Security Hub CSPM 中的概念和术语 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub CSPM 中的概念和术语

在 S Amazon ecurity Hub 云安全态势管理 (CSPM) 中,我们建立在常用 Amazon 概念和术语的基础上,并使用这些附加术语。

Account

包含您的 Amazon 资源的标准亚马逊 Web Services (Amazon) 账户。你可以 Amazon 使用自己的账户登录并启用 Security Hub CSPM。

一个账户可以邀请其他账户启用 Security Hub CSPM,并在 Security Hub CSPM 中与该账户建立关联。接受成员资格邀请是可选的。如果邀请被接受,该账户成为管理员账户,而被添加的账户成为成员账户。管理员账户可以在其成员账户中查看结果。

如果您已注册 Amazon Organizations,则您的组织将为该组织指定一个 Security Hub CSPM 管理员帐户。Security Hub CSPM 管理员帐户可以启用其他组织帐户作为成员帐户。

账户不能既是管理员账户又是成员账户。一个账户只能有一个管理员账户。

有关更多信息,请参阅 在 Security Hub CSPM 中管理管理员和成员账户

管理员账户

Security Hub CSPM 中的一个账户,该账户被授予查看关联成员账户调查结果的权限。

账户通过以下方式之一成为管理员账户:

  • 该账户邀请其他账户在 Security Hub CSPM 中与其建立关联。当这些账户接受邀请时,它们就会成为成员账户,发送邀请的账户则成为他们的管理员账户。

  • 该账户由组织管理账户指定为 Security Hub CSPM 管理员账户。Security Hub CSPM 管理员账户可以启用任何组织账户作为成员账户,也可以邀请其他账户成为成员账户。

一个账户只能有一个管理员账户。账户不能既是管理员账户又是成员账户。

聚合区域

通过设置聚合区域,您可以在单个控制面板 Amazon Web Services 区域 中查看来自多个区域的安全发现。

聚合区域是您从中查看和管理调查发现的区域。结果将从关联区域汇总到聚合区域。调查发现的更新会跨区域复制。

在聚合区域中,安全标准见解结果页面包含来自所有关联区域的数据。

有关更多信息,请参阅 了解 Security Hub CSPM 中的跨区域聚合

存档的结果

其记录状态 (RecordState) 为的调查结果ARCHIVED。将调查发现存档表明调查发现提供者认为该调查发现已不再相关。记录状态不同于工作流状态,后者跟踪调查结果的状态。

查找提供者可以使用 Security Hub CSPM API 的BatchImportFindings操作来存档他们创建的调查结果。Security Hub CSPM 会自动归档符合特定标准的控制结果。有关更多信息,请参阅 生成、更新和存档控制结果

在 Security Hub CSPM 控制台上,默认筛选器设置将存档的查找结果排除在查找列表和表格之外。您可以更新设置以包含已存档的调查结果。如果您使用 Security Hub CSPM API 的GetFindings操作来检索搜索结果,则该操作会同时检索存档和活动结果。要排除已存档的调查结果,可以筛选结果。例如:

"RecordState": [ { "Comparison": "EQUALS", "Value": "ARCHIVED" } ],
Amazon 安全调查结果格式 (ASFF)

Security Hub CSPM 汇总或生成的调查结果内容的标准化格式。 Amazon 安全调查结果格式使您可以使用 Security Hub CSPM 来查看和分析由 Amazon 安全服务、第三方解决方案或 Security Hub CSPM 本身在运行安全检查时生成的发现。有关更多信息,请参阅 Amazon 安全调查结果格式 (ASFF)

控件

为信息系统或组织规定的一种保护措施或对策,旨在保护信息的机密性、完整性和可用性并满足一组已定义的安全性要求。安全标准与控件集合相关联。

安全控件”一词是指各类标准的具有单一控件 ID 和标题的控件。标准控制一词是指具有特定标准控件 IDs 和标题的控件。目前,Security Hub CSPM 仅在中国地区和中国地区支持标准控制。 Amazon GovCloud (US) Regions所有其他区域均支持安全控件。

自定义操作

一种 Security Hub CSPM 机制,用于将选定的调查结果发送到。 EventBridge在 Security Hub CSPM 中创建了一个自定义操作。然后将其链接到 EventBridge 规则。该规则定义在收到与自定义操作 ID 关联的结果时执行的特定操作。例如,可以使用自定义操作将特定结果或一小部分结果发送到响应或修复工作流。有关更多信息,请参阅 创建自定义操作

委派管理员账户 (Organizations)

在中 Amazon Organizations,服务的委派管理员帐户能够管理组织对服务的使用。

在 Security Hub CSPM 中,Security Hub CSPM 管理员帐户也是 Security Hub CSPM 的委托管理员帐户。当组织管理账户首次指定 Security Hub CSPM 管理员帐户时,Security Hub CSPM 会调用 Organizations 将该账户设为委托管理员帐户。

然后,组织管理账户必须选择委派的管理员账户作为所有区域的 Security Hub CSPM 管理员账户。

调查发现

安全检查或与安全相关的检测的可观察记录。Security Hub CSPM 在完成控制措施的安全检查后生成调查结果。这些被称为对照发现。调查结果也可能来自与其他产品 Amazon Web Services 服务 和第三方产品的集成。

有关更多信息,请参阅 在 Security Hub CSPM 中创建和更新调查结果

跨区域聚合

将关联区域的调查发现、见解、控件合规状态和安全评分汇总到聚合区域。然后,您可以查看聚合区域中的所有数据,并更新聚合区域的发现和见解。

有关更多信息,请参阅 了解 Security Hub CSPM 中的跨区域聚合

调查发现摄取

将来自其他 Amazon 服务和第三方合作伙伴提供商的调查结果导入 Security Hub CSPM。

调查发现摄取事件包括新调查发现和现有调查发现的更新。

见解

由聚合语句和可选的筛选器定义的相关结果的集合。见解确定了需要注意和干预的安全区域。Security Hub CSPM 提供了多种您无法修改的托管(默认)见解。您还可以创建自定义 Security Hub CSPM 见解,以跟踪您的 Amazon 环境和使用情况所特有的安全问题。有关更多信息,请参阅 在 Security Hub CSPM 中查看见解

关联区域

启用跨区域聚合时,关联区域是将结果、见解、控件合规状态和安全评分汇总到聚合区域的区域。

在关联区域中,调查发现见解页面仅包含该区域的调查发现。

有关更多信息,请参阅 了解 Security Hub CSPM 中的跨区域聚合

成员账户

已授予管理员账户查看和处理其调查发现的权限的账户。

账户通过以下方式之一成为成员账户:

  • 该账户接受来自其他账户的邀请。

  • 对于组织帐户,Security Hub CSPM 管理员帐户将该帐户启用为成员帐户。

相关要求

与某个控件对应的一组行业或监管要求。

规则

一组自动化标准,用于评估是否已坚持使用控件。在评估规则时,评估结果可能是通过或失败。如果评估无法确定规则是通过还是失败,则规则将处于警告状态。如果无法评估规则,则规则会处于不可用状态。

安全检查

针对单一资源对规则 point-in-time进行具体评估,结果为PASSEDFAILEDWARNING、或NOT_AVAILABLE状态。运行安全检查将生成一个结果。

Security Hub CSPM 管理员账户

管理组织的 Security Hub CSPM 成员资格的组织帐户。

组织管理帐户在每个区域中指定 Security Hub CSPM 管理员帐户。组织管理账户必须在所有区域中选择相同的 Security Hub CSPM 管理员账户。

Security Hub CSPM 管理员帐户也是 Organiations 中 Security Hub CSPM 的委托管理员帐户。

Security Hub CSPM 管理员帐户可以启用任何组织帐户作为成员帐户。Security Hub CSPM 管理员账户也可以邀请其他账户成为成员账户。

安全标准

发布的关于某一主题的声明,该声明指定了必须满足或实现才能获得合规性的特征(通常为可衡量的控制措施)。安全标准可以基于监管框架、最佳实践或内部公司策略。控件可能与 Security Hub CSPM 中一个或多个支持的标准相关联。要了解有关 Security Hub CSPM 中安全标准的更多信息,请参阅。了解 Security Hub CSPM 中的安全标准

严重性

分配给 Security Hub CSPM 控件的严重性确定了该控件的重要性。控件的严重性,可以为严重中等信息性。分配给控件调查发现的“严重性”等于控件本身的“严重性”。要了解 Security Hub CSPM 如何为控件分配严重性,请参阅。控制结果的严重性级别

工作流状态

对发现的调查状态。这是使用Workflow.Status属性进行跟踪的。

工作流程状态初始为 NEW。如果已通知资源所有者对发现执行操作,可以将工作流程状态设置为 NOTIFIED。如果发现没有问题,不需要执行任何操作,可以将工作流程状态设置为 SUPPRESSED。查看并修复发现后,可以将工作流程状态设置为 RESOLVED

默认情况下,大多数发现列表仅包含工作流程状态为 NEWNOTIFIED 的发现。控件的发现列表还包括 RESOLVED 发现。

要进行 GetFindings 操作,您可以包含工作流程状态筛选器。

"WorkflowStatus": [ { "Comparison": "EQUALS", "Value": "RESOLVED" } ],

Security Hub CSPM 控制台提供了一个选项来设置发现的工作流程状态。客户(或 SIEM、票证、事件管理或代表客户更新发现提供商的发现的 SOAR 工具)也可以使用 BatchUpdateFindings 更新工作流程状态。