Conceitos e terminologia do CSPM do Security Hub - AWSSecurity Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceitos e terminologia do CSPM do Security Hub

No AWS Security Hub CSPM, nos baseamos em AWS conceitos e terminologias comuns e usamos esses termos adicionais.

Conta

Uma conta padrão da Amazon Web Services (AWS) que contém seus AWS recursos. Você pode entrar AWS com sua conta e ativar o CSPM do Security Hub.

Uma conta pode convidar outras contas para habilitar o CSPM do Security Hub e se associar a essa conta no CSPM do Security Hub. Aceitar um convite de associação é opcional. Se os convites forem aceitos, a conta se torna uma conta de administrador e as contas adicionadas serão contas de membro. As contas de administrador podem ver as descobertas em suas contas de membro.

Se você estiver inscritoAWS Organizations, sua organização designará uma conta de administrador CSPM do Security Hub para a organização. A conta de administrador do CSPM do Security Hub pode habilitar outras contas da organização como contas de membro.

Uma conta não pode ser uma conta de administrador e uma conta de membro ao mesmo tempo. Uma conta só pode ter uma conta de administrador.

Para obter mais informações, consulte Gerenciamento de contas de membro e administrador no CSPM do Security Hub.

Conta de administrador

Uma conta no CSPM do Security Hub com acesso para visualizar as descobertas das contas de membro associadas.

Uma conta se torna uma conta de administrador de uma das seguintes maneiras:

  • A conta convida outras contas a se associarem a ela no CSPM do Security Hub. Quando essas contas aceitam o convite, elas se tornam contas de membro e a conta que enviou o convite se torna sua conta de administrador.

  • A conta é designada por uma conta gerencial da organização como a conta de administrador do CSPM do Security Hub. A conta de administrador do CSPM do Security Hub pode habilitar qualquer conta da organização como uma conta de membro e pode convidar outras contas para serem contas de membro.

Uma conta só pode ter uma conta de administrador. Uma conta não pode ser uma conta de administrador e uma conta de membro ao mesmo tempo.

Região de agregação

Definir uma região de agregação permite que você visualize as descobertas de segurança de várias Regiões da AWS em um único painel de vidro.

A região de agregação é a região a partir da qual você visualiza e gerencia as descobertas. As descobertas são agregadas à região de agregação das regiões vinculadas. As atualizações das descobertas são replicadas em todas as regiões.

Na região de agregação, as páginas Padrões de segurança, Insights e Descobertas incluem dados de todas as regiões vinculadas.

Para obter mais informações, consulte Noções básicas sobre a agregação entre regiões no CSPM do Security Hub.

Descoberta arquivada

Uma descoberta cujo estado de registro (RecordState) é ARCHIVED. O arquivamento de uma descoberta indica que o provedor da descoberta acredita que ela não é mais relevante. O estado do registro é diferente do status do fluxo de trabalho, que rastreia o status de uma investigação em uma descoberta.

Os provedores de descobertas podem usar a operação BatchImportFindings da API do CSPM do Security Hub para arquivar as descobertas que eles criaram. O CSPM do Security Hub arquiva automaticamente as descobertas de controle que atendam a determinados critérios. Para obter mais informações, consulte Geração, atualização e arquivamento de descobertas de controle.

No console do CSPM do Security Hub, as configurações de filtro padrão excluem descobertas arquivadas das listas e tabelas de busca. É possível atualizar as configurações para incluir descobertas arquivadas. Se você recuperar descobertas usando a operação GetFindings da API do CSPM do Security Hub, a operação recuperará tanto as descobertas arquivadas quanto as ativas. Para excluir as descobertas arquivadas, é possível filtrar os resultados. Por exemplo:

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],
AWSFormato de descoberta de segurança (ASFF)

Um formato padronizado para o conteúdo de descobertas que o CSPM do Security Hub agrega ou gera. O Formato AWS de descoberta de segurança permite que você use o CSPM do Security Hub para visualizar e analisar descobertas geradas por serviços de AWS segurança, soluções de terceiros ou pelo próprio CSPM do Security Hub a partir da execução de verificações de segurança. Para obter mais informações, consulte AWSFormato de descoberta de segurança (ASFF).

Controle

Uma proteção ou contramedida prescrita para um sistema de informações ou uma organização projetada para proteger a confidencialidade, integridade e disponibilidade de suas informações e para atender a um conjunto de requisitos de segurança definidos. Um padrão de segurança está associado a uma coleção de controles.

O termo controle de segurança se refere aos controles que têm um único ID e título de controle em todos os padrões. O termo controle padrão se refere aos controles que têm controle IDs e títulos específicos do padrão. Atualmente, o CSPM do Security Hub oferece suporte a controles padrão somente nas regiões da China e AWS GovCloud (US) Regions. Os controles de segurança são compatíveis com em todas as outras regiões.

Ação personalizada

Um mecanismo CSPM do Security Hub para enviar descobertas selecionadas para o. EventBridge Uma ação personalizada é criada no CSPM do Security Hub. Em seguida, ele é vinculado a uma EventBridge regra. A regra define uma ação específica a ser realizada quando for recebida uma descoberta associada ao ID da ação personalizada. As ações personalizadas podem ser usadas, por exemplo, para enviar uma descoberta específica ou um conjunto pequeno de descobertas a um fluxo de trabalho de resposta ou de correção. Para obter mais informações, consulte Criar uma ação personalizada.

Conta de administrador delegado (Organizations)

EmAWS Organizations, a conta de administrador delegado de um serviço é capaz de gerenciar o uso de um serviço para a organização.

No CSPM do Security Hub, a conta de administrador do CSPM do Security Hub também é a conta de administrador delegado do CSPM do Security Hub. Quando a conta gerencial da organização designa pela primeira vez uma conta de administrador do CSPM do Security Hub, o CSPM do Security Hub chama o Organizations para tornar essa conta a conta de administrador delegado.

A conta gerencial da organização deve então escolher a conta de administrador delegado como a conta de administrador do CSPM do Security Hub em todas as regiões.

Descoberta

O registro observável de uma verificação de segurança ou detecção relacionada à segurança. O CSPM do Security Hub gera e atualiza descobertas após concluir verificações de segurança de controles. Elas são chamadas de descobertas de controle. As descobertas também podem vir de integrações com outros produtos Serviços da AWS e produtos de terceiros.

Para obter mais informações, consulte Criação e atualização de descobertas no CSPM do Security Hub.

Agregação entre regiões

A agregação de descobertas, insights, status de conformidade de controle e pontuações de segurança de regiões vinculadas a uma região de agregação. Em seguida, você pode visualizar todos os seus dados da região de agregação e atualizar as descobertas e insights dessa região.

Para obter mais informações, consulte Noções básicas sobre a agregação entre regiões no CSPM do Security Hub.

Descoberta de ingestão

A importação de descobertas para o Security Hub CSPM de outros AWS serviços e de fornecedores parceiros terceirizados.

A descoberta de eventos de ingestão inclui novas descobertas e atualizações das descobertas existentes.

Insight

Uma coleção de descobertas relacionadas definidas por uma instrução de agregação e filtros opcionais. Um insight identifica uma área de segurança que requer atenção e intervenção. O CSPM do Security Hub oferece vários insights gerenciados (padrão) que não podem ser modificados. Você também pode criar insights de CSPM personalizados do Security Hub para rastrear problemas de segurança exclusivos do seu AWS ambiente e uso. Para obter mais informações, consulte Visualização de insights no CSPM do Security Hub.

Região vinculada

Quando você ativa a agregação entre regiões, uma região vinculada é aquela que agrega descobertas, insights, status de conformidade de controle e pontuações de segurança à região de agregação.

Em uma região vinculada, as páginas Descobertas e Insights contêm descobertas somente dessa região.

Para obter mais informações, consulte Noções básicas sobre a agregação entre regiões no CSPM do Security Hub.

Conta de membro

Uma conta que concedeu permissão a uma conta de administrador para visualizar e agir de acordo com suas descobertas.

Uma conta se torna uma conta de membro de uma das seguintes maneiras:

  • A conta aceita um convite de outra conta.

  • Para uma conta de organização, a conta de administrador do CSPM do Security Hub habilita a conta como uma conta de membro.

Requisitos relacionados

Um conjunto de requisitos normativos ou do setor que são mapeados para um controle.

Regra

Um conjunto de critérios automatizados que é usado para avaliar se um controle está sendo cumprido. Quando uma regra é avaliada, ela pode ser aprovada ou reprovada. Se a avaliação não puder determinar se a regra será aprovada ou reprovada, a regra estará em um estado de aviso. Se não for possível avaliar a regra, ela estará em um estado indisponível.

Verificação de segurança

Uma point-in-time avaliação específica de uma regra em relação a um único recurso que resulta em um NOT_AVAILABLE estado PASSED FAILEDWARNING,, ou. Executar uma verificação de segurança produz uma descoberta.

Conta de administrador do CSPM do Security Hub

Uma conta da organização que gerencia a associação ao CSPM do Security Hub de uma organização.

A conta gerencial da organização designa a conta de administrador do CSPM do Security Hub em cada região. A conta gerencial da organização deve escolher a mesma conta de administrador do CSPM do Security Hub em todas as regiões.

A conta de administrador do CSPM do Security Hub também é a conta de administrador delegado do CSPM do Security Hub no Organizations.

A conta de administrador do CSPM do Security Hub pode habilitar outras contas da organização como sendo contas de membro. A conta de administrador do CSPM do Security Hub também pode convidar outras contas para serem contas de membro.

Padrão de segurança

Uma instrução publicada em um tópico especificando as características, geralmente mensuráveis e na forma de controles, que devem ser atendidas ou atingidas para estar em conformidade. Os padrões de segurança podem ser baseados em estruturas regulatórias, melhores práticas ou políticas internas da empresa. Um controle pode estar associado a um ou mais padrões com suporte no CSPM do Security Hub. Para saber mais sobre padrões de segurança no CSPM do Security Hub, consulte Noções básicas dos padrões de segurança no CSPM do Security Hub.

Gravidade

A gravidade atribuída a um controle do CSPM do Security Hub identifica a importância do controle. A gravidade de um controle pode ser Crítica, Alta, Média, Baixa ou Informativa. A gravidade atribuída às descobertas de controle é igual à gravidade do controle em si. Para saber como o CSPM do Security Hub atribui gravidade a um controle, consulte Níveis de gravidade para as descobertas de controles.

Status do fluxo de trabalho

O status de uma investigação sobre uma descoberta. ISso é rastreado por meio do atributo Workflow.Status.

O status do fluxo de trabalho é inicialmente NEW. Se você notificou o proprietário do recurso para executar uma ação na descoberta, poderá definir o status do fluxo de trabalho como NOTIFIED. Se a descoberta não for um problema e não exigir nenhuma ação, defina o status do fluxo de trabalho como SUPPRESSED. Depois de revisar e corrigir uma descoberta, defina o status do fluxo de trabalho como RESOLVED.

Por padrão, a maioria das listas de descobertas inclui apenas descobertas com o status de fluxo de trabalho NEW ou NOTIFIED. As listas de descobertas para controles também incluem descobertas RESOLVED.

Para a operação GetFindings, é possível incluir um filtro para o status de fluxo de trabalho.

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

O console do CSPM do Security Hub fornece uma opção para definir o status do fluxo de trabalho para descobertas. Os clientes (ou SIEM, emissão de tíquetes, gerenciamento de incidentes ou ferramentas SOAR que funcionam em nome de um cliente para atualizar as descobertas dos provedores de descobertas) também podem usar BatchUpdateFindings para atualizar o status de fluxo de trabalho.