Intégration à AWS Security Hub - AWS IoT Device Defender
Activation et configuration de l'intégrationComment AWS IoT Device Defender envoie des résultats à Security HubRésultats types de AWS IoT Device Defender Empêcher AWS IoT Device Defender d'envoyer les résultats à Security Hub

Intégration à AWS Security Hub

AWS Security Hub fournit une vue complète de votre état de sécurité dans AWS et vous permet de vérifier votre environnement par rapport aux normes et aux bonnes pratiques du secteur de la sécurité. Security Hub collecte des données de sécurité entre les Comptes AWS, les services et les produits de partenaires tiers pris en charge. Vous pouvez utiliser Security Hub pour analyser vos tendances en matière de sécurité et identifier les problèmes de sécurité les plus prioritaires.

Grâce à l'intégration AWS IoT Device Defender à Security Hub, vous pouvez envoyer des résultats de AWS IoT Device Defender vers Security Hub. Security Hub inclut ces résultats dans son analyse de votre posture de sécurité.

Activation et configuration de l'intégration

Avant d'intégrer AWS IoT Device Defender à Security Hub, vous devez d'abord activer Security Hub. Pour plus d'informations sur la façon d'activer Security Hub, veuillez consulter Configuration de Security Hub dans le Guide de l'utilisateur AWS Security Hub.

Après avoir activé à la fois AWS IoT Device Defender et Security Hub, ouvrez la page Intégrations dans la console Security Hub, puis choisissez Accepter les résultats pour Audit, Detect ou les deux. AWS IoT Device Defender commence à envoyer les résultats à Security Hub.

Comment AWS IoT Device Defender envoie des résultats à Security Hub

Dans Security Hub, les problèmes de sécurité sont suivis en tant que findings. (résultats) Certains résultats proviennent de problèmes qui sont détectés par d'autres services AWS ou par des produits tiers.

Security Hub fournit des outils permettant de gérer les résultats provenant de toutes ces sources. Vous pouvez afficher et filtrer les listes de résultats et afficher les informations sur un résultat. Pour de plus amples informations, consultez la section Viewing findings (Affichage des résultats) dans le Guide de l'utilisateur AWS Security Hub. Vous pouvez également suivre le statut d'une analyse dans un résultat. Pour de plus amples informations, veuillez consulter Prendre des mesure en fonction des résultats dans le Guide de l'utilisateur AWS Security Hub.

Tous les résultats dans Security Hub utilisent un format JSON standard appelé AWS Security Finding Format (ASFF). Le format ASFF comprend des informations sur la source du problème, les ressources affectées et le statut actuel du résultat. Pour de plus amples informations sur ASFF, veuillez consulter AWS Security Finding Format (ASFF) dans le Guide de l'utilisateur AWS Security Hub.

AWS IoT Device Defender représente un des services AWS qui envoie les résultats à Security Hub.

Types de résultats que AWS IoT Device Defender envoie

Une fois que vous avez activé l'intégration de Security Hub, AWS IoT Device Defender Audit envoie les résultats qu'il génère (appelés résumés des vérifications) à Security Hub. Les résumés des vérifications sont des informations générales relatives à un type de contrôle d'audit spécifique et à une tâche d'audit spécifique. Pour plus d'informations, consultez Audit checks. (Contrôles d'audit)

AWS IoT Device Defender Audit envoie des mises à jour des résultats à Security Hub pour les résumés des contrôles d'audit et les résultats d'audit pour chaque tâche d'audit. Si toutes les ressources trouvées dans les vérifications d'audit sont conformes ou si une tâche d'audit est annulée, Audit met à jour les résumés des vérifications dans Security Hub à l'état d'enregistrement ARCHIVED. Si une ressource a été signalée comme non conforme lors d'un contrôle d'audit, mais qu'elle l'a été lors de la dernière tâche d'audit, Audit la rend conforme et met également à jour le résultat dans Security Hub à l'état d'enregistrement ARCHIVED.

AWS IoT Device Defender Detect envoie les résultats des violations à Security Hub. Ces violations constatées incluent la machine learning (ML), les statistiques et les comportements statiques.

Pour envoyer les résultats à Security Hub, AWS IoT Device Defender utilise le AWS Security Finding Format (ASFF). (format de recherche de sécurité (ASFF) Dans le format ASFF, le champ Types fournit le type de résultat. Les résultats de AWS IoT Device Defender peuvent avoir les valeurs suivantes pour Types.

Comportements inhabituels

Le type de résultat pour les ID client MQTT en conflit et les vérifications partagées des certificats de périphérique, ainsi que le type de résultat pour Detect.

Vérification/vulnérabilités du logiciel et de la configuration

Le type de résultat pour tous les autres contrôles d’audit.

Latence pour l'envoi des résultats

Quand AWS IoT Device Defender Audit crée un résultat, ce dernier est immédiatement envoyé à Security Hub une fois la tâche d'audit terminée. La latence dépend du volume des résultats générés dans le cadre de la tâche d'audit. Security Hub reçoit généralement les résultats dans un délai d'une heure.

AWS IoT Device Defender Detect envoie les résultats des violations presque en temps réel. Une fois qu'une violation est activée ou désactivée (c'est-à-dire que l'alarme est créée ou supprimée), le résultat correspondant du Security Hub est immédiatement créé ou archivé.

Réessayer lorsque Security Hub n'est pas disponible

Si Security Hub n'est pas disponible, AWS IoT Device Defender Audit et AWS IoT Device Defender Detect essaient de renvoyer les résultats jusqu'à ce qu'ils soient reçus.

Mise à jour des résultats existants dans Security Hub

Une fois le résultat d'un AWS IoT Device Defender Audit envoyé à Security Hub, vous pouvez l'identifier à l'aide de l'identifiant de ressource vérifié et du type de contrôle d'audit. Si un résultat d'audit est généré avec une tâche d'audit suivante pour la même ressource et vérification d'audit, AWS IoT Device Defender Audit envoie des mises à jour pour refléter d'autres observations de l'activité de recherche à Security Hub. Si aucun résultat d'audit supplémentaire n'est généré avec une tâche d'audit ultérieure pour la même ressource et le même contrôle d'audit, la ressource devient conforme au contrôle d'audit. AWS IoT Device Defender Audit archive ensuite les résultats dans Security Hub.

AWS IoT Device Defender Audit met également à jour les résumés des vérifications dans Security Hub. Si des ressources non conformes sont détectées lors d'un contrôle d'audit ou si le contrôle échoue, le statut de résultat du Security Hub devient actif. Sinon, AWS IoT Device Defender Audit archive les résultats dans Security Hub.

AWS IoT Device Defender Detect crée une détection du Security Hub en cas de violation (par exemple, en cas d'alarme). Ce résultat n'est mis à jour que si l'un des critères suivants est rempli :

  • Le résultat expire bientôt dans Security Hub. AWS IoT Device Defender envoie donc une mise à jour pour tenir le résultat à jour. Les conclusions sont supprimées 90 jours après la dernière mise à jour ou 90 jours après la date de création si aucune mise à jour n'a lieu. Pour plus d'informations, consultez Security Hub quotas dans le Guide de l'utilisateur AWS Security Hub.

  • La violation correspondante est désactivée et AWS IoT Device Defender met donc son statut de résultat à ARCHIVED.

Résultats types de AWS IoT Device Defender

Pour envoyer les résultats à Security Hub, AWS IoT Device Defender utilise le AWS Security Finding Format (ASFF). (format de recherche de sécurité (ASFF)

L'exemple suivant montre un résultat typique de Security Hub pour un résultat d'audit. Le ReportType dans ProductFields est AuditFinding.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-west-2",
  "GeneratorId": "1928b87ab338ee2f541f6fab8c41c4f5",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities"
  ],
  "CreatedAt": "2022-11-06T22:11:40.941Z",
  "UpdatedAt": "2022-11-06T22:11:40.941Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK: ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "Description": "IOT_POLICY policyexample:1 is reported as non-compliant for IOT_POLICY_OVERLY_PERMISSIVE_CHECK by Audit task 9f71b6e90cfb57d4ac671be3a4898e6a. The non-compliant reason is Policy allows broad access to IoT data plane actions: [iot:Connect].",
  "SourceUrl": "https://us-west-2.console.aws.amazon.com/iot/home?region=us-west-2#/policy/policyexample",
  "ProductFields": {
    "CheckName": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK",
    "TaskId": "9f71b6e90cfb57d4ac671be3a4898e6a",
    "TaskType": "ON_DEMAND_AUDIT_TASK",
    "PolicyName": "policyexample",
    "IsSuppressed": "false",
    "ReasonForNonComplianceCode": "ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "ResourceType": "IOT_POLICY",
    "FindingId": "1928b87ab338ee2f541f6fab8c41c4f5",
    "PolicyVersionId": "1",
    "ReportType": "AuditFinding",
    "TaskStartTime": "1667772700554",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit/336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotPolicy",
      "Id": "policyexample",
      "Partition": "aws",
      "Region": "us-west-2",
      "Details": {
        "Other": {
          "PolicyVersionId": "1"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities"
    ]
  }
}

L'exemple suivant montre un résultat typique de Security Hub pour un résultat d'audit. Le ReportType dans ProductFields est CheckSummary.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "615243839755/SCHEDULED_AUDIT_TASK/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "f3021945485adf92487c273558fcaa51",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities/CVE"
  ],
  "CreatedAt": "2022-10-18T14:20:13.933Z",
  "UpdatedAt": "2022-10-18T14:20:13.933Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK Summary: Completed with 2 non-compliant resources",
  "Description": "Task f3021945485adf92487c273558fcaa51 of weekly scheduled Audit daily_audit_schedule_checks completes. 2 non-cimpliant resources are found for DEVICE_CERTIFICATE_KEY_QUALITY_CHECK out of 1000 resources in the account. The percentage of non-compliant resources is 0.2%.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/audit/results/f3021945485adf92487c273558fcaa51/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductFields": {
    "TaskId": "f3021945485adf92487c273558fcaa51",
    "TaskType": "SCHEDULED_AUDIT_TASK",
    "ScheduledAuditName": "daily_audit_schedule_checks",
    "CheckName": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "ReportType": "CheckSummary",
    "CheckRunStatus": "COMPLETED_NON_COMPLIANT",
    "NonComopliantResourcesCount": "2",
    "SuppressedNonCompliantResourcesCount": "1",
    "TotalResourcesCount": "1000",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit/615243839755/SCHEDULED/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotAuditTask",
      "Id": "f3021945485adf92487c273558fcaa51",
      "Region": "us-east-1"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities/CVE"
    ]
  }
}

L'exemple suivant montre un résultat typique de Security Hub pour une violation AWS IoT Device Defender Detect.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "e92a782593c6f5b1fc7cb6a443dc1a12",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect",
  "ProductName": "IoT Device Defender - Detect",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "arn:aws:iot:us-east-1:123456789012:securityprofile/MySecurityProfile",
  "AwsAccountId": "123456789012",
  "Types": [
    "Unusual Behaviors"
  ],
  "CreatedAt": "2022-11-09T22:45:00Z",
  "UpdatedAt": "2022-11-09T22:45:00Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40
  },
  "Title": "Registered thing MyThing is in alarm for STATIC behavior MyBehavior.",
  "Description": "Registered thing MyThing violates STATIC behavior MyBehavior of security profile MySecurityProfile. Violation was triggered because the device did not conform to aws:num-disconnects less-than 1.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/securityProfile/MySecurityProfile?tab=violations",
  "ProductFields": {
    "ComparisonOperator": "less-than",
    "BehaviorName": "MyBehavior",
    "ViolationId": "e92a782593c6f5b1fc7cb6a443dc1a12",
    "ViolationStartTime": "1668033900000",
    "SuppressAlerts": "false",
    "ConsecutiveDatapointsToAlarm": "1",
    "ConsecutiveDatapointsToClear": "1",
    "DurationSeconds": "300",
    "Count": "1",
    "MetricName": "aws:num-disconnects",
    "BehaviorCriteriaType": "STATIC",
    "ThingName": "MyThing",
    "SecurityProfileName": "MySecurityProfile",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect/e92a782593c6f5b1fc7cb6a443dc1a12",
    "aws/securityhub/ProductName": "IoT Device Defender - Detect",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotRegisteredThing",
      "Id": "MyThing",
      "Region": "us-east-1",
      "Details": {
        "Other": {
          "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/thing/MyThing?tab=violations",
          "IsRegisteredThing": "true",
          "ThingArn": "arn:aws:iot:us-east-1:123456789012:thing/MyThing"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM"
    },
    "Types": [
      "Unusual Behaviors"
    ]
  }
}

Empêcher AWS IoT Device Defender d'envoyer les résultats à Security Hub

Pour arrêter l'envoi des résultats à Security Hub, vous pouvez utiliser la console Security Hub ou l'API.

Pour plus d'informations, veuillez consulter Désactivation et activation du flux de résultats à partir d'une intégration (console) ou Désactivation du flux de résultats d'une intégration (API Security Hub, AWS CLI) dans le Guide de l'utilisateur AWS Security Hub.