Integrar o Access Analyzer com o AWS Security Hub
O AWS Security Hub fornece uma visão abrangente do estado de segurança na AWS e ajuda a verificar o ambiente em relação aos padrões e às práticas recomendadas do setor de segurança. O Security Hub coleta dados de segurança de contas, serviços e produtos compatíveis de terceiros parceiros da AWS e ajuda a analisar suas tendências de segurança e identificar os problemas de segurança de prioridade mais alta.
Ao integrar o AWS Identity and Access Management Access Analyzer com o Security Hub, você pode enviar descobertas do IAM Access Analyzer para o Security Hub. O Security Hub pode então incluir tais descobertas na análise feita sobre a seu procedimento de segurança.
Sumário
Como o IAM Access Analyzer envia descobertas para o Security Hub
No Security Hub, os problemas de segurança são rastreados como descobertas. Algumas descobertas provêm de problemas que são detectados por outros produtos da AWS ou por parceiros terceirizados. O Security Hub também tem um conjunto de regras que ele usa para detectar problemas de segurança e gerar descobertas.
O Security Hub fornece ferramentas para gerenciar descobertas em todas essas fontes. Você pode exibir e filtrar listas de descobertas e exibir detalhes de uma descoberta. Consulte Visualizar descobertas no Guia do usuário do AWS Security Hub. Você também pode rastrear o status de uma investigação em uma descoberta. Consulte Tomar medidas sobre descobertas no Guia do usuário do AWS Security Hub.
Todas as descobertas no Security Hub usam um formato JSON padrão chamado ASFF (Formato de Descoberta de Segurança da AWS). O ASFF inclui detalhes sobre a origem do problema, os recursos afetados e o status atual da descoberta. Consulte ASFF (Formato de Descoberta de Segurança) da AWS no Guia do usuário do AWS Security Hub.
O AWS Identity and Access Management Access Analyzer é um dos serviços da AWS que envia descobertas para o Security Hub. Para acessos externos, o IAM Access Analyzer gera uma descoberta quando detecta uma declaração de política que permite a uma entidade principal externa acessar um recurso com suporte em sua organização ou conta. O IAM Access Analyzer agrupa todas as suas descobertas para um recurso e envia uma única descoberta ao Security Hub. Para credenciais não utilizadas, o IAM Access Analyzer gera uma descoberta quando detecta acessos não utilizados concedidos a perfis ou usuários do IAM. Então o IAM Access Analyzer envia essas descobertas para o Security Hub
Tipos de descobertas que o IAM Access Analyzer envia
O IAM Access Analyzer envia as descobertas para o Security Hub usando o AWS Security Finding Format (ASFF). No ASFF, o campo Types fornece o tipo de descoberta. As descobertas do IAM Access Analyzer podem ter os seguintes valores para Types.
-
Descobertas de acessos externos: efeitos/exposição de dados/acesso externo concedido
-
Descobertas de acessos externos: verificações de software e configuração/Práticas recomendadas de segurança da AWS/Acesso externo concedido
-
Descobertas de acessos não utilizadas: verificações de software e configuração/Práticas recomendadas de segurança da AWS/Permissão não utilizada
-
Descobertas de acessos não utilizados: verificações de software e configuração/Práticas recomendadas de segurança da AWS/Perfil do IAM não utilizado
-
Descobertas de acessos não utilizados: verificações de software e configuração/Práticas recomendadas de segurança da AWS/Senha de usuário do IAM não utilizada
-
Descobertas de acessos não utilizados: verificações de software e configuração/Práticas recomendadas de segurança da AWS/Chave de acesso de usuário do IAM não utilizada
Latência para enviar descobertas
Quando o IAM Access Analyzer cria um nova descoberta, ela geralmente é enviada para o Security Hub em até 30 minutos. Em raras ocasiões e sob determinadas condições, o IAM Access Analyzer não é notificado sobre a inclusão ou atualização de uma política. Por exemplo, uma alteração nas configurações de bloqueio de acesso público no nível da conta no Amazon S3 pode levar até 12 horas. Além disso, se houver um problema de entrega com a entrega do log do AWS CloudTrail, a alteração da política não acionará uma nova verificação do recurso que foi relatado na descoberta. Quando isso acontece, o IAM Access Analyzer analisa a política nova ou atualizada durante a próxima verificação periódica.
Tentar novamente quando o Security Hub não estiver disponível
Se o Security Hub não estiver disponível, o IAM Access Analyzer tentará enviar as descobertas periodicamente.
Atualizar as descobertas do existentes no Security Hub
Após enviar uma descoberta ao Security Hub, o AWS Identity and Access Management Access Analyzer envia atualizações para refletir observações adicionais da atividade da descoberta para o Security Hub. As atualizações são refletidas dentro da mesma descoberta.
O IAM Access Analyzer agrupa as descobertas de acessos externos por recurso, a descoberta para um recurso no Security Hub estará ativa se pelo menos uma das descobertas para o recurso no IAM Access Analyzer estiver ativa. Se todas as descobertas no IAM Access Analyzer para um recurso forem arquivadas ou resolvidas, a descoberta do Security Hub será arquivada. A descoberta do Security Hub é atualizada quando você altera o acesso de políticas entre público e entre contas. Essa atualização pode incluir alterações no tipo, título, descrição e gravidade da descoberta.
O IAM Access Analyzer não agrupa descobertas de acessos não utilizados por recurso, portanto, se uma descoberta de acessos não utilizados for resolvida no IAM Access Analyzer, a descoberta do Security Hub será resolvida. A descoberta do Security Hub é atualizada quando você atualiza o perfil ou a usuário do IAM que gerou a descoberta de acessos não utilizados.
Exibir descobertas do IAM Access Analyzer no Security Hub
Para visualizar suas descobertas do IAM Access Analyzer no Security Hub, escolha Exibir descobertas na seção AWS: IAM Access Analyzer da página de resumo. Como alternativa, é possível escolher Findings (Descobertas) no painel de navegação. Em seguida, você pode filtrar as descobertas para exibir somente as descobertas do AWS Identity and Access Management Access Analyzer escolhendo o campo Product name: (Nome do produto:) com um valor de IAM Access Analyzer.
Interpretar nomes de descobertas do IAM Access Analyzer no Security Hub
O AWS Identity and Access Management Access Analyzer envia descobertas para o Security Hub usando o AWS Security Finding Format (ASFF). No ASFF, o campo Types (Tipos) fornece o tipo de descoberta. Os tipos do ASFF utilizam um esquema de nomenclatura diferente do AWS Identity and Access Management Access Analyzer. A tabela a seguir inclui detalhes sobre todos os tipos do ASFF associados às descobertas do AWS Identity and Access Management Access Analyzer, conforme aparecem no Security Hub.
| Tipo de descoberta do ASFF | Título da descoberta do Security Hub | Descrição |
|---|---|---|
| Efeitos/Exposição de dados/Acesso externo concedido | O <resource ARN> permite acesso público | Uma política baseada em recursos anexada ao recurso permite o acesso público no recurso a todas as entidades principais externas. |
| Verificações de software e configuração/Melhores práticas de segurança daAWS/Acesso externo concedido | O <resource ARN> permite o acesso entre contas | Uma política baseada em recursos anexada ao recurso permite o acesso entre contas a entidades principais externas fora da zona de confiança do analisador. |
| Verificações de software e configuração/Práticas recomendadas de segurança da AWS/Permissão não utilizada | O <resource ARN> contém permissões não utilizadas | Um usuário ou perfil contém permissões de serviço e ação não utilizadas. |
| Verificações de software e configuração/Práticas recomendadas de segurança da AWS/Perfis do IAM não utilizados | O <resource ARN> contém um perfil do IAM não utilizado | Um usuário ou função contém um perfil do IAM não utilizado. |
| Verificações de software e configuração/Práticas recomendadas de segurança da AWS/Senha de usuário do IAM não utilizada | <resource ARN> contém senha de usuário do IAM não utilizada | Um usuário ou função contém uma senha de usuário do IAM não utilizada. |
| Verificações de software e configuração/Práticas recomendadas de segurança da AWS/Chave de acesso de usuário do IAM não utilizada | <resource ARN> contém chave de acesso de usuário do IAM não utilizada | Um usuário ou função contém uma chave de acesso de usuário do IAM não utilizada. |
Descoberta típica do IAM Access Analyzer
O IAM Access Analyzer envia as descobertas para o Security Hub usando o AWS Security Finding Format (ASFF).
Veja aqui um exemplo de uma descoberta típica do IAM Access Analyzer para descobertas de acessos externos.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::my-bucket", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer", "GeneratorId": "aws/access-analyzer", "AwsAccountId": "111122223333", "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"], "CreatedAt": "2020-11-10T16:17:47Z", "UpdatedAt": "2020-11-10T16:43:49Z", "Severity": { "Product": 1, "Label": "LOW", "Normalized": 1 }, "Title": "AwsS3Bucket/arn:aws:s3:::my-bucket/ allows cross-account access", "Description": "AWS::S3::Bucket/arn:aws:s3:::my-bucket/ allows cross-account access from AWS 444455556666", "Remediation": { "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."} }, "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798", "Resources": [ { "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::my-bucket", "Details": { "Other": { "External Principal Type": "AWS", "Condition": "none", "Action Granted": "s3:GetObject,s3:GetObjectVersion", "External Principal": "444455556666" } } } ], "WorkflowState": "NEW", "Workflow": {"Status": "NEW"}, "RecordState": "ACTIVE" }
Veja aqui um exemplo de uma descoberta típica do IAM Access Analyzer para descobertas de acessos não utilizados.
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer", "ProductName": "IAM Access Analyzer", "CompanyName": "AWS", "Region": "us-west-2", "GeneratorId": "aws/access-analyzer", "AwsAccountId": "111122223333", "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Unused Permission" ], "CreatedAt": "2023-09-18T16:29:09.657Z", "UpdatedAt": "2023-09-21T20:39:16.651Z", "Severity": { "Product": 1, "Label": "LOW", "Normalized": 1 }, "Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions", "Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions", "Remediation": { "Recommendation": { "Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved." } }, "SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole", "ProductFields": { "numberOfUnusedActions": "256", "numberOfUnusedServices": "15", "resourceOwnerAccount": "111122223333", "findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7", "findingType": "UnusedPermission", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions", "aws/securityhub/ProductName": "AM Access Analyzer", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsIamRole", "Id": "arn:aws:iam::111122223333:role/TestRole" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED", "FindingProviderFields": { "Severity": { "Label": "LOW" }, "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Unused Permission" ] } } ] }
Habilitar e configurar a integração
Para usar a integração com o Security Hub, você deve habilitar o Security Hub. Para obter informações sobre como habilitar o Security Hub, consulte Configurar o Security Hub no Guia do usuário AWS Security Hub.
Ao habilitar tanto o IAM Access Hub quanto o Security Hub, a integração é habilitada automaticamente. O IAM Access Analyzer começa imediatamente a enviar descobertas para o Security Hub.
Como parar de enviar descobertas
Para parar de enviar descobertas para o Security Hub, você pode usar o console ou a API do Security Hub.
Consulte Desabilitar e habilitar o fluxo de descobertas de uma integração (console) ou Desabilitar o fluxo de descobertas de uma integração (API do Security Hub, AWS CLI) no Guia do usuário do AWS Security Hub.
