Security Hub CSPM 中的概念和术语

包含您的 Amazon 资源的标准 Amazon Web Services (Amazon) 账户。您可以使用账户登录到 Amazon 并启用 Security Hub CSPM。

一个账户可以邀请其他账户启用 Security Hub CSPM，并在 Security Hub CSPM 中与该账户建立关联。接受成员资格邀请是可选的。如果邀请被接受，该账户成为管理员账户，而被添加的账户成为成员账户。管理员账户可以在其成员账户中查看结果。

如果您已在 Amazon Organizations 中进行注册，则您的组织会为该组织指定一个 Security Hub CSPM 管理员账户。Security Hub CSPM 管理员账户可以启用其他组织账户作为成员账户。

账户不能既是管理员账户又是成员账户。一个账户只能有一个管理员账户。

有关更多信息，请参阅 管理 Security Hub CSPM 中的管理员账户和成员账户。

Security Hub CSPM 中被授予查看相关成员账户调查发现权限的账户。

账户通过以下方式之一成为管理员账户：

一个账户只能有一个管理员账户。账户不能既是管理员账户又是成员账户。

设置聚合区域可让您在一个窗格中查看多个 Amazon Web Services 区域 的安全调查发现。

聚合区域是您从中查看和管理调查发现的区域。结果将从关联区域汇总到聚合区域。调查发现的更新会跨区域复制。

在聚合区域中，安全标准、见解和结果页面包含来自所有关联区域的数据。

有关更多信息，请参阅 了解 Security Hub CSPM 中的跨区域聚合。

其记录状态 (RecordState) 为 ARCHIVED 的调查发现。将调查发现存档表明调查发现提供者认为该调查发现已不再相关。记录状态与工作流状态不同，其跟踪调查发现的调查状态。

调查发现提供者可以使用 Security Hub CSPM API 的 BatchImportFindings 操作来存档他们创建的调查发现。Security Hub CSPM 会自动存档符合特定条件的控件调查发现。有关更多信息，请参阅 生成、更新和存档控件调查发现。

在 Security Hub CSPM 控制台上，默认筛选设置会将存档的调查发现从调查发现列表和表格中排除。您可以更新设置以包括存档的调查发现。如果使用 Security Hub CSPM API 的 GetFindings 操作检索调查发现，则该操作会检索已存档的调查发现和活跃调查发现。要排除已存档的调查发现，您可以对结果进行筛选。例如：

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],

Security Hub CSPM 聚合或生成的调查发现内容的标准化格式。通过 Amazon 安全调查发现格式，您可以使用 Security Hub CSPM 查看和分析 Amazon 安全服务、第三方解决方案或 Security Hub CSPM 本身在运行安全检查时生成的调查发现。有关更多信息，请参阅 Amazon安全调查发现格式 (ASFF)。

为信息系统或组织规定的一种保护措施或对策，旨在保护信息的机密性、完整性和可用性并满足一组已定义的安全性要求。安全标准与控件集合相关联。

“安全控件”一词是指各类标准的具有单一控件 ID 和标题的控件。“标准控件”一词是指具有特定标准的控件 ID 和标题的控件。目前，Security Hub CSPM 仅在中国区域和 Amazon GovCloud (US) Regions支持标准控件。所有其他区域均支持安全控件。

将选定调查发现发送到 EventBridge 的 Security Hub CSPM 机制。在 Security Hub CSPM 中创建一个自定义操作。然后将其链接到 EventBridge 规则。该规则定义在收到与自定义操作 ID 关联的结果时执行的特定操作。例如，可以使用自定义操作将特定结果或一小部分结果发送到响应或修复工作流。有关更多信息，请参阅 创建自定义操作。

在 Amazon Organizations 中，服务的委派管理员账户能够管理组织对服务的使用。

在 Security Hub CSPM 中，Security Hub CSPM 管理员账户也是 Security Hub CSPM 的委派管理员账户。当组织管理账户首次指定 Security Hub CSPM 管理员账户时，Security Hub CSPM 会调用 Organizations，将该账户设为委派管理员账户。

然后，组织管理账户必须选择委派管理员账户作为所有区域的 Security Hub CSPM 管理员账户。

安全检查或与安全相关的检测的可观察记录。完成控件的安全检查后，Security Hub CSPM 会生成并更新调查发现。这些被称为控件调查发现。调查发现还可以来自与其他 Amazon Web Services 服务和第三方产品的集成。

有关更多信息，请参阅 在 Security Hub CSPM 中创建和更新调查发现。

将关联区域的调查发现、见解、控件合规状态和安全评分汇总到聚合区域。然后，您可以查看聚合区域中的所有数据，并更新聚合区域的发现和见解。

有关更多信息，请参阅 了解 Security Hub CSPM 中的跨区域聚合。

将来自其他 Amazon 服务和第三方合作伙伴提供商的调查发现导入 Security Hub CSPM。

调查发现摄取事件包括新调查发现和现有调查发现的更新。

由聚合语句和可选的筛选器定义的相关结果的集合。见解确定了需要注意和干预的安全区域。Security Hub CSPM 提供了一些您无法修改的托管（默认）见解。您还可以创建自定义 Security Hub CSPM 见解，以跟踪特定于 Amazon 环境和使用的安全问题。有关更多信息，请参阅 在 Security Hub CSPM 中查看见解。

启用跨区域聚合时，关联区域是将结果、见解、控件合规状态和安全评分汇总到聚合区域的区域。

在关联区域中，调查发现和见解页面仅包含该区域的调查发现。

有关更多信息，请参阅 了解 Security Hub CSPM 中的跨区域聚合。

已授予管理员账户查看和处理其调查发现的权限的账户。

账户通过以下方式之一成为成员账户：

与某个控件对应的一组行业或监管要求。

一组自动化标准，用于评估是否已坚持使用控件。在评估规则时，评估结果可能是通过或失败。如果评估无法确定规则是通过还是失败，则规则将处于警告状态。如果无法评估规则，则规则会处于不可用状态。

针对单个资源的规则的特定时间点评估，将导致 PASSED、FAILED、WARNING 或 NOT_AVAILABLE 状态。运行安全检查将生成一个结果。

管理组织的 Security Hub CSPM 成员资格的组织账户。

组织管理账户在每个区域指定 Security Hub CSPM 管理员账户。组织管理账户必须在所有区域选择相同的 Security Hub CSPM 管理员账户。

Security Hub CSPM 管理员账户也是 Organizations 中 Security Hub CSPM 的委派管理员账户。

Security Hub CSPM 管理员账户可以启用任何组织账户作为成员账户。Security Hub CSPM 管理员账户还可以邀请其他账户成为成员账户。

发布的关于某一主题的声明，该声明指定了必须满足或实现才能获得合规性的特征（通常为可衡量的控制措施）。安全标准可以基于监管框架、最佳实践或内部公司策略。控件可能与 Security Hub CSPM 中一个或多个支持的标准相关联。要了解有关 Security Hub CSPM 中的安全标准的更多信息，请参阅了解 Security Hub CSPM 中的安全标准。

分配给 Security Hub CSPM 控件的严重性确定该控件的重要性。控件的严重性，可以为严重、高、中等、低或信息性。分配给控件调查发现的“严重性”等于控件本身的“严重性”。要了解 Security Hub CSPM 如何为控件分配严重性，请参阅控件调查发现的严重性级别。

对发现的调查状态。这使用 Workflow.Status 属性进行跟踪。

工作流程状态初始为 NEW。如果已通知资源所有者对发现执行操作，可以将工作流程状态设置为 NOTIFIED。如果发现没有问题，不需要执行任何操作，可以将工作流程状态设置为 SUPPRESSED。查看并修复发现后，可以将工作流程状态设置为 RESOLVED。

默认情况下，大多数发现列表仅包含工作流程状态为 NEW 或 NOTIFIED 的发现。控件的发现列表还包括 RESOLVED 发现。

要进行 GetFindings 操作，您可以包含工作流程状态筛选器。

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

Security Hub CSPM 控制台提供了一个选项来设置调查发现的工作流状态。客户（或 SIEM、票证、事件管理或代表客户更新发现提供商的发现的 SOAR 工具）也可以使用 BatchUpdateFindings 更新工作流程状态。