本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
產生及更新控制項發現項
AWS Security Hub 透過對安全控制執行檢查來產生發現項目。這些發現項目使用 AWS 安全性發現格式 (ASFF)。請注意,如果尋找項目大小超過 240 KB 的最大值,則會移除Resource.Details物件。對於由 AWS Config
資源支援的控制項,您可以在主控 AWS Config 台上檢視資源詳細資訊。
Security Hub 通常會針對控制項的每個安全性檢查收費用。但是,如果多個控制項使用相同的 AWS Config 規則,則 Security Hub 只會針對 AWS Config 規則的每次檢查收費用一次。如果您開啟合併控制項發現項目,Security Hub 會產生單一發現項目以進行安全性檢查,即使該控制項包含在多個已啟用的標準中也是如此。
例如,網際網路安全中心 (CIS) AWS 基準基準標準和基礎安全性最佳做法標準中的多個控制項會使用iam-password-policy此 AWS Config 規則。每次 Security Hub 針對該 AWS Config 規則執行檢查時,都會針對每個相關控制項產生個別的搜尋結果,但只會針對檢查收費用一次。
合併控制項結果
在帳戶中開啟合併控制項發現項目時,Security Hub 會針對控制項的每個安全性檢查產生單一新的發現項目或尋找更新,即使控制項套用至多個已啟用的標準也是如此。若要查看控制項清單及其套用的標準,請參閱〈〉Security Hub 控制項參考。您可以開啟或關閉合併的控制項發現項目。我們建議將其打開以減少發現噪音。
如果您在 2023 年 2 月 23 日 AWS 帳戶 之前啟用 Security Hub,則必須依照本節稍後的指示,開啟合併控制項發現項目。如果您在 2023 年 2 月 23 日或之後啟用 Security Hub,您帳戶中的合併控制項發現項目會自動開啟。不過,如果您透過手動邀請程序使用 Security Hub 整合 AWS Organizations或受邀的成員帳戶,則只有在管理員帳戶中開啟成員帳戶時,才會在成員帳戶中開啟合併控制項發現項目。如果管理員帳戶中的功能已關閉,則會在成員帳戶中關閉該功能。此行為適用於新的和現有的成員帳戶。
如果您關閉帳戶中的合併控制項發現項目,Security Hub 會針對每個包含控制項的已啟用標準產生個別的搜尋結果。例如,如果四個已啟用的標準與相同的基礎 AWS Config 規則共用一個控制項,則在對控制項進行安全性檢查之後,您會收到四個個別的發現項目。如果您開啟合併控制項搜尋結果,則只會收到一個搜尋結果。如需合併如何影響發現項目的詳細資訊,請參閱樣本控制結果。
當您開啟整合的控制項發現項目時,Security Hub 會建立新的與標準無關的發現項目,並封存原始的標準式發現項目。某些控制項尋找欄位和值會變更,且可能會影響現有的工作流程。如需這些變更的詳細資訊,請參閱合併控制項結果 — ASFF 變更。
開啟合併的控制項發現項目也可能會影響第三方整合從 Security Hub 收到的發現項目。AWS 2.0.0 版的自動化安全回應
開啟合併的控制項結果
若要開啟合併控制項發現項目,您必須登入系統管理員帳戶或獨立帳戶。
注意
開啟合併的控制項發現項目之後,Security Hub 最多可能需要 24 小時才能產生新的合併發現結果,並封存原始的標準式發現項目。在這段期間,您可能會在帳戶中看到混合的標準和基於標準的發現結果。
關閉合併的控制項發現
若要關閉合併控制項發現項目,您必須登入系統管理員帳戶或獨立帳戶。
注意
在關閉合併的控制項發現項目之後,Security Hub 最多可能需要 24 小時才能產生新的標準型發現項目,並封存合併的發現項目。在此期間,您可能會在帳戶中看到基於標準和合併的結果混合在一起。
Compliance控制項結果詳細資料
針對控制項安全性檢查所產生的發現項目,「 AWS 安全性發現項目格式」(ASFF) 中的Compliance欄位包含與控制項發現項目相關的詳細 Compliance 欄位包含以下資訊。
AssociatedStandards-
在中啟用控制項的啟用標準。
RelatedRequirements-
所有啟用標準中控制項的相關需求清單。這些要求來自控制項的第三方安全性架構,例如支付卡產業資料安全標準 (PCIDSS)。
SecurityControlId-
資訊安全 Security Hub 支援的各種安全性標準控制項的識別碼。
Status-
最近檢查的結果,Security Hub 運行給定的控制。之前的檢查結果會保留在存檔狀態,為期 90 天。
StatusReasons-
包含值的原因清單
Compliance.Status。針對每個原因,StatusReasons包括原因代碼和描述。
下表列出可用的狀態原因代碼與說明。修正步驟取決於使用原因代碼產生發現項目的控制項。從中選擇一個控制項Security Hub 控制項參考以查看該控制項的修正步驟。
|
原因代碼 |
Compliance.Status |
描述 |
|---|---|---|
|
|
|
多區域 CloudTrail 追蹤沒有有效的量度篩選器。 |
|
|
|
多區域 CloudTrail 軌跡不存在量度篩選器。 |
|
|
|
帳戶沒有具有必要組態的多區域 CloudTrail 追蹤。 |
|
|
|
多區域 CloudTrail 軌跡不在目前的區域中。 |
|
|
|
沒有有效的警示動作。 |
|
|
|
CloudWatch 帳戶中不存在警報。 |
|
|
AWS Config 狀態為 |
AWS Config 訪問被拒絕。 確認 AWS Config 已啟用且已被授與足夠的權限。 |
|
|
|
AWS Config 根據規則評估您的資源。 規則不適用於其範圍內的 AWS 資源、刪除指定的資源或評估結果已刪除。 |
|
|
|
符合性狀態是 AWS Config 不提供狀態的原因。以下是「不適用」狀態的一些可能原因:
|
|
|
AWS Config 狀態為 |
這個原因代碼用於數種不同類型的評估錯誤。 此描述會提供特定的原因資訊。 錯誤類型可以是下列其中一種:
|
|
|
AWS Config 狀態為 |
規 AWS Config 則正在建立中。 |
|
|
|
發生未知的錯誤。 |
|
|
FAILED |
Security Hub 無法針對自訂 Lambda 執行階段執行檢查。 |
|
|
|
發現項目處於 此規則不支援跨區域或跨帳戶檢查。 建議您在此區域或帳戶中停用此控制項。只能在資源所在的區域或帳戶中執行。 |
|
|
|
CloudWatch 日誌指標篩選器沒有有效的 Amazon SNS 訂閱。 |
|
|
WARNING |
發現項目處於某個 與此規則相關聯的SNS主題是由不同帳戶所擁有。當前帳戶無法獲取訂閱信息。 擁有SNS主題的帳戶必須將主SNS題的 |
|
|
|
發現項目處於 此規則不支援跨區域或跨帳戶檢查。 建議您在此區域或帳戶中停用此控制項。只能在資源所在的區域或帳戶中執行。 |
|
|
|
與此規則相關聯的SNS主題無效。 |
|
|
|
相關API操作超過允許的速率。 |
ProductFields控制項結果詳細資料
當 Security Hub 執行安全性檢查並產生控制項發現項目時,中的ProductFields屬性ASFF包含下列欄位:
ArchivalReasons:0/Description-
說明 Security Hub 為何封存現有的發現項目。
例如,當您停用控制項或標準,以及開啟或關閉合併控制項發現項目時,Security Hub 會封存現有的發現項目。
ArchivalReasons:0/ReasonCode-
提供 Security Hub 封存現有發現項目的原因。
例如,當您停用控制項或標準,以及開啟或關閉合併控制項發現項目時,Security Hub 會封存現有的發現項目。
StandardsGuideArn或StandardsArn-
與ARN控制項相關聯的標準。
對於CIS AWS 基礎基準標準,該字段是
StandardsGuideArn。對於PCIDSS和 AWS 基礎安全性最佳做法標準,欄位為。
StandardsArn如果您開啟合併的控制項發現項目,
Compliance.AssociatedStandards則會移除這些欄位。 StandardsGuideSubscriptionArn或StandardsSubscriptionArn-
該ARN帳戶的訂閱標準。
對於CIS AWS 基礎基準標準,該字段是
StandardsGuideSubscriptionArn。對於PCIDSS和 AWS 基礎安全性最佳做法標準,欄位為。
StandardsSubscriptionArn如果您開啟合併控制項發現項目,則會移除這些欄位。
RuleId或ControlId-
控制項的識別碼。
對於CIS AWS 基礎基準標準,該字段是
RuleId。對於其他標準,欄位為
ControlId。如果您開啟合併的控制項發現項目,
Compliance.SecurityControlId則會移除這些欄位。 RecommendationUrl-
控制項的補救資訊。URL如果您開啟合併的控制項發現項目,
Remediation.Recommendation.Url則會移除此欄位。 RelatedAWSResources:0/name-
與發現項目相關聯的資源名稱。
RelatedAWSResource:0/type-
與控制項相關聯的資源類型。
StandardsControlArn-
控ARN制項的。如果您開啟合併的控制項發現項目,則會移除此欄位。
aws/securityhub/ProductName-
對於以控制項為基礎的發現項目,產品名稱為 Security Hub。
aws/securityhub/CompanyName-
對於以控制項為基礎的發現項目,公司名稱為 AWS。
aws/securityhub/annotation-
控制項所發現之問題的描述。
aws/securityhub/FindingId-
發現項目的識別碼。如果您開啟合併的控制項發現項目,則此欄位不會參考標準。
指派嚴重性給控制項發現
指派給 Security Hub 控制項的嚴重性可識別控制項的重要性。控制項的嚴重性決定指派給控制項發現項目的嚴重性標籤。
嚴重性標準
控制項的嚴重性是根據下列準則的評估來決定:
-
威脅執行者利用與控制項相關的組態弱點有多困難?
難度取決於使用弱點執行威脅案例所需的複雜程度或複雜性。
-
這些弱點會導致您的 AWS 帳戶 或資源妥協的可能性有多大?
您 AWS 帳戶 或資源的損害意味著您的數據或 AWS 基礎設施的機密性,完整性或可用性以某種方式損壞。
入侵的可能性表示威脅案例會導致 AWS 服務或資源中斷或違反的可能性。
例如,請考慮下列組態弱點:
-
使用者存取金鑰不會每 90 天輪換一次。
-
IAM根使用者金鑰存在。
對於對手來說,這兩個弱點同樣難以利用。在這兩種情況下,對手都可以使用憑證盜竊或其他方法來獲取用戶密鑰。然後,他們可以使用它以未經授權的方式訪問您的資源。
但是,如果威脅執行者取得 root 使用者存取金鑰,則遭到入侵的可能性會更高,因為這樣可以提供他們更多的存取權。因此,root 使用者金鑰弱點具有較高的嚴重性。
嚴重性不會考慮基礎資源的重要性。重要性是與發現項目相關聯之資源的重要性層級。例如,與任務關鍵應用程式相關聯的資源比與非生產測試相關聯的資源更為重要。若要擷取資源重要性資訊,請使用「 AWS 安全性搜尋結果格式」() ASFF 的Criticality欄位。
下表將要惡意利用的難度及危害到安全性標籤的可能性對應。
|
妥協極有可能 |
妥協可能 |
妥協不可能 |
妥協極不可能 |
|
|
非常容易利用 |
嚴重 |
嚴重 |
高 |
中 |
|
有點容易利用 |
嚴重 |
高 |
中 |
中 |
|
有點難以利用 |
高 |
中 |
中 |
低 |
|
非常難被利用 |
中 |
中 |
低 |
低 |
嚴重性定義
嚴重性標籤的定義如下。
- 嚴重 — 應立即修正問題,以避免問題升級。
-
舉例來說,開啟的 S3 儲存貯體將視作重大嚴重性問題。由於有許多威脅參與者會掃描開放的 S3 儲存貯體,因此外露 S3 儲存貯體中的資料很可能會被其他人探索並存取。
一般而言,可公開存取的資源會被視為重要的安全性問題。您應該以最緊迫的方式對待關鍵發現。您還應該考慮資源的重要性。
- 高 — 必須將此問題視為短期優先順序來解決。
-
例如,如果預設VPC安全性群組對輸入和輸出流量開放,則會將其視為高嚴重性。對於威脅行為者而言,危及VPC使用此方法有些容易。威脅參與者也可能能夠在資源進入後中斷或洩漏資源。VPC
Security Hub 建議您將高嚴重性發現視為近期優先順序。您應該立即採取補救措施。您還應該考慮資源的重要性。
- 中 — 此問題應作為中期優先處理。
-
例如,傳輸中的資料缺乏加密被視為中等嚴重性發現項目。它需要複雜的 man-in-the-middle 攻擊才能利用這個弱點。換句話說,這有點困難。如果威脅情況成功,則某些數據可能會受到損害。
Security Hub 建議您儘早調查隱含的資源。您還應該考慮資源的重要性。
- 低 — 問題本身不需要採取任何動作。
-
例如,無法收集鑑識資訊會被視為低嚴重性。這種控制可以幫助防止 future 的妥協,但是缺少鑑識並不會直接導致妥協。
您不需要立即對低嚴重性發現項目採取行動,但是當您將這些問題與其他問題產生關聯時,它們可以提供內容。
- 資訊 — 找不到組態弱點。
-
換句話說,狀態為
PASSEDWARNING、或NOT AVAILABLE。沒有任何建議的動作。參考性問題清單能協助客戶證明自己處於合規狀態。
更新控制項發現項的規則
對指定規則進行後續檢查可能會產生新結果。例如,「避免使用 root 使用者」的狀態可能會從變更FAILED為PASSED。在這種情況下,會產生包含最新結果的新發現項目。
如果指定規則後續檢查產生的結果與目前結果一模一樣,則更新現有的問題清單。不產生任何新的問題清單。
如果刪除關聯的資源、資源不存在或控制項已停用,Security Hub 會自動封存控制項中的發現項目。資源可能不再存在,因為目前未使用關聯的服務。發現項目會根據下列其中一個條件自動封存:
-
發現結果在三到五天內不會更新(請注意,這是最好的努力,並不能保證)。
-
傳回相關 AWS Config 評估
NOT_APPLICABLE。
