Integração com o AWS Security Hub - AWS Identity and Access Management

Integração com o AWS Security Hub

O AWS Security Hub fornece uma visão abrangente do estado de segurança na AWS e ajuda a verificar o ambiente em relação aos padrões e às práticas recomendadas do setor de segurança. O Security Hub coleta dados de segurança de contas, serviços e produtos compatíveis de terceiros parceiros da AWS e ajuda a analisar suas tendências de segurança e identificar os problemas de segurança de prioridade mais alta.

A integração do IAM Access Analyzer com o Security Hub permite que você envie descobertas do Access Analyzer para o Security Hub. O Security Hub pode então incluir tais descobertas na análise feita sobre a seu procedimento de segurança.

Como o Access Analyzer envia descobertas para o Security Hub

No Security Hub, os problemas de segurança são rastreados como descobertas. Algumas descobertas provêm de problemas que são detectados por outros produtos da AWS ou por parceiros terceirizados. O Security Hub também tem um conjunto de regras que ele usa para detectar problemas de segurança e gerar descobertas.

O Security Hub fornece ferramentas para gerenciar descobertas em todas essas fontes. Você pode exibir e filtrar listas de descobertas e exibir detalhes de uma descoberta. Consulte Visualizar descobertas no Guia do usuário do AWS Security Hub. Você também pode rastrear o status de uma investigação em uma descoberta. Consulte Tomar medidas sobre descobertas no Guia do usuário do AWS Security Hub.

Todas as descobertas no Security Hub usam um formato JSON padrão chamado AWS Security Finding Format (ASFF – Formato de Descoberta de Segurança da AWS). O ASFF inclui detalhes sobre a origem do problema, os recursos afetados e o status atual da descoberta. Consulte AWS Security Finding Format (ASFF) no Guia do usuário do AWS Security Hub.

O IAM Access Analyzer é um dos produtos da AWS que envia descobertas para o Security Hub. O Access Analyzer gera uma descoberta quando detecta uma instrução de política que permite a uma entidade externa acessar um recurso com suporte em sua organização ou conta. O Access Analyzer agrupa todas as suas descobertas para um recurso e envia uma única descoberta ao Security Hub.

Tipos de descobertas que o Access Analyzer envia

O Access Analyzer envia as descobertas para o Security Hub usando o AWS Security Finding Format (ASFF). No ASFF, o campo Types fornece o tipo de descoberta. As descobertas do Access Analyzer podem ter os seguintes valores para Types.

  • Efeitos/Exposição de dados/Acesso externo concedido

  • Verificações de software e configuração/Melhores práticas de segurança daAWS/Acesso externo concedido

Latência para enviar descobertas

Quando o Access Analyzer cria um nova descoberta, ela geralmente é enviada para o Security Hub em até 30 minutos. Em raras ocasiões e sob determinadas condições, o Access Analyzer não é notificado sobre a inclusão ou atualização de uma política. Por exemplo, uma alteração nas configurações de bloqueio de acesso público no nível da conta no Amazon S3 pode levar até 12 horas. Além disso, se houver um problema de entrega com a entrega do log do AWS CloudTrail, a alteração da política não acionará uma nova verificação do recurso que foi relatado na descoberta. Quando isso acontece, o Access Analyzer analisa a política nova ou atualizada durante a próxima verificação periódica, que ocorre em até 24 horas.

Tentar novamente quando o Security Hub não estiver disponível

Se o Security Hub não estiver disponível, o Access Analyzer tentará enviar as descobertas periodicamente.

Atualizar as descobertas existentes no Security Hub

Depois de enviar uma descoberta ao Security Hub, o IAM Access Analyzer envia atualizações para refletir observações adicionais da atividade da descoberta para o Security Hub. As atualizações são refletidas dentro da mesma descoberta.

A descoberta de um recurso no Security Hub estará ativa se pelo menos uma das descobertas para o recurso no Access Analyzer estiver ativa. Se todas as descobertas no Access Analyzer para um recurso forem arquivadas ou resolvidas, a descoberta do Security Hub será arquivada.

A descoberta do Security Hub é atualizada quando você altera o acesso de políticas entre público e entre contas. Essa atualização pode incluir alterações no tipo, título, descrição e gravidade da descoberta.

Exibindo descobertas do Access Analyzer no Security Hub

Para visualizar suas descobertas do Access Analyzer no Security Hub, escolha See findings (Ver descobertas) na seção AWS: IAM Access Analyzer (AWS IAM Access Analyzer) da página de resumo. Como alternativa, é possível escolher Findings (Descobertas) no painel de navegação. Você pode filtrar as descobertas para visualizar apenas as descobertas do IAM Access Analyzer, escolhendo o campo Product name: (Nome do produto:) com o valor IAM Access Analyzer.

Interpretar nomes de descobertas do Access Analyzer no Security Hub

O IAM Access Analyzer envia as descobertas para o Security Hub usando o AWS Security Finding Format (ASFF). No ASFF, o campo Types (Tipos) fornece o tipo de descoberta. Os tipos de ASFF utilizam um esquema de nomenclatura diferente do IAM Access Analyzer. A tabela a seguir inclui detalhes sobre todos os tipos de ASFF associados às descobertas do IAM Access Analyzer, conforme aparecem no Security Hub.

Tipo de descoberta do ASFF Título da descoberta do Security Hub Descrição
Efeitos/Exposição de dados/Acesso externo concedido O <resource ARN> permite acesso público Uma política baseada em recursos anexada ao recurso permite o acesso público no recurso a todos os principais externos.
Verificações de software e configuração/Melhores práticas de segurança daAWS/Acesso externo concedido O <resource ARN> permite o acesso entre contas Uma política baseada em recursos anexada ao recurso permite o acesso entre contas a principais externos fora da zona de confiança do analisador.

Descoberta típica do Access Analyzer

O Access Analyzer envia as descobertas para o Security Hub usando o AWS Security Finding Format (ASFF).

Veja aqui um exemplo de uma descoberta típica do Access Analyzer.

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::my-bucket", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer", "GeneratorId": "aws/access-analyzer", "AwsAccountId": "111122223333", "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"], "CreatedAt": "2020-11-10T16:17:47Z", "UpdatedAt": "2020-11-10T16:43:49Z", "Severity": { "Product": 1, "Label": "LOW", "Normalized": 1 }, "Title": "AwsS3Bucket/arn:aws:s3:::my-bucket/ allows cross-account access", "Description": "AWS::S3::Bucket/arn:aws:s3:::my-bucket/ allows cross-account access from AWS 444455556666", "Remediation": { "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."} }, "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798", "Resources": [ { "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::my-bucket", "Details": { "Other": { "External Principal Type": "AWS", "Condition": "none", "Action Granted": "s3:GetObject,s3:GetObjectVersion", "External Principal": "444455556666" } } } ], "WorkflowState": "NEW", "Workflow": {"Status": "NEW"}, "RecordState": "ACTIVE" }

Habilitar e configurar a integração

Para usar a integração com o Security Hub, você deve habilitar o Security Hub. Para obter informações sobre como habilitar o Hub de segurança, consulte Configurar o Security Hub no Guia do usuário do AWS Security Hub.

Ao habilitar tanto o Access Hub quanto o Security Hub, a integração é habilitada automaticamente. O Access Analyzer começa imediatamente a enviar descobertas para o Security Hub.

Como parar de enviar descobertas

Para parar de enviar descobertas para o Security Hub, você pode usar o console ou a API do Security Hub.

Consulte Desabilitar e habilitar o fluxo de descobertas de uma integração (console) ou Desabilitar o fluxo de descobertas de uma integração (API do Security Hub, AWS CLI) no Guia do usuário do AWS Security Hub.