查看标准的详细信息 - Amazon Security Hub
显示已启用标准的详细信息页面(控制台)标准安全评分和安全检查摘要查看已启用的标准中的控件正在下载控件列表
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看标准的详细信息

在 Amazon Security Hub 控制台上,标准的详细信息页面包含以下信息:

  • 标准安全评分和标准中启用的控件安全检查的视觉摘要 如果您与集成 Amazon Organizations,则在至少一个组织账户中启用的控件将被视为已启用。

  • 启用或禁用适用于标准的控件的设置

  • 适用于该标准的控件列表。根据启用状态,控件分为不同的选项卡。全部启用列中的控件数是失败未知无数据通过列中控件的总和。

您还可以使用 Security Hub API 和 Amazon CLI 来检索标准的详细信息。以下部分说明如何获取标准的详细信息。

显示已启用标准的详细信息页面(控制台)

安全标准页面上,您可以显示已启用标准的详细信息页面。

如果您以管理员账户登录,则可以查看至少一个成员账户中启用的任何标准的详细信息。

  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

  2. 在 Security Hub 导航窗格中,选择安全标准

  3. 对于要显示其详细信息的标准,选择查看结果

标准安全评分和安全检查摘要

标准详细信息页面的顶部是标准的安全评分。分数是通过的控件相对于标准启用的控件(具有数据)数量的百分比。

Security Hub 通常会在您首次访问 Security Hub 控制台上的摘要页面或安全标准页面后 30 分钟内计算出初始安全分数。仅针对您访问这些页面时启用的标准生成分数。要查看当前启用的标准列表,请使用 GetEnabledStandards API 操作。此外,必须配置 Amazon Config 资源记录才能显示分数。首次生成分数后,Security Hub 每 24 小时更新一次安全分数。Security Hub 显示时间戳以指示安全评分上次更新的时间。有关更多信息,请参阅 确定安全分数

注意

在中国地区和 Amazon GovCloud (US) Region生成首次获得安全评分最多需要 24 小时。

分数旁边是一个图表,该图表汇总了针对该标准启用的控件的安全检查。该图表显示了未通过和通过安全检查的百分比。当您在图表上停下来时,弹出窗口会显示以下内容:

  • 每种严重性的控件的安全检查失败次数

  • 状态为未知的控件的安全检查数量

  • 已通过安全检查的数量

对于管理员账户,标准分数和图表是在跨管理员账户和所有成员账户之间汇总的。

除非您设置了聚合区域,否则安全标准详细信息页面上的所有数据都特定于当前区域。如果您设置了聚合区域,则安全分数适用于各个区域,并包括所有关联区域的调查发现。标准详细信息页面上控件的合规性状态也反映了来自关联区域的调查发现,安全检查的数量包括来自关联区域的调查发现。

查看已启用的标准中的控件

当您访问标准的详细信息页面时,可以查看适用于该标准的安全控件列表。此列表根据控件的合规性状态和分配给每个控件的严重性进行排序。Security Hub 每 24 小时更新一次控件状态和安全检查计数。每个选项卡上的时间戳表示控件状态和安全检查计数最近更新的时间。有关更多信息,请参阅 合规状态和控制状态

对于管理员账户,控制合规性状态和安全检查数量是在管理员账户和所有成员账户之间汇总的。

全部启用选项卡列出了标准中当前启用的所有控件。对于管理员账户,全部启用选项卡包括标准中在其账户或至少一个成员账户中启用的控件。

失败未知无数据通过选项卡上,全部启用选项卡中的控件经过筛选,仅包括具有特定状态的已启用控件。

已禁用选项卡包含标准中禁用的控件列表。对于管理员账户,已禁用选项卡包括标准中在其账户和所有成员账户中禁用的控件。

对于每个控件,选项卡显示以下信息:

  • 控件的状态(请参阅 合规状态和控制状态

  • 分配给控件的严重性等级

  • 控件 ID 和标题

  • 活跃结果总数中失败的活跃结果数。如果适用,检查失败列还会列出状态为未知的调查发现数量。

除了每个选项卡上的搜索筛选条件外,您还可以根据以下字段对列表进行排序:

  • Compliance Status

  • 严重性

  • ID

  • 标题

  • 检查失败

您可以使用任何列对每个列表进行排序。默认情况下,会对全部启用选项卡进行排序,使失败的控件位于列表的顶部。这可以帮助您立即关注需要修复的问题。

在其余选项卡上,控件默认按严重性降序排序。换句话说,首先是严重的控件,然后是高等级的控件,接着是中等级的控件,最后是低等级的控件。

选择您首选的访问方法,然后按照步骤显示已启用标准的可用控件。您也可以使用 DescribeStandardsControlAPI 操作来代替这些说明。

Security Hub console

  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中选择安全标准

  3. 对于标准,选择查看结果。页面底部列出了适用于该标准的控件(按选项卡划分)。

Security Hub API

  1. 运行 ListSecurityControlDefinitions 并提供标准的 Amazon 资源名称(ARN)以获取该标准的控件 ID 列表。要获取标准 ARN,请运行 DescribeStandards。如果您不提供标准 ARN,此 API 将返回所有 Security Hub 控制 ID。此 API 返回与标准无关的安全控件 ID,而不是特定于标准的控件 ID。

    请求示例:

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. 运行 ListStandardsControlAssociations 以查看您在账户中启用的每个标准中是否都启用了控件。

  3. 通过提供 SecurityControlIdSecurityControlArn 来识别控件。分页参数是可选的。

    请求示例:

    {
    SecurityControlId: Config.1
    NextToken: lkeyusdlk-sdlflsnd-ladfterb
    MaxResults: 5
}
Amazon CLI

  1. 运行 list-security-control-definitions 命令,并提供一个或多个标准 ARN 以获取控件 ID 列表。要获取标准 ARN,请运行 describe-standards 命令。如果您不提供标准 ARN,则此命令会返回所有 Security Hub 控件 ID。此命令返回与标准无关的安全控件 ID,而不是特定于标准的控件 ID。

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. 运行 list-standards-control-associations 命令以了解您在账户中启用的每个标准中是否启用了控件。

  3. 通过提供 security-control-idsecurity-control-arn 来识别控件。

    命令示例:

    aws securityhub --region us-east-1 list-standards-control-associations --security-control-id Config.1

正在下载控件列表

您可以将控件列表的当前页面下载到 .csv 文件中。

如果您筛选了控件列表,则下载的文件仅包含与筛选条件设置匹配的控件。

如果您从列表中选择了特定控件,则下载的文件仅包含该控件。

要下载控件列表的当前页面或当前选定的控件,请选择下载