在本文中,您将学习如何将 IoT 安全结果集成到 AWS Security Hub 中,包括下载 AWS CloudFormation 模板以实施解决方案。每个 AWS IoT Device Defender 的审计和检测结果将被记录为 Security Hub 发现,提供重要的安全信息和操作链接,便于用户采取补救措施。
在本文中,您将了解 AWS IoT 设备防御系统中的审计和检测结果是如何集成到 AWS Security Hub 中的,并且您可以下载 AWS CloudFormation 模板来实施该解决方案。一旦您部署了解决方案,所有 AWS IoT Device Defender 的审计和检测结果将被记录为 Security Hub 的发现。这些发现提供了 AWS IoT Device Defender 的发现严重性级别,并直接链接到 AWS IoT Device Defender 控制台,以便您采取必要的补救措施。如果您通过 AWS IoT Device Defender 控制台解决了潜在问题或抑制了发现,解决方案将自动归档 Security Hub 中的相关发现。
在之前的博客中,我们讨论了在运营技术OT、工业物联网IIoT和云环境中实施安全监控的重要性,如何使用 AWS Security Hub 说明了孤立的 OT 和 IIoT 安全监控可能导致的盲点。恶意行为者可能会利用这些盲点,因此在整个攻击面,包括边缘和云、现场和非现场资产中实施安全监控至关重要。我们使用 AWS Security Hub 来获取工厂和云环境中安全发现的集中视图,以实施 IIoT 解决方案。
在如何将 AWS IoT Device Defender 审计发现导入 Security Hub的博客中,我们讨论了如何将 AWS IoT Device Defender 的审计发现导入 Security Hub。这篇博客新增了 AWS IoT Device Defender 的检测发现,并展示了如何使用自定义解决方案将审计和检测结果导入 Security Hub。
AWS Security Hub 提供了您的帐户中的安全警报和安全态势的全面视图。在这篇博客中,我们展示了如何将 AWS IoT Device Defender 的审计和检测发现导入 Security Hub。然后,您可以在 Security Hub 中查看和组织物联网和 IIoT 的安全发现,以及来自其他 集成 AWS 服务 的发现,例如 Amazon GuardDuty、Amazon Inspector、Amazon Macie、AWS 身份与访问管理IAM、访问分析、AWS 系统管理器等。此外,您还可以将来自 OT 入侵检测解决方案IDS的安全事件整合到 AWS Security Hub 中,如 Dragos、Claroty 和 Nozomi。
通过 AWS IoT Device Defender detect,客户可以监控知识产权盗窃、数据外泄、身份冒用、云基础设施滥用、拒绝服务DoS、横向威胁升级、监控、加密货币挖掘、指挥与控制、恶意软件和勒索软件。您如何将这些安全发现发送到 AWS Security Hub?
对于此解决方案,我们假设您熟悉如何设置物联网环境和配置 AWS IoT Device Defender。要了解如何设置您的环境,请参阅 AWS 教程,例如启动 AWS IoT Greengrass 和 设置 AWS IoT Device Defender。
该解决方案适用于每次扫描发现少于 10000 个发现的 AWS 帐户。如果 AWS IoT Device Defender 发现超过 10000 个发现,则服务器无状态的 AWS Lambda 函数可能会超出 15 分钟的限制视网络延迟而定,并且功能将失败。
该解决方案旨在支持 AWS IoT Device Defender、无服务器 Lambda 功能和 Security Hub 可用的 AWS 区域;有关更多信息,请参阅 AWS 区域服务。解决方案不包括 中国北京和中国宁夏区域 和 AWS GovCloud美国区域。
通过此解决方案,您可以配置 AWS IoT Device Defender 的审计、规则检测和机器学习检测。
我们提供的模板将会配置 Amazon Simple Notification Service (Amazon SNS) 主题,以便在 AWS IoT Device Defender 报告准备好时通知您,以及一个 Lambda 函数,该函数将结果从报告导入 Security Hub。下图 1 显示了解决方案架构。
解决方案工作流程:1 AWS IoT Device Defender 检测到配置错误审计发现或监控的 IoT 设备的行为异常。2 AWS IoT Device Defender 将事件发布到 SNS 主题。3 结果,AWS Lambda 函数处理生成的发现AWS IoT Device Defender 审计或异常AWS IoT Device Defender 检测。4 如果是审计发现,Lambda 函数使用 AWS IoT Device Defender API 获取更多详细信息;如果是检测违规,它尝试从触发异常的行为名称中获取严重性。您可以直接在 AWS CloudFormation 模板中自定义每个行为的严重性。5 最后,Lambda 函数将新的发现导入 Security Hub。图 3 显示了安全中心中的发现示例。
此外,当安全操作员通过 AWS IoT 报警控制台将报警标记为“虚假阳性”或“良性阳性”时:1 监听 AWS CloudTrail 事件的 Amazon EventBridge 规则触发一个 AWS Lambda 函数。2 Lambda 函数在 AWS Security Hub 中归档相关发现。
要开始使用,您需要设置示例解决方案。
如果您还没有登录到您的 AWS 账户,请进行登录。选择启动栈以在 CloudFormation 控制台中启动示例模板。选择下一步。飞机加速安卓下载同时,您也可以从 GitHub 下载最新的解决方案代码。
按照图 2 中所示配置您的栈参数。如果您尚未配置任何 AWS IoT Device Defender 的持续审计或安全配置,则将以下参数更改为 true:创建安全配置,并创建预期设备行为的规则。为您的设备群体启用持续审计。
可选地,您可以使用以下 AWS CloudFormation 参数部署其他 AWS IoT Device Defender 配置:
使用机器学习模型创建安全配置。调整基于机器学习的异常的置信水平如果启用,我们可以调整 ML 模型。扩展已创建的安全配置ML 或规则以监控设备侧指标。指定要监控异常的 IoT 设备 ARN 的子集。默认情况下,解决方案使用已部署的安全配置监控所有设备。接下来的步骤中我们将使用基于规则的行为来测试解决方案。
我们将模拟一个安全事件,该事件将触发 AWS IoT Device Defender 的基于规则的安全配置。该基于规则的配置定义了两个行为规则,用于连接尝试和断开,一旦发生就会触发。在此测试中,我们将使用 MQTT 测试客户端,它充当一个可以发布和订阅 MQTT 主题的 IoT 设备。
前往 AWS IoT Core 控制台,选择 MQTT 测试客户端。选择 订阅主题 并在 主题过滤器 中输入 #所有主题。然后,在 订阅 下选择断开与主题的连接。这将触发一个断开事件,从而触发 AWS IoT Device Defender 的基于规则的警报。
然后,您可以前往 AWS Security Hub 控制台,在导航面板中选择 发现,然后根据 “更新时间” 排序以查找相关发现。在描述中,您将找到与报警相关的配置、规则和标准。
接下来,我们将把异常标记为虚假阳性,以便在 AWS Security Hub 中归档其发现。
前往 AWS IoT Core 控制台,在 安全 的导航面板中,展开 检测 并选择 警报。选择触发的警报,然后按 标记验证状态 按钮。选择 FALSEPOSITIVE 并添加任何描述。返回 AWS Security Hub 发现控制台时,搜索 工作流状态 为 SUPPRESSED 以查找与异常相关的被抑制发现。
在本文中,您了解了如何将 AWS IoT Device Defender 的审计和检测发现与 Security Hub 集成,以获取对您企业、物联网和 IIoT 工作负载的安全发现的集中视图。通过将安全事件导入 AWS,客户可以整理警报并深入了解其 OT、IIoT 和云安全态势。此解决方案可以通过使用其他 AWS 服务进行扩展,包括 Amazon EventBridge、AWS Lambda 和 Amazon DynamoDB 来关联来自多个 AWS 安全服务的 AWS Security Hub 发现。要了解更多信息,请阅读 使用 AWS Security Hub 和 Amazon EventBridge 关联安全发现。
Syed Rehan 是亚马逊网络服务AWS的全球物联网高级传播专家,驻伦敦。他与大型企业的开发人员和决策者合作,推动 AWS IoT 服务的采用,覆盖全球客户。Syed 对物联网和云有深入的理解,并与从初创公司到企业的全球客户合作,以帮助他们使用 AWS 生态系统构建物联网解决方案。Joaquin Manuel Rinaudo 是 AWS 专业服务的高级安全架构师。他热衷于构建解决方案,以帮助开发人员提高软件质量。加入 AWS 之前,他在安全行业的多个领域工作,从移动安全到云和合规等主题。在他的业余时间,Joaquin 喜欢和家人共度时光以及阅读科幻小说。
标签: AWS IoT、Device Defender、Security Hub
