Entendendo a agregação entre regiões no Security Hub - AWS Security Hub
Tipos de dados que são agregadosAgregação para contas de administradores e membros

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Entendendo a agregação entre regiões no Security Hub

nota

A região de agregação agora é chamada de região de origem. Algumas API operações do Security Hub ainda usam o termo antigo Região de agregação.

Usando a agregação entre regiões em AWS Security Hub, você pode agregar descobertas, encontrar atualizações, insights, controlar status de conformidade e pontuações de segurança de vários Regiões da AWS para uma única região de origem. Em seguida, você pode gerenciar todos esses dados na região de origem.

Suponha que você defina o Leste dos EUA (Norte da Virgínia) como a região de origem e o Oeste dos EUA (Oregon) e o Oeste dos EUA (Norte da Califórnia) como as regiões vinculadas. Ao visualizar a página de Descobertas no Leste dos EUA (Norte da Virgínia), você vê as descobertas de todas as três regiões. As atualizações dessas descobertas também se refletem nas três regiões.

nota

Em AWS GovCloud (US), a agregação entre regiões é suportada somente para descobertas, atualizações e insights em AWS GovCloud (US). Especificamente, você só pode agregar descobertas, encontrar atualizações e insights entre AWS GovCloud (Leste dos EUA) e AWS GovCloud (Oeste dos EUA). Nas regiões da China, a agregação entre regiões é compatível somente com descobertas, atualizações de descobertas e insights das regiões da China. Especificamente, você só pode agregar descobertas, atualizações de descobertas e insights entre a China (Pequim) e a China (Ningxia).

Se um controle estiver ativado em uma região vinculada, mas desativado na região de origem, você poderá ver o status de conformidade do controle na região de origem, mas não poderá ativar ou desativar esse controle na região de origem. A exceção é se você usar a configuração central. Se você usar a configuração central, o administrador delegado do Security Hub poderá configurar controles na região de origem e nas regiões vinculadas da região de origem.

Se você definiu uma região de origem, as pontuações de segurança são responsáveis pelos status de controle em todas Regiões vinculadas. Para ver as pontuações de segurança e os status de conformidade entre regiões, adicione as seguintes permissões à sua IAM função que usa o Security Hub:

Tipos de dados que são agregados

Quando a agregação entre regiões está habilitada com uma ou mais regiões vinculadas, o Security Hub replica os seguintes dados das regiões vinculadas para a região de origem. Isso ocorre em todas as contas que têm a agregação entre regiões ativada.

  • Descobertas

  • Insights

  • Status de conformidade de controle

  • Pontuações de segurança

Além dos novos dados na lista anterior, o Security Hub também replica as atualizações desses dados entre as regiões vinculadas e a região de origem. As atualizações que ocorrem em uma região vinculada são replicadas na região de origem. As atualizações que ocorrem na região de origem são replicadas de volta para a região vinculada. Se houver atualizações conflitantes na região de origem e na região vinculada, a atualização mais recente será usada.

Quando a agregação entre regiões está habilitada, o Security Hub replica descobertas novas e atualizadas entre as regiões vinculadas e a região de origem.

A agregação entre regiões não aumenta o custo do Security Hub. Você não é cobrado quando o Security Hub replica novos dados ou atualizações.

Na região de origem, a página de resumo fornece uma visão de suas descobertas ativas nas regiões vinculadas. Para obter informações, consulte Visualização de um resumo de descobertas entre regiões por gravidade. Outros painéis da página de Resumo que analisam as descobertas também exibem informações de todas as regiões vinculadas.

Suas pontuações de segurança na região de origem são calculadas comparando o número de controles aprovados com o número de controles ativados em todas as regiões vinculadas. Além disso, se um controle estiver ativado em pelo menos uma região vinculada, ele estará visível nas páginas de detalhes dos padrões de segurança da região de origem. O status de conformidade dos controles nas páginas de detalhes dos padrões reflete as descobertas nas regiões vinculadas. Se uma verificação de segurança associada a um controle falhar em uma ou mais regiões vinculadas, o status de conformidade desse controle será exibido como Falha nas páginas de detalhes de padrões da região de origem. O número de verificações de segurança inclui descobertas de todas as regiões vinculadas.

O Security Hub agrega apenas dados de regiões em que uma conta tem o Security Hub habilitado. O Security Hub não é habilitado automaticamente para uma conta com base na configuração de agregação entre regiões.

É possível habilitar a agregação entre regiões sem selecionar nenhuma região vinculada. Nesse caso, nenhuma replicação de dados ocorre.

Agregação para contas de administradores e membros

Contas autônomas, contas de membros e contas de administrador podem configurar a agregação entre regiões. Se configurada por um administrador, a presença da conta de administrador é essencial para que a agregação entre regiões funcione em contas administradas. Se a conta do administrador for removida ou desassociada de uma conta de membro, a agregação entre regiões da conta de membro será interrompida. Isso é verdade mesmo que a conta tenha ativado a agregação entre regiões antes do início da relação administrador-membro.

Quando uma conta de administrador habilita a agregação entre regiões, o Security Hub replica os dados que a conta do administrador gera em todas as regiões vinculadas à região de origem. Além disso, o Security Hub identifica as contas de membros associadas a esse administrador, e cada conta de membro herda as configurações de agregação entre regiões do administrador. O Security Hub replica os dados que uma conta membro gera em todas as regiões vinculadas à região de origem.

O administrador pode acessar e gerenciar as descobertas de segurança de todas as contas dos membros nas regiões administradas. No entanto, como administrador do Security Hub, você deve estar conectado à região de origem para visualizar dados agregados de todas as contas de membros e regiões vinculadas.

Como conta de membro do Security Hub, você deve estar conectado à região de origem para ver os dados agregados da sua conta de todas as regiões vinculadas. As contas de membros não têm permissão para visualizar dados de outras contas de membros.

Uma conta de administrador pode convidar manualmente contas de membros ou servir como administrador delegado de uma organização integrada à AWS Organizations. Para uma conta de membro convidada manualmente, o administrador deve convidar a conta da região de origem e de todas as regiões vinculadas para que a agregação entre regiões funcione. Além disso, a conta do membro deve ter o Security Hub ativado na região de origem e em todas as regiões vinculadas para que o administrador possa visualizar as descobertas da conta do membro. Se você não usa a região de origem para outros fins, pode desativar os padrões e integrações do Security Hub nessa região para evitar cobranças.

Se você planeja usar a agregação entre regiões e tem várias contas de administrador, recomendamos seguir estas melhores práticas:

  • Cada conta de administrador tem contas de membro diferentes.

  • Cada conta de administrador tem as mesmas contas-membro em todas as regiões.

  • Cada conta de administrador usa uma região de origem diferente.

nota

Para entender como a agregação entre regiões afeta a configuração central, consulte. Impacto da configuração central na agregação entre regiões