本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub 建议
中的以下安全服务以 OCSF 格式Amazon将发现结果发送到 Security Hub。启用 Security Hub 后,我们建议启用这些功能Amazon Web Services 服务以提高安全性。
Security Hub CSPM
启用 Security Hub CSPM 后,您将在 Amazon 中全面了解安全状态。这有助于您根据安全行业标准和最佳实践评测您的环境。虽然您可以不启用 Security Hub CSPM 即可开始使用 Security Hub,但我们建议启用 Security Hub CSPM,因为 Security Hub 会关联来自 Security Hub CSPM 的安全信号,以改善您的态势管理。
如果您启用 Security Hub CSPM,我们还建议您的账户启用Amazon基础安全最佳实践标准。该标准由一组控件组成,用于检测您的Amazon Web Services 账户和资源何时偏离安全最佳实践。当您为账户启用Amazon基础安全最佳实践标准时,Sec Amazon urity Hub CSPM 会自动启用其所有控件,包括对以下资源类型的控制:
-
账户控件
-
Amazon DynamoDB 控件
-
Amazon Elastic Compute Cloud 控件
-
Amazon Identity and Access Management(IAM) 控件
-
Amazon Lambda控件
-
Amazon Relational Database Service(Amazon RDS)控件
-
Amazon Simple Storage Service 控制
您可以禁用此列表中的任意控件。但是,如果您禁用这些控件中的任何一个,则无法收到受支持资源的暴露调查发现。有关适用于基础安全最佳实践标准的控件的信息,请参阅AmazonAmazon基础安全最佳实践 v1.0.0 (FSBP) 标准。
GuardDuty
启用后 GuardDuty,您可以在 Security Hub 控制台的控制面板中查看所有威胁和安全覆盖结果。如果启用 GuardDuty,则 GuardDuty 会自动开始以 OCSF 格式向 Security Hub 发送数据。
Amazon Inspector
启用 Amazon Inspector 后,您可以在 Security Hub 控制台的控制面板中查看所有暴露和安全覆盖范围调查发现。如果启用 Amazon Inspector,Amazon Inspector 将自动开始以 OCSF 格式向 Security Hub 发送数据。
我们建议激活亚马逊 EC2 扫描和 Lambda 标准扫描。当您激活亚马逊 EC2 扫描时,Amazon Inspector 会扫描您账户中的亚马逊 EC2 实例,查找包裹漏洞和网络可访问性问题。激活 Lambda 标准扫描后,Amazon Inspector 会扫描 Lambda 函数,查找程序包依赖项中是否存在软件漏洞。有关更多信息,请参阅《Amazon Inspector 用户指南》中的激活扫描类型。
Macie
启用 Macie 后,您可以检测 Amazon S3 存储桶的其他暴露。建议配置自动敏感数据发现,以便 Macie 可以每天评估您的 Amazon S3 存储桶清单。