必要條件檢視 Security Hub 問題清單重新整理您的 Security Hub 問題清單從停用 Security Hub Trusted Advisor 故障診斷

在中檢視 AWS Security Hub 控制項 AWS Trusted Advisor

AWS Security Hub 為啟用之後 AWS 帳戶，您可以在 Trusted Advisor 主控台中檢視您的安全控制項及其調查結果。您可以使用 Security Hub 控制項來識別帳戶中的安全漏洞，方法與您可以使用 Trusted Advisor 檢查的方式相同。您可以查看檢查的狀態、受影響的資源列表，然後按照 Security Hub 的建議來解決您的安全問題。您可以使用此功能，從 Trusted Advisor 和 Security Hub 在一個方便的位置尋找安全建議。

備註

從中 Trusted Advisor，您可以檢視 AWS 基礎安全最佳實務安全標準中的控制項，但具有類別：復原 > 復原能力的控制項除外。如需支援的控制項清單，請參閱《AWS Security Hub 使用者指南》中的 AWS 基礎安全最佳實務控制項。

如需有關 Security Hub 類別的詳細資訊，請參閱控制項類別。
Trusted Advisor 截至 2024 年 9 月 26 日的加入 Security Hub 控制項。2024 年 9 月 26 日之後發行的控制項尚未加入 Trusted Advisor。您可以在 Security Hub 日誌中找到在該日期之後發行的控制項。

必要條件

您必須符合下列要求，才能啟用與 Trusted Advisor的 Security Hub 整合：

您必須訂閱此功能的商業、Enterprise On-Ramp 或企業支援計劃。您可以在 AWS Support 中心或支援計劃頁面中找到您的支援計劃。如需詳細資訊，請參閱比較 AWS Support 計劃。
您必須 AWS Config 為 Security Hub AWS 區域控制項所需的啟用資源錄製。如需詳細資訊，請參閱啟用並設定 AWS Config。
您必須啟用 Security Hub 並選擇 AWS 基礎安全最佳實務 v1.0.0 安全標準。如果您尚未執行，請參閱《AWS Security Hub 使用者指南》中的設定 AWS Security Hub。

注意

如果您已完成這些先決條件，您可以跳至檢視 Security Hub 問題清單。

關於 AWS Organizations 帳戶

如果您已經完成了管理帳戶的先決條件，則系統會為組織中的所有成員帳戶自動啟用此整合。個別成員帳戶不需要聯絡 Support 即可啟用此功能。但是，如果組織中的成員希望在 Trusted Advisor查看問題清單，他們的帳戶必須啟用 Security Hub。

如果您要停用特定成員帳戶的這項整合，請參閱停用 AWS Organizations 帳戶的這項功能。

檢視 Security Hub 問題清單

為您的帳戶啟用 Security Hub 後，您的 Security Hub 的問題清單最多可能需要 24 個小時才會顯示在 Trusted Advisor 主控台的安全性頁面。

若要在中檢視 Security Hub 調查結果 Trusted Advisor

導覽至 Trusted Advisor 主控台，然後選擇 Security (安全) 類別。
在 Search by keyword (依關鍵字搜尋) 欄位中，請在欄位中輸入控制項的名稱或描述。

提示
針對 Source (來源)，您可以選擇 AWS Security Hub 來篩選 Security Hub 控制項。
選擇 Security Hub 控制項名稱來檢視下列資訊：
- 描述 – 描述此控制項如何檢查您的帳戶是否存在安全漏洞。
- Source (來源) – 檢查是否來自 AWS Trusted Advisor 或 AWS Security Hub。針對 Security Hub 控制項，您可以找到控制項 ID。
- Alert Criteria (提醒條件) – 控制項的狀態。例如，如果 Security Hub 偵測到重要問題，則狀態可能是紅色：嚴重或高。
- Recommended Action (建議的動作) – 使用 Security Hub 文件連結尋找解決此問題的建議步驟。
- Security Hub resources (Security Hub 資源) – 您可以在您的帳戶中查找 Security Hub 檢測到問題的資源。

備註

您必須使用 Security Hub 從問題清單中排除資源。目前，您無法使用 Trusted Advisor 主控台從 Security Hub 控制項中排除項目。如需詳細資訊，請參閱設定問題清單的工作流程狀態。
組織檢視功能支援與 Security Hub 的這項整合。您可以在整個組織中查看 Security Hub 控制項的問題清單，然後建立並下載報告。如需詳細資訊，請參閱AWS Trusted Advisor 的組織檢視。

範例：IAM 使用者存取金鑰的 Security Hub 控制不應存在

以下是 Trusted Advisor 主控台 Security Hub 控制項的範例問題清單。

重新整理您的 Security Hub 問題清單

啟用安全標準後，Security Hub 最多可能需要兩個小時才會有資源的問題清單。然後，該資料最多可能需要 24 小時才會出現在 Trusted Advisor 主控台中。如果您最近啟用AWS 了基礎安全最佳實務 1.0.0 版安全標準，請稍後再次檢查 Trusted Advisor 主控台。

注意

每個 Security Hub 控制項的重新整理排程為定期或變更觸發。目前，您無法使用 Trusted Advisor 主控台或 AWS Support API 重新整理 Security Hub 控制項。如需詳細資訊，請參閱執行安全檢查的排程。
如果您想要從問題清單中排除資源，必須使用 Security Hub。目前，您無法使用 Trusted Advisor 主控台從 Security Hub 控制項中排除項目。如需詳細資訊，請參閱設定問題清單的工作流程狀態。

從停用 Security Hub Trusted Advisor

如果您不希望 Security Hub 資訊顯示在 Trusted Advisor 主控台中，請遵循此程序。此程序只會停用 Security Hub 與的整合 Trusted Advisor。它不會影響與 Security Hub 的配置。您可以繼續使用 Security Hub 主控台檢視您的安全控制項、資源和建議。

停用 Security Hub 整合

聯絡 AWS Support 並請求停用 Security Hub 整合 Trusted Advisor。

AWS Support 停用此功能後，Security Hub 將不再將資料傳送至 Trusted Advisor。您的 Security Hub 資料將從中移除 Trusted Advisor。
如果您要再次啟用此整合，請聯絡 AWS Support。

停用 AWS Organizations 帳戶的這項功能

如果您已經完成了管理帳戶的先前程序，則 Security Hub 整合將自動從組織中的所有成員帳戶中移除。組織的個別成員帳戶無需分別聯絡 AWS Support 。

如果您是組織中的成員帳戶，您可以聯絡 Support ，僅從您的帳戶中移除此功能。

故障診斷

如果您在這項整合上遇到問題，請參閱以下故障診斷資訊。

內容

我在 Trusted Advisor 主控台中看不到 Security Hub 調查結果

驗證您是否已完成下列步驟：

您具備商業、Enterprise On-Ramp 或企業支援計劃。
您在與 Security Hub AWS Config 相同的區域中啟用資源記錄。
您啟用了 Security Hub 並選擇了 AWS 基礎安全最佳實務 v1.0.0 安全標準。
來自 Security Hub 的新控制項會在兩到四週 Trusted Advisor 內新增為檢查。參閱注意事項。

如需詳細資訊，請參閱必要條件。

我正確設定了 Security Hub 和 AWS Config ，但是我的問題清單仍然缺失

Security Hub 最多可能需要兩個小時才會有資源的問題清單。然後，該資料最多可能需要 24 小時才會出現在 Trusted Advisor 主控台中。請稍後再次檢查 Trusted Advisor 主控台。

備註

只有基礎 AWS 安全最佳實務安全標準中控制項的調查結果才會出現在中 Trusted Advisor ，但具有類別：復原 > 復原能力的控制項除外。
如果 Security Hub 出現服務問題或 Security Hub 無法使用，則最多可能需要 24 小時才會在 Trusted Advisor中顯示。請稍後再次檢查 Trusted Advisor 主控台。

我想要停用特定的 Security Hub 控制項

Security Hub Trusted Advisor 會自動將您的資料傳送至。如果停用 Security Hub 控制項或不再具有該控制項的資源，則您的問題清單將不會在 Trusted Advisor中顯示。

您可以登入至 Security Hub 主控台，並驗證您的控制項是否已啟用或停用。

如果您停用 Security Hub 控制項，或停用 AWS 基礎安全最佳實務安全標準的所有控制項，您的調查結果會在接下來的五天內封存。這個五天的封存期限僅為近似值，會盡力而為，但不一定保證實現。當您的調查結果封存時，它們會從中移除 Trusted Advisor。

如需詳細資訊，請參閱下列主題：

我想尋找已排除的 Security Hub 資源

從 Trusted Advisor 主控台中，您可以選擇 Security Hub 控制項名稱，然後選擇排除項目選項。此選項會在 Security Hub 中顯示禁止的所有資源。

如果資源的工作流程狀態設定為 SUPPRESSED，那麼該資源是 Trusted Advisor中的已排除項目。您無法從 Trusted Advisor 主控台隱藏 Security Hub 資源。若要執行此作業，請使用 Security Hub 主控台。如需詳細資訊，請參閱設定問題清單的工作流程狀態。

我想要啟用或停用屬於 AWS 組織之成員帳戶的功能

根據預設，成員帳戶從 AWS Organizations管理帳戶繼承該功能。如果管理帳戶已啟用該功能，則組織中的所有帳戶也將具有該功能。如果您有成員帳戶，並想要為您的帳戶進行特定的變更，您必須聯絡 AWS Support。

我看到多個 AWS 區域用於 Security Hub 檢查的相同受影響資源

有些 AWS 服務是全域的，並非特定於區域，例如 IAM 和 Amazon CloudFront。依預設，Amazon S3 儲存貯體等全域資源會顯示在美國東部 (維吉尼亞北部) 區域。

對於評估全域服務資源的 Security Hub 檢查，您可能會看到受影響資源的多個項目。例如，如果 Hardware MFA should be enabled for the root user 檢查識別到您的帳戶尚未啟用此功能，您會在相同資源的資料表中看到多個區域。

您可以設定 Security Hub， AWS Config 這樣多個區域就不會針對相同的資源顯示。如需詳細資訊，請參閱您可能想要停用的AWS 基本最佳實務控制。

我已關閉 Security Hub 或 AWS Config 區域中的

如果您在中使用停止資源記錄 AWS Config 或停用 Security Hub AWS 區域， Trusted Advisor 就不會再收到該區域中任何控制項的資料。會在 7-9 天內 Trusted Advisor 移除您的 Security Hub 調查結果。此時間框架為盡最大努力的結果，且不能保證。如需詳細資訊，請參閱停用 Security Hub。

若要停用您帳戶的這項功能，請參閱從停用 Security Hub Trusted Advisor。

我的控制項已封存在 Security Hub 中，但我仍會在中看到調查結果 Trusted Advisor

當ARCHIVED調查結果RecordState的狀態變更為時，會從您的帳戶 Trusted Advisor 中刪除該 Security Hub 控制項的調查結果。在刪除調查結果之前，您可能仍會在中看到調查結果 Trusted Advisor 長達 7-9 天。此時間框架為盡最大努力的結果，且不能保證。

我仍然無法檢視我的 Security Hub 問題清單

如果您對於本功能仍有問題，您可以前往 AWS Support 中心建立技術支援案例。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

檢視由 AWS Config 提供技術的 Trusted Advisor 檢查

選擇加入 AWS Compute Optimizer 支 Trusted Advisor 票

在 中檢視 AWS Security Hub 控制項 AWS Trusted Advisor

備註

主題