了解安全检查和分数 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解安全检查和分数

对于您启用的每个控件,都会 Amazon Security Hub 运行安全检查。安全检查会生成一个调查结果,告诉您特定 Amazon 资源是否符合该控件所包含的规则。

有些检查是定期进行的。其他检查仅在资源状态发生更改时运行。有关更多信息,请参阅 有关运行安全检查的计划

许多安全检查使用 Amazon Config 托管或自定义规则来确定合规性要求。要运行这些检查,您必须为所需资源设置 Amazon Config 并开启资源记录。有关设置的更多信息 Amazon Config,请参阅为 Security Hub 启用和配置 Amazon Config。有关必须为每个标准记录的 Amazon Config 资源列表,请参阅Security Hub 控制结果所需的 Amazon Config 资源。其他控件使用自定义 Lambda 函数,这些函数由 Security Hub 管理,不需要任何先决条件。

当 Security Hub 运行安全检查时,它会生成调查发现并为其分配合规性状态。有关合规状态的更多信息,请参阅 评估 Security Hub 调查发现的合规性状态

Security Hub 使用控件调查发现的合规性状态来确定总体控件状态。根据控件状态,Security Hub 还会计算所有已启用的控件和特定标准的安全分数。有关更多信息,请参阅在 Security Hub 中评估合规性状态和控件状态计算安全分数

如果您开启了整合的控件调查发现,即使一个控件与多个标准相关联,Security Hub 也会生成一个调查发现。有关更多信息,请参阅 整合的控件调查发现