Security Hub 的概念 - AmazonSecurity Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 的概念

在 Security Hub 中,我们建立在常用Amazon概念和术语的基础上,并使用这些附加术语。

Account

包含您的Amazon资源的标准Amazon账户。Amazon使用您的Amazon帐户登录以启用 Security Hub。

如果您的帐户已注册Amazon Organizations,则您的组织会指定一个 Security Hub 管理员帐户。此账户可以启用其他组织账户作为成员账户。

一个组织只能有一个管理员账户。账户不能既是管理员账户又是成员账户。

Security Hub 支持以下账户:

  • 组织管理Amazon账户 — 管理Amazon组织的账户。

  • 委托管理员Amazon账户 — 管理Amazon组织使用情况Amazon Web Services 服务的账户。

  • 成员账户 — 作为AmazonAmazon组织成员的账户。

  • 独立账户-未Amazon Organizations启用的Amazon账户

管理员账户

此类Amazon账户可以查看关联成员账户的调查结果。

当组织管理Amazon帐户将该帐户指定为 Security Hub 管理员帐户时,此类帐户将变为管理员帐户。Security Hub 管理员账户可以启用任何组织账户作为成员账户,还可以邀请其他账户成为成员账户。

一个组织只能有一个管理员账户。账户不能既是管理员账户又是成员账户。

聚合区域

聚合区域允许您在单个控制面板Amazon Web Services 区域中查看来自多个区域的安全发现。

聚合区域是您查看和管理调查结果Amazon Web Services 区域的地方。调查发现会从关联区域聚合到聚合区域中。更新后的调查发现会在各个区域之间复制。

在聚合区域中,控制面板和库存页包含来自所有关联区域的数据。自动化页面只能用于定义聚合区域中的自动化规则。第三方票证集成只能在聚合区域中进行配置。

存档的发现

状态为 ARCHIVED 的调查发现。这些调查发现表明,调查发现的调查发现提供者或客户认为该调查发现不再相关。

寻找提供者可以存档他们创建的结果。客户可以使用 Security Hub API 的 BatchUpdateFindingsV2 操作或在 Security Hub 控制台中更新状态来存档他们认为不再相关的发现。

在 Security Hub 控制台中,默认筛选设置会将存档的调查发现从调查发现列表和表格中排除。您可以更新筛选条件以包括已存档的调查发现 如果使用 GetFindingsV2 操作检索查找结果,则该操作会同时检索存档和活动查找结果。以下示例说明了如何在结果中排除已存档的调查发现。

{
    "StringFilters":
    [
        {
            "FieldName": "status",
            "Filter":
            {
                "Value": "Archived",
                "Comparison": "EQUALS"
            }
        }
    ]
}
跨区域聚合

将来自关联区域的调查发现和资源汇总到一个聚合区域。您可以查看聚合区域中的所有数据,并更新聚合区域中的调查发现。

委派管理员帐户

在中Amazon Organizations,服务的委派管理员帐户能够管理组织对服务的使用。

在 Security Hub 中,Security Hub 管理员账户也是 Security Hub 的委派管理员账户。当组织管理账户首次指定 Security Hub 管理员账户时,Security Hub 会调用 Organizations,将该账户设为委派管理员账户。

然后,组织管理账户必须选择委派管理员账户作为所有区域的 Security Hub 管理员账户。

曝光

风险是指安全控制、配置错误或其他可能被主动威胁利用的领域中更广泛的漏洞。

曝光示例包括:

  • 资源的控制平面配置错误。

  • 存在极有可能被利用的软件漏洞。

  • 可公开访问的资源(网络或 API)。

暴露调查发现

一种描述您的环境中存在的暴露情况的调查发现。暴露调查发现包括特征和信号。一个信号可以包含一种或多种类型的暴露特征。Amazon当来自 Security Hub CSPM、Amazon Inspector、亚马逊 GuardDuty、亚马逊 Macie Amazon 或其他服务的信号表明存在风险时,Sec Amazon urity Hub 会生成曝光结果。一项或多项曝光调查结果可能涉及资源。如果资源没有任何暴露特征或特征不足,Security Hub 不会为该资源生成暴露调查发现。

曝光发现的一个例子是:一个可以从互联网访问的 EC2 实例,并且存在很有可能被利用的软件漏洞。

调查发现

安全检查或与安全相关的检测的可观察记录。Security Hub 通过与其他安全调查发现进行关联来生成和更新调查发现。这些被称为暴露调查发现。调查结果也可能来自与其他产品Amazon Web Services 服务和第三方产品的集成。

发现摄入

将调查发现导入 Security Hub。调查发现摄取事件包括新调查发现和现有调查发现的更新。

关联区域

启用跨区域聚合后,关联区域是指将调查发现和资源清单聚合到聚合区域的区域。

在关联区域中,控制面板和库存页面仅包含相关调查结果Amazon Web Services 区域。

开放式网络安全架构框架(OCSF)

开放网络安全架构框架 (OCSF) 是由Amazon网络安全行业的领先合作伙伴共同开发的开源项目。OCSF 为常见安全事件提供了标准架构,定义了版本控制标准以促进架构的演变,还包括安全日志生成者和使用者的自治流程。有关更多信息,请参阅 OCSF findings in Security Hub

成员账户

授Amazon Web Services 账户予管理员帐户查看其调查结果并对其采取行动的权限。当 Security Hub 管理员帐户将其启用为成员帐户时,此类帐户Amazon Web Services 账户就会变成成员帐户。

信号

促成暴露调查发现的调查发现。信号可以被称为促成性调查发现。信号可以源自 Security Hub CSPM 或其他Amazon Web Services 服务信号Amazon Config,例如 Amazon Inspector。

特质

导致暴露调查发现的安全偏差。特征类型包括假设性错误配置可访问性敏感数据漏洞。一个特征与一个信号相关联,一个信号可以包含多个特征。例如,Security Hub CSPM 控件表示客户管理型策略允许管理访问控制。此信号包含错误配置特征。