Generazione e aggiornamento dei risultati del controllo

AWS Security Hub genera risultati eseguendo controlli rispetto ai controlli di sicurezza. Questi risultati utilizzano il AWS Security Finding Format (ASFF). Si noti che se la dimensione del risultato supera il massimo di 240 KB, l'Resource.Detailsoggetto viene rimosso. Per i controlli supportati da AWS Config risorse, è possibile visualizzare i dettagli delle risorse sulla AWS Config console.

Security Hub normalmente addebita un costo per ogni controllo di sicurezza. Tuttavia, se più controlli utilizzano la stessa AWS Config regola, Security Hub addebita una sola volta per ogni controllo rispetto alla AWS Config regola. Se attivi i risultati del controllo consolidato, Security Hub genera un singolo risultato per un controllo di sicurezza anche quando il controllo è incluso in più standard abilitati.

Ad esempio, la AWS Config regola iam-password-policy viene utilizzata da più controlli nello standard Center for Internet Security (CIS) AWS Foundations Benchmark e nello standard Foundational Security Best Practices. Ogni volta che Security Hub esegue un controllo rispetto a tale AWS Config regola, genera un risultato separato per ogni controllo correlato, ma addebita una sola volta per il controllo.

Risultati di controllo consolidati

Quando i risultati del controllo consolidato sono attivati nel tuo account, Security Hub genera un singolo nuovo risultato o aggiornamento dei risultati per ogni controllo di sicurezza di un controllo, anche se un controllo si applica a più standard abilitati. Per visualizzare un elenco dei controlli e degli standard a cui si applicano, consultaRiferimento ai controlli del Security Hub. È possibile attivare o disattivare i risultati del controllo consolidato. Ti consigliamo di accenderlo per ridurre il rumore di rilevamento.

Se hai abilitato Security Hub Account AWS prima del 23 febbraio 2023, devi attivare i risultati del controllo consolidato seguendo le istruzioni riportate più avanti in questa sezione. Se attivi Security Hub a partire dal 23 febbraio 2023, i risultati del controllo consolidato vengono automaticamente attivati nel tuo account. Tuttavia, se utilizzi l'integrazione di Security Hub con AWS Organizations o gli account dei membri invitati tramite una procedura di invito manuale, i risultati del controllo consolidato vengono attivati negli account dei membri solo se sono attivati nell'account amministratore. Se la funzionalità è disattivata nell'account amministratore, è disattivata negli account dei membri. Questo comportamento si applica agli account membro nuovi ed esistenti.

Se disattivi i risultati del controllo consolidato nel tuo account, Security Hub genera un risultato separato per ogni controllo di sicurezza per ogni standard abilitato che include un controllo. Ad esempio, se quattro standard abilitati condividono un controllo con la stessa AWS Config regola sottostante, riceverai quattro risultati separati dopo un controllo di sicurezza del controllo. Se attivi i risultati del controllo consolidato, riceverai solo un risultato. Per ulteriori informazioni su come il consolidamento influisce sui risultati, consulta. Esempi di risultati del controllo

Quando attivi i risultati del controllo consolidato, Security Hub crea nuovi risultati indipendenti dagli standard e archivia i risultati originali basati sugli standard. Alcuni campi e valori di ricerca dei controlli cambieranno e potrebbero influire sui flussi di lavoro esistenti. Per ulteriori informazioni su queste modifiche, vedi Risultati di controllo consolidati: modifiche ASFF.

L'attivazione dei risultati del controllo consolidato può influire anche sui risultati che le integrazioni di terze parti ricevono da Security Hub. Automated Security Response nella versione AWS 2.0.0 supporta risultati di controllo consolidati.

Attivazione dei risultati del controllo consolidato

Per attivare i risultati del controllo consolidato, è necessario accedere a un account amministratore o a un account autonomo.

Nota

Dopo aver attivato i risultati del controllo consolidato, Security Hub potrebbe impiegare fino a 24 ore per generare nuovi risultati consolidati e archiviare i risultati originali basati su standard. Durante questo periodo, nel tuo account potresti visualizzare una combinazione di risultati indipendenti dagli standard e basati sugli standard.

Security Hub console

1. Apri la console all'indirizzo https://console.aws.amazon.com/securityhub/. AWS Security Hub

2. Nel pannello di navigazione scegli Impostazioni.

3. Scegli la scheda Generale.

4. Per Controlli, attiva i risultati del controllo consolidato.

5. Selezionare Salva.

Security Hub API

1. Esegui UpdateSecurityHubConfiguration.

2. Imposta ControlFindingGenerator uguale a. SECURITY_CONTROL

   Richiesta di esempio:

   {
      "ControlFindingGenerator": "SECURITY_CONTROL"
   }

AWS CLI

1. Esegui il comando update-security-hub-configuration.

2. Imposta control-finding-generator uguale aSECURITY_CONTROL.

   aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

Disattivazione dei risultati del controllo consolidato

Per disattivare i risultati del controllo consolidato, è necessario accedere a un account amministratore o a un account autonomo.

Nota

Dopo aver disattivato i risultati del controllo consolidato, Security Hub potrebbe impiegare fino a 24 ore per generare nuovi risultati basati su standard e archiviare i risultati consolidati. Durante questo periodo, potresti visualizzare un mix di risultati basati su standard e consolidati nel tuo account.

Security Hub console

1. Apri la AWS Security Hub console all'indirizzo https://console.aws.amazon.com/securityhub/.

2. Nel pannello di navigazione scegli Impostazioni.

3. Scegli la scheda Generale.

4. Per Controlli, scegli Modifica e disattiva i risultati del controllo consolidato.

5. Selezionare Salva.

Security Hub API

1. Esegui UpdateSecurityHubConfiguration.

2. Imposta ControlFindingGenerator uguale a. STANDARD_CONTROL

   Richiesta di esempio:

   {
      "ControlFindingGenerator": "STANDARD_CONTROL"
   }

AWS CLI

1. Esegui il comando update-security-hub-configuration.

2. Imposta control-finding-generator uguale aSTANDARD_CONTROL.

   aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

Compliancedettagli relativi ai risultati del controllo

Per quanto riguarda i risultati generati dai controlli di sicurezza, il Compliancecampo del AWS Security Finding Format (ASFF) contiene dettagli relativi ai risultati dei controlli. Il campo Compliance include le seguenti informazioni:

AssociatedStandards

Gli standard abilitati in cui è abilitato un controllo.

RelatedRequirements

L'elenco dei requisiti correlati per il controllo in tutti gli standard abilitati. I requisiti provengono dal framework di sicurezza di terze parti per il controllo, come il Payment Card Industry Data Security Standard (PCI DSS).

SecurityControlId

L'identificatore per il controllo degli standard di sicurezza supportati da Security Hub.

Status

Il risultato del controllo più recente eseguito da Security Hub per un determinato controllo. I risultati dei controlli precedenti vengono conservati in un stato archiviato per 90 giorni.

StatusReasons

Contiene un elenco di motivi del valore diCompliance.Status. Per ogni motivo, StatusReasons include il codice motivo e una descrizione.

La tabella seguente elenca i codici e le descrizioni dei motivi dello stato disponibili. Le fasi di correzione dipendono dal controllo che ha generato un risultato con il codice motivo. Scegli un controllo tra i seguenti Riferimento ai controlli del Security Hub per visualizzare i passaggi di riparazione relativi a quel controllo.

Codice di motivo	Compliance.Status	Descrizione
CLOUDTRAIL_METRIC_FILTER_NOT_VALID	FAILED	Il CloudTrail percorso multiregionale non dispone di un filtro metrico valido.
CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT	FAILED	I filtri metrici non sono presenti per il percorso multiregionale. CloudTrail
CLOUDTRAIL_MULTI_REGION_NOT_PRESENT	FAILED	L'account non dispone di un CloudTrail percorso multiregionale con la configurazione richiesta.
CLOUDTRAIL_REGION_INVAILD	WARNING	I CloudTrail percorsi multiregione non si trovano nella regione attuale.
CLOUDWATCH_ALARM_ACTIONS_NOT_VALID	FAILED	Non sono presenti operazioni di allarme valide.
CLOUDWATCH_ALARMS_NOT_PRESENT	FAILED	CloudWatch gli allarmi non esistono nell'account.
CONFIG_ACCESS_DENIED	NOT_AVAILABLE AWS Config lo stato è ConfigError	AWS Config accesso negato. Verifica che AWS Config sia abilitato e che siano state concesse autorizzazioni sufficienti.
CONFIG_EVALUATIONS_EMPTY	PASSED	AWS Config ha valutato le tue risorse in base alla regola. La regola non si applicava alle AWS risorse incluse nel suo ambito, le risorse specificate sono state eliminate o i risultati della valutazione sono stati eliminati.
CONFIG_RETURNS_NOT_APPLICABLE	NOT_AVAILABLE	Lo stato di conformità è NOT_AVAILABLE dovuto al fatto che è stato AWS Config restituito lo stato Non applicabile. AWS Config non fornisce il motivo dello stato. Ecco alcuni possibili motivi dello stato Non applicabile: La risorsa è stata rimossa dall'ambito della AWS Config regola. La AWS Config regola è stata eliminata. La risorsa è stata eliminata. La logica della AWS Config regola può generare lo stato Non applicabile.
CONFIG_RULE_EVALUATION_ERROR	NOT_AVAILABLE AWS Config lo stato è ConfigError	Questo codice motivo viene utilizzato per diversi tipi di errori di valutazione. La descrizione fornisce le informazioni sul motivo specifico. Il tipo di errore può essere uno dei seguenti: Impossibilità di eseguire la valutazione a causa della mancanza di autorizzazioni. La descrizione fornisce l'autorizzazione specifica mancante. Valore mancante o non valido per un parametro. La descrizione fornisce il parametro e i requisiti per il valore del parametro. Errore durante la lettura di un bucket S3. La descrizione identifica il bucket e fornisce l'errore specifico. Un AWS abbonamento mancante. Timeout generale sulla valutazione. Un account sospeso.
CONFIG_RULE_NOT_FOUND	NOT_AVAILABLE AWS Config lo stato è ConfigError	La AWS Config regola è in fase di creazione.
INTERNAL_SERVICE_ERROR	NOT_AVAILABLE	Si è verificato un errore sconosciuto.
LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE	Non riuscito	Security Hub non è in grado di eseguire un controllo rispetto a un runtime Lambda personalizzato.
S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION	WARNING	Il risultato è in uno WARNING stato, perché il bucket S3 associato a questa regola si trova in una regione o in un account diverso. Questa regola non supporta controlli tra regioni o account. È consigliabile disabilitare questo controllo in questa regione o account. Esegui solo nella regione o nell'account in cui si trova la risorsa.
SNS_SUBSCRIPTION_NOT_PRESENT	FAILED	I filtri metrici CloudWatch Logs non dispongono di un abbonamento Amazon SNS valido.
SNS_TOPIC_CROSS_ACCOUNT	WARNING	Il risultato è in uno stato. WARNING L'argomento SNS associato a questa regola è di proprietà di un account diverso. L'account corrente non è in grado di ottenere le informazioni sull'abbonamento. L'account proprietario dell'argomento SNS deve concedere all'account corrente l'sns:ListSubscriptionsByTopicautorizzazione per l'argomento SNS.
SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION	WARNING	Il risultato è in uno WARNING stato in cui l'argomento SNS associato a questa regola si trova in una regione o in un account diverso. Questa regola non supporta controlli tra regioni o account. È consigliabile disabilitare questo controllo in questa regione o account. Esegui solo nella regione o nell'account in cui si trova la risorsa.
SNS_TOPIC_INVALID	FAILED	L'argomento SNS associato a questa regola non è valido.
THROTTLING_ERROR	NOT_AVAILABLE	L'operazione API pertinente ha superato il limite consentito.

ProductFieldsdettagli relativi ai risultati del controllo

Quando Security Hub esegue controlli di sicurezza e genera risultati di controllo, l'ProductFieldsattributo in ASFF include i seguenti campi:

ArchivalReasons:0/Description

Descrive perché Security Hub ha archiviato i risultati esistenti.

Ad esempio, Security Hub archivia i risultati esistenti quando si disattiva un controllo o uno standard e quando si attivano o disattivano i risultati del controllo consolidato.

ArchivalReasons:0/ReasonCode

Fornisce il motivo per cui Security Hub ha archiviato i risultati esistenti.

Ad esempio, Security Hub archivia i risultati esistenti quando si disattiva un controllo o uno standard e quando si attivano o disattivano i risultati del controllo consolidato.

StandardsGuideArn o StandardsArn

L'ARN dello standard associato al controllo.

Per lo standard CIS AWS Foundations Benchmark, il campo è. StandardsGuideArn

Per gli standard PCI DSS e AWS Foundational Security Best Practices, il campo è. StandardsArn

Questi campi vengono rimossi a favore di Compliance.AssociatedStandards se si attivano i risultati di controllo consolidati.

StandardsGuideSubscriptionArn o StandardsSubscriptionArn

L'ARN dell'abbonamento dell'account allo standard.

Per lo standard CIS AWS Foundations Benchmark, il campo è. StandardsGuideSubscriptionArn

Per gli standard PCI DSS e AWS Foundational Security Best Practices, il campo è. StandardsSubscriptionArn

Questi campi vengono rimossi se si attivano i risultati del controllo consolidato.

RuleId o ControlId

L'identificatore del controllo.

Per lo standard CIS AWS Foundations Benchmark, il campo è. RuleId

Per altri standard, il campo è. ControlId

Questi campi vengono rimossi a favore di Compliance.SecurityControlId se si attivano i risultati di controllo consolidati.

RecommendationUrl

L'URL delle informazioni di riparazione per il controllo. Questo campo viene rimosso a favore di Remediation.Recommendation.Url se si attivano i risultati del controllo consolidato.

RelatedAWSResources:0/name

Il nome della risorsa associata al risultato.

RelatedAWSResource:0/type

Il tipo di risorsa associata al controllo.

StandardsControlArn

L'ARN del controllo. Questo campo viene rimosso se si attivano i risultati del controllo consolidato.

aws/securityhub/ProductName

Per i risultati basati sul controllo, il nome del prodotto è Security Hub.

aws/securityhub/CompanyName

Per i risultati basati sul controllo, il nome dell'azienda è. AWS

aws/securityhub/annotation

Una descrizione del problema rilevato dal controllo.

aws/securityhub/FindingId

L'identificatore del risultato. Questo campo non fa riferimento a uno standard se si attivano i risultati del controllo consolidato.

Assegnazione della gravità ai risultati del controllo

La severità assegnata a un controllo Security Hub identifica l'importanza del controllo. La gravità di un controllo determina l'etichetta di gravità assegnata ai risultati del controllo.

Criteri di gravità

La gravità di un controllo è determinata sulla base di una valutazione dei seguenti criteri:

• Quanto è difficile per un autore di minacce sfruttare la debolezza della configurazione associata al controllo?

  La difficoltà è determinata dal livello di sofisticazione o complessità necessario per utilizzare la vulnerabilità per realizzare uno scenario di minaccia.

• Quanto è probabile che la debolezza porti a una compromissione delle vostre Account AWS o delle vostre risorse?

  Una compromissione delle vostre Account AWS risorse significa che la riservatezza, l'integrità o la disponibilità dei dati o dell' AWS infrastruttura vengono danneggiate in qualche modo.

  La probabilità di compromissione indica la probabilità che lo scenario di minaccia comporti un'interruzione o una violazione dei AWS servizi o delle risorse.

Ad esempio, considera i seguenti punti deboli della configurazione:

• Le chiavi di accesso utente non vengono ruotate ogni 90 giorni.

• La chiave utente root IAM esiste.

Entrambi i punti deboli sono ugualmente difficili da sfruttare per un avversario. In entrambi i casi, l'avversario può utilizzare il furto di credenziali o qualche altro metodo per acquisire una chiave utente. Possono quindi utilizzarlo per accedere alle tue risorse in modo non autorizzato.

Tuttavia, la probabilità di una compromissione è molto più elevata se l'autore della minaccia acquisisce la chiave di accesso dell'utente root, in quanto ciò gli offre un accesso maggiore. Di conseguenza, la vulnerabilità della chiave dell'utente root ha una gravità maggiore.

La gravità non tiene conto della criticità della risorsa sottostante. La criticità è il livello di importanza delle risorse associate alla scoperta. Ad esempio, una risorsa associata a un'applicazione mission critical è più importante di una associata a test non di produzione. Per acquisire informazioni sulla criticità delle risorse, utilizzate il Criticality campo del AWS Security Finding Format (ASFF).

La tabella seguente associa la difficoltà di sfruttamento e la probabilità di compromissione alle etichette di sicurezza.

	Un compromesso è altamente probabile	Compromesso probabile	Compromesso improbabile	Compromesso altamente improbabile
Molto facile da sfruttare	Critico	Critico	Elevata	Media
Un po' facile da sfruttare	Critico	Elevata	Media	Media
Un po' difficile da sfruttare	Elevata	Media	Media	Bassa
Molto difficile da sfruttare	Media	Media	Bassa	Bassa

Definizioni di severità

Le etichette di gravità sono definite come segue.

Critico: il problema deve essere risolto immediatamente per evitare che si aggravi.

Ad esempio, un bucket S3 aperto è considerato un risultato di gravità critica. Poiché così tanti autori delle minacce cercano bucket S3 aperti, è probabile che i dati contenuti nei bucket S3 esposti vengano scoperti e consultati da altri.

In generale, le risorse accessibili al pubblico sono considerate problemi di sicurezza critici. È necessario trattare i risultati critici con la massima urgenza. È inoltre necessario considerare la criticità della risorsa.

Alto: la questione deve essere affrontata come una priorità a breve termine.

Ad esempio, se un gruppo di sicurezza VPC predefinito è aperto al traffico in entrata e in uscita, viene considerato ad alta severità. È piuttosto facile per un autore di minacce compromettere un VPC utilizzando questo metodo. È anche probabile che l'autore della minaccia sia in grado di interrompere o esfiltrare le risorse una volta inserite nel VPC.

Security Hub consiglia di considerare un rilevamento di elevata gravità come una priorità a breve termine. È necessario adottare misure correttive immediate. È inoltre necessario considerare la criticità della risorsa.

Medio: la questione dovrebbe essere affrontata come priorità a medio termine.

Ad esempio, la mancanza di crittografia per i dati in transito è considerata una rilevazione di gravità media. È necessario un man-in-the-middle attacco sofisticato per sfruttare questa debolezza. In altre parole, è piuttosto difficile. È probabile che alcuni dati vengano compromessi se lo scenario di minaccia ha esito positivo.

Security Hub consiglia di esaminare la risorsa implicata il prima possibile. È inoltre necessario considerare la criticità della risorsa.

Basso: il problema non richiede di per sé un'azione.

Ad esempio, la mancata raccolta di informazioni forensi è considerata di bassa gravità. Questo controllo può aiutare a prevenire future compromessi, ma l'assenza di analisi forensi non porta direttamente a un compromesso.

Non è necessario intervenire immediatamente sui risultati di bassa gravità, ma possono fornire un contesto quando li si correla con altri problemi.

Informativo: non è stato rilevato alcun punto debole nella configurazione.

In altre parole, lo stato è PASSEDWARNING, oNOT AVAILABLE.

Non vi è alcuna azione consigliata. I risultati informativi aiutano i clienti a dimostrare di essere conformi.

Regole per l'aggiornamento dei risultati del controllo

Un successivo controllo rispetto a una determinata regola potrebbe generare un nuovo risultato. Ad esempio, lo stato di «Evita l'uso dell'utente root» potrebbe cambiare da FAILED aPASSED. In tal caso, viene generato un nuovo risultato che contiene il risultato più recente.

Se un controllo successivo rispetto a una determinata regola genera un risultato identico a quello corrente, il risultato esistente viene aggiornato e nessun nuovo risultato viene generato.

Security Hub archivia automaticamente i risultati dei controlli se la risorsa associata viene eliminata, la risorsa non esiste o il controllo è disabilitato. Una risorsa potrebbe non esistere più perché il servizio associato non è attualmente utilizzato. I risultati vengono archiviati automaticamente in base a uno dei seguenti criteri:

• I risultati non vengono aggiornati per tre-cinque giorni (si noti che si tratta del massimo impegno e non è garantito).

• La AWS Config valutazione associata è stata restituitaNOT_APPLICABLE.