本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
與整合 AWS Security Hub
AWS Security Hub 可讓您全方位地檢視 AWS 中的安全狀態,並可協助您檢查環境是否符合安全業界標準和最佳實務。Security Hub 會從各個 AWS 帳戶、服務和支援的協力廠商合作夥伴產品收集安全性資料,並協助您分析安全性趨勢並找出最優先順序的安全性問題。
Amazon 與 Security Hub 的 GuardDuty 整合可讓您將發現項目從安全中心傳送 GuardDuty 到 Security Hub。Security Hub 接著可將這些問題清單納入其安全狀態的分析中。
內容
Amazon 如何 GuardDuty 將結果發送到 AWS Security Hub
在中 AWS Security Hub,安全性問題會追蹤為發現項目。某些發現項目來自其他 AWS 服務或協力廠商合作夥伴偵測到的問題。Security Hub 也有一組規則,用來偵測安全問題並產生問題清單。
Security Hub 提供用來跨所有這些來源管理問題清單的工具。您可以檢視並篩選問題清單列表,並檢視問題清單的詳細資訊。如需詳細資訊,請參閱《AWS Security Hub 使用者指南》中的檢視問題清單。您也可以追蹤問題清單的調查狀態。如需詳細資訊,請參閱《AWS Security Hub 使用者指南》中的針對問題清單採取動作。
安全性中樞中的所有發現項目都使用稱為 AWS 安全性尋找格式 (ASFF) 的標準 JSON 格式。ASFF 包含問題來源、受影響的資源以及問題清單目前狀態的詳細資訊。請參閱 AWS Security Hub 使用者指南 中的 AWS 安全問題清單格式 (ASFF)。
Amazon GuardDuty 是將調查結果發送到 Security Hub 的 AWS 服務之一。
GuardDuty 傳送至 Security Hub 的發現項目類型
一旦您在同一個帳戶中啟用 GuardDuty 和安全中心 AWS 區域, GuardDuty開始將所有生成的發現項目發送到 Security Hub。這些發現項目會使用安全性尋找格式 (ASFF) 傳送至AWS
安全性中樞。在 ASFF 中,Types
欄位提供問題清單類型。
傳送新發現項目的延遲
GuardDuty 建立新的發現項目時,通常會在五分鐘內傳送至 Security Hub。
無法使用 Security Hub 時重試
如果 Security Hub 無法使用,請 GuardDuty 重試傳送發現項目,直到收到它們為止。
更新 Security Hub 中的現有問題清單
將發現項目傳送至 Security Hub 之後, GuardDuty 會傳送更新,以反映對尋找活動的其他觀察結果至 Security Hub。這些發現項目的新觀察會根據您 AWS 帳戶中的步驟 5 — 匯出發現項目的頻率設定傳送至安全中心。
當您封存或取消封存發現項目時, GuardDuty 不會將該發現項目傳送至 Security Hub。任何稍後變為作用中的手動取消封存發現項目, GuardDuty 都不會傳送至 Security Hub。
檢視 GuardDuty 發現項目於 AWS Security Hub
若要在 Security Hub 中檢視您的 GuardDuty 發現項目,請 GuardDuty從摘要頁面選取 Amazon 下的查看發現項目。或者,您可以從導覽面板中選取「發現項目」,然後選取值為的「產品名稱:」欄位來篩選 GuardDuty 發現項目,以僅顯示發現項目GuardDuty
。
解譯 GuardDuty 尋找名稱 AWS Security Hub
GuardDuty 使用安全性搜尋結果格式 (ASFF),將發現項目傳送至AWS
安全性中樞。在 ASFF 中,Types
欄位提供問題清單類型。ASFF 類型使用的命名配置與 GuardDuty類型不同。下表詳細說明所有 GuardDuty 發現項目類型及其 ASFF 對應項目,如同它們出現在 Security Hub 中。
注意
針對某些 GuardDuty 發現項目類型,Security Hub 會根據發現項目詳細資料的資源角色是 ACTOR 還是 TARGET,指派不同的 ASFF 尋找項目 如需更多資訊,請參閱調查結果詳細資訊。
GuardDuty 尋找類型 |
ASFF 問題清單類型 |
---|---|
TTPs/Command and Control/Backdoor:EC2-C&CActivity.B |
|
TTPs/Command and Control/Backdoor:EC2-C&CActivity.B!DNS |
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.Dns |
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.Tcp |
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.Udp |
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.UdpOnTcpPorts |
|
TTPs/Command and Control/Backdoor:EC2-DenialOfService.UnusualProtocol |
|
TTPs/Command and Control/Backdoor:EC2-Spambot |
|
Unusual Behaviors/VM/Behavior:EC2-NetworkPortUnusual |
|
Unusual Behaviors/VM/Behavior:EC2-TrafficVolumeUnusual |
|
TTPs/Command and Control/Backdoor:Lambda-C&CActivity.B |
|
TTPs/Command and Control/Backdoor:Runtime-C&CActivity.B |
|
TTPs/Command and Control/Backdoor:Runtime-C&CActivity.B!DNS |
|
TTPs/Credential Access/IAMUser-AnomalousBehavior |
|
CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed |
TTPs/AnomalousBehavior/CredentialAccess:Kubernetes-SecretsAccessed |
TTPs/Credential Access/CredentialAccess:RDS-AnomalousBehavior.FailedLogin |
|
TTPs/Credential Access/RDS-AnomalousBehavior.SuccessfulBruteForce |
|
TTPs/Credential Access/RDS-AnomalousBehavior.SuccessfulLogin |
|
TTPs/Credential Access/RDS-MaliciousIPCaller.FailedLogin |
|
TTPs/Credential Access/RDS-MaliciousIPCaller.SuccessfulLogin |
|
TTPs/Credential Access/RDS-TorIPCaller.FailedLogin |
|
TTPs/Credential Access/RDS-TorIPCaller.SuccessfulLogin |
|
TTPs/Command and Control/CryptoCurrency:EC2-BitcoinTool.B |
|
TTPs/Command and Control/CryptoCurrency:EC2-BitcoinTool.B!DNS |
|
TTPs/Command and Control/CryptoCurrency:Lambda-BitcoinTool.B Effects/Resource Consumption/CryptoCurrency:Lambda-BitcoinTool.B |
|
TTPs/Command and Control/CryptoCurrency:Runtime-BitcoinTool.B |
|
TTPs/Command and Control/CryptoCurrency:Runtime-BitcoinTool.B!DNS |
|
TTPs/DefenseEvasion/EC2:Unusual-DNS-Resolver |
|
TTPs/DefenseEvasion/EC2:Unusual-DoH-Activity |
|
TTPs/DefenseEvasion/EC2:Unusual-DoT-Activity |
|
TTPs/Defense Evasion/IAMUser-AnomalousBehavior |
|
TTPs/Defense Evasion/DefenseEvasion:Runtime-FilelessExecution |
|
TTPs/DefenseEvasion/DefenseEvasion:Runtime-PtraceAntiDebugging |
|
TTPs/DefenseEvasion/DefenseEvasion:Runtime-SuspiciousCommand |
|
TTPs/Discovery/IAMUser-AnomalousBehavior |
|
TTPs/AnomalousBehavior/Discovery:Kubernetes-PermissionChecked |
|
TTPs/Discovery/RDS-MaliciousIPCaller |
|
TTPs/Discovery/RDS-TorIPCaller |
|
TTPs/Discovery:S3-AnomalousBehavior |
|
TTPs/Discovery:S3-BucketEnumeration.Unusual |
|
TTPs/Discovery:S3-MaliciousIPCaller.Custom |
|
TTPs/Discovery:S3-TorIPCaller |
|
TTPs/Discovery:S3-MaliciousIPCaller |
|
TTPs/AnomalousBehavior/Execution:Kubernetes-ExecInPod |
|
TTPs/AnomalousBehavior/Execution:Kubernetes-WorkloadDeployed |
|
Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount |
TTPs/AnomalousBehavior/Persistence:Kubernetes-WorkloadDeployed!ContainerWithSensitiveMount |
PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer |
TTPs/AnomalousBehavior/PrivilegeEscalation:Kubernetes-WorkloadDeployed!PrivilegedContainer |
TTPs/Execution/Execution:EC2-MaliciousFile |
|
TTPs/Execution/Execution:ECS-MaliciousFile |
|
TTPs/Execution/Execution:Kubernetes-MaliciousFile |
|
TTPs/Execution/Execution:Container-MaliciousFile |
|
TTPs/Execution/Execution:EC2-SuspiciousFile |
|
TTPs/Execution/Execution:ECS-SuspiciousFile |
|
TTPs/Execution/Execution:Kubernetes-SuspiciousFile |
|
TTPs/Execution/Execution:Container-SuspiciousFile |
|
TTPs/Execution/Execution:Runtime-MaliciousFileExecuted |
|
TTPs/Execution/Execution:Runtime-NewBinaryExecuted |
|
TTPs/Execution/Execution:Runtime-NewLibraryLoaded |
|
TTPs/Execution/Execution:Runtime-ReverseShell |
|
TTPs/Execution/Execution:Runtime-SuspiciousCommand |
|
TTPs/Execution/Execution:Runtime-SuspiciousTool |
|
TTPs/Exfiltration:S3-AnomalousBehavior |
|
TTPs/Exfiltration:S3-ObjectRead.Unusual |
|
TTPs/Exfiltration:S3-MaliciousIPCaller |
|
TTPs/Impact:EC2-AbusedDomainRequest.Reputation |
|
TTPs/Impact:EC2-BitcoinDomainRequest.Reputation |
|
TTPs/Impact:EC2-MaliciousDomainRequest.Reputation |
|
TTPs/Impact/Impact:EC2-PortSweep |
|
TTPs/Impact:EC2-SuspiciousDomainRequest.Reputation |
|
TTPs/Impact/Impact:EC2-WinRMBruteForce |
|
TTPs/Impact/IAMUser-AnomalousBehavior |
|
TTPs/Impact/Impact:Runtime-AbusedDomainRequest.Reputation |
|
TTPs/Impact/Impact:Runtime-BitcoinDomainRequest.Reputation |
|
TTPs/Impact/Impact:Runtime-CryptoMinerExecuted |
|
TTPs/Impact/Impact:Runtime-MaliciousDomainRequest.Reputation |
|
TTPs/Impact/Impact:Runtime-SuspiciousDomainRequest.Reputatio |
|
TTPs/Impact:S3-AnomalousBehavior.Delete |
|
TTPs/Impact:S3-AnomalousBehavior.Permission |
|
TTPs/Impact:S3-AnomalousBehavior.Write |
|
TTPs/Impact:S3-ObjectDelete.Unusual |
|
TTPs/Impact:S3-PermissionsModification.Unusual |
|
TTPs/Impact:S3-MaliciousIPCaller |
|
TTPs/Initial Access/IAMUser-AnomalousBehavior |
|
TTPs/PenTest:IAMUser/KaliLinux |
|
TTPs/PenTest:IAMUser/ParrotLinux |
|
TTPs/PenTest:IAMUser/PentooLinux |
|
TTPs/PenTest:S3-KaliLinux |
|
TTPs/PenTest:S3-ParrotLinux |
|
TTPs/PenTest:S3-PentooLinux |
|
TTPs/Persistence/IAMUser-AnomalousBehavior | |
TTPs/Persistence/Persistence:IAMUser-NetworkPermissions |
|
TTPs/Persistence/Persistence:IAMUser-ResourcePermissions |
|
TTPs/Persistence/Persistence:IAMUser-UserPermissions |
|
TTPs/Policy:IAMUser-RootCredentialUsage |
|
TTPs/Policy:S3-AccountBlockPublicAccessDisabled |
|
TTPs/Policy:S3-BucketAnonymousAccessGranted |
|
Effects/Data Exposure/Policy:S3-BucketBlockPublicAccessDisabled |
|
TTPs/Policy:S3-BucketPublicAccessGranted |
|
TTPs/Privilege Escalation/IAMUser-AnomalousBehavior | |
TTPs/Privilege Escalation/PrivilegeEscalation:IAMUser-AdministrativePermissions |
|
PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated |
TTPs/AnomalousBehavior/PriviledgeEscalation:Kubernetes-RoleBindingCreated |
PriviledgeEscalation:Kubernetes/AnomalousBehavior.RoleCreated |
TTPs/AnomalousBehavior/PriviledgeEscalation:Kubernetes-RoleCreated |
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-ContainerMountsHostDirectory |
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-CGroupsReleaseAgentModified |
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-DockerSocketAccessed |
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-RuncContainerEscape |
|
TTPs/Privilege Escalation/PrivilegeEscalation:Runtime-UserfaultfdUsage |
|
TTPs/Discovery/Recon:EC2-PortProbeEMRUnprotectedPort |
|
TTPs/Discovery/Recon:EC2-PortProbeUnprotectedPort |
|
TTPs/Discovery/Recon:EC2-Portscan |
|
TTPs/Discovery/Recon:IAMUser-MaliciousIPCaller |
|
TTPs/Discovery/Recon:IAMUser-MaliciousIPCaller.Custom |
|
TTPs/Discovery/Recon:IAMUser-NetworkPermissions |
|
TTPs/Discovery/Recon:IAMUser-ResourcePermissions |
|
TTPs/Discovery/Recon:IAMUser-TorIPCaller |
|
TTPs/Discovery/Recon:IAMUser-UserPermissions |
|
Unusual Behaviors/User/ResourceConsumption:IAMUser-ComputeResources |
|
TTPs/Defense Evasion/Stealth:IAMUser-CloudTrailLoggingDisabled |
|
TTPs/Defense Evasion/Stealth:IAMUser-LoggingConfigurationModified |
|
TTPs/Defense Evasion/Stealth:IAMUser-PasswordPolicyChange |
|
TTPs/Defense Evasion/Stealth:S3-ServerAccessLoggingDisabled |
|
TTPs/Command and Control/Trojan:EC2-BlackholeTraffic |
|
TTPs/Command and Control/Trojan:EC2-BlackholeTraffic!DNS |
|
TTPs/Command and Control/Trojan:EC2-DGADomainRequest.B |
|
TTPs/Command and Control/Trojan:EC2-DGADomainRequest.C!DNS |
|
TTPs/Command and Control/Trojan:EC2-DNSDataExfiltration |
|
TTPs/Initial Access/Trojan:EC2-DriveBySourceTraffic!DNS |
|
Effects/Data Exfiltration/Trojan:EC2-DropPoint |
|
Effects/Data Exfiltration/Trojan:EC2-DropPoint!DNS |
|
TTPs/Command and Control/Trojan:EC2-PhishingDomainRequest!DNS |
|
TTPs/Command and Control/Trojan:Lambda-BlackholeTraffic |
|
Effects/Data Exfiltration/Trojan:Lambda-DropPoint |
|
TTPs/Command and Control/Trojan:Runtime-BlackholeTraffic |
|
TTPs/Command and Control/Trojan:Runtime-BlackholeTraffic!DNS |
|
TTPs/Command and Control/Trojan:Runtime-DGADomainRequest.C!DNS |
|
TTPs/Initial Access/Trojan:Runtime-DriveBySourceTraffic!DNS |
|
Effects/Data Exfiltration/Trojan:Runtime-DropPoint |
|
Effects/Data Exfiltration/Trojan:Runtime-DropPoint!DNS |
|
TTPs/Command and Control/Trojan:Runtime-PhishingDomainRequest!DNS |
|
TTPs/Command and Control/UnauthorizedAccess:EC2-MaliciousIPCaller.Custom |
|
TTPs/UnauthorizedAccess:EC2-MetadataDNSRebind |
|
TTPs/Initial Access/UnauthorizedAccess:EC2-RDPBruteForce |
|
TTPs/Initial Access/UnauthorizedAccess:EC2-SSHBruteForce |
|
Effects/Resource Consumption/UnauthorizedAccess:EC2-TorClient |
|
Effects/Resource Consumption/UnauthorizedAccess:EC2-TorRelay |
|
Unusual Behaviors/User/UnauthorizedAccess:IAMUser-ConsoleLogin |
|
TTPs/UnauthorizedAccess:IAMUser-ConsoleLoginSuccess.B |
|
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS |
Effects/Data Exfiltration/UnauthorizedAccess:IAMUser-InstanceCredentialExfiltration.InsideAWS |
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS |
Effects/Data Exfiltration/UnauthorizedAccess:IAMUser-InstanceCredentialExfiltration.OutsideAWS |
TTPs/UnauthorizedAccess:IAMUser-MaliciousIPCaller |
|
TTPs/UnauthorizedAccess:IAMUser-MaliciousIPCaller.Custom |
|
TTPs/Command and Control/UnauthorizedAccess:IAMUser-TorIPCaller |
|
TTPs/Command and Control/UnauthorizedAccess:Lambda-MaliciousIPCaller.Custom |
|
Effects/Resource Consumption/UnauthorizedAccess:Lambda-TorClient |
|
Effects/Resource Consumption/UnauthorizedAccess:Lambda-TorRelay |
|
TTPs/UnauthorizedAccess:Runtime-MetadataDNSRebind |
|
Effects/Resource Consumption/UnauthorizedAccess:Runtime-TorRelay |
|
Effects/Resource Consumption/UnauthorizedAccess:Runtime-TorClient |
|
TTPs/UnauthorizedAccess:S3-MaliciousIPCaller.Custom |
|
TTPs/UnauthorizedAccess:S3-TorIPCaller |
來自 GuardDuty 的一般問題清單
GuardDuty 使用安全性搜尋結果格式 (ASFF) 將發現項目傳送至AWS 安全性中樞。
這是一個典型的發現的例子 GuardDuty。
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws::guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea", "ProductArn": "arn:aws::securityhub:us-east-1:product/aws/guardduty", "GeneratorId": "arn:aws::guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64", "AwsAccountId": "193043430472", "Types": [ "TTPs/Initial Access/UnauthorizedAccess:EC2-SSHBruteForce" ], "FirstObservedAt": "2020-08-22T09:15:57Z", "LastObservedAt": "2020-09-30T11:56:49Z", "CreatedAt": "2020-08-22T09:34:34.146Z", "UpdatedAt": "2020-09-30T12:14:00.206Z", "Severity": { "Product": 2, "Label": "MEDIUM", "Normalized": 40 }, "Title": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356.", "Description": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356. Brute force attacks are used to gain unauthorized access to your instance by guessing the SSH password.", "SourceUrl": "https://us-east-1.console.aws.amazon.com/guardduty/home?region=us-east-1#/findings?macros=current&fId=46ba0ac2845071e23ccdeb2ae03bfdea", "ProductFields": { "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/portName": "Unknown", "aws/guardduty/service/archived": "false", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asnOrg": "CENTURYLINK-US-LEGACY-QWEST", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lat": "42.5122", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/ipAddressV4": "199.241.229.197", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lon": "-90.7384", "aws/guardduty/service/action/networkConnectionAction/blocked": "false", "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/port": "46717", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/country/countryName": "United States", "aws/guardduty/service/serviceName": "guardduty", "aws/guardduty/service/evidence": "", "aws/guardduty/service/action/networkConnectionAction/localIpDetails/ipAddressV4": "172.31.43.6", "aws/guardduty/service/detectorId": "d4b040365221be2b54a6264dc9a4bc64", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/org": "CenturyLink", "aws/guardduty/service/action/networkConnectionAction/connectionDirection": "INBOUND", "aws/guardduty/service/eventFirstSeen": "2020-08-22T09:15:57Z", "aws/guardduty/service/eventLastSeen": "2020-09-30T11:56:49Z", "aws/guardduty/service/action/networkConnectionAction/localPortDetails/portName": "SSH", "aws/guardduty/service/action/actionType": "NETWORK_CONNECTION", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/city/cityName": "Dubuque", "aws/guardduty/service/additionalInfo": "", "aws/guardduty/service/resourceRole": "TARGET", "aws/guardduty/service/action/networkConnectionAction/localPortDetails/port": "22", "aws/guardduty/service/action/networkConnectionAction/protocol": "TCP", "aws/guardduty/service/count": "74", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asn": "209", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/isp": "CenturyLink", "aws/securityhub/FindingId": "arn:aws::securityhub:us-east-1::product/aws/guardduty/arn:aws::guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea", "aws/securityhub/ProductName": "GuardDuty", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws::ec2:us-east-1:193043430472:instance/i-0c10c2c7863d1a356", "Partition": "aws", "Region": "us-east-1", "Tags": { "Name": "kubectl" }, "Details": { "AwsEc2Instance": { "Type": "t2.micro", "ImageId": "ami-02354e95b39ca8dec", "IpV4Addresses": [ "18.234.130.16", "172.31.43.6" ], "VpcId": "vpc-a0c2d7c7", "SubnetId": "subnet-4975b475", "LaunchedAt": "2020-08-03T23:21:57Z" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE" }
啟用與設定整合
若要使用與整合 AWS Security Hub,您必須啟用 Security Hub。如需有關如何啟用 Security Hub 的資訊,請參閱 AWS Security Hub 使用者指南中的設定 Security Hub。
當您同時啟用 GuardDuty 和 Security Hub 時,會自動啟用整合。 GuardDuty立即開始將發現發現發送到 Security Hub。
停止將調查結果發布至 Security Hub
若要停止將問題清單傳送至 Security Hub,您可以使用 Security Hub 主控台或 API。
請參閱AWS Security Hub 使用指南中的整合 (主控台) 停用和啟用發現項目流程或停用整合 (Security Hub API、 AWS CLI) 中的發現項目流程。