiert oder generiert. Mit dem AWS Security Finding Format können Sie Security Hub verwenden, um Ergebnisse anzuzeigen und zu analysieren, die von AWS Sicherheitsdiensten, Drittanbieterlösungen oder Security Hub selbst bei der Durchführung von Sicherheitsüberprüfungen generiert wurden. Weitere Informationen finden Sie unter AWS Format für Sicherheitssuche (ASFF).

Kontrolle

Eine Schutz- oder Gegenmaßnahme, die für ein Informationssystem oder eine Organisation vorgeschrieben ist, um die Vertraulichkeit, Integrität und Verfügbarkeit seiner Informationen zu schützen und eine Reihe definierter Sicherheitsanforderungen zu erfüllen. Ein Sicherheitsstandard ist mit einer Sammlung von Kontrollen verknüpft.

Der Begriff Sicherheitskontrolle bezieht sich auf Kontrollen, die standardübergreifend über eine einzige Kontroll-ID und einen einzigen Titel verfügen. Der Begriff Standardkontrolle bezieht sich auf Steuerelemente mit standardspezifischen Steuerelementen IDs und Titeln. Derzeit unterstützt Security Hub nur Standardsteuerungen in den Regionen AWS GovCloud (US) Region und China. Sicherheitskontrollen werden in allen anderen Regionen unterstützt.

Benutzerdefinierte Aktion

Ein Security Hub Hub-Mechanismus zum Senden ausgewählter Ergebnisse an EventBridge. Eine benutzerdefinierte Aktion wird in Security Hub erstellt. Sie wird dann mit einer EventBridge Regel verknüpft. Die Regel definiert eine bestimmte Aktion, die ausgeführt werden soll, wenn Funde empfangen werden, die der benutzerdefinierten Aktions-ID zugeordnet sind. Benutzerdefinierte Aktionen können beispielsweise verwendet werden, um einen bestimmten Fund oder einen kleinen Satz von Funden an einen Antwort- oder Korrektur-Workflow zu senden. Weitere Informationen finden Sie unter Eine benutzerdefinierte Aktion erstellen.

Delegiertes Administratorkonto (Organizations)

In Organizations kann das delegierte Administratorkonto für einen Dienst die Nutzung eines Dienstes für die Organisation verwalten.

In Security Hub ist das Security Hub-Administratorkonto auch das delegierte Administratorkonto für Security Hub. Wenn das Organisationsverwaltungskonto zum ersten Mal ein Security Hub-Administratorkonto festlegt, ruft Security Hub Organizations auf, dieses Konto zum delegierten Administratorkonto zu machen.

Das Organisationsverwaltungskonto muss dann das delegierte Administratorkonto als Security Hub-Administratorkonto in allen Regionen auswählen.

Erkenntnis

Der beobachtbare Datensatz einer Sicherheitsprüfung oder sicherheitsrelevanten Erkennung. Security Hub generiert einen Befund, nachdem eine Sicherheitsüberprüfung einer Kontrolle abgeschlossen wurde. Diese Ergebnisse werden als Kontrollbefunde bezeichnet. Die Ergebnisse können auch aus Produktintegrationen von Drittanbietern stammen.

Weitere Informationen zu den Ergebnissen in Security Hub finden Sie unterErgebnisse in Security Hub erstellen und aktualisieren.

Anmerkung

Erkenntnisse werden 90 Tage nach der letzten Aktualisierung gelöscht – oder 90 Tage nach ihrer Erstellung, wenn es keine Aktualisierungen gibt. Um Ergebnisse länger als 90 Tage zu speichern, können Sie eine Regel konfigurieren, EventBridge die Ergebnisse an Ihren Amazon S3-Bucket weiterleitet.

Regionsübergreifende Aggregation

Die Zusammenfassung von Ergebnissen, Erkenntnissen, Compliance-Status und Sicherheitsbewertungen aus verknüpften Regionen zu einer Aggregationsregion. Anschließend können Sie alle Ihre Daten aus der Aggregationsregion anzeigen und die Ergebnisse und Erkenntnisse aus der Aggregationsregion aktualisieren.

Siehe Grundlegendes zur regionsübergreifenden Aggregation in Security Hub.

Erfassung ermitteln

Der Import von Ergebnissen aus anderen AWS Diensten und von Drittanbietern in Security Hub.

Zu den festgestellten Ingestion-Ereignissen gehören sowohl neue Erkenntnisse als auch Aktualisierungen vorhandener Ergebnisse.

Insight

Eine Sammlung zusammenhängender Funde, die durch eine Aggregationsanweisung und optionale Filter definiert wird. Ein Insight identifiziert einen Sicherheitsbereich, der Aufmerksamkeit und Intervention erfordert. Security Hub bietet mehrere verwaltete (Standard-) Einblicke, die Sie nicht ändern können. Sie können auch benutzerdefinierte Security Hub Hub-Einblicke erstellen, um Sicherheitsprobleme zu verfolgen, die für Ihre AWS Umgebung und Nutzung spezifisch sind. Weitere Informationen finden Sie unter Einblicke in Security Hub anzeigen.

Verknüpfte Region

Wenn Sie die regionsübergreifende Aggregation aktivieren, ist eine verknüpfte Region eine Region, die Ergebnisse, Erkenntnisse, den Status der Kontrollkonformität und Sicherheitsbewertungen in der Aggregationsregion zusammenfasst.

In einer verknüpften Region enthalten die Seiten „Ergebnisse“ und „Einblicke“ nur Ergebnisse aus dieser Region.

Siehe Grundlegendes zur regionsübergreifenden Aggregation in Security Hub.

Mitgliedskonto

Ein Konto, das einem Administratorkonto die Erlaubnis erteilt hat, die Ergebnisse einzusehen und entsprechende Maßnahmen zu ergreifen.

Ein Konto wird auf eine der folgenden Arten zu einem Mitgliedskonto:

  • Das Konto akzeptiert eine Einladung von einem anderen Konto.

  • Für ein Organisationskonto aktiviert das Security Hub-Administratorkonto das Konto als Mitgliedskonto.

Zugehörige Anforderungen

Eine Reihe von Branchen- oder regulatorischen Anforderungen, die einem Steuerelement zugeordnet sind.

Regel

Eine Reihe von automatisierten Kriterien, die verwendet werden, um zu beurteilen, ob ein Steuerelement eingehalten wird. Wenn eine Regel ausgewertet wird, kann sie erfolgreich sein oder fehlschlagen. Wenn die Auswertung nicht feststellen kann, ob die Regel erfolgreich ist oder fehlschlägt, befindet sich die Regel in einem Warnzustand. Wenn die Regel nicht ausgewertet werden kann, befindet sie sich in einem nicht verfügbaren Zustand.

Sicherheitsüberprüfung

Eine spezifische point-in-time Auswertung einer Regel anhand einer einzelnen Ressource, die zu einemPASSED, FAILEDWARNING, oder NOT_AVAILABLE -Status führt. Das Ausführen einer Sicherheitsprüfung führt zu einem Ergebnis.

Security Hub-Administratorkonto

Ein Organisationskonto, das die Security Hub Hub-Mitgliedschaft für eine Organisation verwaltet.

Das Organisationsverwaltungskonto bestimmt das Security Hub-Administratorkonto in jeder Region. Das Organisationsverwaltungskonto muss in allen Regionen dasselbe Security Hub-Administratorkonto wählen.

Das Security Hub-Administratorkonto ist auch das delegierte Administratorkonto für Security Hub in Organizations.

Das Security Hub-Administratorkonto kann jedes Unternehmenskonto als Mitgliedskonto aktivieren. Das Security Hub-Administratorkonto kann auch andere Konten als Mitgliedskonten einladen.

Sicherheitsstandard

Eine veröffentlichte Erklärung zu einem Thema, in der die Eigenschaften (in der Regel messbar und in Form von Kontrollen) definiert sind, die gegeben sein oder erreicht werden müssen, um Compliance sicherzustellen. Sicherheitsstandards können auf regulatorischen Rahmenbedingungen, bewährten Methoden oder internen Unternehmensrichtlinien basieren. Ein Steuerelement kann mit einem oder mehreren unterstützten Standards in Security Hub verknüpft sein. Weitere Informationen zu den Sicherheitsstandards in Security Hub finden Sie unterSicherheitsstandards in Security Hub verstehen.

Schweregrad

Der Schweregrad, der einem Security Hub-Steuerelement zugewiesen wurde, zeigt die Wichtigkeit der Kontrolle an. Der Schweregrad einer Kontrolle kann „Kritisch“, „Hoch“, „Mittel“, „Niedrig“ oder „Informativ“ sein. Der den Kontrollbefunden zugewiesene Schweregrad entspricht dem Schweregrad der Kontrolle selbst. Informationen darüber, wie Security Hub einer Kontrolle den Schweregrad zuweist, finden Sie unterSchweregrad der Kontrollergebnisse.

Workflow-Status

Der Status einer Untersuchung zu einem Befund. Nachverfolgt mit dem Attribut Workflow.Status.

Der Workflow-Status ist zunächst NEW. Wenn Sie den Ressourcenbesitzer benachrichtigt haben, Maßnahmen für das Ergebnis zu ergreifen, können Sie den Workflow-Status auf NOTIFIED festlegen. Wenn die Suche kein Problem darstellt und keine Aktion erfordert, legen Sie den Workflow-Status auf SUPPRESSED fest. Nachdem Sie eine Suche überprüft und korrigiert haben, legen Sie den Workflow-Status auf RESOLVED fest.

Standardmäßig enthalten die meisten Suchlisten nur Ergebnisse mit dem Workflow-Status NEW oder NOTIFIED. Die Suche nach Listen für Steuerelemente umfasst auch RESOLVED-Ergebnisse.

Für die Operation GetFindings können Sie einen Filter für den Workflow-Status einschließen.

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

Die Security Hub Hub-Konsole bietet eine Option, um den Workflow-Status für Ergebnisse festzulegen. Kunden (oder SIEM-, Ticketing-, Vorfallmanagement- oder SOAR-Tools, die im Auftrag eines Kunden Ergebnisse von Ergebnisanbietern aktualisieren) können mithilfe von BatchUpdateFindings auch den Workflow-Status aktualisieren.