术语和概念 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

术语和概念

本主题介绍AmazonSecurity Hub 可帮助您入门。

账户

包含您的 Amazon 资源的标准 Amazon Web Services (Amazon) 账户。您可以登录到Amazon并启用 Security Hub。

账户还可以邀请其他账户启用 Security Hub 并在 Security Hub 中与该账户关联。接受成员资格邀请是可选的。如果邀请被接受,则该帐户将成为 Security Hub管理员帐户,添加的帐户是member账户。作为管理员账户,您可以查看成员账户中的结果。

如果您已注册Amazon Organizations,则组织将指定组织的 Security Hub 管理员帐户。管理员帐户可以将其他组织帐户启用为成员帐户。

账户不能既是 Security Hub 管理员帐户又是成员账户。一个帐户只能有一个管理员帐户。

有关更多信息,请参阅管理管理员账户和成员账户

存档的结果

RecordState 设置为 ARCHIVED 的结果。归档调查结果表明查找提供程序认为该调查结果不再相关。记录状态与工作流程状态分开,后者跟踪结果的调查状态。

查找提供程序可以使用BatchImportFindings操作来 Security Hub 档他们创建的调查结果。如果删除了关联的资源,Security Hub 会根据以下条件之一自动存档控件的查找结果。

  • 查找结果在三天内没有更新。

  • 关联的 Amazon Config 评估返回了 NOT_APPLICABLE

默认情况下,存档的查找结果将从 Security Hub 控制台中的查找结果列表中排除。您可以更新筛选器以包括已存档的查找结果。

这些区域有:GetFindings操作 Security Hub 返回活动调查结果和归档调查结果。您可以包含记录状态的筛选器。 

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],
Amazon Security Finding 格式

Security Hub 聚合或生成的结果内容的标准化格式。这些区域有:Amazon通过 Security Hub,您可以使用 Security Hub 查看和分析Amazon安全服务、第三方解决方案或 Security Hub 本身运行安全检查。有关更多信息,请参阅Amazon Security Finding 格式 (ASFF)

控制

为信息系统或组织规定的一种保护措施或对策,旨在保护信息的机密性、完整性和可用性并满足一组已定义的安全性要求。安全标准由一些控制组成。

自定义操作

用于将选定结果发送到 EventBridge 的 Security Hub 机制。会在 Security Hub 中创建一个自定义操作。然后,将其与一个 EventBridge 规则关联。该规则定义在收到与自定义操作 ID 关联的结果时执行的特定操作。例如,可以使用自定义操作将特定结果或一小部分结果发送到响应或修复工作流。有关更多信息,请参阅创建自定义操作(控制台)

结果

安全检查或与安全相关的检测的可观察记录。

有关 Security Hub 中的结果的更多信息,请参阅中的结果AmazonSecurity Hub

注意

结果将在最近更新后 90 天或创建后 90 天(如果未发生更新)后删除。要将结果存储 90 天以上,您可以在 EventBridge 中配置将结果路由到 Amazon S3 存储桶的规则。

查找摄取

将结果从 Security Hub 他Amazon服务和第三方合作伙伴提供商提供。

查找获取事件包括新发现和对现有结果的更新。

见解

由聚合语句和可选的筛选器定义的相关结果的集合。见解确定了需要注意和干预的安全区域。Security Hub 提供了一些您无法修改的托管(默认)见解。您还可以创建自定义 Security Hub 见解,以跟踪特定于Amazon环境和使用情况。有关更多信息,请参阅中的见解AmazonSecurity Hub

相关要求

与某个控件对应的一组行业或监管要求。

Rule

一组自动化标准,用于评估是否已坚持使用控件。在评估规则时,评估结果可能是通过或失败。如果评估无法确定规则是通过还是失败,则规则将处于警告状态。如果无法评估规则,则规则会处于不可用状态。

安全检查

针对单个资源的规则的特定时间点评估,将导致通过、失败、警告或不可用状态。运行安全检查将生成一个结果。

安全标准

发布的关于某一主题的声明,该声明指定了必须满足或实现才能获得合规性的特征(通常为可衡量的控制措施)。安全标准可以基于监管框架、最佳实践或内部公司策略。要了解 Security Hub 中的安全标准的更多信息,请参阅安全标准和控制AmazonSecurity Hub

工作流程状态

对发现的调查状态。使用 Workflow.Status 属性进行跟踪。

工作流程状态初始为 NEW。如果已通知资源所有者对发现执行操作,可以将工作流程状态设置为 NOTIFIED。如果发现没有问题,不需要执行任何操作,可以将工作流程状态设置为 SUPPRESSED。查看并修复发现后,可以将工作流程状态设置为 RESOLVED

默认情况下,大多数发现列表仅包含工作流程状态为 NEWNOTIFIED 的发现。控件的发现列表还包括 RESOLVED 发现。

要进行 GetFindings 操作,您可以包含工作流程状态筛选器。 

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

Security Hub 控制台提供了一个选项来设置结果的工作流程状态。客户(或 SIEM、票证、事件管理或代表客户更新发现提供商的发现的 SOAR 工具)也可以使用 BatchUpdateFindings 更新工作流程状态。