Integración con AWS Security Hub - AWS IoT Device Defender
Habilitación y configuración de la integraciónCómo AWS IoT Device Defender envía los resultados a Security HubResultado típico de AWS IoT Device Defender Impedir que AWS IoT Device Defender envíe resultados a Security Hub

Integración con AWS Security Hub

AWS Security Hub le proporciona una visión completa de su estado de seguridad en AWS y le ayuda a comprobar su entorno con los estándares y las prácticas recomendadas del sector de la seguridad. Security Hub recopila datos de seguridad de Cuentas de AWS, los servicios y los productos de terceros compatibles. Puede utilizar Security Hub con el fin de analizar sus tendencias de seguridad e identificar los problemas de seguridad más prioritarios.

Con la integración de AWS IoT Device Defender con Security Hub, puede enviar los resultados de AWS IoT Device Defender a Security Hub. Security Hub incluye esos resultados en su análisis de la posición de seguridad.

Habilitación y configuración de la integración

Antes de realizar la integración de AWS IoT Device Defender con Security Hub, debe activar Security Hub. Para obtener información acerca de cómo habilitar Security Hub, consulte la Configuración de Security Hub en la Guía del usuario de AWS Security Hub.

Tras activar tanto AWS IoT Device Defender como Security Hub, abra la página Integraciones en la consola de Security Hub y, a continuación, seleccione Aceptar resultados para Audit, Detect o ambas opciones. AWS IoT Device Defender comienza a enviar los resultados a Security Hub.

Cómo AWS IoT Device Defender envía los resultados a Security Hub

En Security Hub, los problemas de seguridad se rastrean como resultados. Algunos resultados provienen de problemas detectados por otros servicios de AWS o productos de terceros.

Security Hub proporciona herramientas para administrar los resultados de todas estas fuentes. Puede ver y filtrar listas de resultados y ver los detalles de una búsqueda. Para obtener más información, consulte Visualización de resultados en la Guía del usuario de AWS Security Hub. También puede realizar un seguimiento del estado de una investigación de un resultado. Para obtener más información, consulte Adopción de medidas en función de los resultados en la Guía del usuario de AWS Security Hub.

Todos los resultados en Security Hub usan un formato JSON estándar denominado AWS Security Finding Format (ASFF). El ASFF incluye detalles sobre el origen del problema, los recursos afectados y el estado actual del resultado. Para obtener más información acerca de ASFF, consulte AWS Security Finding Format (ASFF) en la Guía del usuario de AWS Security Hub.

AWS IoT Device Defender es uno de los servicios de AWS que envía los resultados a Security Hub.

Tipos de resultados que envía AWS IoT Device Defender

Tras habilitar la integración del Security Hub, AWS IoT Device Defender Audit envía las conclusiones que genera (denominadas resúmenes de comprobación) a Security Hub. Los resúmenes de comprobación son información general para un tipo de comprobación de auditoría y una tarea de auditoría específicas. Para obtener más información, consulte Comprobaciones de auditoría.

AWS IoT Device Defender Audit envía las actualizaciones de búsqueda a Security Hub tanto para los resúmenes de comprobación de auditoría como para las conclusiones de las auditorías de cada tarea de auditoría. Si todos los recursos que se encuentran en las comprobaciones de auditoría son conformes o se cancela una tarea de auditoría, Audit actualiza los resúmenes de comprobación de Security Hub a un estado de registro ARCHIVED. Si un recurso se notificó como no conforme en una comprobación de auditoría, pero se notificó que era conforme en la última tarea de auditoría, Audit lo cambia a conforme y también actualiza el resultado en Security Hub a un estado de registro ARCHIVED.

AWS IoT Device Defender Detect envía los resultados de infracciones a Security Hub. Estos resultados de infracciones incluyen el machine learning (ML) y los comportamientos estadísticos y estáticos.

Para enviar los resultados a Security Hub, AWS IoT Device Defender utiliza AWS Security Finding Format (ASFF). En ASFF, el campo Types proporciona el tipo de resultado. Los resultados de AWS IoT Device Defender pueden tener los siguientes valores para Types.

Comportamientos inusuales

El tipo de resultado para los ID de cliente de MQTT y las comprobaciones compartidas de certificados de dispositivo contradictorios, y el tipo de resultado para Detect.

Comprobaciones de software y configuración/Vulnerabilidades

El tipo de resultado para todas las demás comprobaciones de auditoría.

Latencia para el envío de resultados

Cuando AWS IoT Device Defender Audit crea un nuevo resultado, se envía inmediatamente a Security Hub una vez finalizada la tarea de auditoría. La latencia depende del volumen de los resultados generados en la tarea de auditoría. Por lo general, Security Hub recibe los resultados en una hora.

AWS IoT Device Defender Detect envía los resultados de infracciones casi en tiempo real. Cuando una infracción entra o sale de alarma (lo que significa que la alarma se crea o se elimina), el resultado correspondiente de Security Hub se crea o archiva inmediatamente.

Reintento cuando Security Hub no está disponible

Si Security Hub no está disponible, Audit AWS IoT Device Defender y Detect AWS IoT Device Defender vuelven a intentar enviar los resultados hasta que los reciben.

Actualización de los resultados existentes en Security Hub

Después de enviar un resultado de AWS IoT Device Defender Audit a Security Hub, puede identificarlo comprobando el identificador del recurso y el tipo de comprobación de auditoría. Si se genera un nuevo resultado de auditoría con una tarea de auditoría posterior para el mismo recurso y verificación de AWS IoT Device Defender Audit, Audit envía actualizaciones para reflejar observaciones adicionales de la actividad de resultados a Security Hub. Si no se genera ningún resultado de auditoría adicional con una tarea de auditoría posterior para el mismo recurso y la misma comprobación de auditoría, el recurso cambia para cumplir la comprobación de auditoría. AWS IoT Device Defender A continuación, Audit archiva los resultados en Security Hub.

AWS IoT Device Defender Audit también actualiza los resúmenes de comprobación en Security Hub. Si se encuentran recursos no conformes en una comprobación de auditoría o la comprobación falla, el estado del resultado de Security Hub pasa a estar activo. En caso contrario, AWS IoT Device Defender Audit archiva el resultado en Security Hub.

AWS IoT Device Defender Detect crea un resultado de Security Hub cuando se produce una infracción (por ejemplo, en caso de alarma). Ese resultado se actualiza solo si se cumple uno de los siguientes criterios:

  • El resultado caducará pronto en Security Hub, por lo que AWS IoT Device Defender envía una actualización para mantenerlo actualizado. Los resultados se eliminan al cabo 90 días de la última actualización o 90 días después de que se crearan si no hay actualizaciones. Para obtener más información, consulte Cuotas de Security Hub en la Guía del usuario de AWS Security Hub.

  • La infracción correspondiente sale de alarma, por lo que AWS IoT Device Defender actualiza el estado de su resultado a ARCHIVED.

Resultado típico de AWS IoT Device Defender

AWS IoT Device Defender utiliza AWS Security Finding Format (ASFF) para enviar los resultados a Security Hub.

El siguiente ejemplo muestra un resultado típico de Security Hub para un resultado de auditoría. El ReportType en ProductFields es AuditFinding.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-west-2",
  "GeneratorId": "1928b87ab338ee2f541f6fab8c41c4f5",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities"
  ],
  "CreatedAt": "2022-11-06T22:11:40.941Z",
  "UpdatedAt": "2022-11-06T22:11:40.941Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK: ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "Description": "IOT_POLICY policyexample:1 is reported as non-compliant for IOT_POLICY_OVERLY_PERMISSIVE_CHECK by Audit task 9f71b6e90cfb57d4ac671be3a4898e6a. The non-compliant reason is Policy allows broad access to IoT data plane actions: [iot:Connect].",
  "SourceUrl": "https://us-west-2.console.aws.amazon.com/iot/home?region=us-west-2#/policy/policyexample",
  "ProductFields": {
    "CheckName": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK",
    "TaskId": "9f71b6e90cfb57d4ac671be3a4898e6a",
    "TaskType": "ON_DEMAND_AUDIT_TASK",
    "PolicyName": "policyexample",
    "IsSuppressed": "false",
    "ReasonForNonComplianceCode": "ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "ResourceType": "IOT_POLICY",
    "FindingId": "1928b87ab338ee2f541f6fab8c41c4f5",
    "PolicyVersionId": "1",
    "ReportType": "AuditFinding",
    "TaskStartTime": "1667772700554",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit/336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotPolicy",
      "Id": "policyexample",
      "Partition": "aws",
      "Region": "us-west-2",
      "Details": {
        "Other": {
          "PolicyVersionId": "1"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities"
    ]
  }
}

El siguiente ejemplo muestra un resultado de Security Hub para un resumen de comprobación de auditoría. El ReportType en ProductFields es CheckSummary.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "615243839755/SCHEDULED_AUDIT_TASK/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "f3021945485adf92487c273558fcaa51",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities/CVE"
  ],
  "CreatedAt": "2022-10-18T14:20:13.933Z",
  "UpdatedAt": "2022-10-18T14:20:13.933Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK Summary: Completed with 2 non-compliant resources",
  "Description": "Task f3021945485adf92487c273558fcaa51 of weekly scheduled Audit daily_audit_schedule_checks completes. 2 non-cimpliant resources are found for DEVICE_CERTIFICATE_KEY_QUALITY_CHECK out of 1000 resources in the account. The percentage of non-compliant resources is 0.2%.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/audit/results/f3021945485adf92487c273558fcaa51/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductFields": {
    "TaskId": "f3021945485adf92487c273558fcaa51",
    "TaskType": "SCHEDULED_AUDIT_TASK",
    "ScheduledAuditName": "daily_audit_schedule_checks",
    "CheckName": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "ReportType": "CheckSummary",
    "CheckRunStatus": "COMPLETED_NON_COMPLIANT",
    "NonComopliantResourcesCount": "2",
    "SuppressedNonCompliantResourcesCount": "1",
    "TotalResourcesCount": "1000",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit/615243839755/SCHEDULED/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotAuditTask",
      "Id": "f3021945485adf92487c273558fcaa51",
      "Region": "us-east-1"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities/CVE"
    ]
  }
}

El siguiente ejemplo muestra un resultado típico de Security Hub para una infracción de AWS IoT Device Defender Detect.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "e92a782593c6f5b1fc7cb6a443dc1a12",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect",
  "ProductName": "IoT Device Defender - Detect",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "arn:aws:iot:us-east-1:123456789012:securityprofile/MySecurityProfile",
  "AwsAccountId": "123456789012",
  "Types": [
    "Unusual Behaviors"
  ],
  "CreatedAt": "2022-11-09T22:45:00Z",
  "UpdatedAt": "2022-11-09T22:45:00Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40
  },
  "Title": "Registered thing MyThing is in alarm for STATIC behavior MyBehavior.",
  "Description": "Registered thing MyThing violates STATIC behavior MyBehavior of security profile MySecurityProfile. Violation was triggered because the device did not conform to aws:num-disconnects less-than 1.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/securityProfile/MySecurityProfile?tab=violations",
  "ProductFields": {
    "ComparisonOperator": "less-than",
    "BehaviorName": "MyBehavior",
    "ViolationId": "e92a782593c6f5b1fc7cb6a443dc1a12",
    "ViolationStartTime": "1668033900000",
    "SuppressAlerts": "false",
    "ConsecutiveDatapointsToAlarm": "1",
    "ConsecutiveDatapointsToClear": "1",
    "DurationSeconds": "300",
    "Count": "1",
    "MetricName": "aws:num-disconnects",
    "BehaviorCriteriaType": "STATIC",
    "ThingName": "MyThing",
    "SecurityProfileName": "MySecurityProfile",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect/e92a782593c6f5b1fc7cb6a443dc1a12",
    "aws/securityhub/ProductName": "IoT Device Defender - Detect",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotRegisteredThing",
      "Id": "MyThing",
      "Region": "us-east-1",
      "Details": {
        "Other": {
          "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/thing/MyThing?tab=violations",
          "IsRegisteredThing": "true",
          "ThingArn": "arn:aws:iot:us-east-1:123456789012:thing/MyThing"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM"
    },
    "Types": [
      "Unusual Behaviors"
    ]
  }
}

Impedir que AWS IoT Device Defender envíe resultados a Security Hub

Para dejar de enviar resultados a Security Hub, puede utilizar la consola de Security Hub o la API.

Para obtener más información, consulte Desactivar y habilitar el flujo de resultados desde una integración (consola) o Desactivar el flujo de resultados desde una integración (Security Hub API, AWS CLI) en la Guía del usuario de AWS Security Hub.