As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerando e atualizando descobertas de controle
AWS Security Hub gera descobertas executando verificações em relação aos controles de segurança. Essas descobertas usam o AWS Security Finding Format (ASFF). Observe que, se o tamanho da descoberta exceder o máximo de 240 KB, o objeto Resource.Details
será removido. Para controles que são apoiados por AWS Config
recursos, você pode ver os detalhes do recurso no AWS Config console.
O Security Hub normalmente cobra por cada verificação de segurança de um controle. No entanto, se vários controles usarem a mesma AWS Config regra, o Security Hub cobrará apenas uma vez por cada verificação contra a AWS Config regra. Se você habilitar as descobertas de controles consolidadas, o Security Hub gerará uma única descoberta para uma verificação de segurança, mesmo quando o controle estiver incluído em vários padrões habilitados.
Por exemplo, a AWS Config regra iam-password-policy
é usada por vários controles no padrão Center for Internet Security (CIS) AWS Foundations Benchmark e no padrão Foundational Security Best Practices. Cada vez que o Security Hub executa uma verificação em relação a essa AWS Config regra, ele gera uma descoberta separada para cada controle relacionado, mas cobra apenas uma vez pela verificação.
Descobertas de controle consolidadas
Se as descobertas de controle consolidadas estiverem habilitadas em sua conta, o Security Hub gerará uma única nova descoberta ou atualização de descoberta para cada verificação de segurança de um controle, mesmo que um controle se aplique a vários padrões habilitados. Para ver uma lista dos controles e dos padrões aos quais eles se aplicam, consulte Referência de controles do Security Hub. Recomendamos habilitar as descobertas de controles consolidadas para reduzir o ruído das descobertas.
Se você habilitou o Security Hub Conta da AWS antes de 23 de fevereiro de 2023, você pode habilitar as descobertas de controle consolidadas seguindo as instruções mais adiante nesta seção. Se você habilitar o Security Hub a partir de 23 de fevereiro de 2023, as descobertas de controles consolidadas serão habilitadas automaticamente em sua conta. Porém, se você usar a integração do Security Hub com o AWS Organizations ou convidar contas-membro por um processo de convite manual, as descobertas de controles consolidadas serão habilitadas somente nas contas-membro se forem habilitadas na conta do administrador. Se o atributo for desabilitado na conta do administrador, ele será desabilitado nas conta-membro. Esse comportamento se aplica a contas de membros novas e existentes.
Se você desabilitar as descobertas de controles consolidadas em sua conta, o Security Hub gerará uma descoberta separada por verificação de segurança para cada padrão habilitado que incluir um controle. Por exemplo, se quatro padrões habilitados compartilharem um controle com a mesma AWS Config regra subjacente, você receberá quatro descobertas separadas após uma verificação de segurança do controle. Se você habilitar as descobertas de controles consolidadas, receberá somente uma descoberta.
Quando você habilita as descobertas de controles consolidadas, o Security Hub cria novas descobertas independentes de padrões e arquiva as descobertas originais baseadas em padrões. Alguns campos e valores de busca de controle mudarão e poderão afetar os fluxos de trabalho existentes. Para mais informações sobre essas alterações, consulte Descobertas de controle consolidadas — mudanças ASFF.
A ativação de descobertas de controle consolidadas também pode afetar as descobertas que produtos integrados de terceiros recebem do Security Hub. O Automated Security Response na AWS v2.0.0
Para habilitar ou desabilitar as descobertas de controles consolidadas, você deve fazer login em uma conta de administrador ou a uma conta autônoma.
nota
Depois de habilitar as descobertas de controles consolidadas, o Security Hub pode levar até 24 horas para gerar descobertas novas consolidadas e arquivar as descobertas originais baseadas em padrões. De modo semelhante, depois de desabilitar as descobertas de controles consolidadas, o Security Hub pode levar até 24 horas para gerar descobertas novas baseadas em padrões e arquivar as descobertas consolidadas. Durante esses períodos, você talvez veja uma mistura de descobertas independentes de padrões e baseadas em padrões em sua conta.
Gerando novas descobertas versus atualizando descobertas existentes
O Security Hub executa verificações de segurança em um cronograma. Uma verificação subsequente em um determinado controle pode gerar um novo resultado. Por exemplo, o status de um controle pode mudar de FAILED
paraPASSED
. Nesse caso, o Security Hub gera uma nova descoberta que contém o resultado mais recente.
Se uma verificação subsequente em relação a uma determinada regra gerar um resultado idêntico ao resultado atual, o Security Hub atualizará a descoberta existente. Nenhuma nova descoberta será gerada.
O Security Hub arquiva automaticamente as descobertas dos controles se o recurso associado for excluído, se o recurso não existir ou se o controle estiver desabilitado. Um recurso pode não existir mais porque o serviço associado não está sendo usado no momento. As descobertas são arquivadas automaticamente com base em um dos seguintes critérios:
-
A descoberta não é atualizada por 3 a 5 dias (observe que esse é o melhor esforço e não é garantido).
-
A AWS Config avaliação associada foi retornada
NOT_APPLICABLE
.
Controle, descoberta, automação e supressão
Você pode usar as regras de automação do Security Hub para atualizar ou suprimir descobertas de controle específicas. Quando você suprime uma descoberta, ela ainda pode ser acessada em sua conta, mas isso indica que você acredita que nenhuma ação é necessária para resolver a descoberta. Ao suprimir descobertas irrelevantes, você pode reduzir o ruído de descoberta. Por exemplo, você pode suprimir as descobertas de controle geradas nas contas de teste. Ou você pode suprimir descobertas relacionadas a recursos específicos. Para obter mais informações sobre como atualizar ou suprimir automaticamente as descobertas, consulteEntender as regras de automação no Security Hub.
As regras de automação são apropriadas quando você deseja atualizar ou suprimir descobertas de controle específicas. No entanto, se um controle não for relevante para sua organização ou caso de uso, recomendamos desativar o controle. Quando você desativa um controle, o Security Hub não executa verificações de segurança nele e você não é cobrado.
Detalhes de conformidade para resultados de controle
Para descobertas geradas por verificações de segurança de controles, o Compliancecampo no Formato AWS de descoberta de segurança (ASFF) contém detalhes relacionados às descobertas de controle. O campo Compliance
inclui as informações a seguir.
AssociatedStandards
-
Os padrões habilitados nos quais um controle está habilitado.
RelatedRequirements
-
A lista de requisitos relacionados para o controle em todos os padrões habilitados. Os requisitos são da estrutura de segurança de terceiros para o controle, como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCIDSS).
SecurityControlId
-
O identificador para um controle entre os padrões de segurança que o Security Hub suporta.
Status
-
O resultado da verificação mais recente de que o Security Hub foi executado para um determinado controle. Os resultados das verificações anteriores são mantidos em um estado arquivado por 90 dias.
StatusReasons
-
Contém uma lista de motivos para o valor de
Compliance.Status
. Por cada motivo,StatusReasons
inclui o código de motivo e uma descrição.
A tabela a seguir lista os códigos de motivo e descrições disponíveis. As etapas de correção dependem de qual controle gerou uma descoberta com o código do motivo. Escolha um controle no Referência de controles do Security Hub para ver as etapas de correção desse controle.
Código do motivo |
Compliance.Status |
Descrição |
---|---|---|
|
|
A CloudTrail trilha multirregional não tem um filtro métrico válido. |
|
|
Os filtros métricos não estão presentes na CloudTrail trilha multirregional. |
|
|
A conta não tem uma CloudTrail trilha multirregional com a configuração necessária. |
|
|
As CloudTrail trilhas multirregionais não estão na região atual. |
|
|
Nenhuma ação de alarme válida está presente. |
|
|
CloudWatch os alarmes não existem na conta. |
|
AWS Config status é |
AWS Config acesso negado. Verifique se AWS Config está ativado e se recebeu permissões suficientes. |
|
|
AWS Config avaliou seus recursos com base na regra. A regra não se aplicava aos AWS recursos em seu escopo, os recursos especificados foram excluídos ou os resultados da avaliação foram excluídos. |
|
|
O AWS Config gravador usa uma IAM função personalizada em vez da função AWS Config vinculada ao serviço, e o parâmetro |
|
|
AWS Config não está habilitado com o gravador de configuração ligado. |
|
|
AWS Config não está registrando todos os tipos de recursos que correspondem aos controles habilitados do Security Hub. Ative a gravação para os seguintes recursos: |
|
|
O status de conformidade é AWS Config não fornece o motivo do status. Aqui estão alguns motivos possíveis para o status Não aplicável:
|
|
AWS Config status é |
Esse código de motivo é usado para vários tipos diferentes de erros de avaliação. A descrição fornece as informações específicas do motivo. O tipo de erro pode ser um dos seguintes:
|
|
AWS Config status é |
A AWS Config regra está em processo de criação. |
|
|
Ocorreu um erro desconhecido. |
|
FAILED |
O Security Hub não consegue realizar uma verificação em um runtime Lambda personalizado. |
|
|
A descoberta está em estado Essa regra não é compatível com verificações entre regiões ou entre contas. É recomendável que você desabilite esse controle nessa região ou conta. Execute somente na região ou na conta onde o recurso está localizado. |
|
|
Os filtros métricos do CloudWatch Logs não têm uma SNS assinatura válida da Amazon. |
|
WARNING |
A descoberta está em um estado de O SNS tópico associado a essa regra pertence a uma conta diferente. A conta atual não pode obter as informações da assinatura. A conta proprietária do SNS tópico deve conceder à conta atual a |
|
|
A descoberta está em um Essa regra não é compatível com verificações entre regiões ou entre contas. É recomendável que você desabilite esse controle nessa região ou conta. Execute somente na região ou na conta onde o recurso está localizado. |
|
|
O SNS tópico associado a essa regra é inválido. |
|
|
A API operação relevante excedeu a taxa permitida. |
ProductFields detalhes das descobertas de controle
Quando o Security Hub executa verificações de segurança e gera descobertas de controle, o ProductFieldsatributo em ASFF inclui os seguintes campos:
ArchivalReasons:0/Description
-
Descreve por que o Security Hub arquivou as descobertas existentes.
Por exemplo, o Security Hub arquiva descobertas existentes quando você desabilita um controle ou padrão e quando você ativa ou desativa descobertas de controle consolidadas.
ArchivalReasons:0/ReasonCode
-
Fornece o motivo pelo qual o Security Hub arquivou as descobertas existentes.
Por exemplo, o Security Hub arquiva descobertas existentes quando você desabilita um controle ou padrão e quando você ativa ou desativa descobertas de controle consolidadas.
StandardsGuideArn
ouStandardsArn
-
O ARN do padrão associado ao controle.
Para o padrão CIS AWS Foundations Benchmark, o campo é
StandardsGuideArn
.Para PCI DSS os padrões AWS básicos de melhores práticas de segurança, o campo é
StandardsArn
.Esses campos serão removidos em favor dos
Compliance.AssociatedStandards
se você habilitar as descobertas de controles consolidadas. StandardsGuideSubscriptionArn
ouStandardsSubscriptionArn
-
ARNA assinatura padrão da conta.
Para o padrão CIS AWS Foundations Benchmark, o campo é
StandardsGuideSubscriptionArn
.Para PCI DSS os padrões AWS básicos de melhores práticas de segurança, o campo é
StandardsSubscriptionArn
.Esses campos serão removidos se você habilitar as descobertas de controles consolidadas.
RuleId
ouControlId
-
O identificador do controle.
Para o padrão CIS AWS Foundations Benchmark, o campo é
RuleId
.Para outros padrões, o campo é
ControlId
.Esses campos serão removidos em favor dos
Compliance.SecurityControlId
se você habilitar as descobertas de controles consolidadas. RecommendationUrl
-
Até URL as informações de remediação para o controle. Esse campo será removido em favor dos
Remediation.Recommendation.Url
se você habilitar as descobertas de controles consolidadas. RelatedAWSResources:0/name
-
O nome do recurso associado à descoberta.
RelatedAWSResource:0/type
-
O tipo de recurso associado ao controle.
StandardsControlArn
-
O ARN do controle. Esse campo será removido se você habilitar as descobertas de controles consolidadas.
aws/securityhub/ProductName
-
Para descobertas baseadas em controle, o nome do produto é Security Hub.
aws/securityhub/CompanyName
-
Para descobertas baseadas em controle, o nome da empresa é AWS.
aws/securityhub/annotation
-
Uma descrição do problema descoberto pelo controle.
aws/securityhub/FindingId
-
O identificador da descoberta. Esse campo não referenciará um padrão se você habilitar as descobertas de controles consolidadas.
Nível de severidade dos resultados de controle
A severidade atribuída a um controle do Security Hub identifica a importância do controle. A severidade de um controle determina o rótulo de severidade atribuído às descobertas do controle.
Critérios de severidade
A severidade de um controle é determinada com base em uma avaliação dos seguintes critérios:
-
É difícil para um agente de ameaças tirar proveito da fraqueza de configuração associada ao controle?
A dificuldade é determinada pela quantidade de sofisticação ou complexidade necessária para usar a fraqueza para realizar um cenário de ameaça.
-
Qual é a probabilidade de que a fraqueza leve ao comprometimento de seus recursos Contas da AWS ou de seus recursos?
O comprometimento de seus Contas da AWS recursos significa que a confidencialidade, a integridade ou a disponibilidade de seus dados ou AWS infraestrutura estão danificadas de alguma forma.
A probabilidade de comprometimento indica a probabilidade de o cenário de ameaça resultar em uma interrupção ou violação de seus AWS serviços ou recursos.
Como exemplo, considere os seguintes pontos fracos da configuração:
-
As chaves de acesso do usuário não são trocadas a cada 90 dias.
-
IAMexiste uma chave de usuário raiz.
Ambas as fraquezas são igualmente difíceis de serem aproveitadas por um adversário. Em ambos os casos, o adversário pode usar o roubo de credenciais ou algum outro método para adquirir uma chave de usuário. Eles podem então usá-lo para acessar seus recursos de forma não autorizada.
No entanto, a probabilidade de um comprometimento é muito maior se o agente da ameaça adquirir a chave de acesso do usuário raiz, pois isso lhe dá maior acesso. Como resultado, a fraqueza da chave do usuário raiz tem uma severidade maior.
A severidade não leva em conta a criticidade do recurso subjacente. A criticidade é definida como o nível de importância dos recursos associados à descoberta. Por exemplo, um recurso associado a uma aplicação de missão crítica é mais crítico que um associado a testes que não sejam de produção. Para capturar informações sobre a criticidade do recurso, use o Criticality
campo do Formato de descoberta de AWS segurança (ASFF).
A tabela a seguir mapeia a dificuldade de exploração e a probabilidade de comprometimento dos rótulos de segurança.
Comprometimento altamente provável |
Comprometimento provável |
Comprometimento improvável |
Comprometimento altamente improvável |
|
Muito fácil de explorar |
Crítico |
Crítico |
Alto |
Médio |
Um pouco fácil de explorar |
Crítico |
Alto |
Médio |
Médio |
Um pouco difícil de explorar |
Alto |
Médio |
Médio |
Baixo |
Muito difícil de explorar |
Médio |
Médio |
Baixo |
Baixo |
Definições de severidade
Os rótulos de severidade são definidos da seguinte forma.
- Crítico: o problema deve ser corrigido imediatamente para evitar que seja escalonado.
-
Por exemplo, um bucket do S3 aberto é considerado uma descoberta de gravidade crítica. Como muitos atores maliciosos buscam buckets do S3 abertos, é provável que os dados em um bucket do S3 exposto sejam descobertos e acessados por outros.
Em geral, os recursos acessíveis ao público são considerados problemas críticos de segurança. Você deve tratar as descobertas críticas com a máxima urgência. Você também deve considerar a importância do recurso.
- Alto: o problema deve ser tratado como prioridade de curto prazo.
-
Por exemplo, se um grupo de VPC segurança padrão estiver aberto ao tráfego de entrada e saída, ele será considerado de alta severidade. É um pouco fácil para um agente de ameaça comprometer VPC o uso desse método. Também é provável que o agente da ameaça consiga interromper ou exfiltrar recursos quando eles estiverem no. VPC
O Security Hub recomenda que você trate uma descoberta de alta severidade como uma prioridade de curto prazo. Você deve tomar medidas imediatas de correção. Você também deve considerar a importância do recurso.
- Médio: a questão deve ser tratada como uma prioridade de médio prazo.
-
Por exemplo, a falta de criptografia para dados em trânsito é considerada uma descoberta de severidade média. É necessário um man-in-the-middle ataque sofisticado para tirar proveito dessa fraqueza. Em outras palavras, é um pouco difícil. É provável que alguns dados sejam comprometidos se o cenário de ameaça for bem-sucedido.
O Security Hub recomenda que você investigue o recurso implicado o mais cedo possível. Você também deve considerar a importância do recurso.
- Baixo: o problema não requer ação por conta própria.
-
Por exemplo, a falha na coleta de informações forenses é considerada de baixa severidade. Esse controle pode ajudar a evitar futuros compromissos, mas a ausência de perícia não leva diretamente a um comprometimento.
Você não precisa tomar medidas imediatas em relação às descobertas de baixa severidade, mas elas podem fornecer contexto quando você as correlaciona com outros problemas.
- Informativo: nenhuma falha de configuração foi encontrada.
-
Em outras palavras, o status é
PASSED
,WARNING
ouNOT AVAILABLE
.Não há ação recomendada. As descobertas informativas ajudam os clientes a demonstrar que estão em um estado de conformidade.