在 Amazon Trusted Advisor 中查看 Amazon Security Hub 控件 - Amazon Web Services Support
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

在 Amazon Trusted Advisor 中查看 Amazon Security Hub 控件

在您的Amazon Web Services 账户中启用Amazon Security Hub之后,您可以在 Trusted Advisor 控制台中查看您的安全控件及其检查结果。您可以按照与使用 Trusted Advisor 检查相同的方式,使用 Security Hub 控件来识别账户中的安全漏洞。您可以查看检查的状态、受影响资源的列表,然后按照 Security Hub 的建议来解决安全问题。借助此功能,您可以一站式获得来自 Trusted Advisor 和 Security Hub 的安全建议。

注意
  • 您可以通过 Trusted Advisor 查看所有 Amazon 基础安全最佳实践安全标准中的所有控件,但 Category: Recover > Resilience(类别:恢复 > 弹性)的控件除外

    有关受支持控件的列表,请参阅《Amazon Security Hub 用户指南》中的 Amazon基础安全最佳实践控件

  • 有关 Security Hub 类别的更多信息,请参阅控件类别

先决条件

您必须满足以下要求才能启用 Security Hub 与 Trusted Advisor 的集成:

  • 您必须拥有商业、Enterprise On-Ramp 或企业 Support 计划才能使用此功能。您可以从 Amazon Web Services Support 中心或从 Support plans(支持计划)页面中查找您的支持计划。有关更多信息,请参阅比较 Amazon Web Services Support 计划

  • 您必须在您需要使用 Security Hub 控件的 Amazon Web Services 区域 的 Amazon Config 中启用资源记录。有关更多信息,请参阅启用和配置 Amazon Config

  • 您必须启用 Security Hub 并选择 Amazon Foundational Security Best Practices v1.0.0(基础安全最佳实践 v1.0.0)安全标准。如果您尚未执行此操作,请参阅《Amazon Security Hub 用户指南》中的设置 Amazon Security Hub

注意

如果您已经满足了这些先决条件,则可以跳到 查看 Security Hub 检查结果

关于 Amazon Organizations 账户

如果您已经满足管理账户的先决条件,则系统会自动为组织中的所有成员账户启用此集成。会员账户无需单独联系 Amazon Web Services Support 以启用此功能。但组织中的成员账户必须启用 Security Hub 后才能在 Trusted Advisor 查看器检查结果。

如果要为特定的成员账户禁用此集成,请参阅为 Amazon Organizations 账户禁用此功能

查看 Security Hub 检查结果

为您的账户启用 Security Hub 后,最长需要 24 个小时才会在 Trusted Advisor 控制台的 Security(安全)页面显示 Security Hub 检查结果。

在 Trusted Advisor 查看 Security Hub 检查结果

  1. 导航到 Trusted Advisor 控制台,然后选择 Security(安全)类别。

  2. Search by keyword(按关键词搜索)字段中,输入控件的名称或描述。

    提示

    对于 Source(源),您可以选择 Amazon Security Hub 以筛选 Security Hub 控件。

  3. 选择 Security Hub 控件名称以查看以下信息:

    • Description(描述)– 描述此控件将如何检查您的账户是否存在安全漏洞。

    • Source(源)– 检查是来自 Amazon Trusted Advisor 还是 Amazon Security Hub。对于 Security Hub 控件,您可以找到控件 ID。

    • Alert Criteria(提示标准)– 控件的状态。例如,假设 Security Hub 检测到重要问题,则状态可能为 Red: Critical or High(红色:严重或高)。

    • Recommended Action(建议的操作)– 使用 Security Hub 文档链接查找修复问题的建议步骤。

    • Security Hub resources(Security Hub 资源)– 您可以查找 Security Hub 在您账户中检测到问题的资源。

注意
  • 您必须使用 Security Hub 才能将资源从检查结果中排除。目前不支持使用 Trusted Advisor 控制台从 Security Hub 控件中排除项目。有关更多信息,请参阅 设置检查结果的工作流状态

  • 组织视图功能支持与 Security Hub 集成。您可以查看整个组织的 Security Hub 控件检查结果,然后创建和下载报告。有关更多信息,请参阅 Amazon Trusted Advisor 的组织视图

刷新 Security Hub 检查结果

启用某个安全标准后,Security Hub 最长可能需要两个小时才能获得有关您资源的检查结果。然后最长可能需要 24 小时才会在 Trusted Advisor 控制台中显示该数据。如果您最近启用了 Amazon Foundational Security Best Practices v1.0.0(基础安全最佳实践 v1.0.0)安全标准,请稍后再重新检查 Trusted Advisor 控制台。

注意
  • 每个 Security Hub 控件的刷新计划可以是定期触发,也可以是在发生更改时触发。目前,您无法使用 Trusted Advisor 控制台或 Amazon Web Services Support API 来刷新 Security Hub 控件。有关更多信息,请参阅运行安全检查的计划

  • 如果想要将资源从检查结果中排除,您必须使用 Security Hub。目前不支持使用 Trusted Advisor 控制台从 Security Hub 控件中排除项目。有关更多信息,请参阅 设置检查结果的工作流状态

从 Trusted Advisor 禁用 Security Hub

如果您不希望在 Trusted Advisor 控制台中显示 Security Hub 信息,则执行以下步骤。此操作步骤仅禁用 Security Hub 与 Trusted Advisor 的集成,不会影响您的 Security Hub 配置。您可以继续使用 Security Hub 控制台查看安全控件、资源和建议。

禁用 Security Hub 集成

  1. 联系 Amazon Web Services Support 并请求禁用 Security Hub 与 Trusted Advisor 的集成。

    在 Amazon Web Services Support 为您禁用此功能后,Security Hub 将停止向 Trusted Advisor 发送数据。您的 Security Hub 数据将在 90 天后从 Trusted Advisor 中删除。

  2. 要重新启用此集成,请联系 Amazon Web Services Support

为 Amazon Organizations 账户禁用此功能

如果您已经为管理账户完成了前述步骤,则系统会自动从组织中的所有成员账户中删除 Security Hub 集成。组织中的具体成员账户无需单独联系 Amazon Web Services Support。

如果您是某个组织的成员账户,则可以联系 Amazon Web Services Support 以便仅为您的账户中删除此功能。

故障排除

如果您遇到与此集成有关的问题,请参阅以下问题排查信息。

我没有在 Trusted Advisor 控制台中看到看到 Security Hub 检查结果

确认您是否已完成以下步骤:

  • 您拥有商业、Enterprise On-Ramp 或企业 Support 计划。

  • 您已在与 Security Hub 相同的区域的 Amazon Config 中启用了资源录制。

  • 您已启用了 Security Hub 并选择了 Amazon Foundational Security Best Practices v1.0.0( 基础安全最佳实践 v1.0.0)安全标准。

有关更多信息,请参见 先决条件

我正确配置了 Security Hub 和 Amazon Config,但仍没有看到检查结果

Security Hub 最长可能需要两个小时才能获得有关您资源的检查结果。然后最长可能需要 24 小时才会在 Trusted Advisor 控制台中显示该数据。请稍后重新检查 Trusted Advisor 控制台。

注意
  • 在 Trusted Advisor 中将仅显示 Amazon 基础安全最佳实践安全标准中控件的检查结果,但 Category: Recover > Resilience(类别:恢复 > 弹性)的控件除外

  • 如果 Security Hub 存在服务问题或者 Security Hub 服务不可用,最长可能需要 24 小时才会在 Trusted Advisor 中显示您的检查结果。请稍后重新检查 Trusted Advisor 控制台。

我看到了一些 Security Hub 控件的检查结果,但没有看到其他控件的检查结果

Security Hub 会自动将数据发送到 Trusted Advisor。如果您禁用了某个 Security Hub 控件或者不再拥有该控件的资源,则将不会在 Trusted Advisor 中显示检查结果。

您可以登录到 Security Hub 控制台并确认控件已启用还是已禁用。

注意

如果您禁用了某个 Security Hub 控件,检查结果将在五天内归档。此归档时间范围是尽力而为,不能保证。当您的检查结果存档后,它们将从 Trusted Advisor 中删除。有关更多信息,请参阅 禁用和启用单独的控件

我想查找已被排除的 Security Hub 资源

您可以在 Trusted Advisor 控制台中选中 Security Hub 控件的名称,然后选择 Excluded items(排除的项目)选项。此选项将会显示 Security Hub 中隐藏的所有资源。

如果某个资源的工作流状态设置为 SUPPRESSED,则该资源就是在 Trusted Advisor 中被排除的项目. 您不能通过 Trusted Advisor 控制台隐藏 Security Hub 资源。要隐藏资源,您需要使用 Security Hub 控制台。有关更多信息,请参阅 设置检查结果的工作流状态

我想为属于某个 Amazon 组织的成员账户启用或禁用此功能

预设情况下,成员账户会从 Amazon Organizations 的管理账户继承此功能。如果管理账户启用了此功能,则该组织中的所有账户也将具有此功能。如果您拥有的是成员账户并希望对您的账户进行特定的更改,则必须联系 Amazon Web Services Support

我看到针对 Security Hub 检查的相同受影响资源有多个 Amazon Web Services 区域

有些 Amazon Web Services 是全球性的,并非特定于某个区域,例如 IAM 和 Amazon CloudFront。默认情况下,Simple Storage Service (Amazon S3) 存储桶之类的全球资源将出现在美国东部(弗吉尼亚北部)区域中。

针对用于评估全球服务资源的 Security Hub 检查,您可能会看到受影响资源的多个项目。例如,如果 Hardware MFA should be enabled for the root user(应该为根用户启用硬件 MFA)检查发现您的账户尚未激活此功能,则您将在表中看到对于同一资源有多个区域。

你可以配置 Security Hub 和 Amazon Config,以便不会为同一资源显示多个区域。有关更多信息,请参阅您可能希望禁用的 Amazon 基础最佳实践控件

我仍然无法查看我的 Security Hub 检查结果

如果您仍然遇到与此功能有关的问题,可以在 Amazon Web Services Support 中心创建技术支持案例。