Terminologia e conceitos - Security Hub da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Terminologia e conceitos

Este tópico descreve os conceitos-chave doAWS Security Hub para ajudá-lo a começar.

Conta

Conta padrão da Amazon Web Services (AWS) que contém seus recursos da AWS. Você pode fazer loginAWS com sua conta e ativar o Security Hub.

Uma conta pode convidar outras contas para ativar o Security Hub e se associar a essa conta no Security Hub. Aceitar um convite de associação é opcional. Se os convites forem aceitos, a conta se tornará uma conta de administrador e as contas adicionadas serão contas de membros. As contas de administrador podem ver as descobertas em suas contas de membros.

Se você estiver inscritoAWS Organizations, sua organização designa uma conta de administrador do Security Hub para a organização. A conta do administrador do Security Hub pode habilitar outras contas-membro da organização.

Uma conta não pode ser uma conta de administrador e uma conta de membro ao mesmo tempo. Uma conta só pode ter uma conta de administrador.

Para obter mais informações, consulte Gerenciando contas de administrador e membros.

Conta do administrador

Uma conta no Security Hub à qual é concedido acesso para visualizar descobertas de contas de membros associadas.

Uma conta se torna uma conta-administrador de uma das seguintes formas:

  • A conta convida outras contas a se associarem a ela no Security Hub. Quando essas contas aceitam o convite, elas se tornam contas de membros e a conta convidativa se torna sua conta de administrador.

  • A conta é designada por uma conta de gerenciamento da organização como a conta de administrador do Security Hub. A conta do administrador do Security Hub pode habilitar qualquer conta da organização como uma conta-membro e também pode convidar outras contas-membro.

Uma conta só pode ter uma conta de administrador. Uma conta não pode ser uma conta de administrador e uma conta de membro ao mesmo tempo.

Região de agregação

Definir uma região de agregação permite que você visualize as descobertas de segurança de váriasRegiões da AWS em um único painel de vidro.

A região de agregação é a região da qual você visualiza e gerencia as descobertas. As descobertas são agregadas à região de agregação das regiões vinculadas. As atualizações das descobertas são replicadas em todas as regiões.

Na região de agregação, as páginas de padrões de segurança, insights e descobertas incluem dados de todas as regiões vinculadas.

Consulte Agregação entre entre regiões.

Descoberta arquivada

Uma descoberta que tem um RecordState definido como ARCHIVED. O arquivamento de uma descoberta indica que o provedor da descoberta acredita que a descoberta não é mais relevante. O estado do registro é separado do status do fluxo de trabalho, que rastreia o status de uma investigação em uma descoberta.

Os provedores de busca podem usar a BatchImportFindingsoperação da API do Security Hub para arquivar as descobertas que eles criaram. O Security Hub arquiva automaticamente as descobertas dos controles se o controle estiver desativado ou o recurso associado for excluído, com base em um dos seguintes critérios.

  • A descoberta não é atualizada em três a cinco dias (observe que esse é o melhor esforço e não é garantido).

  • AAWS Config avaliação associada retornaNOT_APPLICABLE.

Por padrão, as descobertas arquivadas são excluídas das listas de descobertas no console do Security Hub. É possível atualizar o filtro para incluir descobertas arquivadas.

A GetFindingsoperação da API do Security Hub retorna descobertas ativas e arquivadas. Você pode incluir um filtro para o estado do registro.

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],
Formato de descoberta de segurança da AWS (ASFF)

Um formato padronizado para o conteúdo das descobertas que o Security Hub agrega ou gera. OAWS Security Finding Format permite que você use o Security Hub para visualizar e analisar descobertas geradas por serviços deAWS segurança, soluções de terceiros ou pelo próprio Security Hub a partir da execução de verificações de segurança. Para obter mais informações, consulte Formato de descoberta de segurança da AWS (ASFF).

Controle

Uma proteção ou contramedida prescrita para um sistema de informações ou uma organização projetada para proteger a confidencialidade, integridade e disponibilidade de suas informações e para atender a um conjunto de requisitos de segurança definidos. Um padrão de segurança está associado a uma coleção de controles.

O termo controle de segurança se refere a controles que têm um único ID de controle e título em todos os padrões. O termo controle padrão se refere a controles que têm IDs e títulos de controle específicos do padrão. Atualmente, o Security Hub só suporta controles padrão nas regiõesAWS GovCloud (US) Region e na China. Os controles de segurança são suportados em todas as outras regiões.

Ação personalizada

Um mecanismo do Security Hub para enviar descobertas selecionadas para EventBridge. Uma ação personalizada é criada no Security Hub. Em seguida, é vinculado a uma EventBridge regra. A regra define uma ação específica a ser realizada quando for recebida uma descoberta associada ao ID da ação personalizada. As ações personalizadas podem ser usadas, por exemplo, para enviar uma descoberta específica ou um conjunto pequeno de descobertas a um fluxo de trabalho de resposta ou de correção. Para obter mais informações, consulte Criar uma ação personalizada (console).

Conta de administrador delegado (Organizations)

Nas Organizations, a conta de administrador delegado de um serviço é capaz de gerenciar o uso de um serviço para a organização.

No Security Hub, a conta de administrador do Security Hub também é a conta de administrador delegado do Security Hub. Quando a conta de gerenciamento da organização designa pela primeira vez uma conta de administrador do Security Hub, o Security Hub chama as Organizations para transformar essa conta na conta de administrador delegado.

A conta de gerenciamento da organização deve então escolher a conta de administrador delegado como a conta de administrador do Security Hub em todas as regiões.

Descoberta

O registro observável de uma verificação de segurança ou detecção relacionada à segurança. O Security Hub gera uma descoberta após concluir a verificação de segurança de um controle. Essas são chamadas de descobertas de controle. As descobertas também podem vir de integrações de produtos de terceiros.

Para obter mais informações sobre descobertas no Security Hub, consulteDescobertas noAWS Security Hub.

nota

As descobertas são excluídas 90 dias após a atualização mais recente ou 90 dias após a data de criação, se não ocorrer nenhuma atualização. Para armazenar descobertas por mais de 90 dias, você pode configurar uma regra EventBridge que encaminha as descobertas para seu bucket do Amazon S3.

Agregação entre regiões

A agregação de descobertas, insights, status de conformidade de controle e pontuações de segurança de regiões vinculadas a uma região de agregação. Em seguida, você pode visualizar todos os seus dados da região de agregação e atualizar as descobertas e insights da região de agregação.

Consulte Agregação entre entre regiões.

Encontrando a ingestão

A importação de descobertas para o Security Hub de outrosAWS serviços e de fornecedores parceiros terceirizados.

A descoberta de eventos de ingestão inclui novas descobertas e atualizações das descobertas existentes.

Insight

Uma coleção de descobertas relacionadas definidas por uma instrução de agregação e filtros opcionais. Um insight identifica uma área de segurança que requer atenção e intervenção. O Security Hub oferece vários insights gerenciados (padrão) que você não pode modificar. Você também pode criar insights personalizados do Security Hub para rastrear problemas de segurança que são exclusivos do seuAWS ambiente e uso. Para obter mais informações, consulte Insights noAWS Security Hub.

Região vinculada

Quando você ativa a agregação entre regiões, uma região vinculada é uma região que agrega descobertas, insights, status de conformidade de controle e pontuações de segurança à região de agregação.

Em uma região vinculada, as páginas Descobertas e Insights contêm descobertas somente dessa região.

Consulte Agregação entre entre regiões.

Conta de membro

Uma conta que concedeu permissão a uma conta de administrador para visualizar e agir com base em suas descobertas.

Uma conta se torna uma conta-membro de uma das seguintes formas:

  • A conta aceita um convite de outra conta.

  • Para uma conta da organização, a conta de administrador do Security Hub ativa a conta como uma conta de membro.

Requisitos relacionados

Um conjunto de requisitos normativos ou do setor que são mapeados para um controle.

Rule

Um conjunto de critérios automatizados que é usado para avaliar se um controle está sendo cumprido. Quando uma regra é avaliada, ela pode ser aprovada ou reprovada. Se a avaliação não puder determinar se a regra será aprovada ou reprovada, a regra estará em um estado de aviso. Se não for possível avaliar a regra, ela estará em um estado indisponível.

Verificação de segurança

Uma point-in-time avaliação específica de uma regra em relação a um único recurso, resultando em um estado aprovado, reprovado, de aviso ou indisponível. Executar uma verificação de segurança produz uma descoberta.

Conta do administrador do Security Hub

Uma conta da organização que gerencia a associação ao Security Hub de uma organização.

A conta de gerenciamento da organização designa a conta de administrador do Security Hub em cada região. A conta de gerenciamento da organização deve escolher a mesma conta de administrador do Security Hub em todas as regiões.

A conta de administrador do Security Hub também é a conta de administrador delegado do Security Hub nas Organizations.

A conta do administrador do Security Hub pode habilitar qualquer conta da organização como uma conta-membro. A conta de administrador do Security Hub também pode convidar outras contas para serem contas de membros.

Padrão de segurança

Uma instrução publicada em um tópico especificando as características, geralmente mensuráveis e na forma de controles, que devem ser atendidas ou atingidas para estar em conformidade. Os padrões de segurança podem ser baseados em estruturas regulatórias, melhores práticas ou políticas internas da empresa. Um controle pode estar associado a um ou mais padrões suportados no Security Hub. Para saber mais sobre os padrões de segurança no Security Hub, consulteControles e padrões deAWS segurança no Security Hub.

Severidade

A severidade atribuída a um controle do Security Hub identifica a importância do controle. A severidade de um controle pode ser crítica, alta, média, baixa ou informativa. A gravidade atribuída às descobertas de controle é igual à gravidade do controle em si. Para saber como o Security Hub atribui severidade a um controle, consulteAtribuindo gravidade às descobertas de controle.

Status do fluxo de trabalho

O status de uma investigação sobre uma descoberta. Rastrear usando o atributo Workflow.Status.

O status do fluxo de trabalho é inicialmente NEW. Se você notificou o proprietário do recurso para executar uma ação na descoberta, poderá definir o status do fluxo de trabalho como NOTIFIED. Se a descoberta não for um problema e não exigir nenhuma ação, defina o status do fluxo de trabalho como SUPPRESSED. Depois de revisar e corrigir uma descoberta, defina o status do fluxo de trabalho como RESOLVED.

Por padrão, a maioria das listas de descobertas inclui apenas descobertas com o status de fluxo de trabalho NEW ou NOTIFIED. As listas de descobertas para controles também incluem descobertas RESOLVED.

Para a operação GetFindings, é possível incluir um filtro para o status de fluxo de trabalho.

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

O console do Security Hub oferece uma opção para definir o status do fluxo de trabalho para descobertas. Os clientes (ou SIEM, emissão de tíquetes, gerenciamento de incidentes ou ferramentas SOAR que funcionam em nome de um cliente para atualizar as descobertas dos provedores de descobertas) também podem usar BatchUpdateFindings para atualizar o status de fluxo de trabalho.