Menghasilkan dan memperbarui temuan kontrol

AWS Security Hub menghasilkan temuan dengan menjalankan pemeriksaan terhadap kontrol keamanan. Temuan ini menggunakan AWS Security Finding Format (ASFF). Perhatikan bahwa jika ukuran temuan melebihi maksimum 240 KB, maka Resource.Details objek dihapus. Untuk kontrol yang didukung oleh AWS Config sumber daya, Anda dapat melihat detail sumber daya di AWS Config konsol.

Security Hub biasanya mengenakan biaya untuk setiap pemeriksaan keamanan untuk kontrol. Namun, jika beberapa kontrol menggunakan AWS Config aturan yang sama, maka Security Hub hanya mengenakan biaya sekali untuk setiap pemeriksaan terhadap AWS Config aturan tersebut. Jika Anda mengaktifkan temuan kontrol terkonsolidasi, Security Hub menghasilkan satu temuan untuk pemeriksaan keamanan meskipun kontrol disertakan dalam beberapa standar yang diaktifkan.

Misalnya, AWS Config aturan iam-password-policy ini digunakan oleh beberapa kontrol dalam standar Center for Internet Security (CIS) AWS Foundations Benchmark dan standar Praktik Terbaik Keamanan Dasar. Setiap kali Security Hub menjalankan pemeriksaan terhadap AWS Config aturan itu, ia menghasilkan temuan terpisah untuk setiap kontrol terkait, tetapi hanya mengenakan biaya sekali untuk pemeriksaan.

Mengkonsolidasikan temuan kontrol

Jika Anda mengaktifkan fitur temuan kontrol terkonsolidasi di akun Anda, Security Hub akan menghasilkan satu temuan baru atau pembaruan pencarian untuk setiap pemeriksaan keamanan kontrol, meskipun kontrol berlaku untuk beberapa standar yang diaktifkan. Untuk melihat daftar kontrol dan standar yang mereka terapkan, lihatReferensi kontrol Security Hub. Kami merekomendasikan untuk mengaktifkan temuan kontrol terkonsolidasi untuk mengurangi kebisingan temuan.

Jika Anda mengaktifkan Security Hub Akun AWS sebelum 23 Februari 2023, Anda dapat mengaktifkan temuan kontrol konsolidasi dengan mengikuti petunjuk nanti di bagian ini. Jika Anda mengaktifkan Security Hub pada atau setelah 23 Februari 2023, temuan kontrol konsolidasi diaktifkan secara otomatis di akun Anda. Namun, jika Anda menggunakan integrasi Security Hub dengan AWS Organizations atau akun anggota yang diundang melalui proses undangan manual, temuan kontrol konsolidasi diaktifkan di akun anggota hanya jika diaktifkan di akun administrator. Jika fitur dinonaktifkan di akun administrator, itu dinonaktifkan di akun anggota. Perilaku ini berlaku untuk akun anggota baru dan yang sudah ada.

Jika Anda menonaktifkan temuan kontrol konsolidasi di akun Anda, Security Hub akan menghasilkan temuan terpisah per pemeriksaan keamanan untuk setiap standar yang diaktifkan yang menyertakan kontrol. Misalnya, jika empat standar yang diaktifkan berbagi kontrol dengan AWS Config aturan dasar yang sama, Anda menerima empat temuan terpisah setelah pemeriksaan keamanan kontrol. Jika Anda mengaktifkan temuan kontrol terkonsolidasi, Anda hanya menerima satu temuan. Untuk informasi lebih lanjut tentang bagaimana konsolidasi memengaruhi temuan Anda, lihatTemuan kontrol sampel di Security Hub.

Saat Anda mengaktifkan temuan kontrol terkonsolidasi, Security Hub menciptakan temuan agnostik standar baru dan mengarsipkan temuan berbasis standar asli. Beberapa bidang dan nilai pencarian kontrol akan berubah dan dapat memengaruhi alur kerja yang ada. Untuk informasi selengkapnya tentang perubahan ini, lihatTemuan kontrol konsolidasi — perubahan ASFF.

Mengaktifkan temuan kontrol konsolidasi juga dapat memengaruhi temuan yang diterima integrasi pihak ketiga dari Security Hub. Respon Keamanan Otomatis pada AWS v2.0.0 mendukung temuan kontrol terkonsolidasi.

Untuk mengaktifkan atau menonaktifkan temuan kontrol konsolidasi, Anda harus masuk ke akun administrator atau akun mandiri.

catatan

Setelah memungkinkan temuan kontrol konsolidasi, mungkin diperlukan waktu hingga 24 jam untuk Security Hub untuk menghasilkan temuan baru yang terkonsolidasi dan mengarsipkan temuan asli berbasis standar. Demikian pula, setelah menonaktifkan temuan kontrol konsolidasi, mungkin diperlukan waktu hingga 24 jam untuk Security Hub untuk menghasilkan temuan baru berbasis standar dan mengarsipkan temuan konsolidasi. Selama masa-masa ini, Anda mungkin melihat campuran temuan agnostik standar dan berbasis standar di akun Anda.

Security Hub console

Untuk mengaktifkan atau menonaktifkan temuan kontrol konsolidasi (konsol)

1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

2. Pada panel navigasi, silakan pilih Pengaturan.

3. Pilih tab Umum.

4. Untuk Kontrol, aktifkan atau nonaktifkan Temuan kontrol konsolidasi.

5. Pilih Simpan.

Security Hub API, AWS CLI

Untuk mengaktifkan atau menonaktifkan temuan kontrol konsolidasi (API, AWS CLI)

1. Gunakan UpdateSecurityHubConfigurationoperasi. Jika Anda menggunakan AWS CLI, jalankan update-security-hub-configurationperintah.

2. Tetapkan control-finding-generator sama dengan SECURITY_CONTROL untuk mengaktifkan temuan kontrol terkonsolidasi. Tetapkan control-finding-generator sama dengan STANDARD_CONTROL untuk menonaktifkan temuan kontrol terkonsolidasi

   Misalnya, AWS CLI perintah berikut memungkinkan temuan kontrol terkonsolidasi. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

   $ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

   AWS CLI Perintah berikut menonaktifkan temuan kontrol konsolidasi. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

   $ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

Compliancerincian untuk temuan kontrol

Untuk temuan yang dihasilkan oleh pemeriksaan keamanan kontrol, Compliancebidang dalam AWS Security Finding Format (ASFF) berisi rincian yang terkait dengan temuan kontrol. ComplianceBidang ini mencakup informasi berikut.

AssociatedStandards

Standar yang diaktifkan di mana kontrol diaktifkan.

RelatedRequirements

Daftar persyaratan terkait untuk kontrol di semua standar yang diaktifkan. Persyaratannya berasal dari kerangka keamanan pihak ketiga untuk kontrol, seperti Standar Keamanan Data Industri Kartu Pembayaran (PCIDSS).

SecurityControlId

Pengidentifikasi untuk kontrol di seluruh standar keamanan yang didukung Security Hub.

Status

Hasil pemeriksaan terbaru bahwa Security Hub berjalan untuk kontrol yang diberikan. Hasil pemeriksaan sebelumnya disimpan dalam keadaan diarsipkan selama 90 hari.

StatusReasons

Berisi daftar alasan untuk nilaiCompliance.Status. Untuk setiap alasan, StatusReasons sertakan kode alasan dan deskripsi.

Tabel berikut mencantumkan kode alasan status dan deskripsi yang tersedia. Langkah-langkah remediasi tergantung pada kontrol mana yang menghasilkan temuan dengan kode alasan. Pilih kontrol dari Referensi kontrol Security Hub untuk melihat langkah-langkah remediasi untuk kontrol itu.

Kode alasan	Compliance.Status	Deskripsi
CLOUDTRAIL_METRIC_FILTER_NOT_VALID	FAILED	CloudTrail Jejak Multi-wilayah tidak memiliki filter metrik yang valid.
CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT	FAILED	Filter metrik tidak ada untuk CloudTrail jejak Multi-wilayah.
CLOUDTRAIL_MULTI_REGION_NOT_PRESENT	FAILED	Akun tidak memiliki CloudTrail jejak Multi-wilayah dengan konfigurasi yang diperlukan.
CLOUDTRAIL_REGION_INVAILD	WARNING	CloudTrail Jalur Multi-Region tidak berada di Wilayah saat ini.
CLOUDWATCH_ALARM_ACTIONS_NOT_VALID	FAILED	Tidak ada tindakan alarm yang valid.
CLOUDWATCH_ALARMS_NOT_PRESENT	FAILED	CloudWatch alarm tidak ada di akun.
CONFIG_ACCESS_DENIED	NOT_AVAILABLE AWS Config Status adalah ConfigError	AWS Config akses ditolak. Verifikasi bahwa AWS Config diaktifkan dan telah diberikan izin yang cukup.
CONFIG_EVALUATIONS_EMPTY	PASSED	AWS Config mengevaluasi sumber daya Anda berdasarkan aturan. Aturan tidak berlaku untuk AWS sumber daya dalam ruang lingkupnya, sumber daya yang ditentukan dihapus, atau hasil evaluasi dihapus.
CONFIG_RETURNS_NOT_APPLICABLE	NOT_AVAILABLE	Status kepatuhan adalah NOT_AVAILABLE karena AWS Config mengembalikan status Tidak Berlaku. AWS Config tidak memberikan alasan untuk status tersebut. Berikut adalah beberapa kemungkinan alasan untuk status Tidak Berlaku: Sumber daya telah dihapus dari ruang lingkup AWS Config aturan. AWS Config Aturan itu dihapus. Sumber daya telah dihapus. Logika AWS Config aturan dapat menghasilkan status Tidak Berlaku.
CONFIG_RULE_EVALUATION_ERROR	NOT_AVAILABLE AWS Config Status adalah ConfigError	Kode alasan ini digunakan untuk beberapa jenis kesalahan evaluasi. Deskripsi memberikan informasi alasan spesifik. Jenis kesalahan dapat berupa salah satu dari yang berikut: Ketidakmampuan untuk melakukan evaluasi karena kurangnya izin. Deskripsi memberikan izin khusus yang hilang. Nilai yang hilang atau tidak valid untuk parameter. Deskripsi memberikan parameter dan persyaratan untuk nilai parameter. Kesalahan membaca dari ember S3. Deskripsi mengidentifikasi ember dan memberikan kesalahan spesifik. AWS Langganan yang hilang. Batas waktu umum pada evaluasi. Akun yang ditangguhkan.
CONFIG_RULE_NOT_FOUND	NOT_AVAILABLE AWS Config Status adalah ConfigError	AWS Config Aturannya sedang dalam proses diciptakan.
INTERNAL_SERVICE_ERROR	NOT_AVAILABLE	Terjadi kesalahan yang tidak diketahui.
LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE	FAILED	Security Hub tidak dapat melakukan pemeriksaan terhadap runtime Lambda kustom.
S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION	WARNING	Temuan ini dalam WARNING keadaan, karena bucket S3 yang dikaitkan dengan aturan ini berada di Wilayah atau akun yang berbeda. Aturan ini tidak mendukung pemeriksaan lintas wilayah atau lintas akun. Disarankan agar Anda menonaktifkan kontrol ini di Wilayah atau akun ini. Jalankan saja di Wilayah atau akun tempat sumber daya berada.
SNS_SUBSCRIPTION_NOT_PRESENT	FAILED	Filter metrik CloudWatch Log tidak memiliki SNS langganan Amazon yang valid.
SNS_TOPIC_CROSS_ACCOUNT	WARNING	Temuan itu dalam WARNING keadaan. SNSTopik yang terkait dengan aturan ini dimiliki oleh akun yang berbeda. Akun saat ini tidak dapat memperoleh informasi berlangganan. Akun yang memiliki SNS topik harus memberikan sns:ListSubscriptionsByTopic izin kepada akun saat ini untuk SNS topik tersebut.
SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION	WARNING	Temuan ini dalam WARNING keadaan karena SNS topik yang terkait dengan aturan ini ada di Wilayah atau akun yang berbeda. Aturan ini tidak mendukung pemeriksaan lintas wilayah atau lintas akun. Disarankan agar Anda menonaktifkan kontrol ini di Wilayah atau akun ini. Jalankan saja di Wilayah atau akun tempat sumber daya berada.
SNS_TOPIC_INVALID	FAILED	SNSTopik yang terkait dengan aturan ini tidak valid.
THROTTLING_ERROR	NOT_AVAILABLE	APIOperasi yang relevan melebihi tarif yang diizinkan.

ProductFieldsrincian untuk temuan kontrol

Saat Security Hub menjalankan pemeriksaan keamanan dan menghasilkan temuan kontrol, ProductFields atribut dalam ASFF menyertakan bidang berikut:

ArchivalReasons:0/Description

Menjelaskan mengapa Security Hub telah mengarsipkan temuan yang ada.

Misalnya, Security Hub mengarsipkan temuan yang ada saat Anda menonaktifkan kontrol atau standar dan saat Anda mengaktifkan atau menonaktifkan temuan kontrol konsolidasi.

ArchivalReasons:0/ReasonCode

Memberikan alasan mengapa Security Hub telah mengarsipkan temuan yang ada.

Misalnya, Security Hub mengarsipkan temuan yang ada saat Anda menonaktifkan kontrol atau standar dan saat Anda mengaktifkan atau menonaktifkan temuan kontrol konsolidasi.

StandardsGuideArn atau StandardsArn

Standar ARN yang terkait dengan kontrol.

Untuk standar CIS AWS Foundations Benchmark, bidangnya adalahStandardsGuideArn.

Untuk PCI DSS standar Praktik Terbaik Keamanan AWS Dasar, bidangnya adalahStandardsArn.

Bidang ini dihapus demi Compliance.AssociatedStandards jika Anda mengaktifkan temuan kontrol terkonsolidasi.

StandardsGuideSubscriptionArn atau StandardsSubscriptionArn

ARNLangganan akun ke standar.

Untuk standar CIS AWS Foundations Benchmark, bidangnya adalahStandardsGuideSubscriptionArn.

Untuk standar Praktik Terbaik Keamanan AWS Dasar PCI DSS dan, bidangnya adalahStandardsSubscriptionArn.

Bidang ini akan dihapus jika Anda mengaktifkan temuan kontrol terkonsolidasi.

RuleId atau ControlId

Pengidentifikasi kontrol.

Untuk standar CIS AWS Foundations Benchmark, bidangnya adalahRuleId.

Untuk standar lain, bidangnyaControlId.

Bidang ini dihapus demi Compliance.SecurityControlId jika Anda mengaktifkan temuan kontrol terkonsolidasi.

RecommendationUrl

URLUntuk informasi remediasi untuk kontrol. Bidang ini dihapus demi Remediation.Recommendation.Url jika Anda mengaktifkan temuan kontrol terkonsolidasi.

RelatedAWSResources:0/name

Nama sumber daya yang terkait dengan temuan.

RelatedAWSResource:0/type

Jenis sumber daya yang terkait dengan kontrol.

StandardsControlArn

Kontrol. ARN Bidang ini dihapus jika Anda mengaktifkan temuan kontrol konsolidasi.

aws/securityhub/ProductName

Untuk temuan berbasis kontrol, nama produknya adalah Security Hub.

aws/securityhub/CompanyName

Untuk temuan berbasis kontrol, nama perusahaan adalah. AWS

aws/securityhub/annotation

Deskripsi masalah yang ditemukan oleh kontrol.

aws/securityhub/FindingId

Pengidentifikasi temuan. Bidang ini tidak mereferensikan standar jika Anda mengaktifkan temuan kontrol terkonsolidasi.

Menetapkan tingkat keparahan untuk mengontrol temuan

Tingkat keparahan yang ditetapkan ke kontrol Security Hub mengidentifikasi pentingnya kontrol. Tingkat keparahan kontrol menentukan label keparahan yang ditetapkan untuk temuan kontrol.

Kriteria keparahan

Tingkat keparahan kontrol ditentukan berdasarkan penilaian kriteria berikut:

• Seberapa sulit bagi aktor ancaman untuk memanfaatkan kelemahan konfigurasi yang terkait dengan kontrol?

  Kesulitan ditentukan oleh jumlah kecanggihan atau kompleksitas yang diperlukan untuk menggunakan kelemahan untuk melakukan skenario ancaman.

• Seberapa besar kemungkinan kelemahan itu akan mengarah pada kompromi terhadap sumber daya Anda Akun AWS atau sumber daya?

  Kompromi terhadap sumber daya Anda Akun AWS berarti kerahasiaan, integritas, atau ketersediaan data atau AWS infrastruktur Anda rusak dalam beberapa cara.

  Kemungkinan kompromi menunjukkan seberapa besar kemungkinan skenario ancaman akan mengakibatkan gangguan atau pelanggaran AWS layanan atau sumber daya Anda.

Sebagai contoh, pertimbangkan kelemahan konfigurasi berikut:

• Kunci akses pengguna tidak diputar setiap 90 hari.

• IAMkunci pengguna root ada.

Kedua kelemahan sama-sama sulit untuk dimanfaatkan musuh. Dalam kedua kasus, musuh dapat menggunakan pencurian kredensyal atau metode lain untuk memperoleh kunci pengguna. Mereka kemudian dapat menggunakannya untuk mengakses sumber daya Anda dengan cara yang tidak sah.

Namun, kemungkinan kompromi jauh lebih tinggi jika aktor ancaman memperoleh kunci akses pengguna root karena ini memberi mereka akses yang lebih besar. Akibatnya, kelemahan kunci pengguna root memiliki tingkat keparahan yang lebih tinggi.

Tingkat keparahannya tidak memperhitungkan kekritisan sumber daya yang mendasarinya. Kritikalitas adalah tingkat pentingnya sumber daya yang terkait dengan temuan tersebut. Misalnya, sumber daya yang terkait dengan aplikasi kritis misi lebih penting daripada sumber daya yang terkait dengan pengujian nonproduksi. Untuk menangkap informasi kekritisan sumber daya, gunakan Criticality bidang AWS Security Finding Format (ASFF).

Tabel berikut memetakan kesulitan untuk mengeksploitasi dan kemungkinan kompromi dengan label keamanan.

	Kompromi sangat mungkin	Kemungkinan kompromi	Kompromi tidak mungkin	Kompromi sangat tidak mungkin
Sangat mudah untuk dieksploitasi	Kritis	Kritis	Tinggi	Sedang
Agak mudah untuk dieksploitasi	Kritis	Tinggi	Sedang	Sedang
Agak sulit untuk dieksploitasi	Tinggi	Sedang	Sedang	Rendah
Sangat sulit untuk dieksploitasi	Sedang	Sedang	Rendah	Rendah

Definisi keparahan

Label keparahan didefinisikan sebagai berikut.

Kritis — Masalah ini harus segera diperbaiki untuk menghindari eskalasi.

Misalnya, bucket S3 terbuka dianggap sebagai temuan tingkat keparahan kritis. Karena begitu banyak pelaku ancaman memindai bucket S3 terbuka, data dalam bucket S3 yang terbuka kemungkinan akan ditemukan dan diakses oleh orang lain.

Secara umum, sumber daya yang dapat diakses publik dianggap sebagai masalah keamanan kritis. Anda harus memperlakukan temuan kritis dengan sangat mendesak. Anda juga harus mempertimbangkan kekritisan sumber daya.

Tinggi — Masalah ini harus ditangani sebagai prioritas jangka pendek.

Misalnya, jika grup VPC keamanan default terbuka untuk lalu lintas masuk dan keluar, itu dianggap tingkat keparahan tinggi. Agak mudah bagi aktor ancaman untuk berkompromi dengan VPC menggunakan metode ini. Kemungkinan juga aktor ancaman akan dapat mengganggu atau mengeksfiltrasi sumber daya begitu mereka berada di. VPC

Security Hub merekomendasikan agar Anda memperlakukan temuan tingkat keparahan tinggi sebagai prioritas jangka pendek. Anda harus segera mengambil langkah-langkah remediasi. Anda juga harus mempertimbangkan kekritisan sumber daya.

Medium — Masalah ini harus ditangani sebagai prioritas jangka menengah.

Misalnya, kurangnya enkripsi untuk data dalam perjalanan dianggap sebagai temuan tingkat keparahan sedang. Dibutuhkan man-in-the-middle serangan canggih untuk memanfaatkan kelemahan ini. Dengan kata lain, ini agak sulit. Kemungkinan beberapa data akan dikompromikan jika skenario ancaman berhasil.

Security Hub merekomendasikan agar Anda menyelidiki sumber daya yang terlibat secepatnya. Anda juga harus mempertimbangkan kekritisan sumber daya.

Rendah — Masalah ini tidak memerlukan tindakan sendiri.

Misalnya, kegagalan untuk mengumpulkan informasi forensik dianggap tingkat keparahan rendah. Kontrol ini dapat membantu mencegah kompromi di masa depan, tetapi tidak adanya forensik tidak mengarah langsung pada kompromi.

Anda tidak perlu mengambil tindakan segera pada temuan tingkat keparahan rendah, tetapi mereka dapat memberikan konteks ketika Anda menghubungkannya dengan masalah lain.

Informasi - Tidak ada kelemahan konfigurasi yang ditemukan.

Dengan kata lain, statusnya adalahPASSED,WARNING, atauNOT AVAILABLE.

Tidak ada tindakan yang disarankan. Temuan informasi membantu pelanggan untuk menunjukkan bahwa mereka berada dalam keadaan patuh.

Aturan untuk memperbarui temuan kontrol

Pemeriksaan berikutnya terhadap aturan yang diberikan mungkin menghasilkan hasil baru. Misalnya, status “Hindari penggunaan pengguna root” dapat berubah dari FAILED kePASSED. Dalam hal ini, temuan baru dihasilkan yang berisi hasil terbaru.

Jika pemeriksaan berikutnya terhadap aturan yang diberikan menghasilkan hasil yang identik dengan hasil saat ini, temuan yang ada diperbarui. Tidak ada temuan baru yang dihasilkan.

Security Hub secara otomatis mengarsipkan temuan dari kontrol jika sumber daya terkait dihapus, sumber daya tidak ada, atau kontrol dinonaktifkan. Sumber daya mungkin tidak ada lagi karena layanan terkait saat ini tidak digunakan. Temuan diarsipkan secara otomatis berdasarkan salah satu kriteria berikut:

• Temuan ini tidak diperbarui selama tiga hingga lima hari (perhatikan bahwa ini adalah upaya terbaik dan tidak dijamin).

• AWS Config Evaluasi terkait kembaliNOT_APPLICABLE.