Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Integrasi dengan AWS Security Hub
AWS Security Hubmemberi Anda pandangan komprehensif tentang keadaan keamanan Anda AWS dan membantu Anda memeriksa lingkungan Anda terhadap standar industri keamanan dan praktik terbaik. Security Hub mengumpulkan data keamanan dari seluruh layanan Akun AWS, dan produk pihak ketiga yang didukung. Anda dapat menggunakan Security Hub untuk menganalisis tren keamanan Anda dan mengidentifikasi masalah keamanan prioritas tertinggi.
Dengan AWS IoT Device Defender integrasi dengan Security Hub, Anda dapat mengirim temuan dari AWS IoT Device Defender Security Hub. Security Hub menyertakan temuan tersebut dalam analisisnya tentang postur keamanan Anda.
Daftar Isi
Mengaktifkan dan mengonfigurasi integrasi
Sebelum Anda mengintegrasikan AWS IoT Device Defender dengan Security Hub, Anda harus terlebih dahulu mengaktifkan Security Hub. Untuk informasi tentang cara mengaktifkan Security Hub, lihat Menyiapkan Security Hub di Panduan AWS Security Hub Pengguna.
Setelah mengaktifkan keduanya AWS IoT Device Defender dan Security Hub, buka halaman Integrasi di konsol Security Hub
Cara AWS IoT Device Defender mengirim temuan ke Security Hub
Di Security Hub, masalah keamanan dilacak sebagai temuan. Beberapa temuan berasal dari masalah yang terdeteksi oleh AWS layanan lain atau oleh produk pihak ketiga.
Security Hub menyediakan alat untuk mengelola temuan dari seluruh sumber tersebut. Anda dapat melihat dan mem-filter daftar temuan dan melihat detail suatu temuan. Untuk informasi lebih lanjut, lihat Melihat temuan dalam Panduan Pengguna AWS Security Hub . Anda juga dapat melacak status penyelidikan temuan. Untuk informasi lebih lanjut, lihat Mengambil tindakan pada temuan dalam Panduan Pengguna AWS Security Hub .
Semua temuan di Security Hub menggunakan format standar JSON yang disebut AWS Security Finding Format (ASFF). ASFF mencakup detail tentang sumber masalah, sumber daya yang terpengaruh, dan status temuan saat ini. Untuk informasi selengkapnya tentang ASFF, lihat AWS Security Finding Format (ASFF) di AWS Security Hub Panduan Pengguna.
AWS IoT Device Defender adalah salah satu AWS layanan yang mengirimkan temuan ke Security Hub.
Jenis temuan yang dikirim AWS IoT Device Defender
Setelah Anda mengaktifkan integrasi Security Hub, AWS IoT Device Defender Audit mengirimkan temuan yang dihasilkannya (disebut ringkasan cek) ke Security Hub. Ringkasan cek adalah informasi umum untuk jenis pemeriksaan audit tertentu dan tugas audit tertentu. Untuk informasi selengkapnya, lihat Pemeriksaan audit.
AWS IoT Device Defender Audit mengirimkan pembaruan temuan ke Security Hub untuk Ringkasan Pemeriksaan Audit dan Temuan Audit di setiap tugas Audit. Jika semua sumber daya yang ditemukan di Pemeriksaan Audit sesuai, atau Tugas Audit dibatalkan, Audit akan memperbarui Ringkasan Pemeriksaan di Security Hub ke status catatan YANG DIARSIPKAN. Jika sumber daya dilaporkan tidak sesuai untuk Pemeriksaan Audit, tetapi dilaporkan sesuai dalam tugas Audit terakhir, Audit mengubahnya menjadi sesuai dan juga memperbarui temuan di Security Hub ke status catatan ARCHIVED.
AWS IoT Device Defender Deteksi mengirimkan temuan pelanggaran ke Security Hub. Temuan pelanggaran ini termasuk pembelajaran mesin (ML), statistik, dan perilaku statis.
Untuk mengirim temuan ke Security Hub, AWS IoT Device Defender gunakan AWS Security Finding Format (ASFF). Dalam ASFF, bidang Types menyediakan jenis temuan. Temuan dari AWS IoT Device Defender dapat memiliki nilai berikut untukTypes.
- Perilaku yang tidak biasa
-
Jenis temuan untuk ID klien MQTT yang bertentangan dan pemeriksaan bersama sertifikat perangkat, dan jenis pencarian untuk Detect.
- Periksaan/Kerentanan Perangkat Lunak dan Konfigurasi
-
Jenis temuan untuk semua pemeriksaan Audit lainnya.
Latensi untuk mengirim temuan
Ketika AWS IoT Device Defender Audit membuat temuan baru, itu segera dikirim ke Security Hub setelah tugas audit selesai. Latensi tergantung pada volume temuan yang dihasilkan dalam tugas audit. Security Hub biasanya menerima temuan dalam waktu satu jam.
AWS IoT Device Defender Deteksi mengirimkan temuan untuk pelanggaran dalam waktu dekat. Setelah pelanggaran masuk atau keluar dari alarm (artinya alarm dibuat atau dihapus), temuan Security Hub yang sesuai segera dibuat atau diarsipkan.
Mencoba kembali saat Security Hub tidak tersedia
Jika Security Hub tidak tersedia, AWS IoT Device Defender Audit dan AWS IoT Device Defender Deteksi coba lagi mengirimkan temuan hingga temuan diterima.
Memperbarui temuan yang ada di Security Hub
Setelah temuan AWS IoT Device Defender Audit dikirim ke Security Hub, Anda dapat mengidentifikasinya dengan pengenal sumber daya yang diperiksa dan jenis pemeriksaan audit. Jika temuan audit baru dihasilkan dengan tugas audit berikutnya untuk sumber daya dan pemeriksaan audit yang sama, AWS IoT Device Defender Audit mengirimkan pembaruan untuk mencerminkan pengamatan tambahan dari aktivitas temuan ke Security Hub. Jika tidak ada temuan audit tambahan yang dihasilkan dengan tugas audit berikutnya untuk sumber daya dan pemeriksaan audit yang sama, sumber daya berubah menjadi sesuai dengan pemeriksaan audit. AWS IoT Device Defender Audit kemudian mengarsipkan temuan di Security Hub.
AWS IoT Device Defender Audit juga memperbarui ringkasan cek di Security Hub. Jika ada sumber daya yang tidak sesuai yang ditemukan dalam pemeriksaan audit atau pemeriksaan gagal, status temuan Security Hub menjadi aktif. Jika tidak, AWS IoT Device Defender Audit mengarsipkan temuan di Security Hub.
AWS IoT Device Defender Detect membuat temuan Security Hub ketika ada pelanggaran (misalnya, dalam alarm). Temuan itu diperbarui hanya jika salah satu kriteria berikut terpenuhi:
-
Temuan ini akan segera kedaluwarsa di Security Hub sehingga AWS IoT Device Defender mengirimkan pembaruan untuk menjaga temuan tetap terkini. Temuan dihapus 90 hari setelah pembaruan terbaru atau 90 hari setelah tanggal pembuatan jika tidak ada pembaruan yang terjadi. Untuk informasi selengkapnya, lihat kuota Security Hub di Panduan AWS Security Hub Pengguna.
-
Pelanggaran terkait keluar dari alarm, jadi AWS IoT Device Defender perbarui status temuannya ke ARCHIVED.
Temuan khas dari AWS IoT Device Defender
AWS IoT Device Defender Menggunakan AWS Security Finding Format (ASFF) untuk mengirim temuan ke Security Hub.
Contoh berikut menunjukkan temuan khas dari Security Hub untuk temuan audit. Di ReportType dalam ProductFields adalahAuditFinding.
{ "SchemaVersion": "2018-10-08", "Id": "336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit", "ProductName": "IoT Device Defender - Audit", "CompanyName": "AWS", "Region": "us-west-2", "GeneratorId": "1928b87ab338ee2f541f6fab8c41c4f5", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Check/Vulnerabilities" ], "CreatedAt": "2022-11-06T22:11:40.941Z", "UpdatedAt": "2022-11-06T22:11:40.941Z", "Severity": { "Label": "CRITICAL", "Normalized": 90 }, "Title": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK: ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS", "Description": "IOT_POLICY policyexample:1 is reported as non-compliant for IOT_POLICY_OVERLY_PERMISSIVE_CHECK by Audit task 9f71b6e90cfb57d4ac671be3a4898e6a. The non-compliant reason is Policy allows broad access to IoT data plane actions: [iot:Connect].", "SourceUrl": "https://us-west-2.console.aws.amazon.com/iot/home?region=us-west-2#/policy/policyexample", "ProductFields": { "CheckName": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK", "TaskId": "9f71b6e90cfb57d4ac671be3a4898e6a", "TaskType": "ON_DEMAND_AUDIT_TASK", "PolicyName": "policyexample", "IsSuppressed": "false", "ReasonForNonComplianceCode": "ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS", "ResourceType": "IOT_POLICY", "FindingId": "1928b87ab338ee2f541f6fab8c41c4f5", "PolicyVersionId": "1", "ReportType": "AuditFinding", "TaskStartTime": "1667772700554", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit/336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS", "aws/securityhub/ProductName": "IoT Device Defender - Audit", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsIotPolicy", "Id": "policyexample", "Partition": "aws", "Region": "us-west-2", "Details": { "Other": { "PolicyVersionId": "1" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "CRITICAL" }, "Types": [ "Software and Configuration Check/Vulnerabilities" ] } }
Contoh berikut menunjukkan temuan dari Security Hub untuk ringkasan pemeriksaan audit. Di ReportType dalam ProductFields adalahCheckSummary.
{ "SchemaVersion": "2018-10-08", "Id": "615243839755/SCHEDULED_AUDIT_TASK/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit", "ProductName": "IoT Device Defender - Audit", "CompanyName": "AWS", "Region": "us-east-1", "GeneratorId": "f3021945485adf92487c273558fcaa51", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Check/Vulnerabilities/CVE" ], "CreatedAt": "2022-10-18T14:20:13.933Z", "UpdatedAt": "2022-10-18T14:20:13.933Z", "Severity": { "Label": "CRITICAL", "Normalized": 90 }, "Title": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK Summary: Completed with 2 non-compliant resources", "Description": "Task f3021945485adf92487c273558fcaa51 of weekly scheduled Audit daily_audit_schedule_checks completes. 2 non-cimpliant resources are found for DEVICE_CERTIFICATE_KEY_QUALITY_CHECK out of 1000 resources in the account. The percentage of non-compliant resources is 0.2%.", "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/audit/results/f3021945485adf92487c273558fcaa51/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK", "ProductFields": { "TaskId": "f3021945485adf92487c273558fcaa51", "TaskType": "SCHEDULED_AUDIT_TASK", "ScheduledAuditName": "daily_audit_schedule_checks", "CheckName": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK", "ReportType": "CheckSummary", "CheckRunStatus": "COMPLETED_NON_COMPLIANT", "NonComopliantResourcesCount": "2", "SuppressedNonCompliantResourcesCount": "1", "TotalResourcesCount": "1000", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit/615243839755/SCHEDULED/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK", "aws/securityhub/ProductName": "IoT Device Defender - Audit", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsIotAuditTask", "Id": "f3021945485adf92487c273558fcaa51", "Region": "us-east-1" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "CRITICAL" }, "Types": [ "Software and Configuration Check/Vulnerabilities/CVE" ] } }
Contoh berikut menunjukkan temuan umum dari Security Hub untuk pelanggaran AWS IoT Device Defender Deteksi.
{ "SchemaVersion": "2018-10-08", "Id": "e92a782593c6f5b1fc7cb6a443dc1a12", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect", "ProductName": "IoT Device Defender - Detect", "CompanyName": "AWS", "Region": "us-east-1", "GeneratorId": "arn:aws:iot:us-east-1:123456789012:securityprofile/MySecurityProfile", "AwsAccountId": "123456789012", "Types": [ "Unusual Behaviors" ], "CreatedAt": "2022-11-09T22:45:00Z", "UpdatedAt": "2022-11-09T22:45:00Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "Registered thing MyThing is in alarm for STATIC behavior MyBehavior.", "Description": "Registered thing MyThing violates STATIC behavior MyBehavior of security profile MySecurityProfile. Violation was triggered because the device did not conform to aws:num-disconnects less-than 1.", "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/securityProfile/MySecurityProfile?tab=violations", "ProductFields": { "ComparisonOperator": "less-than", "BehaviorName": "MyBehavior", "ViolationId": "e92a782593c6f5b1fc7cb6a443dc1a12", "ViolationStartTime": "1668033900000", "SuppressAlerts": "false", "ConsecutiveDatapointsToAlarm": "1", "ConsecutiveDatapointsToClear": "1", "DurationSeconds": "300", "Count": "1", "MetricName": "aws:num-disconnects", "BehaviorCriteriaType": "STATIC", "ThingName": "MyThing", "SecurityProfileName": "MySecurityProfile", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect/e92a782593c6f5b1fc7cb6a443dc1a12", "aws/securityhub/ProductName": "IoT Device Defender - Detect", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsIotRegisteredThing", "Id": "MyThing", "Region": "us-east-1", "Details": { "Other": { "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/thing/MyThing?tab=violations", "IsRegisteredThing": "true", "ThingArn": "arn:aws:iot:us-east-1:123456789012:thing/MyThing" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Unusual Behaviors" ] } }
AWS IoT Device Defender Berhenti mengirim temuan ke Security Hub
Untuk berhenti mengirim temuan ke Security Hub, Anda dapat menggunakan konsol Security Hub atau API.
Untuk informasi selengkapnya, lihat Menonaktifkan dan mengaktifkan aliran temuan dari integrasi (konsol) atau Menonaktifkan alur temuan dari integrasi (Security Hub API, AWS CLI) di Panduan Pengguna.AWS Security Hub
