View a markdown version of this page

Conceitos do Security Hub - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conceitos do Security Hub

No Security Hub, nos baseamos em AWS conceitos e terminologias comuns e usamos esses termos adicionais.

Conta

A AWS conta padrão que contém seus AWS recursos. Faça login AWS com sua AWS conta para ativar o Security Hub.

Se sua conta estiver cadastrada AWS Organizations, sua organização designará uma conta de administrador do Security Hub. Essa conta pode habilitar outras contas da organização como contas de membro.

Uma organização só pode ter uma conta de administrador. Uma conta não pode ser uma conta de administrador e uma conta de membro simultaneamente.

O Security Hub oferece suporte às contas a seguir:

  • Conta de gerenciamento da organização — uma AWS conta que administra uma AWS organização.

  • Conta de administrador delegado — uma AWS conta que gerencia o uso de uma AWS service (Serviço da AWS) para uma AWS organização.

  • Conta de membro — uma AWS conta que é membro de uma AWS organização.

  • Conta autônoma — uma AWS conta sem habilitada AWS Organizations

Conta de administrador

Esse tipo de AWS conta pode visualizar as descobertas das contas de membros associadas.

Esse tipo de AWS conta se torna uma conta de administrador quando a conta é designada por uma conta de gerenciamento da organização como a conta de administrador do Security Hub. A conta de administrador do Security Hub pode habilitar qualquer conta da organização como uma conta de membro e pode convidar outras contas para serem contas de membro.

Uma organização só pode ter uma conta de administrador. Uma conta não pode ser uma conta de administrador e uma conta de membro simultaneamente.

Região de agregação

Uma região de agregação permite que você visualize as descobertas de segurança de várias Regiões da AWS em um único painel de vidro.

A região de agregação é Região da AWS onde você visualiza e gerencia as descobertas. As descobertas são agregadas à região de agregação das regiões vinculadas. As descobertas atualizadas são replicadas em todas as regiões.

Na região de agregação, as páginas do painel e do inventário incluem dados de todas as regiões vinculadas. A página de automações só pode ser usada para definir regras de automação na região de agregação. As integrações de emissão de tíquetes de terceiros só podem ser configuradas na região de agregação.

Descoberta arquivada

Uma descoberta com status ARCHIVED. Essas descobertas indicam que o provedor da descoberta ou o cliente que está investigando a descoberta acredita que ela não é mais relevante.

Os fornecedores de localização podem arquivar as descobertas que eles criam. Os clientes podem arquivar quaisquer descobertas que acreditem não serem mais relevantes usando a operação BatchUpdateFindingsV2 da API do Security Hub ou atualizando o status no console do Security Hub.

No console do Security Hub, as configurações de filtro padrão excluem descobertas arquivadas das listas e tabelas de busca. É possível atualizar os filtros para incluir descobertas arquivadas. Se você recuperar descobertas usando a operação GetFindingsV2, a operação recuperará tanto as descobertas arquivadas quanto as ativas. O exemplo a seguir mostra como excluir as descobertas arquivadas dos resultados. 

{
    "StringFilters":
    [
        {
            "FieldName": "status",
            "Filter":
            {
                "Value": "Archived",
                "Comparison": "EQUALS"
            }
        }
    ]
}
Agregação entre regiões

A agregação de descobertas e recursos de regiões vinculadas a uma região de agregação. É possível visualizar todos os seus dados da região de agregação e atualizar as descobertas dessa região.

Conta de administrador delegada

Em AWS Organizations, a conta de administrador delegado de um serviço é capaz de gerenciar o uso de um serviço para a organização.

No Security Hub, a conta de administrador do Security Hub também é a conta de administrador delegado do Security Hub. Quando a conta gerencial da organização designa pela primeira vez uma conta de administrador do Security Hub, ele chama o Organizations para tornar essa conta a conta de administrador delegado.

A conta gerencial da organização deve então escolher a conta de administrador delegado como a conta de administrador do Security Hub em todas as regiões.

Exposição

As exposições são fraquezas mais amplas nos controles de segurança, configurações incorretas ou outras áreas que podem ser exploradas por ameaças ativas.

Exemplos de exposições incluem:

  • Plano de controle mal configurado para um recurso.

  • Presença de uma vulnerabilidade de software com alto potencial de exploração.

  • Recurso acessível ao público (rede ou API).

Descobertas de exposição

Um tipo de descoberta que descreve uma exposição presente em seu ambiente. Uma descoberta de exposição inclui características e sinais. Um sinal pode incluir um ou mais tipos de características de exposição. AWS O Security Hub gera uma descoberta de exposição quando sinais do AWS Security Hub CSPM, Amazon Inspector, GuardDuty Amazon, Amazon Macie AWS ou outros serviços indicam a presença de uma exposição. Um recurso pode estar envolvido em uma ou mais descobertas de exposição. Se um recurso não tiver nenhuma característica de exposição ou tiver características insuficientes, o Security Hub não gerará uma descoberta de exposição para esse recurso.

Um exemplo de descoberta de exposição é: uma instância do EC2 que pode ser acessada pela Internet e tem vulnerabilidades de software com alta probabilidade de exploração.

Descoberta

O registro observável de uma verificação de segurança ou detecção relacionada à segurança. O Security Hub gera e atualiza as descobertas por meio da correlação de outras descobertas de segurança. Essas são chamadas de descobertas de exposição. As descobertas também podem vir de integrações com outros produtos Serviços da AWS e produtos de terceiros.

Encontrando a ingestão

A importação das descobertas para o Security Hub. A descoberta de eventos de ingestão inclui novas descobertas e atualizações das descobertas existentes.

Região vinculada

Quando você habilita a agregação entre regiões, uma região vinculada é aquela que agrega descobertas e inventários de recursos à região de agregação.

Em uma região vinculada, as páginas do painel e do inventário contêm apenas descobertas sobre isso Região da AWS.

Open Cybersecurity Schema Framework (OCSF)

O Open Cybersecurity Schema Framework (OCSF) é um esforço colaborativo AWS e de código aberto de parceiros líderes no setor de segurança cibernética. O OCSF fornece um esquema padrão para eventos de segurança comuns, define critérios de versionamento para viabilizar a evolução do esquema e inclui um processo de autogovernança para desenvolvedores e consumidores de logs de segurança. Para mais informações, consulte Descobertas do OCSF no Security Hub.

Conta de membro

E Conta da AWS que concedeu permissão a uma conta de administrador para visualizar e agir de acordo com suas descobertas. Esse tipo de conta Conta da AWS se torna membro quando a conta de administrador do Security Hub o ativa como conta membro.

Sinal

Uma descoberta que contribui para uma descoberta de exposição. Um sinal pode ser chamado de descoberta contribuinte. Um sinal pode se originar no Security Hub, CSPM, ou outro AWS Config Serviços da AWS, como o Amazon Inspector.

Traço

Um desvio de segurança que resulta em uma descoberta de exposição. Os tipos de características incluem Presumibilidade, Configuração incorreta, Acessibilidade, Dados sensíveis e Vulnerabilidade. Uma característica está associada a um sinal e um sinal pode conter várias características. Por exemplo, um controle do CSPM do Security Hub indica que uma política gerenciada pelo cliente permite o controle de acesso administrativo. Esse sinal contém uma característica de configuração incorreta.