在中查看 AWS Security Hub 控件 AWS Trusted Advisor - AWS Support
先决条件查看 Security Hub 检查结果刷新 Security Hub 检查结果禁用 Security Hub Trusted Advisor问题排查

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在中查看 AWS Security Hub 控件 AWS Trusted Advisor

启用 AWS Security Hub 后 AWS 账户,您可以在控制 Trusted Advisor 台中查看您的安全控制措施及其发现。您可以使用 Security Hub 控件来识别账户中的安全漏洞,就像使用 Trusted Advisor 支票一样。您可以查看检查的状态、受影响资源的列表,然后按照 Security Hub 的建议来解决安全问题。您可以使用此功能在一个方便的位置查找来自 Trusted Advisor 和 Security Hub 的安全建议。

注意

  • 您可以从 Trusted Advisor中查看 AWS 基础安全最佳实践安全标准中的控件,但类别为 “恢复” > “弹性” 的控件除外。有关受支持控件的列表,请参阅《AWS Security Hub 用户指南》中的 AWS 基础安全最佳实践控件

    有关 Security Hub 类别的更多信息,请参阅控件类别

  • Trusted Advisor 已上线的 Security Hub 控制措施将持续到 2024 年 9 月 26 日。2024 年 9 月 26 日之后发布的控件尚未上线。 Trusted Advisor您可以在 Sec urity Hub 日志中找到在该日期之后发布的控件。

先决条件

您必须满足以下要求才能启用 Security Hub 与 Trusted Advisor的集成:

  • 您必须拥有商业、Enterprise On-Ramp 或企业 Support 计划才能使用此功能。您可以从 AWS Support 中心或从 Support plans(支持计划)页面中查找您的支持计划。有关更多信息,请参阅比较 AWS Support 套餐

  • 您必须在中 AWS Config 为想要的 Securit AWS 区域 y Hub 控件启用资源记录。有关更多信息,请参阅启用和配置 AWS Config

  • 您必须启用 Security Hub 并选择 AWS Foundational Security Best Practices v1.0.0(基础安全最佳实践 v1.0.0)安全标准。如果您尚未执行此操作,请参阅《AWS Security Hub 用户指南》中的设置 AWS Security Hub

注意

如果您已经满足了这些先决条件,则可以跳到 查看 Security Hub 检查结果

关于 AWS Organizations 账户

如果您已经满足管理账户的先决条件,则系统会自动为组织中的所有成员账户启用此集成。个人会员账户无需联系 AWS Support 即可启用此功能。但组织中的成员账户必须启用 Security Hub 后才能在 Trusted Advisor查看器检查结果。

如果要为特定的成员账户禁用此集成,请参阅为 AWS Organizations 账户禁用此功能

查看 Security Hub 检查结果

为您的账户启用 Security Hub 后,最长需要 24 个小时才会在 Trusted Advisor 控制台的 Security(安全)页面显示 Security Hub 检查结果。

要在中查看 Security Hub 的调查结果 Trusted Advisor

  1. 导航到 Trusted Advisor 控制台,然后选择 Security(安全)类别。

  2. Search by keyword(按关键词搜索)字段中,输入控件的名称或描述。

    提示

    对于 Source(源),您可以选择 AWS Security Hub 以筛选 Security Hub 控件。

  3. 选择 Security Hub 控件名称以查看以下信息:

    • Description(描述)– 描述此控件将如何检查您的账户是否存在安全漏洞。

    • Source(源)– 检查是来自 AWS Trusted Advisor 还是 AWS Security Hub。对于 Security Hub 控件,您可以找到控件 ID。

    • Alert Criteria(提示标准)– 控件的状态。例如,假设 Security Hub 检测到重要问题,则状态可能为 Red: Critical or High(红色:严重或高)。

    • Recommended Action(建议的操作)– 使用 Security Hub 文档链接查找修复问题的建议步骤。

    • Security Hub resources(Security Hub 资源)– 您可以查找 Security Hub 在您账户中检测到问题的资源。

注意

  • 您必须使用 Security Hub 才能将资源从检查结果中排除。目前,您无法使用 Trusted Advisor 控制台从 Security Hub 控件中排除项目。有关更多信息,请参阅 设置检查结果的工作流状态

  • 组织视图功能支持与 Security Hub 集成。您可以查看整个组织的 Security Hub 控件检查结果,然后创建和下载报告。有关更多信息,请参阅 AWS Trusted Advisor 的组织视图

例 示例:不应存在用于IAM用户访问密钥的 Security Hub 控件

以下是 Trusted Advisor 控制台中的 Security Hub 控件检查结果示例。

屏幕截图 Security Hub 控件是否存在IAM根访问问题。

刷新 Security Hub 检查结果

启用某个安全标准后,Security Hub 最长可能需要两个小时才能获得有关您资源的检查结果。然后,该数据最多可能需要 24 小时才能显示在 Trusted Advisor 控制台中。如果您最近启用了AWS 基础安全最佳实践 v1.0.0 安全标准,请稍后再次检查控制台。 Trusted Advisor

注意

  • 每个 Security Hub 控件的刷新计划可以是定期触发,也可以是在发生更改时触发。目前,您无法使用 Trusted Advisor 控制台或刷新 Secur AWS Support API ity Hub 控件。有关更多信息,请参阅运行安全检查的计划

  • 如果想要将资源从检查结果中排除,您必须使用 Security Hub。目前,您无法使用 Trusted Advisor 控制台从 Security Hub 控件中排除项目。有关更多信息,请参阅 设置检查结果的工作流状态

禁用 Security Hub Trusted Advisor

如果您不希望在 Trusted Advisor 控制台中显示 Security Hub 信息,则执行以下步骤。此过程仅禁用 Security Hub 与的集成。 Trusted Advisor不会影响您的 Security Hub 配置。您可以继续使用 Security Hub 控制台查看安全控件、资源和建议。

禁用 Security Hub 集成

  1. 联系AWS Support并请求禁用 Security Hub 与的集成 Trusted Advisor。

    AWS Support 禁用此功能后,Security Hub 将不再向发送数据。 Trusted Advisor您的 Security Hub 数据将从中删除 Trusted Advisor。

  2. 要重新启用此集成,请联系 AWS Support

为 AWS Organizations 账户禁用此功能

如果您已经为管理账户完成了前述步骤,则系统会自动从组织中的所有成员账户中删除 Security Hub 集成。组织中的具体成员账户无需单独联系 AWS Support 。

如果您是组织中的成员帐户,则可以联系 AWS Support 以仅从您的帐户中删除此功能。

问题排查

如果您遇到与此集成有关的问题,请参阅以下问题排查信息。

我在 Trusted Advisor 控制台中看不到 Security Hub 的调查结果

确认您是否已完成以下步骤:

  • 您拥有商业、Enterprise On-Ramp 或企业 Support 计划。

  • 您在与 Security Hub 相同的区域 AWS Config 内启用了资源记录。

  • 您已启用了 Security Hub 并选择了 AWS Foundational Security Best Practices v1.0.0( 基础安全最佳实践 v1.0.0)安全标准。

  • Security Hub 的新控件 Trusted Advisor 将在两到四周内作为办理登机手续的形式添加。请参阅说明

有关更多信息,请参阅 先决条件

我正确配置了 Security Hub 和 AWS Config ,但仍没有看到结果

Security Hub 最长可能需要两个小时才能获得有关您资源的检查结果。然后,该数据最多可能需要 24 小时才能显示在 Trusted Advisor 控制台中。请稍后重新检查 Trusted Advisor 控制台。

注意

  • 只有您在基础安全最佳实践安全标准中发现的控件才会显示在 “ AWS 基础安全最佳实践” 安全标准中,但类别为 “恢复” > “弹性” 的控件 Trusted Advisor 除外

  • 如果 Security Hub 存在服务问题或者 Security Hub 服务不可用,最长可能需要 24 小时才会在 Trusted Advisor中显示您的检查结果。请稍后重新检查 Trusted Advisor 控制台。

我想禁用特定的 Security Hub 控件

Security Hub 会 Trusted Advisor 自动将您的数据发送到。如果您禁用了某个 Security Hub 控件或者不再拥有该控件的资源,则将不会在 Trusted Advisor中显示检查结果。

您可以登录到 Security Hub 控制台并确认控件已启用还是已禁用。

如果您禁用 Security Hub 控件或禁用 AWS 基础安全最佳实践安全标准的所有控件,则您的发现将在接下来的五天内存档。这五天的归档期仅为近似值且仅尽力而为,并不能保证。当您的发现存档时,它们会从中删除 Trusted Advisor。

有关更多信息,请参阅以下主题:

我想查找已被排除的 Security Hub 资源

在 Trusted Advisor 控制台中,您可以选择您的 Security Hub 控件名称,然后选择 “排除的项目” 选项。此选项将会显示 Security Hub 中隐藏的所有资源。

如果某个资源的工作流状态设置为 SUPPRESSED,则该资源就是在 Trusted Advisor中被排除的项目。您无法从 Trusted Advisor 控制台中禁用 Security Hub 资源。要隐藏资源,您需要使用 Security Hub 控制台。有关更多信息,请参阅 设置检查结果的工作流状态

我想为属于某个 AWS 组织的成员账户启用或禁用此功能

预设情况下,成员账户会从 AWS Organizations的管理账户继承此功能。如果管理账户启用了此功能,则该组织中的所有账户也将具有此功能。如果您拥有的是成员账户并希望对您的账户进行特定的更改,则必须联系 AWS Support

在 Securit AWS 区域 y Hub 检查中,我看到同一个受影响的资源有多个

有些 AWS 服务 是全球性的,并非特定于某个地区,例如IAM和 Amazon CloudFront。默认情况下,Amazon S3 存储桶之类的全球资源将出现在美国东部(弗吉尼亚州北部)区域中。

针对用于评估全球服务资源的 Security Hub 检查,您可能会看到受影响资源的多个项目。例如,如果 Hardware MFA should be enabled for the root user 检查发现您的账户尚未激活此功能,则您将在表中看到对于同一资源有多个区域。

您可以配置 Security Hub 和, AWS Config 这样同一资源就不会出现多个区域。有关更多信息,请参阅您可能希望禁用的AWS 基础最佳实践控件

我关闭了 Security Hub 或者 AWS Config 在某个地区关闭了

如果您在中停止资源记录 AWS Config 或禁用 Security Hub AWS 区域,则将 Trusted Advisor 不再接收该区域中任何控件的数据。 Trusted Advisor 在 7-9 天内移除您的 Security Hub 发现的内容。此时间范围是尽力而为,不能保证。有关更多信息,请参阅禁用 Security Hub

要为您的账户禁用此功能,请参阅 禁用 Security Hub Trusted Advisor

我的控件已存档在 Security Hub 中,但我仍然可以在 Security Hub 中看到调查结果 Trusted Advisor

当某项查找结果的RecordState状态更改ARCHIVED为时, Trusted Advisor 会从您的账户中删除该 Security Hub 控件的查找结果。您可能还会在 Trusted Advisor 7-9 天内看到搜索结果,然后再将其删除。此时间范围是尽力而为,不能保证。

我仍然无法查看我的 Security Hub 检查结果

如果您仍然遇到与此功能有关的问题,可以在 AWS Support 中心创建技术支持案例。