本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在中查看 Amazon Security Hub CSPM 控件 Amazon Trusted Advisor
启用 Amazon Security Hub CSPM 后 Amazon Web Services 账户,您可以在控制 Trusted Advisor 台中查看您的安全控制措施及其发现。您可以使用 Security Hub CSPM 控件来识别账户中的安全漏洞,就像使用 Trusted Advisor 检查一样。您可以查看支票的状态、受影响的资源列表,然后按照 Security Hub CSPM 的建议来解决您的安全问题。您可以使用此功能在一个方便的位置查找来自 Trusted Advisor 和 Security Hub CSPM 的安全建议。
**注意**
您可以从 Trusted Advisor中查看 Amazon 基础安全最佳实践安全标准中的控件,但类别为 “恢复” > “弹性” 的控件*除外*。有关受支持控件的列表,请参阅*《Amazon Security Hub CSPM 用户指南》*中的 [Amazon 基础安全最佳实践控件](https://docs.amazonaws.cn/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html)。
有关 Security Hub CSPM 类别的更多信息,请参阅[控制](https://docs.amazonaws.cn/securityhub/latest/userguide/control-categories.html)类别。
Trusted Advisor 在 2024 年 9 月 26 日之前上线的 Security Hub CSPM 控制措施。2024 年 9 月 26 日之后发布的控件尚未上线。 Trusted Advisor你可以在 Sec [urity Hub CSPM](https://docs.amazonaws.cn/securityhub/latest/userguide/doc-history.html) 日志中找到在该日期之后发布的控件。
**Topics**
+ [先决条件](#prerequisites-security-hub)
+ [查看你的 Security Hub CSPM 调查结果](#security-controls-trusted-advisor-console)
+ [刷新你的 Security Hub CSPM 调查结果](#refreshing-security-hub-findings)
+ [禁用 Security Hub CSPM Trusted Advisor](#disable-security-hub)
+ [问题排查](#troubleshooting-security-hub-integration)
## 先决条件
您必须满足以下要求才能启用 Security Hub CSPM 与的集成: Trusted Advisor
+ 您必须有此功能的 B Amazon usiness Support\$1、En Amazon terprise Support 或 Amazon 统一运营计划。您可以从 [Amazon Web Services 支持 中心](https://console.amazonaws.cn/support)或从 [Support plans](https://console.amazonaws.cn/support/plans)(支持计划)页面中查找您的支持计划。有关更多信息,请参阅[比较 Amazon Web Services 支持 套餐](https://www.amazonaws.cn/premiumsupport/plans/)。
+ 你必须在中 Amazon Config 为你想要的 Securit Amazon Web Services 区域 y Hub CSPM 控件启用资源记录。有关更多信息,请参阅[启用和配置 Amazon Config](https://docs.amazonaws.cn/securityhub/latest/userguide/securityhub-prereq-config.html)。
+ 您必须启用 Security Hub CSPM 并选择**Amazon 基础安全最佳实践 v1.0.0 安全**标准。如果您尚未执行此操作,请参阅*《Amazon Security Hub CSPM 用户指南》*中的[设置 Amazon Security Hub CSPM](https://docs.amazonaws.cn/securityhub/latest/userguide/securityhub-settingup.html)。
**注意**
如果您已经满足了这些先决条件,则可以跳到 [查看你的 Security Hub CSPM 调查结果](#security-controls-trusted-advisor-console)。
### 关于 Amazon Organizations 账户
如果您已经满足管理账户的先决条件,则系统会自动为组织中的所有成员账户启用此集成。个人会员账户无需联系 Amazon Web Services 支持 即可启用此功能。但是,组织中的成员帐户如果想在中查看自己的发现,则必须启用 Security Hub CSPM。 Trusted Advisor
如果要为特定的成员账户禁用此集成,请参阅[为 Amazon Organizations 账户禁用此功能](#disabling-security-hub-for-organizations)。
## 查看你的 Security Hub CSPM 调查结果
为您的账户启用 Security Hub CSPM 后,您的 Security Hub CSPM 发现最多可能需要 24 小时才能显示在控制台的 “**安全**” 页面上。 Trusted Advisor
**要查看你的 Security Hub CSPM 调查结果,请访问 Trusted Advisor**
1. 导航到 [Trusted Advisor 控制台](https://console.amazonaws.cn/trustedadvisor),然后选择 **Security**(安全)类别。
1. 在 **Search by keyword**(按关键词搜索)字段中,输入控件的名称或描述。
**提示**
对于 S **our** ce,您可以选择**Amazon Security Hub CSPM**筛选 Security Hub CSPM 控件。
1. 选择 Security Hub CSPM 控件名称以查看以下信息:
+ **Description**(描述)– 描述此控件将如何检查您的账户是否存在安全漏洞。
+ **Source**(源)– 检查是来自 Amazon Trusted Advisor 还是 Amazon Security Hub CSPM。对于 Security Hub CSPM 控件,你可以找到控件 ID。
+ **Alert Criteria**(提示标准)– 控件的状态。例如,如果 Security Hub CSPM 检测到重要问题,则状态可能为 “**红色:严重” 或** “高”。
+ **建议的操作**-使用 Security Hub CSPM 文档链接查找修复问题的推荐步骤。
+ S@@ **ecurity Hub CSPM 资源** — 您可以在账户中找到 Security Hub CSPM 检测到问题的资源。
**注意**
这些检查的结果每天至少自动刷新一次,并且不允许刷新请求。更改可能需要几个小时才能显示。您可以使用 Trusted Advisor 控制台将资源排除在自动刷新的支票之外。您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.amazonaws.cn/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 将资源排除在任何支票之外, Trusted Advisor 优先级推荐资源除外。
组织视图功能支持与 Security Hub CSPM 的这种集成。您可以查看在整个组织中发现的 Security Hub CSPM 控制措施,然后创建和下载报告。有关更多信息,请参阅 [的组织视图 Amazon Trusted Advisor](organizational-view.md)。
## 刷新你的 Security Hub CSPM 调查结果
启用安全标准后,Security Hub CSPM 最多可能需要两个小时才能找到您的资源的结果。然后,该数据最多可能需要 24 小时才能显示在 Trusted Advisor 控制台中。如果您最近启用了**Amazon 基础安全最佳实践 v1.0.0 安全**标准,请稍后再次检查控制台。 Trusted Advisor
**注意**
每个 Security Hub CSPM 控件的刷新计划都是*周期性的,或者是触*发*更改*的。目前,你无法使用 Trusted Advisor 控制台或 Amazon Web Services 支持 API 刷新 Security Hub CSPM 控件。有关更多信息,请参阅[运行安全检查的计划](https://docs.amazonaws.cn/securityhub/latest/userguide/securityhub-standards-schedule.html)。
这些检查的结果每天至少自动刷新一次,并且不允许刷新请求。更改可能需要几个小时才能显示。您可以使用 Trusted Advisor 控制台将资源排除在自动刷新的支票之外。您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.amazonaws.cn/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 将资源排除在任何支票之外, Trusted Advisor 优先级推荐资源除外。
## 禁用 Security Hub CSPM Trusted Advisor
如果您不想让 Security Hub CSPM 信息显示在控制台中,请按照以下步骤操作。 Trusted Advisor 此过程仅禁用 Security Hub CSPM 与的集成。 Trusted Advisor它不会影响你使用 Security Hub CSPM 的配置。您可以继续使用 Security Hub CSPM 控制台来查看您的安全控制措施、资源和建议。
**禁用 Security Hub CSPM 集成**
1. 联系[Amazon Web Services 支持](https://console.amazonaws.cn/support)并请求禁用 Security Hub CSPM 与的集成。 Trusted Advisor
Amazon Web Services 支持 禁用此功能后,Security Hub CSPM 将不再向发送数据。 Trusted Advisor您的 Security Hub CSPM 数据将从中删除。 Trusted Advisor
1. 要重新启用此集成,请联系 [Amazon Web Services 支持](https://console.amazonaws.cn/support)。
### 为 Amazon Organizations 账户禁用此功能
如果您已经完成了管理帐户的先前程序,则系统会自动从组织中的所有成员帐户中删除 Security Hub CSPM 集成。组织中的具体成员账户无需单独联系 Amazon Web Services 支持 。
如果您是组织中的成员帐户,则可以联系 Amazon Web Services 支持 以仅从您的帐户中删除此功能。
## 问题排查
如果您遇到与此集成有关的问题,请参阅以下问题排查信息。
**Contents**
+ [我在控制台中看不到 Security Hub CSPM 的调查结果 Trusted Advisor](#security-hub-findings-not-appearing)
+ [我 Amazon Config 正确配置了 Security Hub CSPM,但我的发现仍然缺失](#findings-still-not-appearing-after-enabling)
+ [我想禁用特定的 Security Hub CSPM 控件](#missing-findings-for-some-checks)
+ [我想找到我排除的 Security Hub CSPM 资源](#finding-excluded-security-hub-findings)
+ [我想为属于某个 Amazon 组织的成员账户启用或禁用此功能](#troubleshooting-organizations)
+ [在 Security Hub CSPM 检查中,我看到同一个受影响的资源有多个 Amazon Web Services 区域](#multiple-regions-check-results)
+ [我关闭了 Security Hub CSPM 或者 Amazon Config 在某个区域中](#disable-security-hub-regions)
+ [我的控件已存档在 Security Hub CSPM 中,但我还能在 Security Hub CSPM 中看到调查结果 Trusted Advisor](#archived-resource-still-appears-trusted-advisor)
+ [我仍然无法查看我的 Security Hub CSPM 调查结果](#security-hub-contact-support)
### 我在控制台中看不到 Security Hub CSPM 的调查结果 Trusted Advisor
确认您是否已完成以下步骤:
+ 您有 B Amazon usiness Support\$1、E Amazon nterprise Suppor Amazon t 或统一运营计划。
+ 您在与 Security Hub CSPM 相同的区域 Amazon Config 内启用了资源记录。
+ 您启用了 Security Hub CSPM 并选择了**Amazon 基础安全最佳实践 v1.0.0 安全**标准。
+ Security Hub CSPM 的新控件 Trusted Advisor 将在两到四周内作为办理登机手续的形式添加。请参阅[说明](#best-effort-basis)。
有关更多信息,请参阅[先决条件](#prerequisites-security-hub)。
### 我 Amazon Config 正确配置了 Security Hub CSPM,但我的发现仍然缺失
Security Hub CSPM 最多可能需要两个小时才能找到您的资源的调查结果。然后,该数据最多可能需要 24 小时才能显示在 Trusted Advisor 控制台中。请稍后重新检查 Trusted Advisor 控制台。
**注意**
只有您在 Amazon 基础安全最佳实践安全标准中发现的控件才会出现在中,但**类别为 “恢复” > “弹性”** 的控件 Trusted Advisor *除外*。
如果 Security Hub CSPM 存在服务问题,或者 Security Hub CSPM 不可用,则您的发现最多可能需要 24 小时才能显示出来。 Trusted Advisor请稍后重新检查 Trusted Advisor 控制台。
### 我想禁用特定的 Security Hub CSPM 控件
Security Hub CSPM 会自动将你的数据发送到。 Trusted Advisor 如果您禁用 Security Hub CSPM 控件或不再有该控件的资源,则您的发现不会出现在中。 Trusted Advisor
您可以登录 Sec [urity Hub CSPM 控制台](https://console.amazonaws.cn/securityhub)并验证您的控件是启用还是禁用。
如果您禁用 Security Hub CSPM 控件或禁用 Amazon 基础安全最佳实践安全标准的所有控件,则您的发现将在接下来的五天内存档。这五天的归档期仅为近似值且仅尽力而为,并不能保证。当您的发现存档时,它们会从中删除 Trusted Advisor。
有关更多信息,请参阅以下主题:
+ [禁用和启用各个控件](https://docs.amazonaws.cn/securityhub/latest/userguide/securityhub-standards-enable-disable-controls.html)
+ [禁用或启用安全标准](https://docs.amazonaws.cn/securityhub/latest/userguide/securityhub-standards-enable-disable.html)
### 我想找到我排除的 Security Hub CSPM 资源
在 Trusted Advisor 控制台中,您可以选择您的 Security Hub CSPM 控件名称,然后选择 “**排除的项目**” 选项。此选项显示 Security Hub CSPM 中禁止的所有资源。
如果某个资源的工作流状态设置为 `SUPPRESSED`,则该资源就是在 Trusted Advisor中被排除的项目。您无法从控制台中禁用 Security Hub CSPM 资源。 Trusted Advisor 为此,请使用 Sec [urity Hub CSPM 控制台](https://console.amazonaws.cn/securityhub)。有关更多信息,请参阅 [设置检查结果的工作流状态](https://docs.amazonaws.cn/securityhub/latest/userguide/finding-workflow-status.html)。
### 我想为属于某个 Amazon 组织的成员账户启用或禁用此功能
预设情况下,成员账户会从 Amazon Organizations的管理账户继承此功能。如果管理账户启用了此功能,则该组织中的所有账户也将具有此功能。如果您拥有的是成员账户并希望对您的账户进行特定的更改,则必须联系 [Amazon Web Services 支持](https://console.amazonaws.cn/support)。
### 在 Security Hub CSPM 检查中,我看到同一个受影响的资源有多个 Amazon Web Services 区域
有些 Amazon Web Services 服务 是全球性的,并非特定于某个地区,例如 IAM 和 Amazon CloudFront。默认情况下,Amazon S3 存储桶之类的全球资源将出现在美国东部(弗吉尼亚州北部)区域中。
对于评估全球服务资源的 Security Hub CSPM 检查,您可能会看到多个受影响资源的项目。例如,如果 `Hardware MFA should be enabled for the root user` 检查发现您的账户尚未激活此功能,则您将在表中看到对于同一资源有多个区域。
您可以配置 Security Hub CSPM, Amazon Config 这样同一资源就不会出现多个区域。有关更多信息,请参阅[您可能希望禁用的Amazon 基础最佳实践控件](https://docs.amazonaws.cn//securityhub/latest/userguide/securityhub-standards-fsbp-to-disable.html)。
### 我关闭了 Security Hub CSPM 或者 Amazon Config 在某个区域中
如果您在中停止使用 Amazon Config 或禁用 Security Hub CSPM 的资源记录 Amazon Web Services 区域,则将 Trusted Advisor 不再接收该区域中任何控件的数据。 Trusted Advisor 在 7-9 天内移除你的 Security Hub CSPM 发现的内容。此时间范围是尽力而为,不能保证。有关更多信息,请参阅[禁用 Security Hub CSPM](https://docs.amazonaws.cn/securityhub/latest/userguide/securityhub-disable.html)。
要为您的账户禁用此功能,请参阅 [禁用 Security Hub CSPM Trusted Advisor](#disable-security-hub)。
### 我的控件已存档在 Security Hub CSPM 中,但我还能在 Security Hub CSPM 中看到调查结果 Trusted Advisor
当查找结果的`RecordState`状态更改`ARCHIVED`为时, Trusted Advisor 会从您的账户中删除该 Security Hub CSPM 控件的查找结果。您可能还会在 Trusted Advisor 7-9 天内看到搜索结果,然后再将其删除。此时间范围是尽力而为,不能保证。
### 我仍然无法查看我的 Security Hub CSPM 调查结果
如果您仍然遇到与此功能有关的问题,可以在 [Amazon Web Services 支持 中心](https://console.amazonaws.cn//support/home)创建技术支持案例。