Integre el analizador de acceso con AWS Security Hub
AWS Security Hub le proporciona una visión completa de su estado de seguridad en AWS y lo ayuda a comprobar su entorno con las prácticas recomendadas y los estándares del sector de seguridad. Security Hub recopila datos de seguridad de todas las cuentas de AWS, de los servicios y de los productos de terceros compatibles y le ayuda a analizar sus tendencias de seguridad y a identificar los problemas de seguridad de mayor prioridad.
La integración de AWS Identity and Access Management Access Analyzer con Security Hub permite enviar los resultados del Analizador de acceso de IAM a Security Hub. Security Hub puede incluir esos resultados en su análisis de la posición de seguridad.
Contenido
Cómo el Analizador de acceso de IAM envía los resultados a Security Hub
En Security Hub, los problemas de seguridad se rastrean como resultados. Algunos resultados provienen de problemas detectados por otros servicios de AWS o por socios terceros. Security Hub también cuenta con un conjunto de reglas que utiliza para detectar problemas de seguridad y generar resultados.
Security Hub proporciona herramientas para administrar los resultados de todas estas fuentes. Puede ver y filtrar listas de resultados y ver los detalles de una búsqueda. Consulte Visualización de resultados en la Guía del usuario de AWS Security Hub. También puede realizar un seguimiento del estado de una investigación de un resultado. Consulte Adopción de medidas sobre los resultados en la Guía del usuario de AWS Security Hub.
Todos los resultados en Security Hub usan un formato JSON estándar denominado AWS Security Finding Format (ASFF). El ASFF incluye detalles sobre el origen del problema, los recursos afectados y el estado actual del resultado. Consulte Formato de resultado de seguridad de AWS (ASFF) en la Guía del usuario de AWS Security Hub.
AWS Identity and Access Management Access Analyzer es uno de los AWS servicios que envía los resultados a Security Hub. Para el acceso externo, el Analizador de acceso de IAM genera un resultado cuando detecta una declaración de la política que permite que una entidad principal externa pueda acceder a un recurso admitido en su organización o cuenta. El Analizador de acceso de IAM agrupa todos sus resultados para un recurso y envía un único resultado a Security Hub. Para el acceso no utilizado, el Analizador de acceso de IAM genera un resultado cuando detecta el acceso no utilizado concedido a los usuarios de IAM o sus roles. A continuación, el Analizador de acceso de IAM envía los resultados a Security Hub
Tipos de resultados que envía el Analizador de acceso de IAM
El Analizador de acceso de IAM envía los resultados a Security Hub mediante AWS Formato de resultados de seguridad (ASFF). En ASFF, el campo Types proporciona el tipo de resultado. Los resultados del Analizador de acceso de IAM pueden tener los siguientes valores para Types.
-
Resultados de acceso externo: Efectos/Exposición de datos/Acceso Externo Concedido
-
Resultados del acceso externo - Comprobaciones de software y configuración/AWS Prácticas recomendadas de seguridad/Acceso externo concedido
-
Resultados de accesos no utilizados: comprobaciones de software y configuración/Prácticas recomendadas de seguridad de AWS/Permiso no utilizado
-
Resultados de accesos no utilizados - Comprobaciones de software y configuración/AWS Prácticas recomendadas de seguridad/Rol de IAM no utilizado
-
Resultados de accesos no utilizados - Comprobaciones de software y configuración/AWS Prácticas recomendadas de seguridad/Contraseña de usuario de IAM no utilizada
-
Resultados de accesos no utilizados - Comprobaciones de software y configuración/AWS Prácticas recomendadas de seguridad/Clave de acceso de usuario de IAM no utilizada
Latencia para el envío de resultados
Cuando el Analizador de acceso de IAM crea un nuevo resultado, generalmente se envía a Security Hub dentro de 30 minutos. En raras ocasiones, y bajo determinadas condiciones, no se notifica al Analizador de acceso de IAM que se ha agregado o actualizado una política. Por ejemplo, un cambio en Amazon S3 la configuración de acceso público de bloqueo a nivel de cuenta puede tardar hasta 12 horas. Además, si hay un problema de entrega con AWS CloudTrail la entrega de registros, el cambio de política no activa un nuevo análisis del recurso que se comunicó en el resultado. Cuando esto sucede, el Analizador de acceso de IAM analiza la política nueva o actualizada durante el siguiente análisis periódico.
Reintento cuando Security Hub no está disponible
Si Security Hub no está disponible, el Analizador de acceso de IAM vuelve a intentar enviar los resultados periódicamente.
Actualización de los resultados existentes en Security Hub
Después de enviar un resultado a Security Hub, AWS Identity and Access Management Access Analyzer envía actualizaciones para reflejar observaciones adicionales de la actividad del resultado a Security Hub. Las actualizaciones se reflejan en el mismo resultado.
Como el Analizador de acceso de IAM agrupa los resultados de acceso externo por recurso, el resultado de un recurso en Security Hub está activo si al menos uno de los resultados del recurso del Analizador de acceso de IAM está activo. Si todos los resultados en el Analizador de acceso de IAM para un recurso se archivan o resuelven, el resultado de Security Hub se archivará. El resultado de Security Hub se actualiza cuando cambia el acceso a la política entre el acceso público y entre cuentas múltiples. Esta actualización puede incluir cambios en el tipo, título, descripción y gravedad del resultado.
El Analizador de acceso de IAM no agrupa los resultados de acceso no utilizadas por recurso, por lo que si un resultado de acceso no utilizada se resuelve en el Analizador de acceso de IAM, se resuelve el resultado de Security Hub. El resultado de Security Hub se actualiza cuando actualiza el usuario o rol de IAM que generó el resultado de acceso no utilizado.
Visualización de los resultados del Analizador de acceso de IAM en Security Hub
Para ver sus resultados del Analizador de acceso de IAM en Security Hub, elija Ver resultados en la sección AWS: Analizador de acceso de IAM de la página de resumen. También puede seleccionar Resultados en el panel de navegación. A continuación, puede filtrar las conclusiones para mostrar solo los resultados de AWS Identity and Access Management Access Analyzer seleccionando el campo Nombre del producto: con un valor de IAM Access Analyzer.
Interpretación de los nombres de los resultados del Analizador de acceso de IAM en Security Hub
AWS Identity and Access Management Access Analyzer envía los resultados a Security Hub mediante el AWS Formato de resultados de seguridad (ASFF). En ASFF, el campo Tipos proporciona el tipo de resultado. Los tipos ASFF utilizan un esquema de nomenclatura diferente al de AWS Identity and Access Management Access Analyzer. En la tabla siguiente, se incluyen detalles sobre todos los tipos de ASFF asociados a los resultados de AWS Identity and Access Management Access Analyzer tal como aparecen en Security Hub.
| Tipo de resultado de ASFF | Resultado de Security Hub | Descripción |
|---|---|---|
| Efectos/Exposición de datos/Acceso Externo Concedido | <resource ARN>permite el acceso público | Una política basada en recursos adjunta al recurso permite el acceso público del recurso a todos los principales externos. |
| Comprobaciones de software y configuración/AWS Mejores prácticas de seguridad/Acceso externo concedido | <resource ARN>permite el acceso entre cuentas | Una política basada en recursos adjunta al recurso permite el acceso entre cuentas a principales externos fuera de la zona de confianza para el analizador. |
| Comprobaciones de software y configuración/Prácticas recomendadas de seguridad de AWS/Permisos no utilizados | <resource ARN> contiene permisos no utilizados | Un usuario o rol contiene permisos de servicio y acción no utilizados. |
| Comprobaciones de software y configuración/AWS Prácticas recomendadas de seguridad/Rol de IAM no utilizado | <resource ARN> contiene un rol de IAM no utilizado | Un usuario o rol contiene un rol de IAM no utilizado. |
| Comprobaciones de software y configuración/AWS Prácticas recomendadas de seguridad/Contraseña de usuario de IAM no utilizada | <resource ARN> contiene una contraseña de usuario de IAM no utilizada | Un usuario o rol contiene una contraseña de usuario de IAM no utilizada. |
| Comprobaciones de software y configuración/AWS Prácticas recomendadas de seguridad/Clave de acceso de usuario de IAM no utilizado | <resource ARN> contiene una clave de acceso de usuario de IAM no utilizada | Un usuario o rol contiene una clave de acceso de usuario de IAM no utilizada. |
Resultados típicos del Analizador de acceso de IAM
El Analizador de acceso de IAM envía los resultados a Security Hub mediante el Formato de resultados de seguridad AWS (ASFF).
Aquí hay un ejemplo de un resultado típico del Analizador de acceso de IAM para resultados de acceso externo.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::my-bucket", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer", "GeneratorId": "aws/access-analyzer", "AwsAccountId": "111122223333", "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"], "CreatedAt": "2020-11-10T16:17:47Z", "UpdatedAt": "2020-11-10T16:43:49Z", "Severity": { "Product": 1, "Label": "LOW", "Normalized": 1 }, "Title": "AwsS3Bucket/arn:aws:s3:::my-bucket/ allows cross-account access", "Description": "AWS::S3::Bucket/arn:aws:s3:::my-bucket/ allows cross-account access from AWS 444455556666", "Remediation": { "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."} }, "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798", "Resources": [ { "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::my-bucket", "Details": { "Other": { "External Principal Type": "AWS", "Condition": "none", "Action Granted": "s3:GetObject,s3:GetObjectVersion", "External Principal": "444455556666" } } } ], "WorkflowState": "NEW", "Workflow": {"Status": "NEW"}, "RecordState": "ACTIVE" }
Aquí hay un ejemplo de un resultado típico del Analizador de acceso de IAM para resultados de acceso externo.
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer", "ProductName": "IAM Access Analyzer", "CompanyName": "AWS", "Region": "us-west-2", "GeneratorId": "aws/access-analyzer", "AwsAccountId": "111122223333", "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Unused Permission" ], "CreatedAt": "2023-09-18T16:29:09.657Z", "UpdatedAt": "2023-09-21T20:39:16.651Z", "Severity": { "Product": 1, "Label": "LOW", "Normalized": 1 }, "Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions", "Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions", "Remediation": { "Recommendation": { "Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved." } }, "SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole", "ProductFields": { "numberOfUnusedActions": "256", "numberOfUnusedServices": "15", "resourceOwnerAccount": "111122223333", "findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7", "findingType": "UnusedPermission", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions", "aws/securityhub/ProductName": "AM Access Analyzer", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsIamRole", "Id": "arn:aws:iam::111122223333:role/TestRole" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED", "FindingProviderFields": { "Severity": { "Label": "LOW" }, "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Unused Permission" ] } } ] }
Habilitación y configuración de la integración
Para utilizar la integración con Security Hub, debe activar Security Hub. Para obtener información acerca de cómo habilitar Security Hub, consulte la Configuración de Security Hub en la Guía del usuario de AWS Security Hub.
Cuando activa el Analizador de acceso de IAM y Security Hub, la integración se activa automáticamente. El Analizador de acceso de IAM comienza a enviar inmediatamente los resultados a Security Hub.
Cómo dejar de enviar resultados
Para dejar de enviar resultados a Security Hub, puede utilizar la consola de Security Hub o la API.
Consulte Desactivar y habilitar el flujo de resultados desde una integración (consola) o Desactivar el flujo de resultados desde una integración (Security Hub API, AWS CLI) en la Guía del usuario de AWS Security Hub.
