接收来自 Explorer 中的 AWS Security Hub 的调查结果 - AWS Systems Manager

接收来自 Explorer 中的 AWS Security Hub 的调查结果

AWS Security Hub 向您提供在 AWS 中安全状态的全面视图。该服务从跨 AWS 账户、服务和支持的第三方产品收集安全数据,称为调查发现。Security Hub 的调查发现可帮助您检查您的环境是否符合安全行业标准和最佳实践、分析安全趋势并确定优先级最高的安全问题。

Security Hub 会将调查发现发送到 Amazon EventBridge,后者使用事件规则将这些调查发现发送到 Explorer。启用集成后(如此处所述),您可以在 Explorer 小组件中查看 Security Hub 的调查发现,并在 OpsCenter OpsItems 中查看调查发现的详细信息。根据严重性,小组件提供所有 Security Hub 调查发现的摘要。Security Hub 中的新调查发现通常在创建后几秒钟内即可在 Explorer 中看见。

警告

请注意以下重要信息:

  • Explorer 与 OpsCenter 集成,后者是 Systems Manager 的一项功能。启用与 Security Hub 的 Explorer 集成后,OpsCenter 会自动为 Security Hub 调查发现创建 OpsItems。根据您的 AWS 环境,启用集成可能会导致大量的 OpsItems,并收取一定费用。

    在继续操作之前,请阅读有关与 Security Hub OpsCenter 集成的信息。该主题包含有关如何更改和更新调查发现,以及如何从您的账户中收取 OpsItems 费用的特定详细信息。有关更多信息,请参阅 了解 OpsCenter 与 AWS Security Hub 的集成。有关 OpsCenter 定价信息,请参阅 AWS Systems Manager 定价

  • 如果您在登录管理员账户时在 Explorer 中创建资源数据同步,则会自动为管理员和同步中的所有成员账户启用 Security Hub 集成。启用后,OpsCenter 会自动为 Security Hub 调查发现创建 OpsItems,并收取一定费用。有关创建资源数据同步的更多信息,请参阅 设置 Systems Manager Explorer 以显示来自多个账户和区域的数据

Explorer 接收的结果的类型

Explorer 将接收来自 Security Hub 的所有结果。当您打开 Security Hub 默认设置时,可在 Explorer 小组件中查看基于严重性的所有结果。默认情况下,Explorer 会针对重大和高严重性的调查发现创建 OpsItems。您可以手动配置 Explorer,已针对中等和低严重性调查发现创建 OpsItems。

尽管 Explorer 不会针对信息性调查发现创建 OpsItems,但您可以在 Security Hub 调查发现摘要小组件中查看信息操作数据(OpsData)。无论严重程度如何,Explorer 都会为所有调查发现创建 OpsData。有关 Security Hub 严重性级别的更多信息,请参阅《AWS Security Hub API Reference》中的 Severity

启用集成

本部分介绍如何启用和配置 Explorer 以开始接收 Security Hub 调查发现。

开始前的准备工作

请完成以下任务,然后才能配置 Explorer 开始接收 Security Hub 结果。

  • 启用和配置 Security Hub。有关更多信息,请参阅 AWS Security Hub 用户指南中的设置 Security Hub

  • 登录到 AWS Organizations 管理账户。Systems Manager 需要对 AWS Organizations 的访问权限,才能从 Security Hub 结果创建 OpsItems。在您登录到管理账户后,系统将提示您选择 Explorer Configure dashboard (配置控制面板) 选项卡上的 Enable access (启用访问权限),如以下过程中所述。如果您没有登录到 AWS Organizations 管理账户,则不能允许访问,并且 Explorer 无法从 Security Hub 结果创建 OpsItems。

开始接收 Security Hub 结果
  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 AWS Systems Manager 控制台。

  2. 在导航窗格中,选择 Explorer

  3. 选择设置

  4. 选择 Configure dashboard (配置控制面板) 选项卡。

  5. 选择 AWS Security Hub

  6. 选择 Disabled (已禁用) 滑块,以打开 AWS Security Hub

    默认情况下,会显示重大和高严重性的调查发现。要同时显示中等和低严重性安全性调查发现,请选择中等、低旁边的已禁用滑块。

  7. OpsItems created by Security Hub findings (通过 Security Hub 结果创建的 OpsItems) 部分中,选择 Enable access (启用访问权限)。如果您没有看到此按钮,请登录到 AWS Organizations 管理账户,然后返回到此页面以选择该按钮。

如何查看来自 Security Hub 的结果

以下过程介绍了如何查看 Security Hub 结果。

查看 Security Hub 结果
  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 AWS Systems Manager 控制台。

  2. 在导航窗格中,选择 Explorer

  3. 查找 AWS Security Hub 结果摘要小组件。这将显示 Security Hub 结果。您可以选择严重性级别,以查看相应 OpsItem 的详细描述。

如何停止接收结果

以下过程介绍了如何停止接收 Security Hub 结果。

停止接收 Security Hub 结果
  1. 访问 https://console.aws.amazon.com/systems-manager/,打开 AWS Systems Manager 控制台。

  2. 在导航窗格中,选择 Explorer

  3. 选择设置

  4. 选择 Configure dashboard (配置控制面板) 选项卡。

  5. 选择 Enabled (已启用) 滑块以关闭 AWS Security Hub

重要

如果控制台中禁用 Security Hub 调查发现的选项显示为灰色,则可以通过在 AWS CLI 中运行以下命令来禁用此设置。您必须在登录 AWS Organizations 管理账户或 Systems Manager 委派管理员账户时运行该命令。对于 region 参数,请指定您要停止在 Explorer 中接收 Security Hub 调查发现的 AWS 区域。

aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region AWS 区域

以下为示例。

aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region us-east-1