本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Amazon Trusted Advisor 中查看 Amazon Security Hub 控件
在您的Amazon Web Services 账户中启用Amazon Security Hub之后,您可以在 Trusted Advisor 控制台中查看您的安全控件及其检查结果。您可以按照与使用 Trusted Advisor 检查相同的方式,使用 Security Hub 控件来识别账户中的安全漏洞。您可以查看检查的状态、受影响资源的列表,然后按照 Security Hub 的建议来解决安全问题。借助此功能,您可以一站式获得来自 Trusted Advisor 和 Security Hub 的安全建议。
注意
-
您可以通过 Trusted Advisor 查看所有 Amazon 基础安全最佳实践安全标准中的控件,但 Category: Recover > Resilience(类别:恢复 > 弹性)的控件除外。有关受支持控件的列表,请参阅《Amazon Security Hub 用户指南》中的 Amazon基础安全最佳实践控件。
有关 Security Hub 类别的更多信息,请参阅控件类别。
-
目前,当 Security Hub 向 Amazon 基础安全最佳实践安全标准添加新的控件时,可能需要等待两到四周后才能在 Trusted Advisor 中查看这些控件。此时间范围是尽力而为,不能保证。
先决条件
您必须满足以下要求才能启用 Security Hub 与 Trusted Advisor 的集成:
-
您必须拥有商业、Enterprise On-Ramp 或企业 Support 计划才能使用此功能。您可以从 Amazon Web Services Support 中心
或从 Support plans (支持计划)页面中查找您的支持计划。有关更多信息,请参阅比较 Amazon Web Services Support 计划 。 -
您必须在您需要使用 Security Hub 控件的 Amazon Web Services 区域 的 Amazon Config 中启用资源记录。有关更多信息,请参阅启用和配置 Amazon Config。
-
您必须启用 Security Hub 并选择 Amazon Foundational Security Best Practices v1.0.0(基础安全最佳实践 v1.0.0)安全标准。如果您尚未执行此操作,请参阅《Amazon Security Hub 用户指南》中的设置 Amazon Security Hub。
注意
如果您已经满足了这些先决条件,则可以跳到 查看 Security Hub 检查结果。
关于 Amazon Organizations 账户
如果您已经满足管理账户的先决条件,则系统会自动为组织中的所有成员账户启用此集成。会员账户无需单独联系 Amazon Web Services Support 以启用此功能。但组织中的成员账户必须启用 Security Hub 后才能在 Trusted Advisor 查看器检查结果。
如果要为特定的成员账户禁用此集成,请参阅为 Amazon Organizations 账户禁用此功能。
查看 Security Hub 检查结果
为您的账户启用 Security Hub 后,最长需要 24 个小时才会在 Trusted Advisor 控制台的 Security(安全)页面显示 Security Hub 检查结果。
在 Trusted Advisor 查看 Security Hub 检查结果
-
导航到 Trusted Advisor 控制台
,然后选择 Security(安全)类别。 -
在 Search by keyword(按关键词搜索)字段中,输入控件的名称或描述。
提示
对于 Source(源),您可以选择 Amazon Security Hub 以筛选 Security Hub 控件。
-
选择 Security Hub 控件名称以查看以下信息:
-
Description(描述)– 描述此控件将如何检查您的账户是否存在安全漏洞。
-
Source(源)– 检查是来自 Amazon Trusted Advisor 还是 Amazon Security Hub。对于 Security Hub 控件,您可以找到控件 ID。
-
Alert Criteria(提示标准)– 控件的状态。例如,假设 Security Hub 检测到重要问题,则状态可能为 Red: Critical or High(红色:严重或高)。
-
Recommended Action(建议的操作)– 使用 Security Hub 文档链接查找修复问题的建议步骤。
-
Security Hub resources(Security Hub 资源)– 您可以查找 Security Hub 在您账户中检测到问题的资源。
-
注意
-
您必须使用 Security Hub 才能将资源从检查结果中排除。目前不支持使用 Trusted Advisor 控制台从 Security Hub 控件中排除项目。有关更多信息,请参阅 设置检查结果的工作流状态。
-
组织视图功能支持与 Security Hub 集成。您可以查看整个组织的 Security Hub 控件检查结果,然后创建和下载报告。有关更多信息,请参阅 Amazon Trusted Advisor 的组织视图。
刷新 Security Hub 检查结果
启用某个安全标准后,Security Hub 最长可能需要两个小时才能获得有关您资源的检查结果。然后最长可能需要 24 小时才会在 Trusted Advisor 控制台中显示该数据。如果您最近启用了 Amazon Foundational Security Best Practices v1.0.0(基础安全最佳实践 v1.0.0)安全标准,请稍后再重新检查 Trusted Advisor 控制台。
注意
-
每个 Security Hub 控件的刷新计划可以是定期触发,也可以是在发生更改时触发。目前,您无法使用 Trusted Advisor 控制台或 Amazon Web Services Support API 来刷新 Security Hub 控件。有关更多信息,请参阅运行安全检查的计划。
-
如果想要将资源从检查结果中排除,您必须使用 Security Hub。目前不支持使用 Trusted Advisor 控制台从 Security Hub 控件中排除项目。有关更多信息,请参阅 设置检查结果的工作流状态。
从 Trusted Advisor 禁用 Security Hub
如果您不希望在 Trusted Advisor 控制台中显示 Security Hub 信息,则执行以下步骤。此操作步骤仅禁用 Security Hub 与 Trusted Advisor 的集成,不会影响您的 Security Hub 配置。您可以继续使用 Security Hub 控制台查看安全控件、资源和建议。
禁用 Security Hub 集成
-
联系 Amazon Web Services Support
并请求禁用 Security Hub 与 Trusted Advisor 的集成。 Amazon Web Services Support 禁用此功能后,Security Hub 不再将数据发送到 Trusted Advisor。您的 Security Hub 数据将从 Trusted Advisor 中删除。
-
要重新启用此集成,请联系 Amazon Web Services Support
。
为 Amazon Organizations 账户禁用此功能
如果您已经为管理账户完成了前述步骤,则系统会自动从组织中的所有成员账户中删除 Security Hub 集成。组织中的具体成员账户无需单独联系 Amazon Web Services Support。
如果您是某个组织的成员账户,则可以联系 Amazon Web Services Support 以便仅为您的账户中删除此功能。
故障排除
如果您遇到与此集成有关的问题,请参阅以下问题排查信息。
目录
- 我没有在 Trusted Advisor 控制台中看到看到 Security Hub 检查结果
- 我正确配置了 Security Hub 和 Amazon Config,但仍没有看到结果
- 我想禁用特定的 Security Hub 控件
- 我想查找已被排除的 Security Hub 资源
- 我想为属于某个 Amazon 组织的成员账户启用或禁用此功能
- 我看到针对 Security Hub 检查的相同受影响资源有多个 Amazon Web Services 区域
- 我关闭了 Security Hub 或 Amazon Config 在一个区域
- 我的控件已归档在 Security Hub 中,但 Trusted Advisor 中仍显示检查结果。
- 我仍然无法查看我的 Security Hub 检查结果
我没有在 Trusted Advisor 控制台中看到看到 Security Hub 检查结果
确认您是否已完成以下步骤:
-
您拥有商业、Enterprise On-Ramp 或企业 Support 计划。
-
您已在与 Security Hub 相同的区域的 Amazon Config 中启用了资源录制。
-
您已启用了 Security Hub 并选择了 Amazon Foundational Security Best Practices v1.0.0( 基础安全最佳实践 v1.0.0)安全标准。
-
来自 Security Hub 的新控件将在两到四周内添加为 Trusted Advisor 中的检查。请参阅说明。
有关更多信息,请参阅 先决条件。
我正确配置了 Security Hub 和 Amazon Config,但仍没有看到结果
Security Hub 最长可能需要两个小时才能获得有关您资源的检查结果。然后最长可能需要 24 小时才会在 Trusted Advisor 控制台中显示该数据。请稍后重新检查 Trusted Advisor 控制台。
注意
-
在 Trusted Advisor 中将仅显示 Amazon 基础安全最佳实践安全标准中控件的检查结果,但 Category: Recover > Resilience(类别:恢复 > 弹性)的控件除外。
-
如果 Security Hub 存在服务问题或者 Security Hub 服务不可用,最长可能需要 24 小时才会在 Trusted Advisor 中显示您的检查结果。请稍后重新检查 Trusted Advisor 控制台。
我想禁用特定的 Security Hub 控件
Security Hub 会自动将数据发送到 Trusted Advisor。如果您禁用了某个 Security Hub 控件或者不再拥有该控件的资源,则将不会在 Trusted Advisor 中显示检查结果。
您可以登录到 Security Hub 控制台
如果您禁用 Security Hub 控件或禁用 Amazon 基础安全最佳实践安全标准的所有控件,您的结果将在接下来的五天内归档。这五天的归档期仅为近似值且仅尽力而为,并不能保证。当您的结果归档后,它们将从 Trusted Advisor 中删除。
有关更多信息,请参阅以下主题:
我想查找已被排除的 Security Hub 资源
您可以在 Trusted Advisor 控制台中选中 Security Hub 控件的名称,然后选择 Excluded items(排除的项目)选项。此选项将会显示 Security Hub 中隐藏的所有资源。
如果某个资源的工作流状态设置为 SUPPRESSED,则该资源就是在 Trusted Advisor 中被排除的项目。您不能通过 Trusted Advisor 控制台隐藏 Security Hub 资源。要隐藏资源,您需要使用 Security Hub 控制台
我想为属于某个 Amazon 组织的成员账户启用或禁用此功能
预设情况下,成员账户会从 Amazon Organizations 的管理账户继承此功能。如果管理账户启用了此功能,则该组织中的所有账户也将具有此功能。如果您拥有的是成员账户并希望对您的账户进行特定的更改,则必须联系 Amazon Web Services Support
我看到针对 Security Hub 检查的相同受影响资源有多个 Amazon Web Services 区域
有些 Amazon Web Services 是全球性的,并非特定于某个区域,例如 IAM 和 Amazon CloudFront。默认情况下,Amazon S3 存储桶之类的全球资源将出现在美国东部(弗吉尼亚州北部)区域中。
针对用于评估全球服务资源的 Security Hub 检查,您可能会看到受影响资源的多个项目。例如,如果 Hardware MFA should
be enabled for the root user 检查发现您的账户尚未激活此功能,则您将在表中看到对于同一资源有多个区域。
您可以配置 Security Hub 和 Amazon Config,以便不会为同一资源显示多个区域。有关更多信息,请参阅您可能希望禁用的 Amazon 基础最佳实践控件。
我关闭了 Security Hub 或 Amazon Config 在一个区域
如果您使用 Amazon Config 停止资源记录或者在 Amazon Web Services 区域中禁用 Security Hub,Trusted Advisor 不再接收该区域中任何控件的数据。Trusted Advisor 会在 7 至 9 天内删除您的 Security Hub 检查结果。此时间范围是尽力而为,不能保证。有关更多信息,请参阅禁用 Security Hub。
要为您的账户禁用此功能,请参阅 从 Trusted Advisor 禁用 Security Hub。
我的控件已归档在 Security Hub 中,但 Trusted Advisor 中仍显示检查结果。
当检查结果的 RecordState 状态更改为 ARCHIVED 时,Trusted Advisor 将从您的账户中删除该 Security Hub 控件的检查结果。检查结果可能仍会在 Trusted Advisor 中显示,最多需要 7-9 天才会被删除。此时间范围是尽力而为,不能保证。
我仍然无法查看我的 Security Hub 检查结果
如果您仍然遇到与此功能有关的问题,可以在 Amazon Web Services Support 中心