Security Hub 的概念 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 的概念

本主题介绍了 Sec Amazon urity Hub 中的关键概念和术语,以帮助您开始使用该服务。

帐户

包含您的 Amazon 资源的标准亚马逊 Web Services (Amazon) 账户。您可以使用自己的帐户登录并启用 Amazon Security Hub。

一个账户可以邀请其他账户启用 Security Hub,并在 Security Hub 中与该账户建立关联。接受成员资格邀请是可选的。如果邀请被接受,该账户成为管理员账户,而被添加的账户成为成员账户。管理员账户可以在其成员账户中查看结果。

如果您已注册 Amazon Organizations,则您的组织会为该组织指定一个 Security Hub 管理员帐户。Security Hub 管理员账户能启用其他组织账户作为成员账户。

账户不能既是管理员账户又是成员账户。一个账户只能有一个管理员账户。

有关更多信息,请参阅 管理管理员和成员账户

管理员账户

Security Hub 中被授予查看相关成员账户结果权限的账户。

账户通过以下方式之一成为管理员账户:

  • 该账户邀请其他账户在 Security Hub 中与其建立关联。当这些账户接受邀请时,它们就会成为成员账户,发送邀请的账户则成为他们的管理员账户。

  • 该账户由组织管理账户指定为 Security Hub 管理员账户。Security Hub 管理员账户可以启用任何组织账户作为成员账户,还可以邀请其他账户成为成员账户。

一个账户只能有一个管理员账户。账户不能既是管理员账户又是成员账户。

聚合区域

设置聚合区域允许您在单个控制面板 Amazon Web Services 区域 中查看来自多个区域的安全发现。

聚合区域是您从中查看和管理调查发现的区域。结果将从关联区域汇总到聚合区域。调查发现的更新会跨区域复制。

在聚合区域中,安全标准见解结果页面包含来自所有关联区域的数据。

请参阅 跨区域聚合

存档的结果

RecordState 设置为 ARCHIVED 的结果。将调查发现存档表明调查发现提供者认为该调查发现已不再相关。记录状态与工作流程状态是分开的,后者跟踪调查发现的调查状态。

结果提供者可以使用 Security Hub API 的 BatchImportFindings 操作来存档他们创建的调查发现。如果控件被禁用或相关资源被删除,根据以下其中一项标准,Security Hub 会自动归档控件的调查发现。

  • 该调查发现在三到五天后才会更新(请注意,这是尽最大努力的结果且无法保证)。

  • 关联的 Amazon Config 评估结果将返回NOT_APPLICABLE

默认情况下,存档的调查发现将从 Security Hub 控制台中的发现列表中排除。您可以更新筛选器以包括已存档的查找结果。

Security Hub API 的 GetFindings 操作会返回活动和存档的调查发现。您可以包含记录状态的筛选器。

"RecordState": [ { "Comparison": "EQUALS", "Value": "ARCHIVED" } ],
Amazon 安全调查结果格式 (ASFF)

Security Hub 聚合或生成的调查发现内容的标准化格式。 Amazon 安全调查结果格式使您可以使用 Security Hub 来查看和分析由 Amazon 安全服务、第三方解决方案或 Security Hub 本身在运行安全检查时生成的发现。有关更多信息,请参阅 Amazon 安全调查结果格式 (ASFF)

控件

为信息系统或组织规定的一种保护措施或对策,旨在保护信息的机密性、完整性和可用性并满足一组已定义的安全性要求。安全标准与控件集合相关联。

安全控件”一词是指各类标准的具有单一控件 ID 和标题的控件。“标准控件”一词是指具有特定标准的控件 ID 和标题的控件。目前,Security Hub 仅支持 Amazon GovCloud (US) Region 和中国区域的标准控件。所有其他区域均支持安全控件。

自定义操作

一种用于将选定结果发送到 Security Hub 的机制 EventBridge。先在 Security Hub 中创建一个自定义操作,然后将其链接到 EventBridge 规则。该规则定义在收到与自定义操作 ID 关联的结果时执行的特定操作。例如,可以使用自定义操作将特定结果或一小部分结果发送到响应或修复工作流。有关更多信息,请参阅 创建自定义操作(控制台)

委派管理员账户 (Organizations)

在 Organizations 中,服务的委派管理员账户能够管理组织对服务的使用。

在 Security Hub 中,Security Hub 管理员账户也是 Security Hub 的委派管理员账户。当组织管理账户首次指定 Security Hub 管理员账户时,Security Hub 会调用 Organizations,将该账户设为委派管理员账户。

然后,组织管理账户必须选择委派管理员账户作为所有区域的 Security Hub 管理员账户。

调查发现

安全检查或与安全相关的检测的可观察记录。完成控件的安全检查后,Security Hub 会生成调查发现。这些被称为“控件调查发现”。调查发现也可能来自第三方产品集成。

有关 Security Hub 中调查发现的更多信息,请参阅 Sec Amazon urity Hub 中的调查结果

注意

调查结果将在最新更新后 90 天或创建日期后 90 天(如果未发生更新)被删除。要将发现的存储时间超过 90 天,您可以在中配置一条规则,将结果路由到您 EventBridge 的 Amazon S3 存储桶。

跨区域聚合

将关联区域的调查发现、见解、控件合规状态和安全评分汇总到聚合区域。然后,您可以查看聚合区域中的所有数据,并更新聚合区域的发现和见解。

请参阅 跨区域聚合

调查发现摄取

将来自其他 Amazon 服务和第三方合作伙伴提供商的调查结果导入 Security Hub。

调查发现摄取事件包括新调查发现和现有调查发现的更新。

见解

由聚合语句和可选的筛选器定义的相关结果的集合。见解确定了需要注意和干预的安全区域。Security Hub 提供了一些您无法修改的托管(默认)见解。您还可以创建自定义 Security Hub 见解,以跟踪您的 Amazon 环境和使用情况所特有的安全问题。有关更多信息,请参阅 Amazon Security Hub 中的见解

关联区域

启用跨区域聚合时,关联区域是将结果、见解、控件合规状态和安全评分汇总到聚合区域的区域。

在关联区域中,调查发现见解页面仅包含该区域的调查发现。

请参阅 跨区域聚合

成员账户

已授予管理员账户查看和处理其调查发现的权限的账户。

账户通过以下方式之一成为成员账户:

  • 该账户接受来自其他账户的邀请。

  • 对于组织账户,Security Hub 管理员账户将该账户启用为成员账户。

相关要求

与某个控件对应的一组行业或监管要求。

规则

一组自动化标准,用于评估是否已坚持使用控件。在评估规则时,评估结果可能是通过或失败。如果评估无法确定规则是通过还是失败,则规则将处于警告状态。如果无法评估规则,则规则会处于不可用状态。

安全检查

针对单一资源对规则 point-in-time 进行具体评估,结果为PASSEDFAILEDWARNING、或NOT_AVAILABLE状态。运行安全检查将生成一个结果。

Security Hub 管理员账户

管理组织的 Security Hub 成员资格的组织账户。

组织管理账户在每个区域指定 Security Hub 管理员账户。组织管理账户必须在所有区域选择相同的 Security Hub 管理员账户。

Security Hub 管理员账户也是组织中 Security Hub 的委派管理员账户。

Security Hub 管理员账户可以启用任何组织账户作为成员账户。Security Hub 管理员账户还可以邀请其他账户成为成员账户。

安全标准

发布的关于某一主题的声明,该声明指定了必须满足或实现才能获得合规性的特征(通常为可衡量的控制措施)。安全标准可以基于监管框架、最佳实践或内部公司策略。控件可能与 Security Hub 中一个或多个支持的标准相关联。要了解更多关于 Security Hub 中的安全标准,请参阅 Security Hub 中的 Amazon 安全控制和标准

严重性

分配给 Security Hub 控件的“严重性”确定了该控件的重要性。控件的严重性,可以为严重中等信息性。分配给控件调查发现的“严重性”等于控件本身的“严重性”。要了解 Security Hub 如何为控件分配“严重性”,请参阅 为控件调查发现分配严重性

工作流状态

对发现的调查状态。使用 Workflow.Status 属性进行跟踪。

工作流程状态初始为 NEW。如果已通知资源所有者对发现执行操作,可以将工作流程状态设置为 NOTIFIED。如果发现没有问题,不需要执行任何操作,可以将工作流程状态设置为 SUPPRESSED。查看并修复发现后,可以将工作流程状态设置为 RESOLVED

默认情况下,大多数发现列表仅包含工作流程状态为 NEWNOTIFIED 的发现。控件的发现列表还包括 RESOLVED 发现。

要进行 GetFindings 操作,您可以包含工作流程状态筛选器。

"WorkflowStatus": [ { "Comparison": "EQUALS", "Value": "RESOLVED" } ],

Security Hub 控制台提供了一个选项来设置发现的工作流程状态。客户(或 SIEM、票证、事件管理或代表客户更新发现提供商的发现的 SOAR 工具)也可以使用 BatchUpdateFindings 更新工作流程状态。