本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Security Hub 的概念 在 Security Hub 中,我们建立在常用 Amazon 概念和术语的基础上,并使用这些附加术语。 **Account** 包含您的 Amazon 资源的标准 Amazon 账户。 Amazon 使用您的 Amazon 帐户登录以启用 Security Hub。 如果您的帐户已注册 Amazon Organizations,则您的组织会指定一个 Security Hub 管理员帐户。此账户可以启用其他组织账户作为成员账户。 一个组织只能有一个管理员账户。账户不能既是管理员账户又是成员账户。 Security Hub 支持以下账户: + 组织管理 Amazon 账户 — 管理 Amazon 组织的账户。 + 委托管理员 Amazon 账户 — 管理 Amazon 组织使用情况 Amazon Web Services 服务 的账户。 + 成员账户 — 作为 Amazon Amazon 组织成员的账户。 + 独立账户-未 Amazon Organizations 启用的 Amazon 账户 **管理员账户** 此类 Amazon 账户可以查看关联成员账户的调查结果。 当组织管理 Amazon 帐户将该帐户指定为 Security Hub 管理员帐户时,此类帐户将变为管理员帐户。Security Hub 管理员账户可以启用任何组织账户作为成员账户,还可以邀请其他账户成为成员账户。 一个组织只能有一个管理员账户。账户不能既是管理员账户又是成员账户。 **聚合区域** 聚合区域允许您在单个控制面板 Amazon Web Services 区域 中查看来自多个区域的安全发现。 聚合区域是您查看和管理调查结果 Amazon Web Services 区域 的地方。调查发现会从关联区域聚合到聚合区域中。更新后的调查发现会在各个区域之间复制。 在聚合区域中,控制面板和库存页包含来自所有关联区域的数据。自动化页面只能用于定义聚合区域中的自动化规则。第三方票证集成只能在聚合区域中进行配置。 **存档的发现** 状态为 `ARCHIVED` 的调查发现。这些调查发现表明,调查发现的调查发现提供者或客户认为该调查发现不再相关。 寻找提供者可以将他们创建的结果存档。客户可以使用 Security Hub API 的 [BatchUpdateFindingsV2](https://docs.amazonaws.cn/securityhub/1.0/APIReference/API_BatchUpdateFindingsV2.html) 操作或在 Security Hub 控制台中更新状态来存档他们认为不再相关的发现。 在 Security Hub 控制台中,默认筛选设置会将存档的调查发现从调查发现列表和表格中排除。您可以更新筛选条件以包括已存档的调查发现 如果您使用 [GetFindingsV2](https://docs.amazonaws.cn/securityhub/1.0/APIReference/API_GetFindingsV2.html) 操作检索查找结果,则该操作会同时检索存档和活动查找结果。以下示例说明了如何在结果中排除已存档的调查发现。 ``` { "StringFilters": [ { "FieldName": "status", "Filter": { "Value": "Archived", "Comparison": "EQUALS" } } ] } ``` **跨区域聚合** 将来自关联区域的调查发现和资源汇总到一个聚合区域。您可以查看聚合区域中的所有数据,并更新聚合区域中的调查发现。 **委派管理员帐户** 在中 Amazon Organizations,服务的委派管理员帐户能够管理组织对服务的使用。 在 Security Hub 中,Security Hub 管理员账户也是 Security Hub 的委派管理员账户。当组织管理账户首次指定 Security Hub 管理员账户时,Security Hub 会调用 Organizations,将该账户设为委派管理员账户。 然后,组织管理账户必须选择委派管理员账户作为所有区域的 Security Hub 管理员账户。 **曝光** 风险是指安全控制、配置错误或其他可能被主动威胁利用的领域中更广泛的漏洞。 曝光示例包括: + 资源的控制平面配置错误。 + 存在极有可能被利用的软件漏洞。 + 可公开访问的资源(网络或 API)。 **暴露调查发现** 一种描述您的环境中存在的暴露情况的调查发现。暴露调查发现包括特征和信号。一个信号可以包含一种或多种类型的暴露特征。 Amazon 当来自 Security Hub CSPM、Amazon Inspector、亚马逊、Amazon Macie Amazon 或其他服务的信号表明存在风险时,Sec Amazon urity Hub 会生成曝光结果。 GuardDuty一项或多项曝光调查结果可能涉及资源。如果资源没有任何暴露特征或特征不足,Security Hub 不会为该资源生成暴露调查发现。 曝光发现的一个例子是:一个可从互联网访问的 EC2 实例,该实例存在很有可能被利用的软件漏洞。 **调查发现** 安全检查或与安全相关的检测的可观察记录。Security Hub 通过与其他安全调查发现进行关联来生成和更新调查发现。这些被称为*暴露调查发现*。调查结果也可能来自与其他产品 Amazon Web Services 服务 和第三方产品的集成。 **发现摄入** 将调查发现导入 Security Hub。调查发现摄取事件包括新调查发现和现有调查发现的更新。 **关联区域** 启用跨区域聚合后,关联区域是指将调查发现和资源清单聚合到聚合区域的区域。 在关联区域中,控制面板和库存页面仅包含相关调查结果 Amazon Web Services 区域。 **开放式网络安全架构框架(OCSF)** [开放网络安全架构框架 (OCSF)](https://schema.ocsf.io/) 是由 Amazon 网络安全行业的领先合作伙伴共同开发的开源项目。OCSF 为常见安全事件提供了标准架构,定义了版本控制标准以促进架构的演变,还包括安全日志生成者和使用者的自治流程。有关更多信息,请参阅 [OCSF findings in Security Hub](https://docs.amazonaws.cn/securityhub/latest/userguide/securityhub-ocsf.html)。 **成员账户** 授 Amazon Web Services 账户 予管理员帐户查看其调查结果并对其采取行动的权限。当 Security Hub 管理员帐户将其启用为成员帐户时,此类帐户 Amazon Web Services 账户 就会变成成员帐户。 **信号** 促成暴露调查发现的调查发现。信号可以被称为*促成性调查发现*。信号可以源自 Security Hub CSPM 或其他 Amazon Web Services 服务信号 Amazon Config,例如 Amazon Inspector。 **特质** 导致暴露调查发现的安全偏差。特征类型包括**假设性**、**错误配置**、**可访问性**、**敏感数据**和**漏洞**。一个特征与一个信号相关联,一个信号可以包含多个特征。例如,Security Hub CSPM 控件表示客户管理型策略允许管理访问控制。此信号包含错误配置特征。