taibeihacker
Moderator
MetAhub是一种自动上下文安全发现的丰富和脆弱性管理影响评估工具。您可以将其与AWS安全集线器或任何ASFF兼容的安全扫描仪一起使用。停止依靠无用的严重性,然后改用基于您的上下文影响评分定义。
MetaHub是impact-contextual vulnerability management的开源安全工具。它可以根据您的环境和您的需求:您的contextualizing,识别context的ownership安全发现的过程,并根据其计算impact scoring,并根据它来定义优先级别和自动化。您可以将其与AWS安全集线器或任何ASFF安全扫描仪(如ProWler)一起使用。
MetaHub通过连接到受影响的帐户中受影响的资源来描述您的上下文。它可以描述有关您的AWS帐户和组织,受影响的资源标签,受影响的CloudTrail事件,受影响的资源配置以及其所有关联的信息:如果您将影响EC2实例的安全发现进行上下文,MetAhub不仅将连接到该实例本身,还将连接到其IAM角色;从那里开始,它将连接到与这些角色相关的IAM政策。它将连接到安全组,并分析其所有规则,实例正在运行的vPC和子网,卷,自动缩放组等。
从您的上下文中获取所有信息后,MetaHub将评估所有资源:的某些重要条件:曝光,访问,加密,状态,环境和应用。基于这些计算以及对所有影响资源的安全发现的信息,MetAhub还将为每个发现生成Scoring。
检查以下由Metahub生成的仪表板。您拥有受影响的资源,将影响它们的所有安全发现和发现的原始严重性分组。之后,您拥有Impact Score,并且评估了所有标准以生成该分数。所有这些信息都是可过滤,可排序,可分组,可下载和自定义的。
您可以依靠此Impact Score来确定调查结果(您应该从哪里开始?),将注意力集中在关键问题上,以及自动提醒和升级。
MetaHub还可以在自动化工作流中过滤,重复,组报告,报告,抑制或更新您的安全性发现。它设计用于用作CLI工具或自动化工作流程,例如AWS安全中心自定义操作或AWS Lambda功能。
以下是EC2实例的JSON输出;在关联,配置,标签,帐户CloudTrail和Impact下,查看MetAhub如何一起组织有关其上下文的所有信息
Metahub不会停止受影响的资源,而是分析任何相关或附加的资源。例如,如果在EC2实例上有安全性发现,MetAhub不仅会分析实例,还会分析附加的安全组,包括其规则。 Metahub将检查受影响资源所使用的IAM角色以及这些角色所附加的任何问题的政策。它将分析附加到实例的EB,并确定它们是否已加密。它还将分析实例与之关联的自动缩放组以及如何关联。 MetAhub还将分析与实例相关的VPC,子网和其他资源。
Context模块有能力从受影响的资源,受影响的帐户和每个相关资源中检索信息。上下文模块具有五个主要零件:配置(还包括关联),标签,CloudTrail和帐户。默认情况下,启用了配置和标签,但是您可以使用选项- context(启用所有可以使用的上下文模块)更改此行为- context config tags cloudtrail帐户)。每个启用密钥的输出将在受影响的资源下添加。
您可以使用option: -mh-mh-filters-config键{true/false}根据配置输出过滤您的发现。请参阅配置过滤。
关联是理解安全发现作为其暴露的上下文和影响的关键。
您可以使用Option: -MH-Filters-Config键{true/false}根据关联输出过滤发现。请参阅配置过滤。
请注意,并非所有AWS资源类型都支持此API。您可以检查支持的服务。
标签是理解您的上下文的残酷一部分。标记策略通常包括:
环境(例如生产,分期,开发等)数据分类(例如机密,受限等)所有者(例如团队,小队,业务部门等)合规性(例如PCI,SOX等),如果您遵循适当的标记策略,则可以过滤并生成有趣的输出。例如,您可以列出与特定团队相关的所有发现,并将数据直接提供给该团队。
您可以使用选项: -MH-MH-FILTERS-TAGS tag=value根据标签输出过滤发现。请参阅标签过滤
我们寻找的CloudTrail事件是由资源类型定义的,您可以通过编辑配置文件Resources.py添加,删除或更改它们。
例如,对于类型安全组的受影响资源,MetAhub将寻找以下事件:
CreateSecurityGroup:安全组创建事件授权eCurityGroupingress:安全组规则授权事件。
确定资源所有者的自动化方法对于安全团队至关重要。它使他们能够专注于最关键的问题,并将他们升级到自动化工作流程中的合适人员。但是自动化的工作流是这样的,只有在您有一种可靠的方法来定义发现的影响的情况下,这才是可行的,这就是为什么Metahub还专注于影响。
以下是Metahub默认评估的影响标准:
Possible StatusesValueDescription有效地公开100%,资源在互联网上有效公开。 限制了公共40%的资源是公开的,但是像安全组一样受到限制。 不受限制的私人30%的资源是私人但不受限制的,就像一个开放的安全小组一样。 启动公共10%这些是可以推出其他资源的资源。例如,自动缩放组或子网。 限制了0%的资源受到限制。 未知- 无法检查资源
Possible StatusesValueDescription不受限制地100%主管不受限制,没有任何条件或限制。 不信任的主要70%本金是一个AWS帐户,而不是您值得信赖的帐户的一部分。 不受限制的主要40%本金不受限制,用w定义
MetaHub是impact-contextual vulnerability management的开源安全工具。它可以根据您的环境和您的需求:您的contextualizing,识别context的ownership安全发现的过程,并根据其计算impact scoring,并根据它来定义优先级别和自动化。您可以将其与AWS安全集线器或任何ASFF安全扫描仪(如ProWler)一起使用。
MetaHub通过连接到受影响的帐户中受影响的资源来描述您的上下文。它可以描述有关您的AWS帐户和组织,受影响的资源标签,受影响的CloudTrail事件,受影响的资源配置以及其所有关联的信息:如果您将影响EC2实例的安全发现进行上下文,MetAhub不仅将连接到该实例本身,还将连接到其IAM角色;从那里开始,它将连接到与这些角色相关的IAM政策。它将连接到安全组,并分析其所有规则,实例正在运行的vPC和子网,卷,自动缩放组等。
从您的上下文中获取所有信息后,MetaHub将评估所有资源:的某些重要条件:曝光,访问,加密,状态,环境和应用。基于这些计算以及对所有影响资源的安全发现的信息,MetAhub还将为每个发现生成Scoring。
检查以下由Metahub生成的仪表板。您拥有受影响的资源,将影响它们的所有安全发现和发现的原始严重性分组。之后,您拥有Impact Score,并且评估了所有标准以生成该分数。所有这些信息都是可过滤,可排序,可分组,可下载和自定义的。
您可以依靠此Impact Score来确定调查结果(您应该从哪里开始?),将注意力集中在关键问题上,以及自动提醒和升级。
MetaHub还可以在自动化工作流中过滤,重复,组报告,报告,抑制或更新您的安全性发现。它设计用于用作CLI工具或自动化工作流程,例如AWS安全中心自定义操作或AWS Lambda功能。
以下是EC2实例的JSON输出;在关联,配置,标签,帐户CloudTrail和Impact下,查看MetAhub如何一起组织有关其上下文的所有信息
Context
在MetaHub中,上下文是指有关受影响资源的信息,例如其配置,关联,日志,标签,帐户等。Metahub不会停止受影响的资源,而是分析任何相关或附加的资源。例如,如果在EC2实例上有安全性发现,MetAhub不仅会分析实例,还会分析附加的安全组,包括其规则。 Metahub将检查受影响资源所使用的IAM角色以及这些角色所附加的任何问题的政策。它将分析附加到实例的EB,并确定它们是否已加密。它还将分析实例与之关联的自动缩放组以及如何关联。 MetAhub还将分析与实例相关的VPC,子网和其他资源。
Context模块有能力从受影响的资源,受影响的帐户和每个相关资源中检索信息。上下文模块具有五个主要零件:配置(还包括关联),标签,CloudTrail和帐户。默认情况下,启用了配置和标签,但是您可以使用选项- context(启用所有可以使用的上下文模块)更改此行为- context config tags cloudtrail帐户)。每个启用密钥的输出将在受影响的资源下添加。
Config
在配置密钥下,您可以找到与受影响资源的配置有关的任何内容。例如,如果受影响的资源是EC2实例,您将看到诸如private_ip,public_ip或instance_profile之类的密钥。您可以使用option: -mh-mh-filters-config键{true/false}根据配置输出过滤您的发现。请参阅配置过滤。
Associations
在协会密钥下,您将找到受影响资源的所有相关资源。例如,如果受影响的资源是EC2实例,则您会发现像:安全组,IAM角色,卷,VPC,子网,自动缩放组等这样的资源。每次MetAhub找到关联时,它都会再次连接到关联的资源并获取自己的上下文。关联是理解安全发现作为其暴露的上下文和影响的关键。
您可以使用Option: -MH-Filters-Config键{true/false}根据关联输出过滤发现。请参阅配置过滤。
Tags
MetaHub依靠标记API的AWS资源组来查询与您的资源相关的标签。请注意,并非所有AWS资源类型都支持此API。您可以检查支持的服务。
标签是理解您的上下文的残酷一部分。标记策略通常包括:
环境(例如生产,分期,开发等)数据分类(例如机密,受限等)所有者(例如团队,小队,业务部门等)合规性(例如PCI,SOX等),如果您遵循适当的标记策略,则可以过滤并生成有趣的输出。例如,您可以列出与特定团队相关的所有发现,并将数据直接提供给该团队。
您可以使用选项: -MH-MH-FILTERS-TAGS tag=value根据标签输出过滤发现。请参阅标签过滤
CloudTrail
在关键的CloudTrail下,您会发现与受影响资源相关的关键云网络事件,例如创建事件。我们寻找的CloudTrail事件是由资源类型定义的,您可以通过编辑配置文件Resources.py添加,删除或更改它们。
例如,对于类型安全组的受影响资源,MetAhub将寻找以下事件:
CreateSecurityGroup:安全组创建事件授权eCurityGroupingress:安全组规则授权事件。
Account
在关键帐户下,您将找到有关受影响资源正在运行的帐户的信息,例如AWS组织的一部分,有关其联系人的信息,等等。Ownership
MetAhub也专注于所有权检测。它可以以各种方式确定受影响资源的所有者。这些信息可用于自动将安全查找分配给正确的所有者,升级或根据此信息做出决定。确定资源所有者的自动化方法对于安全团队至关重要。它使他们能够专注于最关键的问题,并将他们升级到自动化工作流程中的合适人员。但是自动化的工作流是这样的,只有在您有一种可靠的方法来定义发现的影响的情况下,这才是可行的,这就是为什么Metahub还专注于影响。
Impact
MetAhub中的影响模块着重于基于受影响资源的上下文以及影响它们的所有安全性发现为每个发现生成一个分数。在上下文中,我们定义了一系列评估的标准;您可以根据您的需求添加,删除或修改这些条件。影响标准与基于影响影响资源及其严重性的所有安全发现产生的度量标准相结合。以下是Metahub默认评估的影响标准:
Exposure
Exposure评估受影响资源如何暴露于其他网络的方式。例如,如果受影响的资源是公开的,则该资源是VPC的一部分,如果它具有公共IP或受防火墙或安全组保护。Possible StatusesValueDescription有效地公开100%,资源在互联网上有效公开。 限制了公共40%的资源是公开的,但是像安全组一样受到限制。 不受限制的私人30%的资源是私人但不受限制的,就像一个开放的安全小组一样。 启动公共10%这些是可以推出其他资源的资源。例如,自动缩放组或子网。 限制了0%的资源受到限制。 未知- 无法检查资源
Access
Access评估资源策略层。 MetAhub检查所有可用的政策,包括: IAM托管政策,IAM内联策略,资源策略,资助ACL以及与其他资源(例如IAM角色)的任何关联,也对其政策也进行了分析。不受限制的策略不仅是该政策的本身,而且还发生了使用它的任何其他资源。Possible StatusesValueDescription不受限制地100%主管不受限制,没有任何条件或限制。 不信任的主要70%本金是一个AWS帐户,而不是您值得信赖的帐户的一部分。 不受限制的主要40%本金不受限制,用w定义