Security Hub 的概念

标准的亚马逊 Web Services (AWS) 包含您的账户 AWS 资源的费用。你可以登录 AWS 使用您的帐户并启用 Security Hub。

一个账户可以邀请其他账户启用 Security Hub，并在 Security Hub 中与该账户建立关联。接受成员资格邀请是可选的。如果邀请被接受，该账户成为管理员账户，而被添加的账户成为成员账户。管理员账户可以在其成员账户中查看结果。

如果您已注册 AWS Organizations，然后您的组织为该组织指定一个 Security Hub 管理员帐户。Security Hub 管理员账户能启用其他组织账户作为成员账户。

账户不能既是管理员账户又是成员账户。一个账户只能有一个管理员账户。

有关更多信息，请参阅 在 Security Hub 中管理管理员和成员账户。

Security Hub 中被授予查看相关成员账户结果权限的账户。

账户通过以下方式之一成为管理员账户：

一个账户只能有一个管理员账户。账户不能既是管理员账户又是成员账户。

设置聚合区域允许您查看来自多个聚合区域的安全发现 AWS 区域 在一个玻璃窗格中。

聚合区域是您从中查看和管理调查发现的区域。结果将从关联区域汇总到聚合区域。调查发现的更新会跨区域复制。

在聚合区域中，安全标准、见解和结果页面包含来自所有关联区域的数据。

请参阅 了解 Security Hub 中的跨区域聚合。

将 RecordState 设置为 ARCHIVED 的结果。将调查发现存档表明调查发现提供者认为该调查发现已不再相关。记录状态与工作流程状态是分开的，后者跟踪调查发现的调查状态。

寻找提供者可以使用 Security Hub 的BatchImportFindings操作API来存档他们创建的调查结果。如果控件被禁用或相关资源被删除，根据以下其中一项标准，Security Hub 会自动归档控件的调查发现。

默认情况下，存档的调查发现将从 Security Hub 控制台中的发现列表中排除。您可以更新筛选器以包括已存档的查找结果。

Security Hub 的GetFindings运行API会返回活动和存档的调查结果。您可以包含记录状态的筛选器。

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],

Security Hub 聚合或生成的调查发现内容的标准化格式。这些区域有： AWS 安全调查结果格式使您可以使用 Security Hub 来查看和分析由生成的调查结果 AWS 安全服务、第三方解决方案或 Security Hub 本身无法运行安全检查。有关更多信息，请参阅 AWS 安全调查结果格式 (ASFF)。

为信息系统或组织规定的一种保护措施或对策，旨在保护信息的机密性、完整性和可用性并满足一组已定义的安全性要求。安全标准与控件集合相关联。

“安全控件”一词是指各类标准的具有单一控件 ID 和标题的控件。标准控制一词是指具有特定标准控件IDs和标题的控件。目前，Security Hub 仅支持中的标准控件 AWS GovCloud (US) Region 和中国地区。所有其他区域均支持安全控件。

一种用于将选定结果发送到 Security Hub 的机制 EventBridge。先在 Security Hub 中创建一个自定义操作，然后将其链接到 EventBridge 规则。该规则定义在收到与自定义操作 ID 关联的结果时执行的特定操作。例如，可以使用自定义操作将特定结果或一小部分结果发送到响应或修复工作流。有关更多信息，请参阅 创建自定义操作。

在 Organizations 中，服务的委派管理员账户能够管理组织对服务的使用。

在 Security Hub 中，Security Hub 管理员账户也是 Security Hub 的委派管理员账户。当组织管理账户首次指定 Security Hub 管理员账户时，Security Hub 会调用 Organizations，将该账户设为委派管理员账户。

然后，组织管理账户必须选择委派管理员账户作为所有区域的 Security Hub 管理员账户。

安全检查或与安全相关的检测的可观察记录。完成控件的安全检查后，Security Hub 会生成调查发现。这些被称为“控件调查发现”。调查发现也可能来自第三方产品集成。

有关 Security Hub 中调查发现的更多信息，请参阅 在 Security Hub 中创建和更新调查结果。

将关联区域的调查发现、见解、控件合规状态和安全评分汇总到聚合区域。然后，您可以查看聚合区域中的所有数据，并更新聚合区域的发现和见解。

请参阅 了解 Security Hub 中的跨区域聚合。

将其他人的调查结果导入 Security Hub AWS 服务以及来自第三方合作伙伴提供商的服务。

调查发现摄取事件包括新调查发现和现有调查发现的更新。

由聚合语句和可选的筛选器定义的相关结果的集合。见解确定了需要注意和干预的安全区域。Security Hub 提供了一些您无法修改的托管（默认）见解。您还可以创建自定义 Security Hub 见解，以跟踪您独有的安全问题 AWS 环境和用法。有关更多信息，请参阅 在 Security Hub 中查看见解。

启用跨区域聚合时，关联区域是将结果、见解、控件合规状态和安全评分汇总到聚合区域的区域。

在关联区域中，调查发现和见解页面仅包含该区域的调查发现。

请参阅 了解 Security Hub 中的跨区域聚合。

已授予管理员账户查看和处理其调查发现的权限的账户。

账户通过以下方式之一成为成员账户：

与某个控件对应的一组行业或监管要求。

一组自动化标准，用于评估是否已坚持使用控件。在评估规则时，评估结果可能是通过或失败。如果评估无法确定规则是通过还是失败，则规则将处于警告状态。如果无法评估规则，则规则会处于不可用状态。

针对单一资源对规则 point-in-time 进行具体评估，结果为PASSEDFAILED、WARNING、或NOT_AVAILABLE状态。运行安全检查将生成一个结果。

管理组织的 Security Hub 成员资格的组织账户。

组织管理账户在每个区域指定 Security Hub 管理员账户。组织管理账户必须在所有区域选择相同的 Security Hub 管理员账户。

Security Hub 管理员账户也是组织中 Security Hub 的委派管理员账户。

Security Hub 管理员账户可以启用任何组织账户作为成员账户。Security Hub 管理员账户还可以邀请其他账户成为成员账户。

发布的关于某一主题的声明，该声明指定了必须满足或实现才能获得合规性的特征（通常为可衡量的控制措施）。安全标准可以基于监管框架、最佳实践或内部公司策略。控件可能与 Security Hub 中一个或多个支持的标准相关联。要了解更多关于 Security Hub 中的安全标准，请参阅 了解 Security Hub 中的安全标准。

分配给 Security Hub 控件的“严重性”确定了该控件的重要性。控件的严重性，可以为严重、高、中等、低或信息性。分配给控件调查发现的“严重性”等于控件本身的“严重性”。要了解 Security Hub 如何为控件分配“严重性”，请参阅 为控件调查发现分配严重性。

对发现的调查状态。使用 Workflow.Status 属性进行跟踪。

工作流程状态初始为 NEW。如果已通知资源所有者对发现执行操作，可以将工作流程状态设置为 NOTIFIED。如果发现没有问题，不需要执行任何操作，可以将工作流程状态设置为 SUPPRESSED。查看并修复发现后，可以将工作流程状态设置为 RESOLVED。

默认情况下，大多数发现列表仅包含工作流程状态为 NEW 或 NOTIFIED 的发现。控件的发现列表还包括 RESOLVED 发现。

要进行 GetFindings 操作，您可以包含工作流程状态筛选器。

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

Security Hub 控制台提供了一个选项来设置发现的工作流程状态。客户（或工单SIEM、事件管理或代表客户更新寻找提供商的结果的SOAR工具）也可以BatchUpdateFindings用来更新工作流程状态。