提升安全态势：AWS IoT Device Defender 与 AWS Security Hub 直接集成

关键要点

引言

我们很高兴地宣布，AWS IoT Device Defender 现在与 AWS Security Hub 实现了集成。通过这项集成，您可以在一个中心位置获取审计和检测功能生成的警报及其属性，而无需编写自定义代码。这将帮助您减轻管理多个安全控制台的复杂性，尤其是在审核由 AWS IoT Device Defender 监控的设备时。

您可以利用 AWS IoT Device Defender 来审核和监控您的 IoT 设备，并借助 AWS Security Hub 来集中和优先处理来自多个 AWS 账户、服务及受支持的第三方合作伙伴的安全发现，以帮助分析安全趋势，识别优先处理的安全问题。通过将 AWS IoT Device Defender 直接集成到 AWS Security Hub，您可以将 AWS IoT Device Defender 的警报与其他 AWS 安全服务的事件一起查看，从而集中审视并改善您的 IoT 解决方案的安全态势。

AWS Security Hub 会从多个 AWS 服务中获取发现数据，包括 Amazon GuardDuty、Amazon Inspector、Amazon Macie、AWS Firewall Manager、AWS Identity and Access Management (IAM) 访问分析器和 AWS Systems Manager 补丁管理器。借助 AWS IoT Device Defender 集成到 AWS Security Hub，您可以将 AWS IoT Device Defender 的警报引入 AWS Security Hub。来自每个服务的发现数据都会规范为 AWS 安全发现格式 (ASFF)，使您能够以标准化格式审查发现并迅速采取行动。您可以使用 AWS Security Hub 提供的集中视图查看所有与安全相关的发现，并可以设置警报和自动补救。

解决方案概述

图 1： 解决方案架构

前提条件

解决方案实施步骤

AWS Security Hub 的集成允许聚合来自多个 AWS 服务以及支持的 AWS 合作伙伴网络 (APN) 安全解决方案 的安全发现数据。AWS Security Hub 控制台中的集成页面提供访问所有可用的 AWS 和第三方产品集成的途径。AWS Security Hub API 也提供了一些操作，以便管理集成。

图 2： 展示 AWS IoT Device Defender 集成的 AWS Security Hub 控制台

访问 AWS IoT Security Hub gt 集成 页面，查看并接受适合您用例的来自 AWS IoT Device Defender 服务的发现。

恭喜您！您已启用 AWS IoT Device Defender 的审计和检测发现的接受功能到 AWS Security Hub。您可以继续接下来的实验部分，尝试在您的 AWS 账户中测试这些集成。

实验 AWS IoT Device Defender 审计发现集成与 AWS Security Hub

AWS IoT Device Defender 审计将检查账户和设备相关设置与策略，以确保安全措施到位。要实验审计发现，您可以创建一个过于宽松的设备策略，并按需运行审计，以便立即生成发现。

现在，您已经在 AWS 账户中创建了一个过于宽松的设备策略。它将在下一次 AWS IoT Device Defender 审计运行中被检测为一个具有严重性危机的安全发现。您可以运行按需审计，以立即查看结果。

审计将被启动，并在几分钟内从进行中变为不合规。选择最新的审计，在审计报告页面上，检查 不合规检查 部分。

图 3： AWS IoT Device Defender 审计报告

您最近创建的过于宽松的 IoT 策略会在 AWS IoT Device Defender 审计中被检测到。您现在可以访问 AWS Security Hub 控制台，以检查 AWS IoT Device Defender 审计报告的发现。

图 4： 在 AWS Security Hub 中的 AWS IoT Device Defender 审计发现

恭喜您！您已将 AWS Security Hub 与 AWS IoT Device Defender 审计发现集成。AWS Security Hub 中的发现通过审计检查类型作为标题和检查的资源标识符来识别。在此示例中，您将注意到“AwsIotPolicy”和“AwsIotAccountSettings”是非合规的资源类型。此外，审计会将检查摘要发送到 AWS Security Hub，包括状态、检查的资源数量、每种检查类型的审计任务的非合规百分比。这些摘要可以通过其标题或资源类型“AwsIotAuditTask”识别。您可以单击每个发现以查看发现详细信息并触发工作流操作。

图 5： AWS Security Hub 中 AWS IoT Device Defender 审计发现详细信息

您可以继续下面的部分，实验检测发现。

实验 AWS IoT Device Defender 检测发现集成与 AWS Security Hub

通过 AWS IoT Device Defender 检测，您可以通过监控设备行为来识别可能表明设备被攻陷的异常行为。您创建安全配置文件，定义预期的设备行为，并将其分配给一组设备或您所有的设备。要实验检测发现，您可以创建一个包含简单预期 AWS IoT Core 设备行为的安全配置文件，然后连接一个与预期行为冲突的 IoT 设备客户端。

这定义了一种设备行为：预期的消息大小小于 8 字节。

现在，使用您的 IoT 设备通过 AWS IoT 设备客户端/SDK 或者 AWS IoT Core 控制台的 MQTT 测试客户端 发布大于8 字节的消息。

在五分钟的时间内，会生成一个 AWS IoT Device Defender 检测发现。访问 AWS IoT gt 安全 gt 检测 gt 警报，查看在 所有警报 下生成的发现。

现在，您可以访问 AWS Security Hub 控制台，以查看 AWS IoT Device Defender 检测报告的发现。

图 6： 在 AWS Security Hub 中的 AWS IoT Device Defender 检测发现

恭喜您！您已将 AWS Security Hub 与 AWS IoT Device Defender 检测发现集成。您会注意到，违规的发现几乎实时地发送到 AWS Security Hub。违规可以通过其设备名称和行为名称在标题中识别，并且在检测到违规时的时间也会记录。当违规解除警报时，相应的 Security Hub 发现会立即归档。您可以单击每个发现以查看发现详细信息并触发工作流操作。

图 7： AWS Security Hub 中的 AWS IoT Device Defender 检测发现详细信息

需要注意的是，您还可以使用 AWS IoT Device Defender 的 ML 检测 来设置正常的设备行为。AWS IoT Device Defender 会识别异常，并使用机器学习 (ML) 模型触发警报。这些警报也会发送到 AWS Security Hub，并如前所述可以在 AWS Security Hub 控制台中查看。

结论

在本篇文章中，您学习了如何设置 AWS IoT Device Defender 以将审计和检测发现发送到 AWS Security Hub，从而获得跨云和边缘服务的安全发现的集中视图。通过将安全事件引入 AWS，您可以对警报进行分类，更深入地洞察并了解您的 IoT 和云安全态势。该解决方案还可以使用其他 AWS 服务进行扩展，包括 Amazon EventBridge、AWS Lambda 和 Amazon DynamoDB 来关联多种 AWS 安全服务的 AWS Security Hub 发现。要了解更多内容，请阅读 将安全发现与 AWS Security Hub 和 Amazon EventBridge 相关联。您可以参考 这段视频 来获取解决方案的现场演示。

作者

Ryan Dsouza 是 AWS IoT 的首席解决方案架构师。居住在纽约市，Ryan 帮助客户设计、开发和操作更安全、可扩展和创新的解决方案，利用 AWS 的广泛能力以实现可测量的商业结果。Ryan 拥有超过 25 年在数字平台、智能制造、能源管理、建筑和工业自动化以及 OT/IIoT 安全等广泛行业的经验。在加入 AWS 之前，Ryan 曾在埃森哲、西门子、通用电气、IBM 和 AECOM 工作，为客户的数字化转型项目提供服务。

Joseph Choi 是 AWS IoT 高级产品经理，专注于构建帮助设备制造商、汽车制造商和物联网供应商监控和保护其设备的服务。Emir Ayar 是 AWS 原型团队的技术总监解决方案架构师。他专注于帮助客户构建 IoT、边缘机器学习 (ML) 和工业 40 解决方案，并实施架构最佳实践。他居住在卢森堡，喜欢演奏合成器。

标签：AWS IIoT 安全的黄金法则、AWS IoT、AWS IoT 博客、AWS IoT Device Defender、最佳 OT/IIoT 网络安全实践、IEC 62443、IIoT 安全性、Ryan Dsouza AWS、零信任 AWS