本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是 S Amazon ecurity Hub?
Amazon Security Hub 为您提供安全状态的全面视图, Amazon 并帮助您根据安全行业标准和最佳实践评估您的 Amazon 环境。
Security Hub 收集跨 Amazon Web Services 账户第三方产品和支持的第三方产品的安全数据,帮助您分析安全趋势并确定优先级最高的安全问题。 Amazon Web Services 服务
为了帮助您管理组织的安全状态,Security Hub 支持多种安全标准。其中包括由互联网安全中心 (FSBP) Amazon、支付卡行业数据安全标准 () 和美国国家标准与技术研究所 (CIS) 制定的 Amazon 基础安全最佳实践 (PCIDSS) 标准和外部合规框架 (NIST)。每个标准都包含多个安全控件,每种控件都代表一种安全最佳实践。Security Hub 对安全控件进行检查并生成控件调查发现,以帮助您评测您是否符合安全最佳实践。
除了生成控制结果外,Security Hub 还会接收来自其他产品 Amazon Web Services 服务(例如亚马逊 GuardDuty、Amazon Inspector 和 Amazon Macie)和支持的第三方产品的调查结果。这使您可以通过单一窗格来解决各种与安全相关的问题。您还可以将 Security Hub 的调查发现发送到其他 Amazon Web Services 服务 和受支持的第三方产品。
Security Hub 提供自动化功能,可帮助您对安全问题进行分类和修复。例如,当安全检查失败时,您可以使用自动化规则自动更新关键调查发现。您还可以利用与 Amazon 的集成 EventBridge 来触发对特定发现的自动响应。
Security Hub 的优点
以下是 Security Hub 帮助您监控整个 Amazon 环境中的合规性和安全状况的一些主要方法。
- 减少了收集结果并确定其优先次序的工作
Security Hub 减少了收集来自集成产品和 Amazon 合作伙伴产品的各个账户的安全发现 Amazon Web Services 服务 并确定其优先顺序的工作量。Security Hub 使用 Amazon 安全查找格式 (ASFF)(一种标准查找格式)来处理查找数据。这样就无需管理来自多种来源的多种格式的调查发现。Security Hub 还将各提供商的调查发现相关联,以帮助您确定其中最重要的几项的优先级。
- 根据最佳实践和标准进行自动安全检查
Security Hub 根据 Amazon 最佳实践和行业标准自动运行持续的账户级配置和安全检查。Security Hub 使用这些检查的结果来计算安全分数,并识别需要关注的特定账户和资源。
- 跨账户和提供商的结果的综合视图
Security Hub 将合并账户和提供商产品的安全调查发现,然后在 Security Hub 控制台上显示结果。您也可以通过 Security Hub API Amazon CLI、或检索搜索结果SDKs。通过全面了解您当前的安全性状态,您可以发现趋势、识别潜在问题并采取必要的补救措施。
- 自动调查发现更新和修复的能力
您可以创建自动化规则,根据您定义的标准修改或隐藏调查发现。Security Hub 还支持与亚马逊的集成 EventBridge。要自动修复特定调查发现,您可以定义在生成调查发现时要执行的自定义操作。例如,您可以配置自定义操作,将结果发送到票证系统或自动修复系统。
访问 Security Hub
Security Hub 在大多数版本中都可用 Amazon Web Services 区域。有关当前已推出 Security Hub 的所有区域的列表,请参阅 Amazon Web Services 一般参考 中的 Amazon Security Hub 端点和配额。有关管理 Amazon Web Services 区域 您的账户的信息 Amazon Web Services 账户,请参阅《Amazon Account Management 参考指南》中的指定 Amazon Web Services 区域 您的账户可以使用。
在每个区域,您可以通过以下任一方式访问和使用 Security Hub:
- Security Hub 控制台
Amazon Web Services Management Console 是一个基于浏览器的界面,可用于创建和管理 Amazon 资源。作为该控制台的一部分,Security Hub 控制台提供对您的 Security Hub 账户、数据和资源的访问权限。您可以使用 Security Hub 控制台执行 Security Hub 任务,包括查看调查发现、创建自动化规则、创建聚合区域等。
- Security Hub API
-
Security Hub API 允许您以编程方式访问您的 Security Hub 帐户、数据和资源。借助API,您可以直接向 Security Hub 发送HTTPS请求。有关信息API,请参阅《Sec Amazon urity Hub API 参考》。
- Amazon CLI
-
借助 Amazon CLI,您可以在系统的命令行上运行命令来执行 Security Hub 任务。与使用控制台相比,在某些情况下使用命令行更快、更方便。如果要构建执行任务的脚本,命令行也会十分有用。有关安装和使用的信息 Amazon CLI,请参阅《Amazon Command Line Interface 用户指南》。
- Amazon SDKs
-
Amazon 由各种编程语言和平台(例如 Java、Go、Python、C++ 和)的库和示例代码组成。SDKs NET。它们以您的首选语言SDKs提供对 Security Hub 和其他语言 Amazon Web Services 服务 的便捷编程访问。它们可以执行多种任务,例如以加密方式对请求进行签名、管理错误以及自动重试请求等。有关安装和使用的信息 Amazon SDKs,请参阅构建工具 Amazon
。
重要
Security Hub 仅检测和整合启用 Security Hub 后生成的调查发现。它不会以追溯方式检测和合并在启用 Security Hub 前生成的安全调查发现。
Security Hub 仅接收和处理您在账户中启用 Security Hub 的区域中的那些结果。
要完全遵守 Found CIS Amazon ations Benchmark 安全检查,您必须在所有支持的 Amazon 区域启用 Security Hub。
相关服务
为了进一步保护您的 Amazon 环境,可以考虑将其他与 Secur Amazon Web Services 服务 ity Hub 结合使用。有些人 Amazon Web Services 服务 将他们的发现发送到安全中心,Security Hub 会将调查结果标准化为标准格式。有些人 Amazon Web Services 服务 还可以收到来自 Security Hub 的调查结果。
有关发送或接收 Secur Amazon Web Services 服务 ity Hub 发现结果的其他人的列表,请参阅Amazon Web Services 服务 与 Security Hub 的集成。
Security Hub 使用中的 Amazon Config 服务相关规则对大多数控件进行安全检查。控件是指特定 Amazon Web Services 服务 和 Amazon 资源。有关 Security Hub 控件的列表,请参阅Security Hub 控件参考。您必须启用 Amazon Config 和记录资源,Secur Amazon Config ity Hub 才能生成大部分控制结果。有关更多信息,请参阅 配置 Amazon Config 适用于 Security Hub。
Security Hub 免费试用和定价
当你首次在中启用 Security Hub 时,该账户将自动注册 Amazon Web Services 账户 为期 30 天的 Security Hub 免费试用。
在免费试用期间使用 Security Hub 时,您需要为使用 Security Hub 与之交互的其他服务(例如 Amazon Config 项目)付费。对于仅通过 Security Hub 安全标准激活的 Amazon Config 规则,您无需支付任何费用。
在免费试用期结束之前,您不必为使用 Security Hub 付费。
查看使用详细信息和预计成本
Security Hub 提供使用信息,包括预计 30 天的 Security Hub 使用费用。使用详细信息包括免费试用的剩余时间。使用信息可以帮助您了解免费试用结束后 Security Hub 的费用可能是多少。免费试用结束后,还会提供使用信息。免费试用结束后,还可以查看使用信息。
显示使用信息(控制台)
打开 S Amazon ecurity Hub 控制台,网址为https://console.aws.amazon.com/securityhub/
。 -
在导航窗格中的设置下,选择使用情况。
预计月度成本是将账户的 Security Hub 对于结果和安全检查的使用情况投射到 30 天的时段估算出来的。
使用信息和预估费用仅适用于当前账户和当前区域。在聚合区域中,使用信息和预估费用不包括关联区域。有关关联区域的更多信息,请参阅 聚合的数据类型。
定价详细信息
有关 Security Hub 如何对提取结果和安全检查收费的更多信息,请参阅 Security Hub 定价