AWS Security Hub와의 통합

AWS Security Hub에서는 AWS에서 보안 상태를 포괄적으로 파악할 수 있으며 보안 업계 표준 및 모범 사례와 비교하여 환경을 확인할 수 있습니다. Security Hub는 AWS 계정, 서비스 및 지원되는 서드 파티 파트너 제품에서 보안 데이터를 수집합니다. Security Hub를 사용하여 보안 추세를 분석하고 우선순위가 가장 높은 보안 문제를 식별할 수 있습니다.

Security Hub와 AWS IoT Device Defender의 통합을 통해 AWS IoT Device Defender에서 Security Hub로 결과를 보낼 수 있습니다. 그러면 Security Hub의 보안 태세 분석에 이러한 결과가 포함됩니다.

목차

• 통합 활성화 및 구성
• AWS IoT Device Defender에서 Security Hub로 결과를 보내는 방법
  • AWS IoT Device Defender이(가) 보내는 결과의 유형
  • 결과 전송 지연 시간
  • Security Hub 사용할 수 없을 때 다시 시도
  • Security Hub에서 기존 결과 업데이트
• AWS IoT Device Defender의 일반적 결과
• AWS IoT Device Defender에서 결과를 Security Hub로 전송하는 작업 중지

통합 활성화 및 구성

AWS IoT Device Defender를 Security Hub와 통합하기 전에 먼저 Security Hub를 활성화해야 합니다. Security Hub를 활성화하는 방법에 대한 자세한 내용은 AWS Security Hub 사용 설명서의 Security Hub 설정을 참조하세요.

AWS IoT Device Defender와 Security Hub를 모두 활성화한 후 Security Hub 콘솔의 Integrations(통합) 페이지를 열고 Audit, Detect 또는 둘 다에 대해 Accept findings(분석 결과 수락)를 선택합니다. AWS IoT Device Defender가 결과를 Security Hub로 보내기 시작합니다.

AWS IoT Device Defender에서 Security Hub로 결과를 보내는 방법

Security Hub의 경우 보안 문제를 결과와 같이 추적합니다. 일부 결과는 다른 AWS 서비스 또는 서드 파티 제품에서 감지한 문제에서 비롯됩니다.

Security Hub는 이러한 모든 출처를 총망라하여 결과를 관리할 도구를 제공합니다. 사용자는 결과 목록을 조회하고 필터링할 수 있으며 주어진 결과의 세부 정보를 조회할 수도 있습니다. 자세한 내용은 AWS Security Hub User Guide의 Viewing findings를 참조하세요. 또한 주어진 결과에 대한 조사 상태를 추적할 수도 있습니다. 자세한 내용은 AWS Security Hub User Guide의 Taking action on findings를 참조하세요.

Security Hub의 모든 결과는 표준 JSON 형식을 사용합니다. 이를 AWS Security Finding Format(ASFF)이라고 합니다. ASFF에는 문제의 출처, 영향을 받은 리소스와 결과의 현재 상태 등에 관한 세부 정보가 포함됩니다. 자세한 내용은 AWS Security Hub 사용 설명서의 AWS Security Finding Format(ASFF)을 참조하세요.

AWS IoT Device Defender는 Security Hub에 결과를 전송하는 AWS 서비스 중 하나입니다.

AWS IoT Device Defender이(가) 보내는 결과의 유형

Security Hub와의 통합을 활성화한 후 AWS IoT Device Defender Audit는 생성된 결과(검사 요약이라고 함)를 Security Hub로 보냅니다. 검사 요약은 특정 감사 검사 유형 및 특정 감사 작업에 대한 일반적인 정보입니다. 자세한 내용은 감사 검사를 참조하세요.

AWS IoT Device Defender Audit는 각 감사 작업의 감사 검사 요약과 감사 결과 모두에 대한 결과 업데이트를 Security Hub로 보냅니다. 감사 검사에서 찾은 모든 리소스가 규정을 준수하거나 감사 작업이 취소된 경우 Audit는 Security Hub의 검사 요약을 ARCHIVED 레코드 상태로 업데이트합니다. 리소스가 감사 검사에서 규정 미준수로 보고되었지만 마지막 감사 작업에서 규정 준수로 보고된 경우 Audit는 리소스를 규정 준수로 변경하고 Security Hub의 결과를 ARCHIVED 레코드 상태로 업데이트합니다.

AWS IoT Device Defender Detect는 Security Hub로 위반 결과를 전송합니다. 이러한 위반 결과에는 기계 학습(ML), 통계 및 정적 동작이 포함됩니다.

결과를 Security Hub로 보내기 위해 AWS IoT Device Defender는 AWS Security Finding Format(ASFF)을 사용합니다. ASFF의 경우, Types 필드가 결과 유형을 제공합니다. AWS IoT Device Defender의 결과는 Types의 값이 다음과 같을 수 있습니다.

비정상 동작

충돌하는 MQTT 클라이언트 ID 및 공유된 디바이스 인증서 점검의 결과 유형과 Detect의 결과 유형입니다.

소프트웨어와 구성 점검 및 취약성

기타 모든 감사 검사의 결과 유형입니다.

결과 전송 지연 시간

AWS IoT Device Defender Audit에서 새 결과를 생성하면 감사 작업이 완료된 후 즉시 Security Hub로 전송됩니다. 지연 시간은 감사 작업에서 생성된 결과의 양에 따라 달라집니다. Security Hub 허브는 일반적으로 1시간 이내에 결과를 받습니다.

AWS IoT Device Defender Detect는 거의 실시간으로 Security 결과를 전송합니다. 위반이 경보에 포함되거나 해제된 후(경보가 생성 또는 삭제됨을 의미) 해당 Security Hub 결과가 즉시 생성되거나 보관됩니다.

Security Hub 사용할 수 없을 때 다시 시도

Security Hub를 사용할 수 없는 경우 AWS IoT Device Defender Audit 및 AWS IoT Device Defender Detect는 결과가 수신될 때까지 결과 전송을 재시도합니다.

Security Hub에서 기존 결과 업데이트

AWS IoT Device Defender Audit 결과가 Security Hub로 전송된 후에는 검사된 리소스 식별자 및 감사 검사 유형으로 이를 식별할 수 있습니다. 동일한 리소스 및 감사 점검에 대한 후속 감사 작업으로 새 감사 결과가 생성되면 AWS IoT Device Defender Audit는 결과 활동의 추가 관찰 결과를 반영한 업데이트를 Security Hub로 보냅니다. 동일한 리소스 및 감사 검사에 대한 후속 감사 작업에서 추가 감사 결과가 생성되지 않으면 리소스가 감사 검사를 준수하는 것으로 변경됩니다. AWS IoT Device Defender Audit는 그 결과를 Security Hub에 보관합니다.

AWS IoT Device Defender Audit는 Security Hub의 검사 요약도 업데이트합니다. 감사 검사에서 미준수 리소스가 발견되거나 검사가 실패하는 경우 Security Hub 결과가 활성 상태가 됩니다. 그렇지 않은 경우 AWS IoT Device Defender Audit는 그 결과를 Security Hub에 보관합니다.

AWS IoT Device Defender Detect는 위반(예: 경보)이 있을 때 Security Hub 결과를 생성합니다. 이 결과는 다음 기준 중 하나를 충족할 때만 업데이트됩니다.

• 결과가 Security Hub에서 곧 만료되어 AWS IoT Device Defender에서 결과를 최신 상태로 유지하기 위해 업데이트를 보냅니다. 결과는 가장 최근 업데이트 후 90일 또는 업데이트가 없는 경우 생성일 이후 90일에 삭제됩니다. 자세한 내용은 AWS Security Hub 사용 설명서의 Security Hub 할당량을 참조하세요.

• 해당 위반에 대한 경보가 해제되어 AWS IoT Device Defender에서 결과 상태를 ARCHIVED로 업데이트합니다.

AWS IoT Device Defender의 일반적 결과

AWS IoT Device Defender는 AWS Security Finding Format(ASFF)을 사용하여 결과를 Security Hub로 보냅니다.

다음 예는 감사 결과에 대한 Security Hub의 일반적인 결과를 보여줍니다. ProductFields의 ReportType은 AuditFinding입니다.

  {
  "SchemaVersion": "2018-10-08",
  "Id": "336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-west-2",
  "GeneratorId": "1928b87ab338ee2f541f6fab8c41c4f5",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities"
  ],
  "CreatedAt": "2022-11-06T22:11:40.941Z",
  "UpdatedAt": "2022-11-06T22:11:40.941Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK: ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
  "Description": "IOT_POLICY policyexample:1 is reported as non-compliant for IOT_POLICY_OVERLY_PERMISSIVE_CHECK by Audit task 9f71b6e90cfb57d4ac671be3a4898e6a. The non-compliant reason is Policy allows broad access to IoT data plane actions: [iot:Connect].",
  "SourceUrl": "https://us-west-2.console.aws.amazon.com/iot/home?region=us-west-2#/policy/policyexample",
  "ProductFields": {
    "CheckName": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK",
    "TaskId": "9f71b6e90cfb57d4ac671be3a4898e6a",
    "TaskType": "ON_DEMAND_AUDIT_TASK",
    "PolicyName": "policyexample",
    "IsSuppressed": "false",
    "ReasonForNonComplianceCode": "ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "ResourceType": "IOT_POLICY",
    "FindingId": "1928b87ab338ee2f541f6fab8c41c4f5",
    "PolicyVersionId": "1",
    "ReportType": "AuditFinding",
    "TaskStartTime": "1667772700554",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit/336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotPolicy",
      "Id": "policyexample",
      "Partition": "aws",
      "Region": "us-west-2",
      "Details": {
        "Other": {
          "PolicyVersionId": "1"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities"
    ]
  }
}
    

다음 예는 감사 검사 요약에 대한 Security Hub의 결과를 보여줍니다. ProductFields의 ReportType은 CheckSummary입니다.

  {
  "SchemaVersion": "2018-10-08",
  "Id": "615243839755/SCHEDULED_AUDIT_TASK/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit",
  "ProductName": "IoT Device Defender - Audit",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "f3021945485adf92487c273558fcaa51",
  "AwsAccountId": "123456789012",
  "Types": [
    "Software and Configuration Check/Vulnerabilities/CVE"
  ],
  "CreatedAt": "2022-10-18T14:20:13.933Z",
  "UpdatedAt": "2022-10-18T14:20:13.933Z",
  "Severity": {
    "Label": "CRITICAL",
    "Normalized": 90
  },
  "Title": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK Summary: Completed with 2 non-compliant resources",
  "Description": "Task f3021945485adf92487c273558fcaa51 of weekly scheduled Audit daily_audit_schedule_checks completes. 2 non-cimpliant resources are found for DEVICE_CERTIFICATE_KEY_QUALITY_CHECK out of 1000 resources in the account. The percentage of non-compliant resources is 0.2%.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/audit/results/f3021945485adf92487c273558fcaa51/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
  "ProductFields": {
    "TaskId": "f3021945485adf92487c273558fcaa51",
    "TaskType": "SCHEDULED_AUDIT_TASK",
    "ScheduledAuditName": "daily_audit_schedule_checks",
    "CheckName": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "ReportType": "CheckSummary",
    "CheckRunStatus": "COMPLETED_NON_COMPLIANT",
    "NonComopliantResourcesCount": "2",
    "SuppressedNonCompliantResourcesCount": "1",
    "TotalResourcesCount": "1000",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit/615243839755/SCHEDULED/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK",
    "aws/securityhub/ProductName": "IoT Device Defender - Audit",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotAuditTask",
      "Id": "f3021945485adf92487c273558fcaa51",
      "Region": "us-east-1"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "CRITICAL"
    },
    "Types": [
      "Software and Configuration Check/Vulnerabilities/CVE"
    ]
  }
}
    

다음 예는 AWS IoT Device Defender Detect 위반에 대한 Security Hub의 일반적인 결과를 보여줍니다.

  {
  "SchemaVersion": "2018-10-08",
  "Id": "e92a782593c6f5b1fc7cb6a443dc1a12",
  "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect",
  "ProductName": "IoT Device Defender - Detect",
  "CompanyName": "AWS",
  "Region": "us-east-1",
  "GeneratorId": "arn:aws:iot:us-east-1:123456789012:securityprofile/MySecurityProfile",
  "AwsAccountId": "123456789012",
  "Types": [
    "Unusual Behaviors"
  ],
  "CreatedAt": "2022-11-09T22:45:00Z",
  "UpdatedAt": "2022-11-09T22:45:00Z",
  "Severity": {
    "Label": "MEDIUM",
    "Normalized": 40
  },
  "Title": "Registered thing MyThing is in alarm for STATIC behavior MyBehavior.",
  "Description": "Registered thing MyThing violates STATIC behavior MyBehavior of security profile MySecurityProfile. Violation was triggered because the device did not conform to aws:num-disconnects less-than 1.",
  "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/securityProfile/MySecurityProfile?tab=violations",
  "ProductFields": {
    "ComparisonOperator": "less-than",
    "BehaviorName": "MyBehavior",
    "ViolationId": "e92a782593c6f5b1fc7cb6a443dc1a12",
    "ViolationStartTime": "1668033900000",
    "SuppressAlerts": "false",
    "ConsecutiveDatapointsToAlarm": "1",
    "ConsecutiveDatapointsToClear": "1",
    "DurationSeconds": "300",
    "Count": "1",
    "MetricName": "aws:num-disconnects",
    "BehaviorCriteriaType": "STATIC",
    "ThingName": "MyThing",
    "SecurityProfileName": "MySecurityProfile",
    "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect/e92a782593c6f5b1fc7cb6a443dc1a12",
    "aws/securityhub/ProductName": "IoT Device Defender - Detect",
    "aws/securityhub/CompanyName": "AWS"
  },
  "Resources": [
    {
      "Type": "AwsIotRegisteredThing",
      "Id": "MyThing",
      "Region": "us-east-1",
      "Details": {
        "Other": {
          "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/thing/MyThing?tab=violations",
          "IsRegisteredThing": "true",
          "ThingArn": "arn:aws:iot:us-east-1:123456789012:thing/MyThing"
        }
      }
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
  },
  "RecordState": "ACTIVE",
  "FindingProviderFields": {
    "Severity": {
      "Label": "MEDIUM"
    },
    "Types": [
      "Unusual Behaviors"
    ]
  }
}
    

AWS IoT Device Defender에서 결과를 Security Hub로 전송하는 작업 중지

Security Hub로 결과를 전송하는 작업을 중지하려면 Security Hub 콘솔 또는 API를 사용하면 됩니다.

자세한 내용은 AWS Security Hub 사용 설명서에서 통합에서 결과 흐름 활성화 및 비활성화(콘솔) 또는 통합에서 결과 흐름 비활성화(Security Hub API, AWS CLI)를 참조하세요.