Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Integra Access Analyzer con AWS Security Hub
AWS Security Hubti offre una visione completa dello stato di sicurezza AWS e ti aiuta a controllare il tuo ambiente rispetto agli standard e alle migliori pratiche del settore della sicurezza. Security Hub raccoglie dati sulla sicurezza da tutti AWS gli account, i servizi e i prodotti partner di terze parti supportati e ti aiuta ad analizzare le tendenze in materia di sicurezza e identificare i problemi di sicurezza con la massima priorità.
Quando effettui l'integrazione AWS Identity and Access Management Access Analyzer con Security Hub, puoi inviare i risultati da IAM Access Analyzer a Security Hub. Security Hub può quindi includere tali risultati nella sua analisi della posizione di sicurezza.
Indice
- Come Sistema di analisi degli accessi AWS IAM invia i risultati a Security Hub
- Visualizzazione dei risultati di Sistema di analisi degli accessi AWS IAM in Security Hub
- Risultato tipico da Sistema di analisi degli accessi AWS IAM
- Abilitazione e configurazione dell'integrazione
- Come interrompere l'invio di esiti
Come Sistema di analisi degli accessi AWS IAM invia i risultati a Security Hub
Nella Centrale di sicurezza, i problemi di sicurezza vengono monitorati come esiti. Alcuni risultati derivano da problemi rilevati da altri AWS servizi o da partner terzi. Security Hub dispone inoltre di una serie di regole che utilizza per rilevare problemi di sicurezza e generare risultati.
Security Hub fornisce strumenti per gestire i risultati da tutte queste fonti. È possibile visualizzare e filtrare gli elenchi di risultati e visualizzare i dettagli per un riscontro. Consulta Visualizzazione dei risultati nella Guida per l'utente di AWS Security Hub . È inoltre possibile monitorare lo stato di un'indagine in un esito. Consulta Operazioni sui risultati nella Guida per l'utente di AWS Security Hub .
Tutti i risultati in Security Hub utilizzano un formato JSON standard chiamato AWS Security Finding Format (ASFF). L'ASFF include dettagli sull'origine del problema, sulle risorse interessate e sullo stato corrente del risultato. Consulta AWS Security Finding Format (ASFF) nella Guida per l'utente di AWS Security Hub .
AWS Identity and Access Management Access Analyzer è uno dei AWS servizi che invia i risultati a Security Hub. Per gli accessi non utilizzati, IAM Access Analyzer rileva l'accesso non utilizzato concesso a utenti o ruoli IAM e genera un risultato per ciascuno di essi. IAM Access Analyzer invia quindi questi risultati a Security Hub. Per quanto riguarda l'accesso esterno, IAM Access Analyzer rileva una dichiarazione di policy che consente l'accesso pubblico o l'accesso tra account a responsabili esterni su una risorsa supportata nell'organizzazione o nell'account. IAM Access Analyzer genera un risultato per l'accesso pubblico, che poi invia a Security Hub. Per l'accesso su più account, IAM Access Analyzer invia un singolo risultato per un principale esterno alla volta a Security Hub. Se sono presenti più risultati tra account in IAM Access Analyzer, è necessario risolvere il risultato del Security Hub per il singolo principale esterno prima che IAM Access Analyzer fornisca la successiva ricerca tra account. Per un elenco completo dei responsabili esterni con accesso su più account al di fuori della zona di fiducia per l'analizzatore, è necessario visualizzare i risultati in IAM Access Analyzer.
Tipi di risultati inviati da Sistema di analisi degli accessi AWS IAM
Sistema di analisi degli accessi AWS IAM invia i risultati a Security Hub utilizzando il formato ASFF (Security Finding Format) di AWS. In ASFF, il Types campo fornisce il tipo di esito. I risultati ottenuti da Sistema di analisi degli accessi AWS IAM possono avere i seguenti valori per Types.
-
Risultati degli accessi esterni: effetti/esposizione dei dati/accesso esterno concesso
-
Risultati dell'accesso esterno: controlli del software e della configurazione/Best practice di sicurezza/Accesso esterno garantito AWS
-
Risultati relativi agli accessi non utilizzati: controlli del software e della configurazione/best practice di sicurezza/Autorizzazioni non utilizzate AWS
-
Risultati relativi agli accessi non utilizzati: controlli del software e della configurazione/best practice di sicurezza/ruolo IAM non utilizzato AWS
-
Risultati relativi agli accessi non utilizzati: controlli del software e della configurazione/best practice di sicurezza/password utente IAM non utilizzata AWS
-
Risultati di accesso non utilizzati: controlli del software e della configurazione/best practice di sicurezza/chiave di accesso utente IAM non utilizzata AWS
Latenza per l'invio degli esiti
Quando Sistema di analisi degli accessi AWS IAM crea un nuovo risultato, lo invia a Security Hub solitamente entro 30 minuti. In rare occasioni e in determinate condizioni, a Sistema di analisi degli accessi AWS IAM non viene notificato che una policy è stata aggiunta o aggiornata. Ad esempio, una modifica alle impostazioni di accesso pubblico del blocco a livello di account di Amazon S3 può richiedere fino a 12 ore. Inoltre, se si verifica un problema di consegna con la consegna dei AWS CloudTrail log, la modifica della politica non attiva una nuova scansione della risorsa segnalata nel risultato. In questo caso, Sistema di analisi degli accessi AWS IAM analizza la policy nuova o aggiornata durante la scansione periodica successiva.
Nuovo tentativo quando Security Hub non è disponibile
Se Security Hub non è disponibile, Sistema di analisi degli accessi AWS IAM riprova a inviare i risultati su base periodica.
Aggiornamento degli esiti esistenti nella Centrale di sicurezza
Dopo aver inviato un risultato a Security Hub, AWS Identity and Access Management Access Analyzer invia aggiornamenti per riflettere ulteriori osservazioni sull'attività di ricerca a Security Hub. Gli aggiornamenti si riflettono all'interno dello stesso risultato.
Mentre Sistema di analisi degli accessi AWS IAM raggruppa i risultati degli accessi esterni per risorsa, il risultato per una risorsa in Security Hub è attivo se almeno uno dei risultati per la risorsa in Sistema di analisi degli accessi AWS IAM è attivo. Se tutti i risultati in Sistema di analisi degli accessi AWS IAM di una risorsa vengono archiviati o risolti, il risultato di Security Hub viene archiviato. Il risultato di Security Hub viene aggiornato quando si modifica l'accesso alla policy tra l'accesso pubblico e l'accesso tra account diversi. Questo aggiornamento può includere modifiche al tipo, al titolo, alla descrizione e alla gravità del risultato.
Sistema di analisi degli accessi AWS IAM non raggruppa i risultati degli accessi inutilizzati per risorsa, quindi se un risultato di accesso inutilizzato viene risolto in Sistema di analisi degli accessi AWS IAM, anche il risultato di Security Hub viene risolto. Il risultato di Security Hub viene aggiornato quando aggiorni l'utente o il ruolo IAM che ha generato il risultato di accesso inutilizzato.
Visualizzazione dei risultati di Sistema di analisi degli accessi AWS IAM in Security Hub
Per visualizzare i risultati di Sistema di analisi degli accessi AWS IAM in Security Hub, scegli Visualizza risultati nella sezione AWS: Sistema di analisi degli accessi AWS IAM della pagina di riepilogo. In alternativa, è possibile scegliere Risultati dal pannello di navigazione. È quindi possibile filtrare i risultati per visualizzare solo AWS Identity and Access Management Access Analyzer i risultati scegliendo il campo Nome prodotto: con un valore diIAM Access Analyzer.
Interpretazione dei nomi dei risultati di Sistema di analisi degli accessi AWS IAM in Security Hub
AWS Identity and Access Management Access Analyzer invia i risultati a Security Hub utilizzando il AWS Security Finding Format (ASFF). In ASFF, il campo Tipi fornisce il tipo di risultato. I tipi ASFF utilizzano uno schema di denominazione diverso da. AWS Identity and Access Management Access Analyzer La tabella seguente include dettagli su tutti i tipi di ASFF associati ai AWS Identity and Access Management Access Analyzer risultati così come appaiono in Security Hub.
| Tipo di risultati ASFF | Titolo del risultato di Security Hub | Descrizione |
|---|---|---|
| Effetti/Esposizione dei dati/Accesso esterno concesso | <resource ARN>consente l'accesso pubblico | Una politica basata sulle risorse collegata alla risorsa consente l'accesso pubblico alla risorsa a tutte le entità esterne. |
| Controlli del software e della configurazione/Best practice di AWS sicurezza/Accesso esterno concesso | <resource ARN> consente l'accesso tra account | Una politica basata sulle risorse collegata alla risorsa consente l'accesso tra account alle entità esterne all'area di trust per l'analizzatore. |
| Controlli del software e della configurazione/Best practice di sicurezza/Autorizzazioni non utilizzate AWS | <resource ARN> contiene autorizzazioni inutilizzate | Un utente o un ruolo contiene autorizzazioni di servizio e operazioni inutilizzate. |
| Controlli del software e della configurazione/Best practice di sicurezza/Ruolo IAM non utilizzato AWS | <resource ARN> contiene un ruolo IAM inutilizzato | Un utente o un ruolo contiene un ruolo IAM inutilizzato. |
| Controlli AWS del software e della configurazione/Best practice di sicurezza/Password utente IAM non utilizzata | <resource ARN> contiene una password utente IAM inutilizzata | Un utente o un ruolo contiene una password utente IAM inutilizzata. |
| Controlli del software e della configurazione/Best practice di sicurezza/Chiave di accesso utente IAM AWS non utilizzata | <resource ARN> contiene una chiave di accesso dell'utente IAM inutilizzata | Un utente o un ruolo contiene una chiave di accesso dell'utente IAM inutilizzata. |
Risultato tipico da Sistema di analisi degli accessi AWS IAM
Sistema di analisi degli accessi AWS IAM invia i risultati a Security Hub utilizzando AWS Security Finding Format (ASFF).
Ecco un esempio di un tipico risultato da Sistema di analisi degli accessi AWS IAM per i risultati degli accessi esterni.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::my-bucket", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer", "GeneratorId": "aws/access-analyzer", "AwsAccountId": "111122223333", "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"], "CreatedAt": "2020-11-10T16:17:47Z", "UpdatedAt": "2020-11-10T16:43:49Z", "Severity": { "Product": 1, "Label": "LOW", "Normalized": 1 }, "Title": "AwsS3Bucket/arn:aws:s3:::my-bucket/ allows cross-account access", "Description": "AWS::S3::Bucket/arn:aws:s3:::my-bucket/ allows cross-account access from AWS 444455556666", "Remediation": { "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."} }, "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798", "Resources": [ { "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::my-bucket", "Details": { "Other": { "External Principal Type": "AWS", "Condition": "none", "Action Granted": "s3:GetObject,s3:GetObjectVersion", "External Principal": "444455556666" } } } ], "WorkflowState": "NEW", "Workflow": {"Status": "NEW"}, "RecordState": "ACTIVE" }
Ecco un esempio di un tipico risultato da Sistema di analisi degli accessi AWS IAM per i risultati degli accessi inutilizzati.
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer", "ProductName": "IAM Access Analyzer", "CompanyName": "AWS", "Region": "us-west-2", "GeneratorId": "aws/access-analyzer", "AwsAccountId": "111122223333", "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Unused Permission" ], "CreatedAt": "2023-09-18T16:29:09.657Z", "UpdatedAt": "2023-09-21T20:39:16.651Z", "Severity": { "Product": 1, "Label": "LOW", "Normalized": 1 }, "Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions", "Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions", "Remediation": { "Recommendation": { "Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved." } }, "SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole", "ProductFields": { "numberOfUnusedActions": "256", "numberOfUnusedServices": "15", "resourceOwnerAccount": "111122223333", "findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7", "findingType": "UnusedPermission", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions", "aws/securityhub/ProductName": "AM Access Analyzer", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsIamRole", "Id": "arn:aws:iam::111122223333:role/TestRole" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED", "FindingProviderFields": { "Severity": { "Label": "LOW" }, "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Unused Permission" ] } } ] }
Abilitazione e configurazione dell'integrazione
Per utilizzare l'integrazione con Security Hub, è necessario abilitare Security Hub. Per informazioni su come abilitare Security Hub, consulta Configurazione di Security Hub nella Guida per l'utente di AWS Security Hub .
Una volta abilitati Sistema di analisi degli accessi AWS IAM e Security Hub, l'integrazione viene abilitata automaticamente. Sistema di analisi degli accessi AWS IAM inizia immediatamente a inviare i risultati a Security Hub.
Come interrompere l'invio di esiti
Per interrompere l'invio dei risultati a Security Hub, puoi utilizzare la console o l'API di Security Hub.
Consulta Disabilitazione e abilitazione del flusso dei risultati da un'integrazione (console) o Disabilitazione del flusso di risultati da un'integrazione (API Security Hub, AWS CLI) nella Guida per l'utente di AWS Security Hub .
