术语和概念 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

术语和概念

本主题介绍 AWS Security Hub 中的关键概念,以帮助您入门。

Account

包含您的 AWS 资源的标准 Amazon Web Services (AWS) 账户。您可以使用账户登录到 AWS 并启用 Security Hub。

您还可以邀请其他账户启用 Security Hub 并在 Security Hub 中与您的账户关联。如果您的邀请被接受,则您的账户将指定为 Security Hub 账户,添加的账户将成为成员 账户。作为主账户,您可以查看成员账户中的结果。

账户不能既是 Security Hub 主账户又是成员账户。一个 账户只能接受一个成员资格邀请。接受成员资格邀请是可选的。

有关更多信息,请参阅AWS Security Hub 中的主账户和成员账户

存档的结果

RecordState 设置为 ARCHIVED 的结果。

结果提供商可以使用 Security Hub API 的 BatchImportFindings 操作来存档他们创建的查找结果。如果删除关联的资源,Security Hub 会根据以下条件之一自动存档控件的查找结果。

  • 查找结果在三天内没有更新。

  • 关联的 AWS Config 评估返回了 NOT_APPLICABLE

默认情况下,存档的查找结果将从 Security Hub 控制台中的发现列表中排除。您可以更新筛选器以包括已存档的查找结果。

Security Hub API 的 GetFindings 操作将返回活动结果和存档的结果。您可以包含记录状态的筛选器。

"RecordState": [ { "Comparison": "EQUALS", "Value": "ARCHIVED" } ],
AWS Security Finding 格式

Security Hub 聚合或生成的结果内容的标准化格式。通过 AWS Security Finding 格式,您可以使用 Security Hub 查看和分析 AWS 安全服务、第三方解决方案或 Security Hub 本身在运行安全检查时生成的结果。有关更多信息,请参阅AWS Security Finding 格式 (ASFF)

控制

为信息系统或组织规定的一种保护措施或对策,旨在保护信息的机密性、完整性和可用性并满足一组已定义的安全性要求。安全标准由一些控制组成。

自定义操作

将选定结果发送到 EventBridge 的 Security Hub 机制。先在 Security Hub 中创建一个自定义操作,然后它与 EventBridge 规则。该规则定义在收到与自定义操作 ID 关联的结果时执行的特定操作。例如,可以使用自定义操作将特定结果或一小部分结果发送到响应或修复工作流。有关更多信息,请参阅创建自定义操作(控制台)

结果

安全检查或与安全相关的检测的可观察记录。

有关 Security Hub 中的结果的更多信息,请参阅AWS Security Hub 中的结果

注意

结果将在最近更新后 90 天或创建后 90 天(如果未发生更新)后删除。要将结果存储 90 天以上,您可以在 EventBridge 中配置将结果路由到 Amazon S3 存储桶的规则。

见解

由聚合语句和可选的筛选器定义的相关结果的集合。见解用于识别需要注意和干预的安全领域。Security Hub 提供了一些您无法修改的托管(默认)见解。您还可以创建自定义 Security Hub 见解,以跟踪特定于 AWS 环境和使用的安全问题。有关更多信息,请参阅AWS Security Hub 中的见解

相关要求

与某个控件对应的一组行业或监管要求。

Rule

一组自动化标准,用于评估是否已坚持使用控件。在评估规则时,评估结果可能是通过或失败。如果评估无法确定规则是通过还是失败,则规则将处于警告状态。如果无法评估规则,则规则会处于不可用状态。

安全检查

针对单个资源的规则的特定时间点评估,将导致通过、失败、警告或不可用状态。运行安全检查将生成一个结果。

安全标准

发布的关于某一主题的声明,该声明指定了必须满足或实现才能获得合规性的特征(通常为可衡量的控制措施)。安全标准可以基于监管框架、最佳实践或内部公司策略。要了解 Security Hub 中的安全标准的更多信息,请参阅安全标准和控制 AWS Security Hub

工作流程状态

对发现的调查状态。使用 Workflow.Status 属性进行跟踪。

工作流程状态最初是 NEW。如果您通知资源所有者对查找执行操作,您可以将工作流状态设置为 NOTIFIED。如果结果不是问题,并且不需要任何操作,则将工作流状态设置为 SUPPRESSED。查看并纠正结果后,将工作流状态设置为 RESOLVED.

默认情况下,大多数查找列表仅包括工作流程状态为 NEWNOTIFIED。控件的查找列表还包括 RESOLVED 发现。

要进行 GetFindings 操作,您可以包含工作流程状态筛选器。

"WorkflowStatus": [ { "Comparison": "EQUALS", "Value": "RESOLVED" } ],

Security Hub 控制台提供了一个选项来设置发现的工作流程状态。客户(或 SIEM、票证、事件管理或代表客户更新发现提供商的发现的 SOAR 工具)也可以使用 BatchUpdateFindings 更新工作流程状态。