Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
查看 Security Hub CSPM 中的控制细节
在 Security Hub CSPM 控制台的 “控件” 页面或标准详细信息页面上选择控件会将您带到控件详细信息页面。
控件详细信息页面的顶部显示控件状态。控件状态根据控件调查发现的合规性状态总结控件的性能。Security Hub CSPM 通常会在您首次访问 Security Hub CSPM 控制台上的 “摘要” 页面或安全标准页面后 30 分钟内生成初始控制状态。状态仅适用于您访问这些页面时启用的控件。
控件详细信息页面还细分了过去 24 小时内控件调查发现的合规性状态。有关控件状态和合规性状态的更多信息,请参阅评估合规状态和控制状态。
Amazon Config 必须配置资源记录才能显示控制状态。首次生成控制状态后,Security Hub CSPM 会根据前 24 小时的发现每 24 小时更新一次控制状态。
管理员账户可以看到管理员账户和成员账户的聚合控件状态。如果您设置了聚合区域,则控件状态包括所有关联区域的调查发现。有关控件状态的详细信息,请参阅 评估合规状态和控制状态。
您还可以在控件详细信息页面上启用或禁用控件。
启用控件后,最长可能需要 24 小时才能在中国地区和 Amazon GovCloud (US) Regions生成首次控件状态。
标准和要求选项卡列出了可启用控件的标准以及来自不同合规框架的与该控件相关的要求。
“检查” 选项卡列出了过去 24 小时内该控件的活动调查结果。控制结果是在 Security Hub CSPM 对控件进行安全检查时生成的。此选项卡上的列表不包括已存档的调查结果。
对于每项调查发现,该列表都提供对调查发现详细信息的访问权限,例如合规性状态和相关资源。您还可以设置每个调查发现的工作流程状态,并将结果发送到自定义操作。有关更多信息,请参阅 在 Security Hub CSPM 中查看和管理控制结果。
查看控件的详细信息
选择您的首选访问方法,然后按照以下步骤查看控件的详细信息。详细信息适用于当前账户和地区,包括以下内容:
-
控件的标题和描述。
-
指向失败控制发现的补救指南的链接。
-
控制的严重程度。
-
控件的状态。
在控制台上,您还可以查看控件的最新发现列表。要以编程方式执行此操作,你可以使用 Security Hub CSPM API 的GetFindings操作。
- Security Hub CSPM console
-
- Security Hub CSPM API
-
-
运行ListSecurityControlDefinitions
,并提供一个或多个标准 ARNs 以获取该标准 IDs的控制列表。要获得标准 ARNs,请运行DescribeStandards
。如果你不提供标准 ARN,则此 API 会返回所有 Security Hub CSPM 控制权。 IDs此 API 返回与标准无关的安全控制 IDs,而不是这些功能发布之前存在的基于标准 IDs 的控件。
请求示例:
{
"StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0
"
}
-
运行BatchGetSecurityControls
以获取有关当前 Amazon Web Services 账户
和中一个或多个控件的详细信息 Amazon Web Services 区域。
请求示例:
{
"SecurityControlIds": ["Config.1
", "IAM.1
"]
}
- Amazon CLI
-
-
运行list-security-control-definitions
命令,并提供一个或多个标准 ARNs 以获取控件列表 IDs。要获得标准 ARNs,请运行describe-standards
命令。如果您未提供标准 ARN,则此命令将返回所有 Security Hub CSPM 控件。 IDs此命令返回与标准无关的安全控制 IDs,而不是这些功能发布之前存在的基于标准 IDs 的控件。
aws securityhub --region us-east-1
list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0
"
-
运行 batch-get-security-controls
命令以获取有关当前 Amazon Web Services 账户 和 Amazon Web Services 区域中一个或多个控件的详细信息。
aws securityhub --region us-east-1
batch-get-security-controls --security-control-ids '["Config.1", "IAM.1"]'