了解 Security Hub 中的安全控制

安全控制是安全标准中的一项保障措施，可帮助组织保护其信息的机密性、完整性和可用性。在 Security Hub 中，控件与特定 AWS 资源相关。

当您在一个或多个标准中启用控件时，Security Hub 会开始对其进行安全检查。安全检查会导致 Security Hub 的调查结果。禁用控件后，Security Hub 会停止对其运行安全检查，并且不会再生成发现结果。

您可以为单个帐户单独启用或禁用控件，以及 AWS 区域. 为了节省时间并减少多账户环境中的配置偏差，我们建议使用中央配置来启用或禁用控件。通过集中配置，委派的 Security Hub 管理员可以创建策略，指定如何跨多个账户和区域配置控件。有关启用和禁用控件的更多信息，请参阅在 Security Hub 中启用控件。

整合控件视图

S ec urity Hub 控制台的 “控件” 页面显示当前版本中所有可用的控件 AWS 区域（您可以通过访问安全标准页面并选择启用的标准来查看标准环境中的控件）。Security Hub 为控件分配了各类标准一致的安全控件 ID、标题和描述。控件IDs包括相关的 AWS 服务和唯一的数字（例如， CodeBuild.3）。

Security Hub 控制台的控制页面上提供了以下信息。

总体安全评分基于已通过的控件占已启用控件总数与包含数据的控件总数的比例
所有支持的 Security Hub 控件的控制状态分解
通过和未通过安全检查的总数。
针对不同严重程度的控件进行安全检查的失败次数，以及查看有关这些失败检查的更多详细信息的链接。
Security Hub 控件列表，其中包含用于查看特定控件子集的筛选器。

在控件页面中，您可以选择一个控件来查看其详细信息并对该控件生成的调查发现采取行动。在此页面上，您还可以在当前 AWS 账户和中启用或禁用安全控件 AWS 区域。控件页面中的启用和禁用操作适用于所有标准。有关更多信息，请参阅在 Security Hub 中启用控件。

对于管理员账户，控件页面反映了成员账户中的控件状态。如果至少有一个成员账户的控制检查失败，则控制状态为 “失败”。如果您设置了聚合区域，则控件页面将反映所有关联区域中控件的状态。如果至少一个关联区域的控制检查失败，则控制状态为 “失败”。

合并控件视图会导致对 AWS 安全调查结果格式 (ASFF) 中的控制查找字段进行更改，这可能会影响工作流程。有关更多信息，请参阅合并控制视图-ASFF 更改。

控件安全评分摘要

“控制” 页面显示 0-100% 之间的摘要安全分数。汇总安全分数是根据已通过控制的比例与具有跨标准数据的已启用控件总数的比例计算得出的。

注意

要查看控件的总体安全评分，必须添加对用于访问 Secur BatchGetControlEvaluationsity Hub 的IAM角色的调用权限。查看特定标准的安全评分不需要此权限。

启用 Security Hub 后，Security Hub 会在您首次访问 Security Hub 控制台上的摘要页面或安全标准页面后 30 分钟内计算出初始安全分数。在中国地区和 AWS GovCloud (US) Region生成首次获得安全评分最多需要 24 小时。

除了总体安全分数外，Security Hub 还会在您首次访问 “摘要” 页面或安全标准页面后 30 分钟内计算每个已启用的标准的标准安全分数。要查看当前启用的标准列表，请使用GetEnabledStandardsAPI操作。

AWS Config 必须启用资源记录功能才能显示分数。有关 Security Hub 如何计算安全分数的更多信息，请参阅计算安全分数。

首次生成分数后，Security Hub 每 24 小时更新一次安全分数。Security Hub 显示时间戳以指示安全评分上次更新的时间。

如果您设置了聚合区域，则总体安全分数将反映关联区域的控件调查发现。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

查看已启用标准的控件

Security Hub 控件参考