接收来自 Explorer 中的 Amazon Security Hub CSPM 的调查结果 - Amazon Systems Manager
Explorer 接收的结果的类型启用集成如何查看来自 Security Hub CSPM 的调查发现如何停止接收结果
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Systems Manager Change Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 Amazon Systems Manager Change Manager 可用性变更

接收来自 Explorer 中的 Amazon Security Hub CSPM 的调查结果

Amazon Security Hub CSPM 向您提供在 Amazon 中安全状态的全面视图。该服务从跨 Amazon Web Services 账户、服务和支持的第三方产品收集安全数据,称为调查发现。Security Hub CSPM 调查发现可帮助您检查您的环境是否符合安全行业标准和最佳实践、分析安全趋势并确定优先级最高的安全问题。

Security Hub CSPM 会将调查发现发送到 Amazon EventBridge,后者使用事件规则将这些调查发现发送到 Explorer。启用集成后(如此处所述),您可以在 Explorer 小部件中查看 Security Hub CSPM 调查发现,并在 OpsCenter OpsItems 中查看调查发现的详细信息。根据严重性,小部件提供所有 Security Hub CSPM 调查发现的摘要。Security Hub CSPM 中的新调查发现通常在创建后几秒钟内即可在 Explorer 中看见。

警告

请注意以下重要信息:

  • Explorer 已与 OpsCenter(Systems Manager 中的一项工具)集成。启用与 Security Hub CSPM 的 Explorer 集成后,OpsCenter 会自动为 Security Hub CSPM 调查发现创建 OpsItems。根据您的 Amazon 环境,启用集成可能会导致大量的 OpsItems,并收取一定费用。

    在继续操作之前,请阅读有关与 Security Hub CSPM OpsCenter 集成的信息。该主题包含有关如何更改和更新调查发现,以及如何从您的账户中收取 OpsItems 费用的特定详细信息。有关更多信息,请参阅 了解 OpsCenter 与 Amazon Security Hub CSPM 的集成。有关 OpsCenter 定价信息,请参阅 Amazon Systems Manager 定价

  • 如果您在登录管理员账户时在 Explorer 中创建资源数据同步,则会自动为管理员和同步中的所有成员账户启用 Security Hub CSPM 集成。启用后,OpsCenter 会自动为 Security Hub CSPM 调查发现创建 OpsItems,并收取一定费用。有关创建资源数据同步的更多信息,请参阅 设置 Systems Manager Explorer 以显示来自多个账户和区域的数据

Explorer 接收的结果的类型

Explorer 从 Security Hub CSPM 接收所有调查发现。当您打开 Security Hub CSPM 默认设置时,可在 Explorer 小部件中查看基于严重性的所有调查发现。默认情况下,Explorer 会针对重大和高严重性的调查发现创建 OpsItems。您可以手动配置 Explorer,已针对中等和低严重性调查发现创建 OpsItems。

尽管 Explorer 不会针对信息性调查发现创建 OpsItems,但您可以在 Security Hub CSPM 调查发现摘要小部件中查看信息操作数据(OpsData)。无论严重程度如何,Explorer 都会为所有调查发现创建 OpsData。有关 Security Hub CSPM 严重性级别的更多信息,请参阅《Amazon Security Hub API Reference》中的 Severity

启用集成

本部分介绍如何启用和配置 Explorer 开始接收 Security Hub CSPM 调查发现。

开始前的准备工作

请完成以下任务,然后才能配置 Explorer 开始接收 Security Hub CSPM 调查发现。

  • 启用和配置 Security Hub CSPM。有关更多信息,请参阅《Amazon Security Hub 用户指南》中的设置 Security Hub CSPM

  • 登录到 Amazon Organizations 管理账户。Systems Manager 需要对 Amazon Organizations 的访问权限,才能从 Security Hub CSPM 调查发现创建 OpsItems。在您登录到管理账户后,系统将提示您选择 Explorer Configure dashboard (配置控制面板) 选项卡上的 Enable access (启用访问权限),如以下过程中所述。如果您没有登录到 Amazon Organizations 管理账户,则不能允许访问,并且 Explorer 无法从 Security Hub CSPM 调查发现创建 OpsItems。

开始接收 Security Hub CSPM 调查发现

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,请选择 Explorer

  3. 选择设置

  4. 选择 Configure dashboard (配置控制面板) 选项卡。

  5. 选择 Amazon Security Hub CSPM

  6. 选择 Disabled (已禁用) 滑块,以打开 Amazon Security Hub CSPM

    默认情况下,会显示重大和高严重性的调查发现。要同时显示中等和低严重性安全性调查发现,请选择中等、低旁边的已禁用滑块。

  7. 通过 Security Hub CSPM 调查发现创建的 OpsItems 部分中,选择启用访问权限。如果您没有看到此按钮,请登录到 Amazon Organizations 管理账户,然后返回到此页面以选择该按钮。

如何查看来自 Security Hub CSPM 的调查发现

以下程序介绍了如何查看 Security Hub CSPM 调查发现。

查看 Security Hub CSPM 调查发现

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,请选择 Explorer

  3. 查找 Amazon Security Hub CSPM 结果摘要小组件。这将显示 Security Hub CSPM 调查发现。您可以选择严重性级别,以查看相应 OpsItem 的详细描述。

如何停止接收结果

以下程序介绍了如何停止接收 Security Hub CSPM 调查发现。

停止接收 Security Hub CSPM 调查发现

  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 Amazon Systems Manager 控制台。

  2. 在导航窗格中,请选择 Explorer

  3. 选择设置

  4. 选择 Configure dashboard (配置控制面板) 选项卡。

  5. 选择 Enabled (已启用) 滑块以关闭 Amazon Security Hub CSPM

重要

如果控制台中禁用 Security Hub CSPM 调查发现的选项显示为灰色,则可以通过在 Amazon CLI 中运行以下命令来禁用此设置。您必须在登录 Amazon Organizations 管理账户或 Systems Manager 委派管理员账户时运行该命令。对于 region 参数,请指定您要停止在 Explorer 中接收 Security Hub CSPM 调查发现的 Amazon Web Services 区域。


aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region Amazon Web Services 区域

以下为示例。


aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region us-east-1