Integrazione con AWS Security Hub - AWS IoT Device Defender
Abilitazione e configurazione dell'integrazioneIn che modo AWS IoT Device Defender invia gli esiti alla Centrale di sicurezzaRisultato tipico da AWS IoT Device Defender Impedire a AWS IoT Device Defender di inviare i risultati a Security Hub

Integrazione con AWS Security Hub

AWS Security Hub fornisce una visione completa dello stato di sicurezza in AWS e ti aiuta a controllare l'ambiente rispetto agli standard di sicurezza del settore e alle best practice. Security Hub raccoglie i dati di sicurezza da Account AWS, servizi e prodotti di terze parti supportati. È possibile utilizzare Security Hub per analizzare le tendenze di sicurezza e identificare i problemi di sicurezza più urgenti.

Grazie all'integrazione AWS IoT Device Defender con Security Hub, è possibile inviare i risultati da AWS IoT Device Defender a Security Hub. Security Hub include tali risultati nella sua analisi della posizione di sicurezza.

Abilitazione e configurazione dell'integrazione

Prima di integrare AWS IoT Device Defender con Security Hub, è necessario abilitare Security Hub. Per informazioni su come abilitare Security Hub, consulta la sezione relativa alla configurazione di Security Hub nella Guida per l'utente di AWS Security Hub.

Dopo aver abilitato AWS IoT Device Defender e Security Hub, aprire la pagina relativa alla integrazioni nella console di Security Hub, quindi scegliere Accept findings (Accetta i risultati) per Audit, Detect o entrambi. AWS IoT Device Defender inizia a inviare i risultati a Security Hub.

In che modo AWS IoT Device Defender invia gli esiti alla Centrale di sicurezza

In Security Hub, i problemi di sicurezza vengono monitorati come risultati. Alcuni risultati provengono da problemi rilevati da altri servizi AWS o da prodotti di terze parti.

Security Hub fornisce strumenti per gestire i risultati da tutte queste fonti. È possibile visualizzare e filtrare gli elenchi di risultati e visualizzare i dettagli per un riscontro. Per ulteriori informazioni, consulta Visualizzazione dei riscontri nella Guida per l'utenteAWS Security Hub. È inoltre possibile monitorare lo stato di un'indagine in un esito. Per ulteriori informazioni, consulta Azioni sugli esiti nella Guida per l'utente di AWS Security Hub.

Tutti i risultati in Security Hub utilizzano un formato JSON standard denominato AWS Security Finding Format (ASFF). L'ASFF include dettagli sull'origine del problema, sulle risorse interessate e sullo stato corrente del risultato. Per ulteriori informazioni su ASFF, consulta AWS Security Finding Format (ASFF) in Guida per l'utente di AWS Security Hub.

AWS IoT Device Defender è uno dei servizi AWS che invia i risultati a Security Hub.

Tipi di risultati che AWS IoT Device Defender invia

Dopo aver abilitato l'integrazione di Security Hub, AWS IoT Device Defender Audit invia i risultati generati (chiamati riepiloghi del controllo) a Security Hub. I riepiloghi del controllo sono informazioni generali per un tipo di controllo di auditing specifico e un'attività di auditing specifica. Per ulteriori informazioni, consulta Controlli di auditing.

AWS IoT Device Defender Audit invia gli aggiornamenti dei risultati a Security Hub per i riepiloghi del controllo di auditing e per i risultati di audit in ogni attività di auditing. Se tutte le risorse trovate nei controlli di auditing sono conformi o un'attività di auditing viene annullata, Audit aggiorna i riepiloghi del controllo in Security Hub in uno stato del record ARCHIVIATO. Se una risorsa è stata segnalata come non conforme per un controllo di audit, ma è stata segnalata come conforme nell'ultima attività di audit, viene modificata da Audit per renderla conforme e anche il risultato in Security Hub viene aggiornato in uno stato del record ARCHIVIATO.

AWS IoT Device Defender Detect invia i risultati di violazione a Security Hub. Questi risultati di violazione includono comportamenti machine learning (ML), statistico e statico.

Per inviare i risultati a Securiy Hub, AWS IoT Device Defender utilizza AWS Security Finding Format (ASFF). In ASFF, il Types campo fornisce il tipo di esito. I risultati ottenuti da AWS IoT Device Defender possono avere i seguenti valori per Types.

Comportamenti insoliti

Il tipo di risultato per ID client MQTT in conflitto e controlli condivisi dei certificati dei dispositivi e il tipo di risultato per Detect.

Controllo del software e della configurazione/vulnerabilità

Il tipo di risultato per tutti gli altri controlli di audit.

Latenza per l'invio degli esiti

Quando AWS IoT Device Defender Audit crea un nuovo risultato, viene inviato immediatamente a Security Hub al termine dell'attività di audit. La latenza dipende dal volume dei risultati generati nell'attività di audit. Security Hub riceve in genere i risultati entro un'ora.

AWS IoT Device Defender Detect invia i risultati delle violazioni quasi in tempo reale. Dopo che una violazione attiva o disattiva l'allarme (ovvero l'allarme viene creato o eliminato), il risultato Security Hub corrispondente viene immediatamente creato o archiviato.

Riprova quando Security Hub non è disponibile

Se Security Hub non è disponibile, AWS IoT Device Defender Audit e AWS IoT Device Defender Detect tentano di inviare i risultati finché non vengono ricevuti.

Aggiornamento degli esiti esistenti nella Centrale di sicurezza

Dopo che un risultato AWS IoT Device Defender Audit viene inviato a Security Hub, può essere identificato tramite l'identificatore della risorsa controllata e il tipo di controllo di audit. Se un nuovo risultato di audit viene generato con una successiva attività di audit per la stessa risorsa e controllo di audit, AWS IoT Device Defender Audit invia a Security Hub aggiornamenti per riportare osservazioni aggiuntive dell'attività del risultato in Security Hub. Se non viene generato alcun risultato di audit aggiuntivo con un'attività di audit successiva per la stessa risorsa e controllo di audit, la risorsa cambia per la conformità con il controllo di audit. AWS IoT Device Defender Audit archivia quindi i risultati in Security Hub.

AWS IoT Device Defender Audit aggiorna anche i riepiloghi del controllo in Security Hub. Se vengono rilevate risorse non conformi in un controllo di audit o il controllo non va a buon fine, lo stato del risultato di Security Hub diventa attivo. In caso contrario, AWS IoT Device Defender Audit archivia il risultato in Security Hub.

AWS IoT Device Defender Detect crea un risultato Security Hub che rileva quando c'è una violazione (ad esempio, in-alarm). Tale risultato viene aggiornato solo se viene soddisfatto uno dei criteri seguenti:

  • Il risultato scadrà a breve in Security Hub, quindi AWS IoT Device Defender invia un aggiornamento per mantenere il risultato aggiornato. I risultati vengono eliminati 90 giorni dopo l'aggiornamento più recente o 90 giorni dopo la data di creazione se non viene eseguito un aggiornamento. Per ulteriori informazioni, consulta Quote di Security Hub nella Guida per l'utente di AWS Security Hub.

  • La violazione corrispondente esce dall'allarme, pertanto AWS IoT Device Defender aggiorna il suo stato risultato su ARCHIVED.

Risultato tipico da AWS IoT Device Defender

AWS IoT Device Defender utilizza AWS Security Finding Format (ASFF) per inviare i risultati a Security Hub.

L'esempio seguente mostra un risultato tipico di Security Hub per un risultato di audit. ReportType in ProductFields è AuditFinding.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-west-2",
  "GeneratorId": "1928b87ab338ee2f541f6fab8c41c4f5",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities"
  ],
  "CreatedAt": "2022-11-06T22:11:40.941Z",
  "UpdatedAt": "2022-11-06T22:11:40.941Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK: ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "Description": "IOT_POLICY policyexample:1 is reported as non-compliant for IOT_POLICY_OVERLY_PERMISSIVE_CHECK by Audit task 9f71b6e90cfb57d4ac671be3a4898e6a. The non-compliant reason is Policy allows broad access to IoT data plane actions: [iot:Connect].",
  "SourceUrl": "https://us-west-2.console.aws.amazon.com/iot/home?region=us-west-2#/policy/policyexample",
  "ProductFields": {
    "CheckName": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK",
    "TaskId": "9f71b6e90cfb57d4ac671be3a4898e6a",
    "TaskType": "ON_DEMAND_AUDIT_TASK",
    "PolicyName": "policyexample",
    "IsSuppressed": "false",
    "ReasonForNonComplianceCode": "ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "ResourceType": "IOT_POLICY",
    "FindingId": "1928b87ab338ee2f541f6fab8c41c4f5",
    "PolicyVersionId": "1",
    "ReportType": "AuditFinding",
    "TaskStartTime": "1667772700554",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit/336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotPolicy",
      "Id": "policyexample",
      "Partition": "aws",
      "Region": "us-west-2",
      "Details": {
        "Other": {
          "PolicyVersionId": "1"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities"
    ]
  }
}

L'esempio seguente mostra un risultato di Security Hub per un riepilogo del controllo di audit. ReportType in ProductFields è CheckSummary.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "615243839755/SCHEDULED_AUDIT_TASK/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "f3021945485adf92487c273558fcaa51",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities/CVE"
  ],
  "CreatedAt": "2022-10-18T14:20:13.933Z",
  "UpdatedAt": "2022-10-18T14:20:13.933Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK Summary: Completed with 2 non-compliant resources",
  "Description": "Task f3021945485adf92487c273558fcaa51 of weekly scheduled Audit daily_audit_schedule_checks completes. 2 non-cimpliant resources are found for DEVICE_CERTIFICATE_KEY_QUALITY_CHECK out of 1000 resources in the account. The percentage of non-compliant resources is 0.2%.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/audit/results/f3021945485adf92487c273558fcaa51/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductFields": {
    "TaskId": "f3021945485adf92487c273558fcaa51",
    "TaskType": "SCHEDULED_AUDIT_TASK",
    "ScheduledAuditName": "daily_audit_schedule_checks",
    "CheckName": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "ReportType": "CheckSummary",
    "CheckRunStatus": "COMPLETED_NON_COMPLIANT",
    "NonComopliantResourcesCount": "2",
    "SuppressedNonCompliantResourcesCount": "1",
    "TotalResourcesCount": "1000",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit/615243839755/SCHEDULED/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotAuditTask",
      "Id": "f3021945485adf92487c273558fcaa51",
      "Region": "us-east-1"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities/CVE"
    ]
  }
}

L'esempio seguente mostra un risultato tipico di Security Hub per una violazione AWS IoT Device Defender Detect.


  {
  "SchemaVersion": "2018-10-08",
  "Id": "e92a782593c6f5b1fc7cb6a443dc1a12",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect",
  "ProductName": "IoT Device Defender - Detect",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "arn:aws:iot:us-east-1:123456789012:securityprofile/MySecurityProfile",
  "AwsAccountId": "123456789012",
  "Types": [
    "Unusual Behaviors"
  ],
  "CreatedAt": "2022-11-09T22:45:00Z",
  "UpdatedAt": "2022-11-09T22:45:00Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40
  },
  "Title": "Registered thing MyThing is in alarm for STATIC behavior MyBehavior.",
  "Description": "Registered thing MyThing violates STATIC behavior MyBehavior of security profile MySecurityProfile. Violation was triggered because the device did not conform to aws:num-disconnects less-than 1.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/securityProfile/MySecurityProfile?tab=violations",
  "ProductFields": {
    "ComparisonOperator": "less-than",
    "BehaviorName": "MyBehavior",
    "ViolationId": "e92a782593c6f5b1fc7cb6a443dc1a12",
    "ViolationStartTime": "1668033900000",
    "SuppressAlerts": "false",
    "ConsecutiveDatapointsToAlarm": "1",
    "ConsecutiveDatapointsToClear": "1",
    "DurationSeconds": "300",
    "Count": "1",
    "MetricName": "aws:num-disconnects",
    "BehaviorCriteriaType": "STATIC",
    "ThingName": "MyThing",
    "SecurityProfileName": "MySecurityProfile",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect/e92a782593c6f5b1fc7cb6a443dc1a12",
    "aws/securityhub/ProductName": "IoT Device Defender - Detect",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotRegisteredThing",
      "Id": "MyThing",
      "Region": "us-east-1",
      "Details": {
        "Other": {
          "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/thing/MyThing?tab=violations",
          "IsRegisteredThing": "true",
          "ThingArn": "arn:aws:iot:us-east-1:123456789012:thing/MyThing"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM"
    },
    "Types": [
      "Unusual Behaviors"
    ]
  }
}

Impedire a AWS IoT Device Defender di inviare i risultati a Security Hub

Per interrompere l'invio dei risultati a Security Hub, puoi utilizzare la console o l'API di Security Hub.

Per ulteriori informazioni, consulta Disabilitazione e abilitazione del flusso di risultati di un'integrazione (Console) o Disabilitazione del flusso di risultati di un'integrazione (API Security Hub, AWS CLI) nella Guida per l'utente di AWS Security Hub.