了解 Security Hub 中的安全控制

安全控制是安全標準中的保護措施，可協助組織保護資訊的機密性、完整性和可用性。在 Security Hub 中，控制項與特定 AWS 資源相關。

當您在一或多個標準中啟用控制項時，Security Hub 會開始對其執行安全檢查。安全檢查會導致 Security Hub 調查結果。當您停用控制項時，Security Hub 會停止對其執行安全檢查，並且不再產生調查結果。

您可以個別啟用或停用單一帳戶和的控制項 AWS 區域。為了節省時間並減少多帳戶環境中的組態偏離，我們建議您使用中央組態來啟用或停用控制項。使用中央組態，委派的 Security Hub 管理員可以建立政策，指定如何在多個帳戶和區域中設定控制項。如需啟用和停用控制項的詳細資訊，請參閱在 Security Hub 中啟用控制項。

合併控制項檢視

Security Hub 主控台的控制項頁面會顯示目前提供的所有控制項 AWS 區域（您可以造訪安全標準頁面並選擇啟用的標準，在標準內容中檢視控制項）。Security Hub 指派會控制跨標準一致的安全控制 ID、標題和描述。控制項IDs包括相關 AWS 服務和唯一號碼（例如 CodeBuild.3）。

下列資訊可在 Security Hub 主控台的控制頁面上取得：

整體安全分數，以傳遞控制項的比例為基礎，相較於使用資料啟用控制項的總數
所有支援的 Security Hub 控制項的控制狀態明細
通過和失敗的安全檢查總數。
不同嚴重性控制項的失敗安全檢查次數，以及檢視這些失敗檢查詳細資訊的連結。
Security Hub 控制項的清單，其中包含篩選條件，可檢視控制項的特定子集。

在控制頁面中，您可以選擇控制項以檢視其詳細資訊，並對控制項產生的調查結果採取動作。在此頁面上，您也可以在目前 AWS 帳戶和中啟用或停用安全控制 AWS 區域。控制頁面上的啟用和停用動作適用於所有標準。如需詳細資訊，請參閱在 Security Hub 中啟用控制項。

對於管理員帳戶，控制頁面會反映成員帳戶之間控制項的狀態。如果至少有一個成員帳戶中的控制項檢查失敗，則控制項狀態為失敗。如果您已設定彙總區域，則控制項頁面會反映所有連結區域中控制項的狀態。如果至少一個連結區域中的控制項檢查失敗，則控制項狀態為失敗。

合併控制項檢視會導致變更，以控制可能影響工作流程 AWS 的安全調查結果格式（ASFF）中的調查結果欄位。如需詳細資訊，請參閱合併控制項檢視 – ASFF變更。

控制項的安全分數摘要

控制頁面會顯示 0–100% 的摘要安全分數。摘要安全分數是根據傳遞控制項與跨標準資料啟用控制項總數相比的比例來計算。

注意

若要檢視控制項的整體安全分數，您必須新增呼叫您用來存取 Security Hub BatchGetControlEvaluationsIAM角色的許可。此許可不需要用來檢視特定標準的安全分數。

當您啟用 Security Hub 時，Security Hub 會在您第一次造訪 Security Hub 主控台上的摘要頁面或安全標準頁面後 30 分鐘內計算初始安全分數。在中國區域和中，首次產生安全分數最多可能需要 24 小時 AWS GovCloud (US) Region。

除了整體安全分數之外，Security Hub 還會在您第一次造訪摘要頁面或安全標準頁面後 30 分鐘內計算每個已啟用標準的標準安全分數。若要檢視目前啟用的標準清單，請使用 GetEnabledStandardsAPI操作。

AWS Config 必須啟用資源記錄，才能顯示分數。如需 Security Hub 如何計算安全分數的詳細資訊，請參閱計算安全分數。

第一次產生分數後，Security Hub 會每 24 小時更新一次安全分數。Security Hub 會顯示時間戳記，指出上次更新安全分數的時間。

如果您已設定彙總區域，則整體安全分數會反映連結區域之間的控制調查結果。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

檢視已啟用標準的控制項

Security Hub 控制項參考