术语和概念 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

术语和概念

本主题介绍中的关键概念AmazonSecurity Hub 可帮助您快速入门。

账户

包含您的 Amazon 资源的标准 Amazon Web Services (Amazon) 账户。您可以登录到Amazon使用您的账户并启用 Security Hub。

账户可以邀请其他账户启用 Security Hub 并在 Security Hub 中与该账户关联。接受成员资格邀请是可选的。如果邀请被接受,则账户将变成管理员账户,添加的账户将成为成员账户。管理员帐户可以在其成员账户中查看发现。

如果你已注册Amazon Organizations,则您的组织将指定组织的 Security Hub 管理员账户。Security Hub 管理员账户可以启用其他组织账户作为成员账户。

账户不能既是管理员账户又是成员账户。一个账户只能有一个管理员帐户。

有关更多信息,请参阅 管理管理员和成员账户

管理员账户

Security Hub 中的帐户,被授予查看关联成员账户的调查结果的访问权限。

账户可通过以下任一方法成为管理员账户:

  • 该帐户邀请其他账户在 Security Hub 中与其关联。当这些帐户接受邀请时,它们将成为成员账户,邀请帐户将成为其管理员帐户。

  • 组织管理帐户将该帐户指定为 Security Hub 管理员帐户。Security Hub 管理员账户可以启用任何组织账户作为成员账户,还可以邀请其他账户成为成员账户。

一个账户只能有一个管理员帐户。账户不能既是管理员账户又是成员账户。

聚合区域

对于查找聚合,聚合区域是您从中查看和管理结果的区域。

调查结果将汇总到链接区域中的聚合区域。调查结果的更新将在不同地区复制。

在聚合区域中,结果见解页面包括来自链接区域的调查结果。

以下页面尚不支持查找聚合。这些页面上的内容,包括相关调查结果清单,始终针对当前区域。

  • 标准

  • 标准细节

  • 控制细节

请参阅 跨多个区域汇总结果

存档的结果

RecordState 设置为 ARCHIVED 的结果。归档调查结果表明查找提供商认为该调查结果不再相关。记录状态与工作流程状态分开,后者跟踪结果的调查状态。

查找提供商可以使用BatchImportFindings操作 Security Hub API 来存档他们创建的调查结果。如果禁用或删除了关联的资源,Security Hub 会根据以下条件之一自动存档控件的查找结果。

  • 该调查结果在三到五天内没有更新(请注意,这是最大努力,不能保证)。

  • 关联的Amazon Config评估回报NOT_APPLICABLE.

默认情况下,存档的查找结果将从 Security Hub 控制台中的结果列表中排除。您可以更新筛选器以包括已存档的查找结果。

这些区域有:GetFindingsSecurity Hub API 的操作会返回活动和存档的查找结果。您可以包含记录状态的筛选器。

"RecordState": [ { "Comparison": "EQUALS", "Value": "ARCHIVED" } ],
Amazon Security Finding 格式 (ASFF)

Security Hub 聚合或生成的结果内容的标准化格式。这些区域有:Amazon通过 Security Hub,您可以使用 Security Hub 查看和分析以下条件生成的结果。Amazon安全服务、第三方解决方案或 Security Hub 本身在运行安全检查时获得。有关更多信息,请参阅 Amazon Security Finding 格式 (ASFF)

控制

为信息系统或组织规定的一种保护措施或对策,旨在保护信息的机密性、完整性和可用性并满足一组已定义的安全性要求。安全标准由一些控制组成。

自定义操作

将选定结果发送到 EventBridge 的 Security Hub 机制。将在 Security Hub 中创建一个自定义操作。然后,将其与 EventBridge 规则关联。该规则定义在收到与自定义操作 ID 关联的结果时执行的特定操作。例如,可以使用自定义操作将特定结果或一小部分结果发送到响应或修复工作流。有关更多信息,请参阅 创建自定义操作(控制台)

委托管理员账户(Organizations)

在 Organizations 中,服务的委派管理员帐户能够管理组织服务的使用情况。

在 Security Hub 中,Security Hub 管理员帐户也是 Security Hub 的委派管理员帐户。当 Organizations 管理帐户首次指定 Security Hub 管理员帐户时,Security Hub 会调用组织以使该帐户成为委派管理员帐户。

然后,组织管理帐户必须选择委派管理员帐户作为所有区域中的 Security Hub 管理员帐户。

结果

安全检查或与安全相关的检测的可观察记录。

有关 Security Hub 中的结果的更多信息,请参阅中的结果AmazonSecurity Hub.

注意

结果将在最近更新后 90 天或创建后 90 天(如果未发生更新)后删除。要将结果存储 90 天以上,您可以在 EventBridge 中配置将结果路由到 Amazon S3 存储桶的规则。

查找聚合

从链接区域到聚合区域的调查结果的汇总。然后,您可以查看和更新聚合区域中的所有调查结果。

以下页面尚不支持查找聚合。这些页面上的内容,包括控件的调查结果列表,始终特定于当前区域。

  • 标准

  • 标准细节

  • 控制细节

请参阅 跨多个区域汇总结果

寻找摄取

将结果从其他方面导入 Security HubAmazon服务和第三方合作伙伴提供商。

查找摄取事件包括新发现和对现有结果的更新。

见解

由聚合语句和可选的筛选器定义的相关结果的集合。见解确定了需要注意和干预的安全区域。Security Hub 提供了一些您无法修改的托管(默认)见解。您还可以创建自定义 Security Hub 见解,以跟踪特定于您的安全问题。Amazon环境和使用情况。有关更多信息,请参阅 中的见解AmazonSecurity Hub

链接区域

对于查找聚合,链接区域是将调查结果汇总到聚合区域的区域。

在链接的区域中,结果见解页面仅包含来自该区域的调查结果。

请参阅 跨多个区域汇总结果

成员账户

已向管理员帐户授予查看结果并对其采取措施的权限的帐户。

账户可通过以下任一方式成为成员账户:

  • 该账户接受来自另一个账户的邀请。

  • 对于组织帐户,Security Hub 管理员帐户将该帐户作为成员帐户启用。

相关要求

与某个控件对应的一组行业或监管要求。

Rule

一组自动化标准,用于评估是否已坚持使用控件。在评估规则时,评估结果可能是通过或失败。如果评估无法确定规则是通过还是失败,则规则将处于警告状态。如果无法评估规则,则规则会处于不可用状态。

安全检查

针对单个资源的规则的特定时间点评估,将导致通过、失败、警告或不可用状态。运行安全检查将生成一个结果。

Security Hub 管理员账户

管理组织的 Security Hub 成员资格的组织帐户。

组织管理帐户指定每个区域中的 Security Hub 管理员帐户。组织管理帐户必须在所有区域中选择相同的 Security Hub 管理员帐户。

Security Hub 管理员帐户也是 Organizations 中 Security Hub 的委派管理员帐户。

Security Hub 管理员账户可以启用任何组织账户作为成员账户。Security Hub 管理员账户还可以邀请其他账户成为成员账户。

安全标准

发布的关于某一主题的声明,该声明指定了必须满足或实现才能获得合规性的特征(通常为可衡量的控制措施)。安全标准可以基于监管框架、最佳实践或内部公司策略。要了解 Security Hub 中的安全标准的更多信息,请参阅中的安全标准和控制AmazonSecurity Hub.

工作流程状态

对发现的调查状态。使用 Workflow.Status 属性进行跟踪。

工作流程状态初始为 NEW。如果已通知资源所有者对发现执行操作,可以将工作流程状态设置为 NOTIFIED。如果发现没有问题,不需要执行任何操作,可以将工作流程状态设置为 SUPPRESSED。查看并修复发现后,可以将工作流程状态设置为 RESOLVED

默认情况下,大多数发现列表仅包含工作流程状态为 NEWNOTIFIED 的发现。控件的发现列表还包括 RESOLVED 发现。

要进行 GetFindings 操作,您可以包含工作流程状态筛选器。

"WorkflowStatus": [ { "Comparison": "EQUALS", "Value": "RESOLVED" } ],

Security Hub 控制台提供了一个选项来设置发现的工作流程状态。客户(或 SIEM、票证、事件管理或代表客户更新发现提供商的发现的 SOAR 工具)也可以使用 BatchUpdateFindings 更新工作流程状态。