本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # Security Hub CSPM 中的概念和术语 在 S AWS ecurity Hub CSPM 中,我们建立在常用 AWS 概念和术语的基础上,并使用这些附加术语。 **Account** 包含您的 AWS 资源的标准亚马逊 Web Services (AWS) 账户。你可以 AWS 使用自己的账户登录并启用 Security Hub CSPM。 一个账户可以邀请其他账户启用 Security Hub CSPM,并在 Security Hub CSPM 中与该账户建立关联。接受成员资格邀请是可选的。如果邀请被接受,该账户成为管理员账户,而被添加的账户成为成员账户。管理员账户可以在其成员账户中查看调查发现。 如果您已注册 AWS Organizations,则您的组织将为该组织指定一个 Security Hub CSPM 管理员帐户。Security Hub CSPM 管理员账户可以启用其他组织账户作为成员账户。 账户不能既是管理员账户又是成员账户。一个账户只能有一个管理员账户。 有关更多信息,请参阅 [管理 Security Hub CSPM 中的管理员账户和成员账户](securityhub-accounts.md)。 **管理员账户** Security Hub CSPM 中被授予查看相关成员账户调查发现权限的账户。 账户通过以下方式之一成为管理员账户: + 该账户邀请其他账户在 Security Hub CSPM 中与其建立关联。当这些账户接受邀请时,它们就会成为成员账户,发送邀请的账户则成为他们的管理员账户。 + 该账户由组织管理账户指定为 Security Hub CSPM 管理员账户。Security Hub CSPM 管理员账户可以启用任何组织账户作为成员账户,还可以邀请其他账户成为成员账户。 一个账户只能有一个管理员账户。账户不能既是管理员账户又是成员账户。 **聚合区域** 设置聚合区域允许您在单个控制面板 AWS 区域 中查看来自多个区域的安全发现。 聚合区域是您从中查看和管理调查发现的区域。调查发现将从关联区域汇总到聚合区域。调查发现的更新会跨区域复制。 在聚合区域中,**安全标准**、**见解**和**调查发现**页面包含来自所有关联区域的数据。 有关更多信息,请参阅 [了解 Security Hub CSPM 中的跨区域聚合](finding-aggregation.md)。 **存档的调查发现** 其记录状态(`RecordState`)为 `ARCHIVED` 的调查发现。将调查发现存档表明调查发现提供者认为该调查发现已不再相关。记录状态与工作流状态不同,其跟踪调查发现的调查状态。 调查发现提供者可以使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) 操作来存档他们创建的调查发现。Security Hub CSPM 会自动存档符合特定条件的控件调查发现。有关更多信息,请参阅 [生成、更新和存档控件调查发现](controls-findings-create-update.md#securityhub-standards-results-updating)。 在 Security Hub CSPM 控制台上,默认筛选设置会将存档的调查发现从调查发现列表和表格中排除。您可以更新设置以包括存档的调查发现。如果使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) 操作检索调查发现,则该操作会检索已存档的调查发现和活跃调查发现。要排除已存档的调查发现,您可以对结果进行筛选。例如: ``` "RecordState": [ { "Comparison": "EQUALS", "Value": "ARCHIVED" } ], ``` **AWS 安全调查结果格式 (ASFF)** Security Hub CSPM 聚合或生成的调查发现内容的标准化格式。 AWS 安全调查结果格式使您可以使用 Security Hub CSPM 来查看和分析由 AWS 安全服务、第三方解决方案或 Security Hub CSPM 本身在运行安全检查时生成的发现。有关更多信息,请参阅 [AWS 安全调查结果格式 (ASFF)](securityhub-findings-format.md)。 **控件** 为信息系统或组织规定的一种保护措施或对策,旨在保护信息的机密性、完整性和可用性并满足一组已定义的安全性要求。安全标准与控件集合相关联。 “*安全控件*”一词是指各类标准的具有单一控件 ID 和标题的控件。*标准控制*一词是指具有特定标准控件 IDs 和标题的控件。目前,Security Hub CSPM 仅在中国区域和 AWS GovCloud (US) Regions支持标准控件。所有其他区域均支持安全控件。 **自定义操作** 一种 Security Hub CSPM 机制,用于将选定的结果发送到。 EventBridge在 Security Hub CSPM 中创建一个自定义操作。然后将其链接到 EventBridge 规则。该规则定义在收到与自定义操作 ID 关联的调查发现时执行的特定操作。例如,可以使用自定义操作将特定调查发现或一小部分调查发现发送到响应或修复工作流。有关更多信息,请参阅 [创建自定义操作](securityhub-cwe-configure.md)。 **委派管理员账户(Organizations)** 在中 AWS Organizations,服务的委派管理员帐户能够管理组织对服务的使用。 在 Security Hub CSPM 中,Security Hub CSPM 管理员账户也是 Security Hub CSPM 的委派管理员账户。当组织管理账户首次指定 Security Hub CSPM 管理员账户时,Security Hub CSPM 会调用 Organizations,将该账户设为委派管理员账户。 然后,组织管理账户必须选择委派管理员账户作为所有区域的 Security Hub CSPM 管理员账户。 **调查发现** 安全检查或与安全相关的检测的可观察记录。完成控件的安全检查后,Security Hub CSPM 会生成并更新调查发现。这些被称为*控件调查发现*。调查结果也可能来自与其他产品 AWS 服务 和第三方产品的集成。 有关更多信息,请参阅 [在 Security Hub CSPM 中创建和更新调查发现](securityhub-findings.md)。 **跨区域聚合** 将关联区域的调查发现、见解、控件合规状态和安全评分汇总到聚合区域。然后,您可以查看聚合区域中的所有数据,并更新聚合区域的发现和见解。 有关更多信息,请参阅 [了解 Security Hub CSPM 中的跨区域聚合](finding-aggregation.md)。 **调查发现摄取** 将来自其他 AWS 服务和第三方合作伙伴提供商的调查结果导入 Security Hub CSPM。 调查发现摄取事件包括新调查发现和现有调查发现的更新。 **见解** 由聚合语句和可选的筛选器定义的相关调查发现的集合。见解确定了需要注意和干预的安全区域。Security Hub CSPM 提供了一些您无法修改的托管(默认)见解。您还可以创建自定义 Security Hub CSPM 见解,以跟踪您的 AWS 环境和使用情况所特有的安全问题。有关更多信息,请参阅 [在 Security Hub CSPM 中查看见解](securityhub-insights.md)。 **关联区域** 启用跨区域聚合时,关联区域是将调查发现、见解、控件合规状态和安全评分汇总到聚合区域的区域。 在关联区域中,**调查发现**和**见解**页面仅包含该区域的调查发现。 有关更多信息,请参阅 [了解 Security Hub CSPM 中的跨区域聚合](finding-aggregation.md)。 **成员账户** 已授予管理员账户查看和处理其调查发现的权限的账户。 账户通过以下方式之一成为成员账户: + 该账户接受来自其他账户的邀请。 + 对于组织账户,Security Hub CSPM 管理员账户将该账户启用为成员账户。 **相关要求** 与某个控件对应的一组行业或监管要求。 **规则** 一组自动化标准,用于评测是否已坚持使用控件。在评估规则时,评估结果可能是通过或失败。如果评估无法确定规则是通过还是失败,则规则将处于警告状态。如果无法评估规则,则规则会处于不可用状态。 **安全检查** 针对单一资源对规则 point-in-time进行具体评估,结果为`PASSED``FAILED`、`WARNING`、或`NOT_AVAILABLE`状态。运行安全检查将生成一个调查发现。 **Security Hub CSPM 管理员账户** 管理组织的 Security Hub CSPM 成员资格的组织账户。 组织管理账户在每个区域指定 Security Hub CSPM 管理员账户。组织管理账户必须在所有区域选择相同的 Security Hub CSPM 管理员账户。 Security Hub CSPM 管理员账户也是 Organizations 中 Security Hub CSPM 的委派管理员账户。 Security Hub CSPM 管理员账户可以启用任何组织账户作为成员账户。Security Hub CSPM 管理员账户还可以邀请其他账户成为成员账户。 **安全标准** 发布的关于某一主题的声明,该声明指定了必须满足或实现才能获得合规性的特征(通常为可衡量的控制措施)。安全标准可以基于监管框架、最佳实践或内部公司策略。控件可能与 Security Hub CSPM 中一个或多个支持的标准相关联。要了解有关 Security Hub CSPM 中的安全标准的更多信息,请参阅[了解 Security Hub CSPM 中的安全标准](standards-view-manage.md)。 **严重性** 分配给 Security Hub CSPM 控件的严重性确定该控件的重要性。控件的严重性,可以为**严重**、**高**、**中等**、**低**或**信息性**。分配给控件调查发现的“严重性”等于控件本身的“严重性”。要了解 Security Hub CSPM 如何为控件分配严重性,请参阅[控件调查发现的严重性级别](controls-findings-create-update.md#control-findings-severity)。 **工作流状态** 对发现的调查状态。这使用 `Workflow.Status` 属性进行跟踪。 工作流状态初始为 `NEW`。如果已通知资源所有者对调查发现执行操作,可以将工作流状态设置为 `NOTIFIED`。如果调查发现没有问题,不需要执行任何操作,可以将工作流状态设置为 `SUPPRESSED`。查看并修复调查发现后,可以将工作流状态设置为 `RESOLVED`。 默认情况下,大多数调查发现列表仅包含工作流状态为 `NEW` 或 `NOTIFIED` 的调查发现。控件的发现列表还包括 `RESOLVED` 发现。 要进行 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) 操作,您可以包含工作流状态筛选器。 ``` "WorkflowStatus": [ { "Comparison": "EQUALS", "Value": "RESOLVED" } ], ``` Security Hub CSPM 控制台提供了一个选项来设置调查发现的工作流状态。客户(或 SIEM、票证、事件管理或代表客户更新调查发现提供商的调查发现的 SOAR 工具)也可以使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) 更新工作流状态。