Gerando e atualizando descobertas de controle - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerando e atualizando descobertas de controle

AWS Security Hub gera descobertas executando verificações em relação aos controles de segurança. Essas descobertas usam o AWS Security Finding Format (ASFF). Observe que, se o tamanho da descoberta exceder o máximo de 240 KB, o objeto Resource.Details será removido. Para controles que são apoiados por AWS Config recursos, você pode ver os detalhes do recurso no AWS Config console.

O Security Hub normalmente cobra por cada verificação de segurança de um controle. No entanto, se vários controles usarem a mesma AWS Config regra, o Security Hub cobrará apenas uma vez por cada verificação contra a AWS Config regra. Se você habilitar as descobertas de controles consolidadas, o Security Hub gerará uma única descoberta para uma verificação de segurança, mesmo quando o controle estiver incluído em vários padrões habilitados.

Por exemplo, a AWS Config regra iam-password-policy é usada por vários controles no padrão Center for Internet Security (CIS) AWS Foundations Benchmark e no padrão Foundational Security Best Practices. Cada vez que o Security Hub executa uma verificação em relação a essa AWS Config regra, ele gera uma descoberta separada para cada controle relacionado, mas cobra apenas uma vez pela verificação.

Descobertas de controle consolidadas

Se as descobertas de controle consolidadas estiverem habilitadas em sua conta, o Security Hub gerará uma única nova descoberta ou atualização de descoberta para cada verificação de segurança de um controle, mesmo que um controle se aplique a vários padrões habilitados. Para ver uma lista dos controles e dos padrões aos quais eles se aplicam, consulte Referência de controles do Security Hub. Recomendamos habilitar as descobertas de controles consolidadas para reduzir o ruído das descobertas.

Se você habilitou o Security Hub Conta da AWS antes de 23 de fevereiro de 2023, você pode habilitar as descobertas de controle consolidadas seguindo as instruções mais adiante nesta seção. Se você habilitar o Security Hub a partir de 23 de fevereiro de 2023, as descobertas de controles consolidadas serão habilitadas automaticamente em sua conta. Porém, se você usar a integração do Security Hub com o AWS Organizations ou convidar contas-membro por um processo de convite manual, as descobertas de controles consolidadas serão habilitadas somente nas contas-membro se forem habilitadas na conta do administrador. Se o atributo for desabilitado na conta do administrador, ele será desabilitado nas conta-membro. Esse comportamento se aplica a contas de membros novas e existentes.

Se você desabilitar as descobertas de controles consolidadas em sua conta, o Security Hub gerará uma descoberta separada por verificação de segurança para cada padrão habilitado que incluir um controle. Por exemplo, se quatro padrões habilitados compartilharem um controle com a mesma AWS Config regra subjacente, você receberá quatro descobertas separadas após uma verificação de segurança do controle. Se você habilitar as descobertas de controles consolidadas, receberá somente uma descoberta.

Quando você habilita as descobertas de controles consolidadas, o Security Hub cria novas descobertas independentes de padrões e arquiva as descobertas originais baseadas em padrões. Alguns campos e valores de busca de controle mudarão e poderão afetar os fluxos de trabalho existentes. Para mais informações sobre essas alterações, consulte Descobertas de controle consolidadas — mudanças ASFF.

A ativação de descobertas de controle consolidadas também pode afetar as descobertas que produtos integrados de terceiros recebem do Security Hub. O Automated Security Response na AWS v2.0.0 oferece suporte a descobertas consolidadas de controle.

Para habilitar ou desabilitar as descobertas de controles consolidadas, você deve fazer login em uma conta de administrador ou a uma conta autônoma.

nota

Depois de habilitar as descobertas de controles consolidadas, o Security Hub pode levar até 24 horas para gerar descobertas novas consolidadas e arquivar as descobertas originais baseadas em padrões. De modo semelhante, depois de desabilitar as descobertas de controles consolidadas, o Security Hub pode levar até 24 horas para gerar descobertas novas baseadas em padrões e arquivar as descobertas consolidadas. Durante esses períodos, você talvez veja uma mistura de descobertas independentes de padrões e baseadas em padrões em sua conta.

Security Hub console
Para habilitar ou desabilitar as descobertas de controles consolidadas (console)
  1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

  2. No painel de navegação, selecione Configurações.

  3. Escolha a guia Geral.

  4. Em Controles, ative ou desative as Descobertas de controle consolidadas.

  5. Escolha Salvar.

Security Hub API, AWS CLI
Para habilitar ou desabilitar descobertas de controle consolidadas (API, AWS CLI)
  1. Use a operação UpdateSecurityHubConfiguration. Se você estiver usando o AWS CLI, execute o update-security-hub-configurationcomando.

  2. Defina control-finding-generator igual a SECURITY_CONTROL para habilitar as descobertas de controles consolidadas. Defina control-finding-generator igual a STANDARD_CONTROL para desabilitar as descobertas de controles consolidadas

    Por exemplo, o AWS CLI comando a seguir permite descobertas de controle consolidadas. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

    $ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

    O AWS CLI comando a seguir desativa as descobertas de controle consolidadas. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

    $ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

Gerando novas descobertas versus atualizando descobertas existentes

O Security Hub executa verificações de segurança em um cronograma. Uma verificação subsequente em um determinado controle pode gerar um novo resultado. Por exemplo, o status de um controle pode mudar de FAILED paraPASSED. Nesse caso, o Security Hub gera uma nova descoberta que contém o resultado mais recente.

Se uma verificação subsequente em relação a uma determinada regra gerar um resultado idêntico ao resultado atual, o Security Hub atualizará a descoberta existente. Nenhuma nova descoberta será gerada.

O Security Hub arquiva automaticamente as descobertas dos controles se o recurso associado for excluído, se o recurso não existir ou se o controle estiver desabilitado. Um recurso pode não existir mais porque o serviço associado não está sendo usado no momento. As descobertas são arquivadas automaticamente com base em um dos seguintes critérios:

  • A descoberta não é atualizada por 3 a 5 dias (observe que esse é o melhor esforço e não é garantido).

  • A AWS Config avaliação associada foi retornadaNOT_APPLICABLE.

Controle, descoberta, automação e supressão

Você pode usar as regras de automação do Security Hub para atualizar ou suprimir descobertas de controle específicas. Quando você suprime uma descoberta, ela ainda pode ser acessada em sua conta, mas isso indica que você acredita que nenhuma ação é necessária para resolver a descoberta. Ao suprimir descobertas irrelevantes, você pode reduzir o ruído de descoberta. Por exemplo, você pode suprimir as descobertas de controle geradas nas contas de teste. Ou você pode suprimir descobertas relacionadas a recursos específicos. Para obter mais informações sobre como atualizar ou suprimir automaticamente as descobertas, consulteEntender as regras de automação no Security Hub.

As regras de automação são apropriadas quando você deseja atualizar ou suprimir descobertas de controle específicas. No entanto, se um controle não for relevante para sua organização ou caso de uso, recomendamos desativar o controle. Quando você desativa um controle, o Security Hub não executa verificações de segurança nele e você não é cobrado.

Detalhes de conformidade para resultados de controle

Para descobertas geradas por verificações de segurança de controles, o Compliancecampo no Formato AWS de descoberta de segurança (ASFF) contém detalhes relacionados às descobertas de controle. O campo Compliance inclui as informações a seguir.

AssociatedStandards

Os padrões habilitados nos quais um controle está habilitado.

RelatedRequirements

A lista de requisitos relacionados para o controle em todos os padrões habilitados. Os requisitos são da estrutura de segurança de terceiros para o controle, como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCIDSS).

SecurityControlId

O identificador para um controle entre os padrões de segurança que o Security Hub suporta.

Status

O resultado da verificação mais recente de que o Security Hub foi executado para um determinado controle. Os resultados das verificações anteriores são mantidos em um estado arquivado por 90 dias.

StatusReasons

Contém uma lista de motivos para o valor de Compliance.Status. Por cada motivo, StatusReasons inclui o código de motivo e uma descrição.

A tabela a seguir lista os códigos de motivo e descrições disponíveis. As etapas de correção dependem de qual controle gerou uma descoberta com o código do motivo. Escolha um controle no Referência de controles do Security Hub para ver as etapas de correção desse controle.

Código do motivo

Compliance.Status

Descrição

CLOUDTRAIL_METRIC_FILTER_NOT_VALID

FAILED

A CloudTrail trilha multirregional não tem um filtro métrico válido.

CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT

FAILED

Os filtros métricos não estão presentes na CloudTrail trilha multirregional.

CLOUDTRAIL_MULTI_REGION_NOT_PRESENT

FAILED

A conta não tem uma CloudTrail trilha multirregional com a configuração necessária.

CLOUDTRAIL_REGION_INVAILD

WARNING

As CloudTrail trilhas multirregionais não estão na região atual.

CLOUDWATCH_ALARM_ACTIONS_NOT_VALID

FAILED

Nenhuma ação de alarme válida está presente.

CLOUDWATCH_ALARMS_NOT_PRESENT

FAILED

CloudWatch os alarmes não existem na conta.

CONFIG_ACCESS_DENIED

NOT_AVAILABLE

AWS Config status é ConfigError

AWS Config acesso negado.

Verifique se AWS Config está ativado e se recebeu permissões suficientes.

CONFIG_EVALUATIONS_EMPTY

PASSED

AWS Config avaliou seus recursos com base na regra.

A regra não se aplicava aos AWS recursos em seu escopo, os recursos especificados foram excluídos ou os resultados da avaliação foram excluídos.

CONFIG_RECORDER_CUSTOM_ROLE

FAILED(para Config.1)

O AWS Config gravador usa uma IAM função personalizada em vez da função AWS Config vinculada ao serviço, e o parâmetro includeConfigServiceLinkedRoleCheck personalizado para Config.1 não está definido como. false

CONFIG_RECORDER_DISABLED

FAILED(para Config.1)

AWS Config não está habilitado com o gravador de configuração ligado.

CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES

FAILED(para Config.1)

AWS Config não está registrando todos os tipos de recursos que correspondem aos controles habilitados do Security Hub. Ative a gravação para os seguintes recursos:Resources that aren't being recorded.

CONFIG_RETURNS_NOT_APPLICABLE

NOT_AVAILABLE

O status de conformidade é NOT_AVAILABLE porque AWS Config retornou um status de Não aplicável.

AWS Config não fornece o motivo do status. Aqui estão alguns motivos possíveis para o status Não aplicável:

  • O recurso foi removido do escopo da AWS Config regra.

  • A AWS Config regra foi excluída.

  • O recurso foi excluído.

  • A lógica da AWS Config regra pode produzir um status Não aplicável.

CONFIG_RULE_EVALUATION_ERROR

NOT_AVAILABLE

AWS Config status é ConfigError

Esse código de motivo é usado para vários tipos diferentes de erros de avaliação.

A descrição fornece as informações específicas do motivo.

O tipo de erro pode ser um dos seguintes:

  • Uma incapacidade de realizar a avaliação devido à falta de permissões. A descrição fornece a permissão específica que está faltando.

  • Um valor ausente ou inválido para um parâmetro. A descrição fornece o parâmetro e os requisitos para o valor do parâmetro.

  • Erro ao ler a partir de um bucket do S3. A descrição identifica o bucket e fornece o erro específico.

  • Uma AWS assinatura ausente.

  • Um tempo limite geral para a avaliação.

  • Uma conta suspensa.

CONFIG_RULE_NOT_FOUND

NOT_AVAILABLE

AWS Config status é ConfigError

A AWS Config regra está em processo de criação.

INTERNAL_SERVICE_ERROR

NOT_AVAILABLE

Ocorreu um erro desconhecido.

LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE

FAILED

O Security Hub não consegue realizar uma verificação em um runtime Lambda personalizado.

S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION

WARNING

A descoberta está em estado WARNING porque o bucket do S3 associado a essa regra está em uma região ou conta diferente.

Essa regra não é compatível com verificações entre regiões ou entre contas.

É recomendável que você desabilite esse controle nessa região ou conta. Execute somente na região ou na conta onde o recurso está localizado.

SNS_SUBSCRIPTION_NOT_PRESENT

FAILED

Os filtros métricos do CloudWatch Logs não têm uma SNS assinatura válida da Amazon.

SNS_TOPIC_CROSS_ACCOUNT

WARNING

A descoberta está em um estado de WARNING.

O SNS tópico associado a essa regra pertence a uma conta diferente. A conta atual não pode obter as informações da assinatura.

A conta proprietária do SNS tópico deve conceder à conta atual a sns:ListSubscriptionsByTopic permissão para o SNS tópico.

SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION

WARNING

A descoberta está em um WARNING estado porque o SNS tópico associado a essa regra está em uma região ou conta diferente.

Essa regra não é compatível com verificações entre regiões ou entre contas.

É recomendável que você desabilite esse controle nessa região ou conta. Execute somente na região ou na conta onde o recurso está localizado.

SNS_TOPIC_INVALID

FAILED

O SNS tópico associado a essa regra é inválido.

THROTTLING_ERROR

NOT_AVAILABLE

A API operação relevante excedeu a taxa permitida.

ProductFields detalhes das descobertas de controle

Quando o Security Hub executa verificações de segurança e gera descobertas de controle, o ProductFieldsatributo em ASFF inclui os seguintes campos:

ArchivalReasons:0/Description

Descreve por que o Security Hub arquivou as descobertas existentes.

Por exemplo, o Security Hub arquiva descobertas existentes quando você desabilita um controle ou padrão e quando você ativa ou desativa descobertas de controle consolidadas.

ArchivalReasons:0/ReasonCode

Fornece o motivo pelo qual o Security Hub arquivou as descobertas existentes.

Por exemplo, o Security Hub arquiva descobertas existentes quando você desabilita um controle ou padrão e quando você ativa ou desativa descobertas de controle consolidadas.

StandardsGuideArn ou StandardsArn

O ARN do padrão associado ao controle.

Para o padrão CIS AWS Foundations Benchmark, o campo éStandardsGuideArn.

Para PCI DSS os padrões AWS básicos de melhores práticas de segurança, o campo éStandardsArn.

Esses campos serão removidos em favor dos Compliance.AssociatedStandards se você habilitar as descobertas de controles consolidadas.

StandardsGuideSubscriptionArn ou StandardsSubscriptionArn

ARNA assinatura padrão da conta.

Para o padrão CIS AWS Foundations Benchmark, o campo éStandardsGuideSubscriptionArn.

Para PCI DSS os padrões AWS básicos de melhores práticas de segurança, o campo éStandardsSubscriptionArn.

Esses campos serão removidos se você habilitar as descobertas de controles consolidadas.

RuleId ou ControlId

O identificador do controle.

Para o padrão CIS AWS Foundations Benchmark, o campo éRuleId.

Para outros padrões, o campo é ControlId.

Esses campos serão removidos em favor dos Compliance.SecurityControlId se você habilitar as descobertas de controles consolidadas.

RecommendationUrl

Até URL as informações de remediação para o controle. Esse campo será removido em favor dos Remediation.Recommendation.Url se você habilitar as descobertas de controles consolidadas.

RelatedAWSResources:0/name

O nome do recurso associado à descoberta.

RelatedAWSResource:0/type

O tipo de recurso associado ao controle.

StandardsControlArn

O ARN do controle. Esse campo será removido se você habilitar as descobertas de controles consolidadas.

aws/securityhub/ProductName

Para descobertas baseadas em controle, o nome do produto é Security Hub.

aws/securityhub/CompanyName

Para descobertas baseadas em controle, o nome da empresa é AWS.

aws/securityhub/annotation

Uma descrição do problema descoberto pelo controle.

aws/securityhub/FindingId

O identificador da descoberta. Esse campo não referenciará um padrão se você habilitar as descobertas de controles consolidadas.

Nível de severidade dos resultados de controle

A severidade atribuída a um controle do Security Hub identifica a importância do controle. A severidade de um controle determina o rótulo de severidade atribuído às descobertas do controle.

Critérios de severidade

A severidade de um controle é determinada com base em uma avaliação dos seguintes critérios:

  • É difícil para um agente de ameaças tirar proveito da fraqueza de configuração associada ao controle?

    A dificuldade é determinada pela quantidade de sofisticação ou complexidade necessária para usar a fraqueza para realizar um cenário de ameaça.

  • Qual é a probabilidade de que a fraqueza leve ao comprometimento de seus recursos Contas da AWS ou de seus recursos?

    O comprometimento de seus Contas da AWS recursos significa que a confidencialidade, a integridade ou a disponibilidade de seus dados ou AWS infraestrutura estão danificadas de alguma forma.

    A probabilidade de comprometimento indica a probabilidade de o cenário de ameaça resultar em uma interrupção ou violação de seus AWS serviços ou recursos.

Como exemplo, considere os seguintes pontos fracos da configuração:

  • As chaves de acesso do usuário não são trocadas a cada 90 dias.

  • IAMexiste uma chave de usuário raiz.

Ambas as fraquezas são igualmente difíceis de serem aproveitadas por um adversário. Em ambos os casos, o adversário pode usar o roubo de credenciais ou algum outro método para adquirir uma chave de usuário. Eles podem então usá-lo para acessar seus recursos de forma não autorizada.

No entanto, a probabilidade de um comprometimento é muito maior se o agente da ameaça adquirir a chave de acesso do usuário raiz, pois isso lhe dá maior acesso. Como resultado, a fraqueza da chave do usuário raiz tem uma severidade maior.

A severidade não leva em conta a criticidade do recurso subjacente. A criticidade é definida como o nível de importância dos recursos associados à descoberta. Por exemplo, um recurso associado a uma aplicação de missão crítica é mais crítico que um associado a testes que não sejam de produção. Para capturar informações sobre a criticidade do recurso, use o Criticality campo do Formato de descoberta de AWS segurança (ASFF).

A tabela a seguir mapeia a dificuldade de exploração e a probabilidade de comprometimento dos rótulos de segurança.

Comprometimento altamente provável

Comprometimento provável

Comprometimento improvável

Comprometimento altamente improvável

Muito fácil de explorar

Crítico

Crítico

Alto

Médio

Um pouco fácil de explorar

Crítico

Alto

Médio

Médio

Um pouco difícil de explorar

Alto

Médio

Médio

Baixo

Muito difícil de explorar

Médio

Médio

Baixo

Baixo

Definições de severidade

Os rótulos de severidade são definidos da seguinte forma.

Crítico: o problema deve ser corrigido imediatamente para evitar que seja escalonado.

Por exemplo, um bucket do S3 aberto é considerado uma descoberta de gravidade crítica. Como muitos atores maliciosos buscam buckets do S3 abertos, é provável que os dados em um bucket do S3 exposto sejam descobertos e acessados por outros.

Em geral, os recursos acessíveis ao público são considerados problemas críticos de segurança. Você deve tratar as descobertas críticas com a máxima urgência. Você também deve considerar a importância do recurso.

Alto: o problema deve ser tratado como prioridade de curto prazo.

Por exemplo, se um grupo de VPC segurança padrão estiver aberto ao tráfego de entrada e saída, ele será considerado de alta severidade. É um pouco fácil para um agente de ameaça comprometer VPC o uso desse método. Também é provável que o agente da ameaça consiga interromper ou exfiltrar recursos quando eles estiverem no. VPC

O Security Hub recomenda que você trate uma descoberta de alta severidade como uma prioridade de curto prazo. Você deve tomar medidas imediatas de correção. Você também deve considerar a importância do recurso.

Médio: a questão deve ser tratada como uma prioridade de médio prazo.

Por exemplo, a falta de criptografia para dados em trânsito é considerada uma descoberta de severidade média. É necessário um man-in-the-middle ataque sofisticado para tirar proveito dessa fraqueza. Em outras palavras, é um pouco difícil. É provável que alguns dados sejam comprometidos se o cenário de ameaça for bem-sucedido.

O Security Hub recomenda que você investigue o recurso implicado o mais cedo possível. Você também deve considerar a importância do recurso.

Baixo: o problema não requer ação por conta própria.

Por exemplo, a falha na coleta de informações forenses é considerada de baixa severidade. Esse controle pode ajudar a evitar futuros compromissos, mas a ausência de perícia não leva diretamente a um comprometimento.

Você não precisa tomar medidas imediatas em relação às descobertas de baixa severidade, mas elas podem fornecer contexto quando você as correlaciona com outros problemas.

Informativo: nenhuma falha de configuração foi encontrada.

Em outras palavras, o status é PASSED, WARNING ou NOT AVAILABLE.

Não há ação recomendada. As descobertas informativas ajudam os clientes a demonstrar que estão em um estado de conformidade.