통합 제어 조사 결과 통합 제어 조사 결과 활성화 통합 제어 조사 결과 끄기 제어 조사 결과에 대한 Compliance 세부 정보 제어 조사 결과에 대한 ProductFields 세부 정보 제어 조사 결과에 심각도 할당 제어 조사 결과 업데이트 규칙

제어 조사 결과 생성 및 업데이트

AWS Security Hub 보안 제어에 대한 검사를 실행하여 결과를 생성합니다. 이러한 검색 결과는 AWS 보안 검색 결과 형식 (ASFF) 을 사용합니다. 단, 검색 결과 크기가 최대 240KB를 초과하면 Resource.Details 객체가 제거됩니다. AWS Config 리소스가 뒷받침되는 컨트롤의 경우 AWS Config 콘솔에서 리소스 세부 정보를 볼 수 있습니다.

Security Hub는 일반적으로 제어에 대한 각 보안 검사에 대해 요금을 부과합니다. 그러나 여러 컨트롤에서 동일한 AWS Config 규칙을 사용하는 경우 Security Hub는 AWS Config 규칙을 검사할 때마다 요금을 한 번만 청구합니다. 통합 제어 조사 결과를 켜면 Security Hub는 제어가 여러 사용 표준에 포함되어 있더라도 보안 검사를 위한 단일 조사 결과를 생성합니다.

예를 들어, iam-password-policy 이 AWS Config 규칙은 CIS (인터넷 보안 센터) AWS 기반 벤치마크 표준 및 기본 보안 모범 사례 표준의 여러 제어 항목에서 사용됩니다. Security Hub에서 해당 AWS Config 규칙에 대해 검사를 실행할 때마다 관련 컨트롤 각각에 대해 별도의 검색 결과가 생성되지만 검사 요금은 한 번만 청구됩니다.

통합 제어 조사 결과

계정에서 통합 제어 조사 결과를 켜면 Security Hub는 제어가 활성화된 여러 표준에 적용되는 경우에도 제어의 각 보안 검사에 대해 하나의 새로운 조사 결과 또는 조사 결과 업데이트를 생성합니다. 제어 목록과 해당 제어가 적용되는 표준을 보려면 Security Hub 제어 참조을 참조하십시오. 통합 제어 조사 결과를 켜거나 끌 수 있습니다. 결과의 노이즈를 줄이려면 이 기능을 켜는 것이 좋습니다.

2023년 2월 23일 AWS 계정 이전에 Security Hub를 활성화한 경우 이 섹션 뒷부분의 지침에 따라 통합 제어 탐지 결과를 활성화해야 합니다. 2023년 2월 23일 또는 그 이후에 Security Hub를 활성화하면 계정에서 통합 제어 탐지 조사 결과가 자동으로 켜집니다. 하지만 AWS Organizations과의 Security Hub 통합을 사용하거나 수동 초대 과정을 통해 초대된 회원 계정을 사용하는 경우에는 관리자 계정에서 활성화된 경우에만 회원 계정에서 통합 제어 조사 결과가 활성화됩니다. 관리자 계정에서 이 기능을 끄면 멤버 계정에서도 해당 기능이 꺼집니다. 이 동작은 신규 및 기존 구성원 계정에 적용됩니다.

계정에서 통합 제어 조사 결과를 끄면 Security Hub는 제어를 포함하는 활성화된 각 표준에 대해 보안 검사별로 별도의 조사 결과를 생성합니다. 예를 들어, 네 개의 사용 표준이 동일한 기본 AWS Config 규칙을 가진 컨트롤을 공유하는 경우 컨트롤에 대한 보안 검사 후 네 개의 개별 결과를 받게 됩니다. 통합 제어 조사 결과를 켜면 조사 결과가 하나만 수신됩니다. 통합이 조사 결과에 미치는 영향에 대한 자세한 내용은 샘플 제어 조사 결과을 참조하십시오.

통합 제어 조사 결과를 켜면 Security Hub는 표준에 구애받지 않는 새로운 조사 결과를 생성하고 원래 표준 기반 조사 결과를 보관합니다. 일부 제어 결과 필드 및 값이 변경되어 기존 워크플로에 영향을 미칠 수 있습니다. 이러한 변경에 대한 내용은 통합 제어 조사 결과 - ASFF 변경 섹션을 참조하세요.

통합 제어 조사 결과를 켜면 타사 통합이 Security Hub에서 수신하는 조사 결과에도 영향을 미칠 수 있습니다. AWS v2.0.0의 자동 보안 대응은 통합 제어 결과를 지원합니다.

통합 제어 조사 결과 활성화

통합 제어 조사 결과를 활성화하려면 관리자 계정 또는 독립형 계정으로 로그인해야 합니다.

참고

통합 제어 조사 결과를 활성화한 후 Security Hub가 새로운 통합 조사 결과를 생성하고 원본 표준 기반 조사 결과를 보관하는 데 최대 24시간이 걸릴 수 있습니다. 이 기간 동안 계정에서 표준에 구애받지 않는 조사 결과와 표준 기반 조사 결과가 혼합되어 표시될 수 있습니다.

통합 제어 조사 결과 끄기

통합 제어 조사 결과를 끄려면 관리자 계정 또는 독립형 계정으로 로그인해야 합니다.

참고

통합 제어 조사 결과를 해제한 후 Security Hub에서 새로운 표준 기반 조사 결과를 생성하고 통합 조사 결과를 보관하는 데 최대 24시간이 걸릴 수 있습니다. 이 기간 동안에는 계정에 표준 기반 조사 결과와 통합 조사 결과가 혼합되어 표시될 수 있습니다.

제어 조사 결과에 대한 `Compliance` 세부 정보

제어 항목의 보안 검사를 통해 생성된 결과의 경우, AWS 보안 탐지 결과 형식 (ASFF) Compliance필드에 제어 결과와 관련된 세부 정보가 포함됩니다. Compliance 필드에는 다음 정보가 포함됩니다.

AssociatedStandards: 제어가 활성화되는 활성화된 표준.
RelatedRequirements: 사용 가능한 모든 표준의 제어 관련 요구 사항 목록. 요구 사항은 PCI DSS(지불 카드 산업 데이터 보안 표준)와 같은 제어를 위한 타사 보안 프레임워크에서 나온 것입니다.
SecurityControlId: Security Hub가 지원하는 보안 표준 전반의 제어를 위한 식별자입니다.
Status: 특정 제어에 대해 Security Hub가 실행된 가장 최근 검사 결과입니다. 이전 검사의 결과는 아카이브 상태로 90일 동안 보관됩니다.
StatusReasons: Compliance.Status 값의 사유 목록을 포함합니다. StatusReasons에는 각 사유의 사유 코드와 설명이 포함됩니다.

다음 테이블에는 사용 가능한 상태 코드 및 설명이 나와 있습니다. 수정 단계는 원인 코드와 함께 결과를 생성한 제어에 따라 달라집니다. Security Hub 제어 참조에서 제어를 선택하면 해당 제어의 수정 단계를 볼 수 있습니다.

사유 코드	Compliance.Status	설명
`CLOUDTRAIL_METRIC_FILTER_NOT_VALID`	`FAILED`	다중 지역 CloudTrail 트레일에는 유효한 지표 필터가 없습니다.
`CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`	`FAILED`	멀티 CloudTrail 리전 트레일에는 지표 필터가 없습니다.
`CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`	`FAILED`	계정에는 필수 구성의 다중 지역 CloudTrail 트레일이 없습니다.
`CLOUDTRAIL_REGION_INVAILD`	`WARNING`	다중 지역 CloudTrail 트레일은 현재 지역에 없습니다.
`CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`	`FAILED`	유효한 경보 작업이 없습니다.
`CLOUDWATCH_ALARMS_NOT_PRESENT`	`FAILED`	CloudWatch 계정에 알람이 없습니다.
`CONFIG_ACCESS_DENIED`	`NOT_AVAILABLE` AWS Config 상태는 `ConfigError`	AWS Config 액세스가 거부되었습니다. AWS Config 활성화되어 있고 충분한 권한이 부여되었는지 확인하십시오.
`CONFIG_EVALUATIONS_EMPTY`	`PASSED`	AWS Config 규칙을 기반으로 리소스를 평가했습니다. 규칙이 해당 범위의 AWS 리소스에 적용되지 않았거나, 지정된 리소스가 삭제되었거나, 평가 결과가 삭제되었습니다.
`CONFIG_RETURNS_NOT_APPLICABLE`	`NOT_AVAILABLE`	규정 준수 상태는 해당 없음 상태가 `NOT_AVAILABLE` AWS Config 반환되었기 때문입니다. AWS Config 상태에 대한 이유를 제공하지 않습니다. 해당 없음 상태가 될 수 있는 몇 가지 이유는 다음과 같습니다. 리소스가 AWS Config 규칙 범위에서 제거되었습니다. AWS Config 규칙이 삭제되었습니다. 리소스가 삭제되었습니다. AWS Config 규칙 로직은 해당 없음 상태를 생성할 수 있습니다.
`CONFIG_RULE_EVALUATION_ERROR`	`NOT_AVAILABLE` AWS Config 상태는 다음과 같습니다. `ConfigError`	이 사유 코드는 여러 가지 유형의 평가 오류에 사용됩니다. 설명에 구체적인 사유 정보가 나와 있습니다. 오류 유형은 다음 중 하나일 수 있습니다. 권한 부족으로 인해 평가를 수행할 수 없습니다. 설명에 누락된 특정 권한이 나와 있습니다. 파라미터의 값이 누락되었거나 잘못되었습니다. 설명에 파라미터 및 파라미터 값 요구 사항이 나와 있습니다. S3 버킷에서 읽는 중 오류가 발생했습니다. 설명에 해당 버킷이 식별되어 있고 구체적인 오류가 나와 있습니다. AWS 구독이 누락되었습니다. 평가에 대한 전체 시간이 초과되었습니다. 일시 중지된 계정입니다.
`CONFIG_RULE_NOT_FOUND`	`NOT_AVAILABLE` AWS Config 상태는 다음과 같습니다. `ConfigError`	AWS Config 규칙을 만드는 중입니다.
`INTERNAL_SERVICE_ERROR`	`NOT_AVAILABLE`	알 수 없는 오류가 발생했습니다.
`LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`	FAILED	Security Hub는 사용자 지정 Lambda 런타임에 대해 검사를 수행할 수 없습니다.
`S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	이 규칙과 연결된 S3 버킷이 다른 리전 또는 계정에 있기 때문에 결과가 `WARNING` 상태입니다. 이 규칙은 크로스 리전 또는 교차 계정 확인을 지원하지 않습니다. 이 리전 또는 계정에서 이 제어를 비활성화하는 것이 좋습니다. 리소스가 있는 리전 또는 계정에서만 실행하세요.
`SNS_SUBSCRIPTION_NOT_PRESENT`	`FAILED`	CloudWatch 로그 지표 필터에는 유효한 Amazon SNS 구독이 없습니다.
`SNS_TOPIC_CROSS_ACCOUNT`	WARNING	검색 결과가 `WARNING` 상태에 있습니다. 이 규칙과 관련된 SNS 주제는 다른 계정에서 소유하고 있습니다. 현재 계정으로는 구독 정보를 얻을 수 없습니다. SNS 주제를 소유한 계정은 현재 계정에 해당 SNS 주제에 대한 `sns:ListSubscriptionsByTopic` 권한을 부여해야 합니다.
`SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	이 규칙과 연결된 SNS 주제가 다른 리전 또는 계정에 있기 때문에 결과가 `WARNING` 상태입니다. 이 규칙은 크로스 리전 또는 교차 계정 확인을 지원하지 않습니다. 이 리전 또는 계정에서 이 제어를 비활성화하는 것이 좋습니다. 리소스가 있는 리전 또는 계정에서만 실행하세요.
`SNS_TOPIC_INVALID`	`FAILED`	이 규칙과 관련된 SNS 주제는 유효하지 않습니다.
`THROTTLING_ERROR`	`NOT_AVAILABLE`	관련 API 작업이 허용된 속도를 초과했습니다.

제어 조사 결과에 대한 `ProductFields` 세부 정보

Security Hub가 보안 검사를 실행하고 제어 조사 결과를 생성할 때 ASFF의 ProductFields 속성에는 다음 필드가 포함됩니다.

ArchivalReasons:0/Description

Security Hub가 기존 조사 결과를 보관하는 이유를 설명합니다.

예를 들어 Security Hub는 제어 또는 표준을 비활성화할 때와 통합 제어 조사 결과를 켜거나 끌 때 기존 조사 결과를 보관합니다.

ArchivalReasons:0/ReasonCode

Security Hub가 기존 조사 결과를 보관하는 이유를 제공합니다.

예를 들어 Security Hub는 제어 또는 표준을 비활성화할 때와 통합 제어 조사 결과를 켜거나 끌 때 기존 조사 결과를 보관합니다.

StandardsGuideArn 또는 StandardsArn

제어와 관련된 표준의 ARN입니다.

CIS AWS 재단 벤치마크 표준의 경우 필드는 입니다. StandardsGuideArn

PCI DSS 및 AWS 기본 보안 모범 사례 표준의 경우 필드는 다음과 같습니다. StandardsArn

통합 제어 조사 결과를 켜면 이러한 필드는 Compliance.AssociatedStandards에 맞게 제거됩니다.

StandardsGuideSubscriptionArn 또는 StandardsSubscriptionArn

표준에 대한 계정 구독의 ARN입니다.

CIS AWS 재단 벤치마크 표준의 경우 필드는 다음과 같습니다. StandardsGuideSubscriptionArn

PCI DSS 및 AWS 기본 보안 모범 사례 표준의 경우 필드는 다음과 같습니다. StandardsSubscriptionArn

통합 제어 조사 결과를 켜면 이러한 필드는 제거됩니다.

RuleId 또는 ControlId

제어의 식별자입니다.

CIS AWS 재단 벤치마크 표준의 경우 필드는 다음과 같습니다. RuleId

기타 표준의 경우 필드는 ControlId입니다.

통합 제어 조사 결과를 켜면 이러한 필드는 Compliance.SecurityControlId에 맞게 제거됩니다.

RecommendationUrl

제어에 대한 수정 정보의 URL입니다. 통합 제어 조사 결과를 켜면 이러한 필드는 Remediation.Recommendation.Url에 맞게 제거됩니다.

RelatedAWSResources:0/name

결과와 연결된 리소스의 이름입니다.

RelatedAWSResource:0/type

제어에 연결된 리소스 유형입니다.

StandardsControlArn

제어의 ARN입니다. 통합 제어 조사 결과를 켜면 이 필드는 제거됩니다.

aws/securityhub/ProductName

제어 기반 조사 결과의 경우 제품 이름은 Security Hub입니다.

aws/securityhub/CompanyName

통제 기반 조사 결과의 경우 회사 이름은 입니다. AWS

aws/securityhub/annotation

제어를 통해 발견된 문제에 대한 설명입니다.

aws/securityhub/FindingId

결과의 식별자입니다. 통합 제어 조사 결과를 켜면 이 필드는 표준을 참조하지 않습니다.

제어 조사 결과에 심각도 할당

Security Hub 제어 기능에 할당된 심각도는 해당 제어 기능의 중요성을 식별합니다. 제어의 심각도에 따라 제어 조사 결과에 할당되는 심각도 레이블이 결정됩니다.

심각도 기준

제어의 심각도는 다음 기준에 대한 평가를 기반으로 결정됩니다.

위협 행위자가 제어와 관련된 구성 약점을 악용하는 것은 얼마나 어려운가요?

난이도는 취약점을 이용해 위협 시나리오를 수행하는 데 필요한 정교함이나 복잡성의 정도에 따라 결정됩니다.
이러한 취약점으로 인해 AWS 계정 귀사 또는 리소스가 손상될 가능성은 얼마나 됩니까?

사용자 AWS 계정 또는 리소스가 손상되면 데이터 또는 AWS 인프라의 기밀성, 무결성 또는 가용성이 어떤 식으로든 손상됩니다.

침해 가능성은 위협 시나리오로 인해 서비스 또는 AWS 리소스가 중단되거나 침해될 가능성을 나타냅니다.

예를 들어 다음 구성 약점을 고려해 보십시오.

사용자 액세스 키는 90일마다 교체되지 않습니다.
IAM 루트 사용자 키가 존재합니다.

두 약점 모두 공격자가 악용하기 어렵습니다. 두 경우 모두 공격자는 보안 인증 도용이나 다른 방법을 사용하여 사용자 키를 획득할 수 있습니다. 그런 다음 이를 사용하여 무단으로 리소스에 액세스할 수 있습니다.

그러나 위협 행위자가 루트 사용자 액세스 키를 획득하면 액세스 권한이 더 커지므로 보안 침해 가능성이 훨씬 높아집니다. 따라서 루트 사용자 키 취약점의 심각도가 더 높습니다.

심각도는 기본 리소스의 중요도를 고려하지 않습니다. 중요도는 결과와 관련된 리소스의 중요도 수준입니다. 예를 들어 미션 크리티컬 애플리케이션과 관련된 리소스와 비프로덕션 테스트와 관련된 리소스보다 더 중요합니다. 리소스 중요도 정보를 캡처하려면 AWS 보안 검색 결과 형식 (ASFF) Criticality 필드를 사용하십시오.

다음 표에는 보안 레이블에 대한 악용 난이도과 손상 가능성이 나와 있습니다.

	침해 가능성이 매우 높음	침해 가능성이 있음	침해 가능성이 낮음	침해 가능성이 매우 낮음
악용하기 매우 쉬움	심각	심각	높음	중간
악용하기 다소 쉬움	심각	높음	중간	중간
악용하기가 다소 어려움	높음	중간	중간	낮음
악용하기가 매우 어려움	중간	중간	낮음	낮음

심각도 정의

심각도 레이블은 다음과 같이 정의됩니다.

심각 – 문제가 확대되는 것을 방지하려면 문제를 즉시 해결해야 합니다.

예를 들어 개방형 S3 버킷은 심각한 결과로 간주됩니다. 개방형 S3 버킷은 수많은 위협 행위자가 검색하기 때문에 노출된 S3 버킷의 데이터를 다른 사용자가 검색하고 액세스할 가능성이 있습니다.

일반적으로 공개적으로 액세스할 수 있는 리소스는 중요한 보안 문제로 간주됩니다. 중요한 발견은 최대한 긴급하게 처리해야 합니다. 리소스의 중요도도 고려해야 합니다.

높음 – 우선적으로 해결해야 할 문제입니다.

예를 들어 기본 VPC 보안 그룹이 인바운드 및 아웃바운드 트래픽에 개방되어 있는 경우 심각도가 높은 것으로 간주됩니다. 위협 행위자가 이 방법을 사용하면 VPC를 손상시키기가 다소 쉽습니다. 또한 위협 행위자가 VPC에 침투한 후에는 리소스를 방해하거나 외부로 유출할 수 있습니다.

Security Hub에서는 심각도가 높은 결과를 단기 우선순위로 처리할 것을 권장합니다. 즉각적인 개선 조치를 취해야 합니다. 리소스의 중요도도 고려해야 합니다.

중간 - 이 문제는 중기 우선 순위로 다루어야 합니다.

예를 들어 전송 중인 데이터에 대한 암호화가 이루어지지 않으면 심각도가 보통인 것으로 간주됩니다. 이 약점을 악용하려면 정교한 man-in-the-middle 공격이 필요합니다. 바꿔 말하면 다소 어렵습니다. 위협 시나리오가 성공하면 일부 데이터가 손상될 수 있습니다.

Security Hub에서는 최대한 빨리 관련 리소스를 조사할 것을 권장합니다. 리소스의 중요도도 고려해야 합니다.

낮음 - 자체적으로 조치가 필요하지 않은 문제입니다.

예를 들어, 포렌식 정보를 수집하지 못하면 심각도가 낮은 것으로 간주됩니다. 이러한 제어는 향후 손상을 방지하는 데 도움이 될 수 있지만 포렌식이 없다고 해서 손상으로 직접 이어지지는 않습니다.

심각도가 낮은 조사 결과에 대해 즉각적인 조치를 취할 필요는 없지만, 다른 문제와 연관시킬 때 컨텍스트를 제공할 수 있습니다.

정보 - 구성 약점은 발견되지 않았습니다.

즉, PASSED, WARNING 또는 NOT AVAILABLE 상태입니다.

권장되는 조치는 없습니다. 정보 조사 결과는 고객이 규정 준수 상태에 있음을 입증하는 데 도움이 됩니다.

제어 조사 결과 업데이트 규칙

특정 규칙에 대한 후속 검사에서는 새로운 결과가 생성될 수 있습니다. 예를 들어, “루트 사용자 사용 금지” 상태가 FAILED에서 PASSED로 변경될 수 있습니다. 이 경우 최신 결과가 포함된 새 결과가 생성됩니다.

특정 규칙에 대한 후속 점검에서 현재 결과와 동일한 결과를 생성하는 경우 기존 결과가 업데이트됩니다. 새로운 결과는 생성되지 않습니다.

Security Hub는 연결된 리소스가 삭제되거나, 리소스가 존재하지 않거나, 제어가 비활성화된 경우 제어에서 찾은 조사 결과를 자동으로 보관합니다. 연결된 서비스가 현재 사용되지 않기 때문에 리소스가 더 이상 존재하지 않을 수 있습니다. 조사 결과는 다음 기준 중 하나에 따라 자동으로 보관됩니다.

결과는 3~5일 동안 업데이트되지 않습니다(이는 최선의 노력이며 보장되지는 않습니다).
관련 AWS Config 평가가 반환되었습니다NOT_APPLICABLE.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

보안 검사 실행 예약

규정 준수 상태 및 제어 상태