Gerando e atualizando descobertas de controle

AWS Security Hub gera descobertas executando verificações nos controles de segurança. Essas descobertas usam o AWS Security Finding Format (ASFF). Observe que, se o tamanho da descoberta exceder o máximo de 240 KB, o objeto Resource.Details será removido. Para controles que são apoiados por AWS Config recursos, você pode ver os detalhes do recurso no AWS Config console.

O Security Hub normalmente cobra por cada verificação de segurança de um controle. No entanto, se vários controles usarem a mesma AWS Config regra, o Security Hub cobrará apenas uma vez por cada verificação contra a AWS Config regra. Se você habilitar descobertas de controle consolidadas, o Security Hub gerará uma única descoberta para uma verificação de segurança, mesmo quando o controle estiver incluído em vários padrões habilitados.

Por exemplo, a AWS Config regra iam-password-policy é usada por vários controles no padrão Center for Internet Security (CIS) AWS Foundations Benchmark e no padrão Foundational Security Best Practices. Cada vez que o Security Hub executa uma verificação em relação a essa AWS Config regra, ele gera uma descoberta separada para cada controle relacionado, mas cobra apenas uma vez pela verificação.

Consolidando as descobertas de controle

Se você ativar o recurso de descobertas de controle consolidadas em sua conta, o Security Hub gerará uma única nova descoberta ou atualização de descoberta para cada verificação de segurança de um controle, mesmo que um controle se aplique a vários padrões habilitados. Para ver uma lista dos controles e dos padrões aos quais eles se aplicam, consulte Referência de controles do Security Hub. Recomendamos habilitar descobertas de controle consolidadas para reduzir o ruído de localização.

Se você ativou o Security Hub Conta da AWS antes de 23 de fevereiro de 2023, poderá habilitar as descobertas de controle consolidadas seguindo as instruções mais adiante nesta seção. Se você ativar o Security Hub em ou após 23 de fevereiro de 2023, as descobertas de controle consolidadas serão habilitadas automaticamente em sua conta. No entanto, se você usar a integração do Security Hub com AWS Organizations ou convidar contas de membros por meio de um processo de convite manual, as descobertas de controle consolidado serão habilitadas nas contas dos membros somente se estiverem habilitadas na conta do administrador. Se o recurso estiver desativado na conta do administrador, ele será desativado nas contas dos membros. Esse comportamento se aplica a contas de membros novas e existentes.

Se você desabilitar as descobertas de controle consolidadas em sua conta, o Security Hub gerará uma descoberta separada por verificação de segurança para cada padrão habilitado que inclui um controle. Por exemplo, se quatro padrões habilitados compartilharem um controle com a mesma AWS Config regra subjacente, você receberá quatro descobertas separadas após uma verificação de segurança do controle. Se você habilitar descobertas de controle consolidadas, receberá somente uma descoberta. Para obter mais informações sobre como a consolidação afeta suas descobertas, consulte Exemplos de descobertas de controle no Security Hub.

Quando você habilita descobertas de controle consolidadas, o Security Hub cria novas descobertas independentes de padrões e arquiva as descobertas originais baseadas em padrões. Alguns campos e valores de busca de controle mudarão e poderão afetar os fluxos de trabalho existentes. Para mais informações sobre essas alterações, consulte Descobertas de controle consolidadas — mudanças ASFF.

Ativar as descobertas de controle consolidadas também pode afetar as descobertas que as integrações de terceiros recebem do Security Hub. O Automated Security Response na AWS v2.0.0 oferece suporte a descobertas consolidadas de controle.

Para ativar ou desativar as descobertas de controle consolidadas, você deve estar conectado a uma conta de administrador ou a uma conta independente.

nota

Depois de habilitar as descobertas de controle consolidadas, pode levar até 24 horas para que o Security Hub gere descobertas novas e consolidadas e arquive as descobertas originais baseadas em padrões. Da mesma forma, depois de desativar as descobertas de controle consolidadas, pode levar até 24 horas para que o Security Hub gere novas descobertas baseadas em padrões e arquive as descobertas consolidadas. Durante esses períodos, você pode ver uma combinação de descobertas independentes de padrões e baseadas em padrões em sua conta.

Security Hub console

Para habilitar ou desabilitar descobertas de controle consolidadas (console)

1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

2. No painel de navegação, selecione Configurações.

3. Escolha a guia Geral.

4. Para Controles, ative ou desative as descobertas do controle consolidado.

5. Escolha Salvar.

Security Hub API, AWS CLI

Para habilitar ou desabilitar descobertas de controle consolidadas (API, AWS CLI)

1. Use a UpdateSecurityHubConfigurationoperação. Se você estiver usando o AWS CLI, execute o update-security-hub-configurationcomando.

2. Defina control-finding-generator igual a SECURITY_CONTROL para permitir descobertas de controle consolidadas. Definir control-finding-generator igual a STANDARD_CONTROL para desativar as descobertas de controle consolidadas

   Por exemplo, o AWS CLI comando a seguir permite descobertas de controle consolidadas. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

   $ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

   O AWS CLI comando a seguir desativa as descobertas de controle consolidadas. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

   $ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

Detalhes Compliance das descobertas de controle

Para descobertas geradas por verificações de segurança de controles, o Compliancecampo no Formato AWS de descoberta de segurança (ASFF) contém detalhes relacionados às descobertas de controle. O campo Compliance inclui as informações a seguir.

AssociatedStandards

Os padrões habilitados nos quais um controle está habilitado.

RelatedRequirements

A lista de requisitos relacionados para o controle em todos os padrões habilitados. Os requisitos são da estrutura de segurança de terceiros para o controle, como o Payment Card Industry Data Security Standard (PCIDSS).

SecurityControlId

O identificador para um controle entre os padrões de segurança que o Security Hub suporta.

Status

O resultado da verificação mais recente de que o Security Hub foi executado para um determinado controle. Os resultados das verificações anteriores são mantidos em um estado arquivado por 90 dias.

StatusReasons

Contém uma lista de motivos para o valor de Compliance.Status. Por cada motivo, StatusReasons inclui o código de motivo e uma descrição.

A tabela a seguir lista os códigos de motivo e descrições disponíveis. As etapas de correção dependem de qual controle gerou uma descoberta com o código do motivo. Escolha um controle no Referência de controles do Security Hub para ver as etapas de correção desse controle.

Código do motivo	Compliance.Status	Descrição
CLOUDTRAIL_METRIC_FILTER_NOT_VALID	FAILED	A CloudTrail trilha multirregional não tem um filtro métrico válido.
CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT	FAILED	Os filtros métricos não estão presentes na CloudTrail trilha multirregional.
CLOUDTRAIL_MULTI_REGION_NOT_PRESENT	FAILED	A conta não tem uma CloudTrail trilha multirregional com a configuração necessária.
CLOUDTRAIL_REGION_INVAILD	WARNING	As CloudTrail trilhas multirregionais não estão na região atual.
CLOUDWATCH_ALARM_ACTIONS_NOT_VALID	FAILED	Nenhuma ação de alarme válida está presente.
CLOUDWATCH_ALARMS_NOT_PRESENT	FAILED	CloudWatch os alarmes não existem na conta.
CONFIG_ACCESS_DENIED	NOT_AVAILABLE AWS Config status é ConfigError	AWS Config acesso negado. Verifique se AWS Config está ativado e se recebeu permissões suficientes.
CONFIG_EVALUATIONS_EMPTY	PASSED	AWS Config avaliou seus recursos com base na regra. A regra não se aplicava aos AWS recursos em seu escopo, os recursos especificados foram excluídos ou os resultados da avaliação foram excluídos.
CONFIG_RETURNS_NOT_APPLICABLE	NOT_AVAILABLE	O status de conformidade é NOT_AVAILABLE porque AWS Config retornou um status de Não aplicável. AWS Config não fornece o motivo do status. Aqui estão alguns motivos possíveis para o status Não aplicável: O recurso foi removido do escopo da AWS Config regra. A AWS Config regra foi excluída. O recurso foi excluído. A lógica da AWS Config regra pode produzir um status Não aplicável.
CONFIG_RULE_EVALUATION_ERROR	NOT_AVAILABLE AWS Config status é ConfigError	Esse código de motivo é usado para vários tipos diferentes de erros de avaliação. A descrição fornece as informações específicas do motivo. O tipo de erro pode ser um dos seguintes: Uma incapacidade de realizar a avaliação devido à falta de permissões. A descrição fornece a permissão específica que está faltando. Um valor ausente ou inválido para um parâmetro. A descrição fornece o parâmetro e os requisitos para o valor do parâmetro. Erro ao ler a partir de um bucket do S3. A descrição identifica o bucket e fornece o erro específico. Uma AWS assinatura ausente. Um tempo limite geral para a avaliação. Uma conta suspensa.
CONFIG_RULE_NOT_FOUND	NOT_AVAILABLE AWS Config status é ConfigError	A AWS Config regra está em processo de criação.
INTERNAL_SERVICE_ERROR	NOT_AVAILABLE	Ocorreu um erro desconhecido.
LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE	FAILED	O Security Hub não consegue realizar uma verificação em um runtime Lambda personalizado.
S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION	WARNING	A descoberta está em estado WARNING porque o bucket do S3 associado a essa regra está em uma região ou conta diferente. Essa regra não é compatível com verificações entre regiões ou entre contas. É recomendável que você desabilite esse controle nessa região ou conta. Execute somente na região ou na conta onde o recurso está localizado.
SNS_SUBSCRIPTION_NOT_PRESENT	FAILED	Os filtros métricos do CloudWatch Logs não têm uma SNS assinatura válida da Amazon.
SNS_TOPIC_CROSS_ACCOUNT	WARNING	A descoberta está em um estado de WARNING. O SNS tópico associado a essa regra pertence a uma conta diferente. A conta atual não pode obter as informações da assinatura. A conta proprietária do SNS tópico deve conceder à conta atual a sns:ListSubscriptionsByTopic permissão para o SNS tópico.
SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION	WARNING	A descoberta está em um WARNING estado porque o SNS tópico associado a essa regra está em uma região ou conta diferente. Essa regra não é compatível com verificações entre regiões ou entre contas. É recomendável que você desabilite esse controle nessa região ou conta. Execute somente na região ou na conta onde o recurso está localizado.
SNS_TOPIC_INVALID	FAILED	O SNS tópico associado a essa regra é inválido.
THROTTLING_ERROR	NOT_AVAILABLE	A API operação relevante excedeu a taxa permitida.

Detalhes ProductFields das descobertas de controle

Quando o Security Hub executa verificações de segurança e gera descobertas de controle, o ProductFields atributo em ASFF inclui os seguintes campos:

ArchivalReasons:0/Description

Descreve por que o Security Hub arquivou as descobertas existentes.

Por exemplo, o Security Hub arquiva descobertas existentes quando você desabilita um controle ou padrão e quando você ativa ou desativa descobertas de controle consolidadas.

ArchivalReasons:0/ReasonCode

Fornece o motivo pelo qual o Security Hub arquivou as descobertas existentes.

Por exemplo, o Security Hub arquiva descobertas existentes quando você desabilita um controle ou padrão e quando você ativa ou desativa descobertas de controle consolidadas.

StandardsGuideArn ou StandardsArn

O ARN do padrão associado ao controle.

Para o padrão CIS AWS Foundations Benchmark, o campo éStandardsGuideArn.

Para PCI DSS os padrões AWS básicos de melhores práticas de segurança, o campo éStandardsArn.

Esses campos são removidos para que Compliance.AssociatedStandards você habilite descobertas de controle consolidadas.

StandardsGuideSubscriptionArn ou StandardsSubscriptionArn

ARNA assinatura padrão da conta.

Para o padrão CIS AWS Foundations Benchmark, o campo éStandardsGuideSubscriptionArn.

Para PCI DSS os padrões AWS básicos de melhores práticas de segurança, o campo éStandardsSubscriptionArn.

Esses campos serão removidos se você habilitar descobertas de controle consolidadas.

RuleId ou ControlId

O identificador do controle.

Para o padrão CIS AWS Foundations Benchmark, o campo éRuleId.

Para outros padrões, o campo é ControlId.

Esses campos são removidos para que Compliance.SecurityControlId você habilite descobertas de controle consolidadas.

RecommendationUrl

Até URL as informações de remediação para o controle. Esse campo será removido em favor de Remediation.Recommendation.Url se você habilitar descobertas de controle consolidadas.

RelatedAWSResources:0/name

O nome do recurso associado à descoberta.

RelatedAWSResource:0/type

O tipo de recurso associado ao controle.

StandardsControlArn

O ARN do controle. Esse campo será removido se você habilitar descobertas de controle consolidadas.

aws/securityhub/ProductName

Para descobertas baseadas em controle, o nome do produto é Security Hub.

aws/securityhub/CompanyName

Para descobertas baseadas em controle, o nome da empresa é AWS.

aws/securityhub/annotation

Uma descrição do problema descoberto pelo controle.

aws/securityhub/FindingId

O identificador da descoberta. Esse campo não faz referência a um padrão se você habilitar descobertas de controle consolidadas.

Atribuir severidade às descobertas de controle

A severidade atribuída a um controle do Security Hub identifica a importância do controle. A severidade de um controle determina o rótulo de severidade atribuído às descobertas do controle.

Critérios de severidade

A severidade de um controle é determinada com base em uma avaliação dos seguintes critérios:

• É difícil para um agente de ameaças tirar proveito da fraqueza de configuração associada ao controle?

  A dificuldade é determinada pela quantidade de sofisticação ou complexidade necessária para usar a fraqueza para realizar um cenário de ameaça.

• Qual é a probabilidade de que a fraqueza leve ao comprometimento de seus recursos Contas da AWS ou de seus recursos?

  O comprometimento de seus Contas da AWS recursos significa que a confidencialidade, a integridade ou a disponibilidade de seus dados ou AWS infraestrutura estão danificadas de alguma forma.

  A probabilidade de comprometimento indica a probabilidade de o cenário de ameaça resultar em uma interrupção ou violação de seus AWS serviços ou recursos.

Como exemplo, considere os seguintes pontos fracos da configuração:

• As chaves de acesso do usuário não são trocadas a cada 90 dias.

• IAMexiste uma chave de usuário raiz.

Ambas as fraquezas são igualmente difíceis de serem aproveitadas por um adversário. Em ambos os casos, o adversário pode usar o roubo de credenciais ou algum outro método para adquirir uma chave de usuário. Eles podem então usá-lo para acessar seus recursos de forma não autorizada.

No entanto, a probabilidade de um comprometimento é muito maior se o agente da ameaça adquirir a chave de acesso do usuário raiz, pois isso lhe dá maior acesso. Como resultado, a fraqueza da chave do usuário raiz tem uma severidade maior.

A severidade não leva em conta a criticidade do recurso subjacente. A criticidade é definida como o nível de importância dos recursos associados à descoberta. Por exemplo, um recurso associado a uma aplicação de missão crítica é mais crítico que um associado a testes que não sejam de produção. Para capturar informações sobre a criticidade do recurso, use o Criticality campo do Formato de descoberta de AWS segurança (ASFF).

A tabela a seguir mapeia a dificuldade de exploração e a probabilidade de comprometimento dos rótulos de segurança.

	Comprometimento altamente provável	Comprometimento provável	Comprometimento improvável	Comprometimento altamente improvável
Muito fácil de explorar	Crítico	Crítico	Alta	Médio
Um pouco fácil de explorar	Crítico	Alta	Médio	Médio
Um pouco difícil de explorar	Alta	Médio	Médio	Baixo
Muito difícil de explorar	Médio	Médio	Baixo	Baixo

Definições de severidade

Os rótulos de severidade são definidos da seguinte forma.

Crítico: o problema deve ser corrigido imediatamente para evitar que seja escalonado.

Por exemplo, um bucket do S3 aberto é considerado uma descoberta de gravidade crítica. Como muitos atores maliciosos buscam buckets do S3 abertos, é provável que os dados em um bucket do S3 exposto sejam descobertos e acessados por outros.

Em geral, os recursos acessíveis ao público são considerados problemas críticos de segurança. Você deve tratar as descobertas críticas com a máxima urgência. Você também deve considerar a importância do recurso.

Alto: o problema deve ser tratado como prioridade de curto prazo.

Por exemplo, se um grupo de VPC segurança padrão estiver aberto ao tráfego de entrada e saída, ele será considerado de alta severidade. É um pouco fácil para um agente de ameaça comprometer VPC o uso desse método. Também é provável que o agente da ameaça consiga interromper ou exfiltrar recursos quando eles estiverem no. VPC

O Security Hub recomenda que você trate uma descoberta de alta severidade como uma prioridade de curto prazo. Você deve tomar medidas imediatas de correção. Você também deve considerar a importância do recurso.

Médio: a questão deve ser tratada como uma prioridade de médio prazo.

Por exemplo, a falta de criptografia para dados em trânsito é considerada uma descoberta de severidade média. É necessário um man-in-the-middle ataque sofisticado para tirar proveito dessa fraqueza. Em outras palavras, é um pouco difícil. É provável que alguns dados sejam comprometidos se o cenário de ameaça for bem-sucedido.

O Security Hub recomenda que você investigue o recurso implicado o mais cedo possível. Você também deve considerar a importância do recurso.

Baixo: o problema não requer ação por conta própria.

Por exemplo, a falha na coleta de informações forenses é considerada de baixa severidade. Esse controle pode ajudar a evitar futuros compromissos, mas a ausência de perícia não leva diretamente a um comprometimento.

Você não precisa tomar medidas imediatas em relação às descobertas de baixa severidade, mas elas podem fornecer contexto quando você as correlaciona com outros problemas.

Informativo: nenhuma falha de configuração foi encontrada.

Em outras palavras, o status é PASSED, WARNING ou NOT AVAILABLE.

Não há ação recomendada. As descobertas informativas ajudam os clientes a demonstrar que estão em um estado de conformidade.

Regras para atualizar as descobertas de controle

Uma verificação subsequente em relação a uma determinada regra pode gerar um novo resultado. Por exemplo, o status de “Evitar o uso do usuário raiz” pode mudar de FAILED para PASSED. Nesse caso, é gerada uma nova descoberta contendo o resultado mais recente.

Se uma verificação subsequente com base em uma determinada regra gerar um resultado idêntico ao resultado atual, a descoberta existente será atualizada. Nenhuma nova descoberta será gerada.

O Security Hub arquiva automaticamente as descobertas dos controles se o recurso associado for excluído, se o recurso não existir ou se o controle estiver desabilitado. Um recurso pode não existir mais porque o serviço associado não está sendo usado no momento. As descobertas são arquivadas automaticamente com base em um dos seguintes critérios:

• A descoberta não é atualizada em três a cinco dias (observe que esse é a melhor tentativa e não é garantida).

• A AWS Config avaliação associada retornouNOT_APPLICABLE.