Integração com AWS Security Hub
O AWS Security Hub fornece uma visão abrangente do estado de sua segurança na AWS e ajuda a verificar o ambiente conforme os padrões e as melhores práticas do setor de segurança. O Security Hub coleta dados de segurança de Contas da AWS, serviços e produtos de terceiros compatíveis. O Security Hub ajuda você a analisar tendências de segurança e identificar os problemas de segurança de prioridade mais alta.
Com a integração do AWS IoT Device Defender com o Security Hub, você pode enviar descobertas do AWS IoT Device Defender ao Security Hub. O Security Hub inclui essas descobertas na análise feita sobre a postura de segurança.
Sumário
Habilitar e configurar a integração
Antes da integração do AWS IoT Device Defender com o Security Hub, você deve primeiro ativar o Security Hub. Para obter informações sobre como ativar o Security Hub, consulte Configurar o Security Hub no Guia do usuário do AWS Security Hub.
Depois de habilitar ambos o AWS IoT Device Defender e o Security Hub, abra a página Integrações no console do Security Hub
Como o AWS IoT Device Defender envia as descobertas para o Security Hub
No Security Hub, os problemas de segurança são rastreados como descobertas. Algumas descobertas provêm de problemas que são detectados por outros serviços da AWS ou por terceiros.
O Security Hub fornece ferramentas para gerenciar descobertas em todas essas fontes. Você pode exibir e filtrar listas de descobertas e exibir detalhes de uma descoberta. Para obter mais informações, consulte Visualizar descobertas no Guia do usuário do AWS Security Hub. Você também pode rastrear o status de uma investigação em uma descoberta. Para obter mais informações, consulte Tomar medidas sobre descobertas no Manual do usuário do AWS Security Hub.
Todas as descobertas no Security Hub usam um formato JSON padrão chamado AWS Security Finding Format (ASFF – Formato do AWS Security Finding). O ASFF inclui detalhes sobre a origem do problema, os recursos afetados e o status atual da descoberta. Para obter mais informações, consulte AWS Security Finding Format (ASFF) no Manual do usuário do AWS Security Hub.
AWS IoT Device Defender é um dos serviços AWS que enviam descobertas ao Security Hub.
Tipos de descobertas que o AWS IoT Device Defender envia
Depois de ativar a integração do Security Hub, o AWS IoT Device Defender Audit envia as descobertas geradas (chamadas de resumos de verificação) para o Security Hub. Os resumos de verificação são informações gerais para um tipo específico de verificação de auditoria e uma tarefa de auditoria específica. Para obter mais informações, consulte Verificações de auditoria.
O AWS IoT Device Defender Audit envia atualizações de descoberta para o Security Hub para resumos de verificação de auditoria e resultados de auditoria em cada tarefa de auditoria. Se todos os recursos encontrados nas Verificações de auditoria estiverem em conformidade ou se uma Tarefa de auditoria for cancelada, o Audit atualizará os Resumos de verificação no Security Hub para um estado de registro ARQUIVADO. Se um recurso foi relatado como não compatível para uma Verificação de auditoria, mas foi relatado como compatível na última Tarefa de auditoria, o Audit o alterará para compatível e também atualizará a descoberta no Security Hub para um estado de registro ARQUIVADO.
O AWS IoT Device Defender Detect envia descobertas de violação para o Security Hub. Essas descobertas de violação incluem machine learning (ML), comportamentos estatísticos e estáticos.
Para enviar as descobertas para o Security Hub, o AWS IoT Device Defender usa o AWS Security Finding Format (ASFF). No ASFF, o campo Types fornece o tipo de descoberta. As descobertas do AWS IoT Device Defender podem ter os seguintes valores para Types.
- Comportamentos incomuns
-
O tipo de descoberta para IDs de clientes MQTT e verificações compartilhadas de certificados de dispositivos conflitantes e o tipo de descoberta para Detecção.
- Verificações de software e configuração/vulnerabilidades
-
O tipo de descoberta para todas as outras verificações de Auditoria.
Latência para enviar descobertas
Quando o AWS IoT Device Defender Audit cria uma nova descoberta, ela é enviada imediatamente para o Security Hub após a conclusão da tarefa da auditoria. A latência depende do volume das descobertas geradas na tarefa de auditoria. O Security Hub normalmente recebe as descobertas em uma hora.
O AWS IoT Device Defender Detect envia descobertas de violações praticamente em tempo real. Depois que uma violação entra ou sai do alarme (o alarme é criado ou excluído), a descoberta correspondente do Security Hub é imediatamente criada ou arquivada.
Repetir quando o Security Hub não estiver disponível
Se o Security Hub não estiver disponível, o AWS IoT Device Defender Audit e o AWS IoT Device Defender Detect tentará enviar novamente as descobertas até que sejam recebidas.
Atualizar as descobertas do existentes no Security Hub
Depois que uma descoberta do AWS IoT Device Defender Audit é enviada ao Security Hub, você pode identificá-la pelo identificador de recurso verificado e pelo tipo de verificação de auditoria. Se uma nova descoberta da auditoria for gerada com uma tarefa de auditoria subsequente para o mesmo recurso e a verificação da auditoria, o AWS IoT Device Defender Audit enviará atualizações para refletir observações adicionais da atividade da descoberta para o Security Hub. Se nenhuma descoberta de auditoria adicional for gerada com uma tarefa de auditoria subsequente para o mesmo recurso e a verificação de auditoria, o recurso será alterado para compatível com a verificação de auditoria. O AWS IoT Device Defender Audit, então, arquiva as descobertas no Security Hub.
O AWS IoT Device Defender Audit também atualiza os resumos das verificações no Security Hub. Se houver recursos em não conformidade encontrados em uma verificação de auditoria ou se a verificação falhar, o status da descoberta do Security Hub se tornará ativo. Caso contrário, o AWS IoT Device Defender Audit arquiva as descobertas no Security Hub.
O AWS IoT Device Defender Detect cria uma descoberta do Security Hub quando há uma violação (por exemplo, em alarme). Essa descoberta é atualizada somente se um destes critérios for atendido:
-
A descoberta expirará em breve no Security Hub, então o AWS IoT Device Defender envia uma atualização para mantê-la atualizada. As descobertas são excluídas 90 dias após a atualização mais recente ou 90 dias após a data de criação, se não ocorrer nenhuma atualização. Para obter mais informações, consulte Cotas do Security Hub no Guia do usuário do AWS Security Hub.
-
A violação correspondente dispara o alarme, então o AWS IoT Device Defender atualiza o status de descoberta para ARQUIVADO.
Descoberta típica do AWS IoT Device Defender
O AWS IoT Device Defender usa o AWS Security Finding Format (ASFF) para enviar descobertas ao Security Hub.
O exemplo a seguir mostra uma descoberta típica do Security Hub para uma descoberta de auditoria. O ReportType em ProductFields é AuditFinding.
{ "SchemaVersion": "2018-10-08", "Id": "336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit", "ProductName": "IoT Device Defender - Audit", "CompanyName": "AWS", "Region": "us-west-2", "GeneratorId": "1928b87ab338ee2f541f6fab8c41c4f5", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Check/Vulnerabilities" ], "CreatedAt": "2022-11-06T22:11:40.941Z", "UpdatedAt": "2022-11-06T22:11:40.941Z", "Severity": { "Label": "CRITICAL", "Normalized": 90 }, "Title": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK: ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS", "Description": "IOT_POLICY policyexample:1 is reported as non-compliant for IOT_POLICY_OVERLY_PERMISSIVE_CHECK by Audit task 9f71b6e90cfb57d4ac671be3a4898e6a. The non-compliant reason is Policy allows broad access to IoT data plane actions: [iot:Connect].", "SourceUrl": "https://us-west-2.console.aws.amazon.com/iot/home?region=us-west-2#/policy/policyexample", "ProductFields": { "CheckName": "IOT_POLICY_OVERLY_PERMISSIVE_CHECK", "TaskId": "9f71b6e90cfb57d4ac671be3a4898e6a", "TaskType": "ON_DEMAND_AUDIT_TASK", "PolicyName": "policyexample", "IsSuppressed": "false", "ReasonForNonComplianceCode": "ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS", "ResourceType": "IOT_POLICY", "FindingId": "1928b87ab338ee2f541f6fab8c41c4f5", "PolicyVersionId": "1", "ReportType": "AuditFinding", "TaskStartTime": "1667772700554", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/iot-device-defender-audit/336757784525/IOT_POLICY/policyexample/1/IOT_POLICY_OVERLY_PERMISSIVE_CHECK/ALLOWS_BROAD_ACCESS_TO_IOT_DATA_PLANE_ACTIONS", "aws/securityhub/ProductName": "IoT Device Defender - Audit", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsIotPolicy", "Id": "policyexample", "Partition": "aws", "Region": "us-west-2", "Details": { "Other": { "PolicyVersionId": "1" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "CRITICAL" }, "Types": [ "Software and Configuration Check/Vulnerabilities" ] } }
O exemplo a seguir mostra uma descoberta do Security Hub para um resumo de verificação de auditoria. O ReportType em ProductFields é CheckSummary.
{ "SchemaVersion": "2018-10-08", "Id": "615243839755/SCHEDULED_AUDIT_TASK/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit", "ProductName": "IoT Device Defender - Audit", "CompanyName": "AWS", "Region": "us-east-1", "GeneratorId": "f3021945485adf92487c273558fcaa51", "AwsAccountId": "123456789012", "Types": [ "Software and Configuration Check/Vulnerabilities/CVE" ], "CreatedAt": "2022-10-18T14:20:13.933Z", "UpdatedAt": "2022-10-18T14:20:13.933Z", "Severity": { "Label": "CRITICAL", "Normalized": 90 }, "Title": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK Summary: Completed with 2 non-compliant resources", "Description": "Task f3021945485adf92487c273558fcaa51 of weekly scheduled Audit daily_audit_schedule_checks completes. 2 non-cimpliant resources are found for DEVICE_CERTIFICATE_KEY_QUALITY_CHECK out of 1000 resources in the account. The percentage of non-compliant resources is 0.2%.", "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/audit/results/f3021945485adf92487c273558fcaa51/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK", "ProductFields": { "TaskId": "f3021945485adf92487c273558fcaa51", "TaskType": "SCHEDULED_AUDIT_TASK", "ScheduledAuditName": "daily_audit_schedule_checks", "CheckName": "DEVICE_CERTIFICATE_KEY_QUALITY_CHECK", "ReportType": "CheckSummary", "CheckRunStatus": "COMPLETED_NON_COMPLIANT", "NonComopliantResourcesCount": "2", "SuppressedNonCompliantResourcesCount": "1", "TotalResourcesCount": "1000", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-audit/615243839755/SCHEDULED/daily_audit_schedule_checks/DEVICE_CERTIFICATE_KEY_QUALITY_CHECK", "aws/securityhub/ProductName": "IoT Device Defender - Audit", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsIotAuditTask", "Id": "f3021945485adf92487c273558fcaa51", "Region": "us-east-1" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "CRITICAL" }, "Types": [ "Software and Configuration Check/Vulnerabilities/CVE" ] } }
O exemplo abaixo mostra uma descoberta típica do Security Hub para uma violação do AWS IoT Device Defender Detect.
{ "SchemaVersion": "2018-10-08", "Id": "e92a782593c6f5b1fc7cb6a443dc1a12", "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect", "ProductName": "IoT Device Defender - Detect", "CompanyName": "AWS", "Region": "us-east-1", "GeneratorId": "arn:aws:iot:us-east-1:123456789012:securityprofile/MySecurityProfile", "AwsAccountId": "123456789012", "Types": [ "Unusual Behaviors" ], "CreatedAt": "2022-11-09T22:45:00Z", "UpdatedAt": "2022-11-09T22:45:00Z", "Severity": { "Label": "MEDIUM", "Normalized": 40 }, "Title": "Registered thing MyThing is in alarm for STATIC behavior MyBehavior.", "Description": "Registered thing MyThing violates STATIC behavior MyBehavior of security profile MySecurityProfile. Violation was triggered because the device did not conform to aws:num-disconnects less-than 1.", "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/dd/securityProfile/MySecurityProfile?tab=violations", "ProductFields": { "ComparisonOperator": "less-than", "BehaviorName": "MyBehavior", "ViolationId": "e92a782593c6f5b1fc7cb6a443dc1a12", "ViolationStartTime": "1668033900000", "SuppressAlerts": "false", "ConsecutiveDatapointsToAlarm": "1", "ConsecutiveDatapointsToClear": "1", "DurationSeconds": "300", "Count": "1", "MetricName": "aws:num-disconnects", "BehaviorCriteriaType": "STATIC", "ThingName": "MyThing", "SecurityProfileName": "MySecurityProfile", "aws/securityhub/FindingId": "arn:aws:securityhub:us-east-1::product/aws/iot-device-defender-detect/e92a782593c6f5b1fc7cb6a443dc1a12", "aws/securityhub/ProductName": "IoT Device Defender - Detect", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsIotRegisteredThing", "Id": "MyThing", "Region": "us-east-1", "Details": { "Other": { "SourceUrl": "https://us-east-1.console.aws.amazon.com/iot/home?region=us-east-1#/thing/MyThing?tab=violations", "IsRegisteredThing": "true", "ThingArn": "arn:aws:iot:us-east-1:123456789012:thing/MyThing" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE", "FindingProviderFields": { "Severity": { "Label": "MEDIUM" }, "Types": [ "Unusual Behaviors" ] } }
Como impedir o AWS IoT Device Defender de enviar descobertas para o Security Hub
Para interromper o envio das descobertas ao Security Hub, você poderá usar o console ou a API do Security Hub.
Para obter mais informações, consulte Desativar e ativar o fluxo de descobertas de uma integração (console) ou Desativar o fluxo de descobertas de uma integração (API do Security Hub, AWS CLI) no Guia do usuário do AWS Security Hub.
