As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerando e atualizando descobertas de controle
AWS Security Hub gera descobertas executando verificações nos controles de segurança. Essas descobertas usam o AWS Security Finding Format (ASFF). Observe que, se o tamanho da descoberta exceder o máximo de 240 KB, o objeto Resource.Details
será removido. Para controles que são apoiados por AWS Config
recursos, você pode ver os detalhes do recurso no AWS Config console.
O Security Hub normalmente cobra por cada verificação de segurança de um controle. No entanto, se vários controles usarem a mesma AWS Config regra, o Security Hub cobrará apenas uma vez por cada verificação contra a AWS Config regra. Se você habilitar descobertas de controle consolidadas, o Security Hub gerará uma única descoberta para uma verificação de segurança, mesmo quando o controle estiver incluído em vários padrões habilitados.
Por exemplo, a AWS Config regra iam-password-policy
é usada por vários controles no padrão Center for Internet Security (CIS) AWS Foundations Benchmark e no padrão Foundational Security Best Practices. Cada vez que o Security Hub executa uma verificação em relação a essa AWS Config regra, ele gera uma descoberta separada para cada controle relacionado, mas cobra apenas uma vez pela verificação.
Consolidando as descobertas de controle
Se você ativar o recurso de descobertas de controle consolidadas em sua conta, o Security Hub gerará uma única nova descoberta ou atualização de descoberta para cada verificação de segurança de um controle, mesmo que um controle se aplique a vários padrões habilitados. Para ver uma lista dos controles e dos padrões aos quais eles se aplicam, consulte Referência de controles do Security Hub. Recomendamos habilitar descobertas de controle consolidadas para reduzir o ruído de localização.
Se você ativou o Security Hub Conta da AWS antes de 23 de fevereiro de 2023, poderá habilitar as descobertas de controle consolidadas seguindo as instruções mais adiante nesta seção. Se você ativar o Security Hub em ou após 23 de fevereiro de 2023, as descobertas de controle consolidadas serão habilitadas automaticamente em sua conta. No entanto, se você usar a integração do Security Hub com AWS Organizations ou convidar contas de membros por meio de um processo de convite manual, as descobertas de controle consolidado serão habilitadas nas contas dos membros somente se estiverem habilitadas na conta do administrador. Se o recurso estiver desativado na conta do administrador, ele será desativado nas contas dos membros. Esse comportamento se aplica a contas de membros novas e existentes.
Se você desabilitar as descobertas de controle consolidadas em sua conta, o Security Hub gerará uma descoberta separada por verificação de segurança para cada padrão habilitado que inclui um controle. Por exemplo, se quatro padrões habilitados compartilharem um controle com a mesma AWS Config regra subjacente, você receberá quatro descobertas separadas após uma verificação de segurança do controle. Se você habilitar descobertas de controle consolidadas, receberá somente uma descoberta. Para obter mais informações sobre como a consolidação afeta suas descobertas, consulte Exemplos de descobertas de controle no Security Hub.
Quando você habilita descobertas de controle consolidadas, o Security Hub cria novas descobertas independentes de padrões e arquiva as descobertas originais baseadas em padrões. Alguns campos e valores de busca de controle mudarão e poderão afetar os fluxos de trabalho existentes. Para mais informações sobre essas alterações, consulte Descobertas de controle consolidadas — mudanças ASFF.
Ativar as descobertas de controle consolidadas também pode afetar as descobertas que as integrações de terceiros recebem do Security Hub. O Automated Security Response na AWS v2.0.0
Para ativar ou desativar as descobertas de controle consolidadas, você deve estar conectado a uma conta de administrador ou a uma conta independente.
nota
Depois de habilitar as descobertas de controle consolidadas, pode levar até 24 horas para que o Security Hub gere descobertas novas e consolidadas e arquive as descobertas originais baseadas em padrões. Da mesma forma, depois de desativar as descobertas de controle consolidadas, pode levar até 24 horas para que o Security Hub gere novas descobertas baseadas em padrões e arquive as descobertas consolidadas. Durante esses períodos, você pode ver uma combinação de descobertas independentes de padrões e baseadas em padrões em sua conta.
Detalhes Compliance
das descobertas de controle
Para descobertas geradas por verificações de segurança de controles, o Compliancecampo no Formato AWS de descoberta de segurança (ASFF) contém detalhes relacionados às descobertas de controle. O campo Compliance inclui as informações a seguir.
AssociatedStandards
-
Os padrões habilitados nos quais um controle está habilitado.
RelatedRequirements
-
A lista de requisitos relacionados para o controle em todos os padrões habilitados. Os requisitos são da estrutura de segurança de terceiros para o controle, como o Payment Card Industry Data Security Standard (PCIDSS).
SecurityControlId
-
O identificador para um controle entre os padrões de segurança que o Security Hub suporta.
Status
-
O resultado da verificação mais recente de que o Security Hub foi executado para um determinado controle. Os resultados das verificações anteriores são mantidos em um estado arquivado por 90 dias.
StatusReasons
-
Contém uma lista de motivos para o valor de
Compliance.Status
. Por cada motivo,StatusReasons
inclui o código de motivo e uma descrição.
A tabela a seguir lista os códigos de motivo e descrições disponíveis. As etapas de correção dependem de qual controle gerou uma descoberta com o código do motivo. Escolha um controle no Referência de controles do Security Hub para ver as etapas de correção desse controle.
Código do motivo |
Compliance.Status |
Descrição |
---|---|---|
|
|
A CloudTrail trilha multirregional não tem um filtro métrico válido. |
|
|
Os filtros métricos não estão presentes na CloudTrail trilha multirregional. |
|
|
A conta não tem uma CloudTrail trilha multirregional com a configuração necessária. |
|
|
As CloudTrail trilhas multirregionais não estão na região atual. |
|
|
Nenhuma ação de alarme válida está presente. |
|
|
CloudWatch os alarmes não existem na conta. |
|
AWS Config status é |
AWS Config acesso negado. Verifique se AWS Config está ativado e se recebeu permissões suficientes. |
|
|
AWS Config avaliou seus recursos com base na regra. A regra não se aplicava aos AWS recursos em seu escopo, os recursos especificados foram excluídos ou os resultados da avaliação foram excluídos. |
|
|
O status de conformidade é AWS Config não fornece o motivo do status. Aqui estão alguns motivos possíveis para o status Não aplicável:
|
|
AWS Config status é |
Esse código de motivo é usado para vários tipos diferentes de erros de avaliação. A descrição fornece as informações específicas do motivo. O tipo de erro pode ser um dos seguintes:
|
|
AWS Config status é |
A AWS Config regra está em processo de criação. |
|
|
Ocorreu um erro desconhecido. |
|
FAILED |
O Security Hub não consegue realizar uma verificação em um runtime Lambda personalizado. |
|
|
A descoberta está em estado Essa regra não é compatível com verificações entre regiões ou entre contas. É recomendável que você desabilite esse controle nessa região ou conta. Execute somente na região ou na conta onde o recurso está localizado. |
|
|
Os filtros métricos do CloudWatch Logs não têm uma SNS assinatura válida da Amazon. |
|
WARNING |
A descoberta está em um estado de O SNS tópico associado a essa regra pertence a uma conta diferente. A conta atual não pode obter as informações da assinatura. A conta proprietária do SNS tópico deve conceder à conta atual a |
|
|
A descoberta está em um Essa regra não é compatível com verificações entre regiões ou entre contas. É recomendável que você desabilite esse controle nessa região ou conta. Execute somente na região ou na conta onde o recurso está localizado. |
|
|
O SNS tópico associado a essa regra é inválido. |
|
|
A API operação relevante excedeu a taxa permitida. |
Detalhes ProductFields
das descobertas de controle
Quando o Security Hub executa verificações de segurança e gera descobertas de controle, o ProductFields
atributo em ASFF inclui os seguintes campos:
ArchivalReasons:0/Description
-
Descreve por que o Security Hub arquivou as descobertas existentes.
Por exemplo, o Security Hub arquiva descobertas existentes quando você desabilita um controle ou padrão e quando você ativa ou desativa descobertas de controle consolidadas.
ArchivalReasons:0/ReasonCode
-
Fornece o motivo pelo qual o Security Hub arquivou as descobertas existentes.
Por exemplo, o Security Hub arquiva descobertas existentes quando você desabilita um controle ou padrão e quando você ativa ou desativa descobertas de controle consolidadas.
StandardsGuideArn
ouStandardsArn
-
O ARN do padrão associado ao controle.
Para o padrão CIS AWS Foundations Benchmark, o campo é
StandardsGuideArn
.Para PCI DSS os padrões AWS básicos de melhores práticas de segurança, o campo é
StandardsArn
.Esses campos são removidos para que
Compliance.AssociatedStandards
você habilite descobertas de controle consolidadas. StandardsGuideSubscriptionArn
ouStandardsSubscriptionArn
-
ARNA assinatura padrão da conta.
Para o padrão CIS AWS Foundations Benchmark, o campo é
StandardsGuideSubscriptionArn
.Para PCI DSS os padrões AWS básicos de melhores práticas de segurança, o campo é
StandardsSubscriptionArn
.Esses campos serão removidos se você habilitar descobertas de controle consolidadas.
RuleId
ouControlId
-
O identificador do controle.
Para o padrão CIS AWS Foundations Benchmark, o campo é
RuleId
.Para outros padrões, o campo é
ControlId
.Esses campos são removidos para que
Compliance.SecurityControlId
você habilite descobertas de controle consolidadas. RecommendationUrl
-
Até URL as informações de remediação para o controle. Esse campo será removido em favor de
Remediation.Recommendation.Url
se você habilitar descobertas de controle consolidadas. RelatedAWSResources:0/name
-
O nome do recurso associado à descoberta.
RelatedAWSResource:0/type
-
O tipo de recurso associado ao controle.
StandardsControlArn
-
O ARN do controle. Esse campo será removido se você habilitar descobertas de controle consolidadas.
aws/securityhub/ProductName
-
Para descobertas baseadas em controle, o nome do produto é Security Hub.
aws/securityhub/CompanyName
-
Para descobertas baseadas em controle, o nome da empresa é AWS.
aws/securityhub/annotation
-
Uma descrição do problema descoberto pelo controle.
aws/securityhub/FindingId
-
O identificador da descoberta. Esse campo não faz referência a um padrão se você habilitar descobertas de controle consolidadas.
Atribuir severidade às descobertas de controle
A severidade atribuída a um controle do Security Hub identifica a importância do controle. A severidade de um controle determina o rótulo de severidade atribuído às descobertas do controle.
Critérios de severidade
A severidade de um controle é determinada com base em uma avaliação dos seguintes critérios:
-
É difícil para um agente de ameaças tirar proveito da fraqueza de configuração associada ao controle?
A dificuldade é determinada pela quantidade de sofisticação ou complexidade necessária para usar a fraqueza para realizar um cenário de ameaça.
-
Qual é a probabilidade de que a fraqueza leve ao comprometimento de seus recursos Contas da AWS ou de seus recursos?
O comprometimento de seus Contas da AWS recursos significa que a confidencialidade, a integridade ou a disponibilidade de seus dados ou AWS infraestrutura estão danificadas de alguma forma.
A probabilidade de comprometimento indica a probabilidade de o cenário de ameaça resultar em uma interrupção ou violação de seus AWS serviços ou recursos.
Como exemplo, considere os seguintes pontos fracos da configuração:
-
As chaves de acesso do usuário não são trocadas a cada 90 dias.
-
IAMexiste uma chave de usuário raiz.
Ambas as fraquezas são igualmente difíceis de serem aproveitadas por um adversário. Em ambos os casos, o adversário pode usar o roubo de credenciais ou algum outro método para adquirir uma chave de usuário. Eles podem então usá-lo para acessar seus recursos de forma não autorizada.
No entanto, a probabilidade de um comprometimento é muito maior se o agente da ameaça adquirir a chave de acesso do usuário raiz, pois isso lhe dá maior acesso. Como resultado, a fraqueza da chave do usuário raiz tem uma severidade maior.
A severidade não leva em conta a criticidade do recurso subjacente. A criticidade é definida como o nível de importância dos recursos associados à descoberta. Por exemplo, um recurso associado a uma aplicação de missão crítica é mais crítico que um associado a testes que não sejam de produção. Para capturar informações sobre a criticidade do recurso, use o Criticality
campo do Formato de descoberta de AWS segurança (ASFF).
A tabela a seguir mapeia a dificuldade de exploração e a probabilidade de comprometimento dos rótulos de segurança.
Comprometimento altamente provável |
Comprometimento provável |
Comprometimento improvável |
Comprometimento altamente improvável |
|
Muito fácil de explorar |
Crítico |
Crítico |
Alta |
Médio |
Um pouco fácil de explorar |
Crítico |
Alta |
Médio |
Médio |
Um pouco difícil de explorar |
Alta |
Médio |
Médio |
Baixo |
Muito difícil de explorar |
Médio |
Médio |
Baixo |
Baixo |
Definições de severidade
Os rótulos de severidade são definidos da seguinte forma.
- Crítico: o problema deve ser corrigido imediatamente para evitar que seja escalonado.
-
Por exemplo, um bucket do S3 aberto é considerado uma descoberta de gravidade crítica. Como muitos atores maliciosos buscam buckets do S3 abertos, é provável que os dados em um bucket do S3 exposto sejam descobertos e acessados por outros.
Em geral, os recursos acessíveis ao público são considerados problemas críticos de segurança. Você deve tratar as descobertas críticas com a máxima urgência. Você também deve considerar a importância do recurso.
- Alto: o problema deve ser tratado como prioridade de curto prazo.
-
Por exemplo, se um grupo de VPC segurança padrão estiver aberto ao tráfego de entrada e saída, ele será considerado de alta severidade. É um pouco fácil para um agente de ameaça comprometer VPC o uso desse método. Também é provável que o agente da ameaça consiga interromper ou exfiltrar recursos quando eles estiverem no. VPC
O Security Hub recomenda que você trate uma descoberta de alta severidade como uma prioridade de curto prazo. Você deve tomar medidas imediatas de correção. Você também deve considerar a importância do recurso.
- Médio: a questão deve ser tratada como uma prioridade de médio prazo.
-
Por exemplo, a falta de criptografia para dados em trânsito é considerada uma descoberta de severidade média. É necessário um man-in-the-middle ataque sofisticado para tirar proveito dessa fraqueza. Em outras palavras, é um pouco difícil. É provável que alguns dados sejam comprometidos se o cenário de ameaça for bem-sucedido.
O Security Hub recomenda que você investigue o recurso implicado o mais cedo possível. Você também deve considerar a importância do recurso.
- Baixo: o problema não requer ação por conta própria.
-
Por exemplo, a falha na coleta de informações forenses é considerada de baixa severidade. Esse controle pode ajudar a evitar futuros compromissos, mas a ausência de perícia não leva diretamente a um comprometimento.
Você não precisa tomar medidas imediatas em relação às descobertas de baixa severidade, mas elas podem fornecer contexto quando você as correlaciona com outros problemas.
- Informativo: nenhuma falha de configuração foi encontrada.
-
Em outras palavras, o status é
PASSED
,WARNING
ouNOT AVAILABLE
.Não há ação recomendada. As descobertas informativas ajudam os clientes a demonstrar que estão em um estado de conformidade.
Regras para atualizar as descobertas de controle
Uma verificação subsequente em relação a uma determinada regra pode gerar um novo resultado. Por exemplo, o status de “Evitar o uso do usuário raiz” pode mudar de FAILED
para PASSED
. Nesse caso, é gerada uma nova descoberta contendo o resultado mais recente.
Se uma verificação subsequente com base em uma determinada regra gerar um resultado idêntico ao resultado atual, a descoberta existente será atualizada. Nenhuma nova descoberta será gerada.
O Security Hub arquiva automaticamente as descobertas dos controles se o recurso associado for excluído, se o recurso não existir ou se o controle estiver desabilitado. Um recurso pode não existir mais porque o serviço associado não está sendo usado no momento. As descobertas são arquivadas automaticamente com base em um dos seguintes critérios:
-
A descoberta não é atualizada em três a cinco dias (observe que esse é a melhor tentativa e não é garantida).
-
A AWS Config avaliação associada retornou
NOT_APPLICABLE
.