本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Security Hub 概念
本主題說明中的主要概念和術語 AWS Security Hub 可協助您開始使用服務。
- 帳戶
-
一個標準的 Amazon Web Services(AWS) 包含您的帳號 AWS 的費用。您可以登入 AWS 使用您的帳戶並啟用 Security Hub。
帳戶可以邀請其他帳戶啟用 Security Hub,並在 Security Hub 中與該帳戶建立關聯。接受成員邀請為選擇性。如果邀請被接受,該帳戶將成為管理員帳戶,而新增的帳戶是成員帳戶。管理員帳戶可以檢視其成員帳戶中的發現項目。
如果您已註冊 AWS Organizations,然後您的組織會指定組織的 Security Hub 系統管理員帳戶。Security Hub 系統管理員帳戶可以啟用其他組織帳戶做為成員帳戶。
帳戶不能同時是管理員帳戶和成員帳戶。一個帳戶只能有一個管理員帳戶。
如需詳細資訊,請參閱在 Security Hub 管理系統管理員和成員帳戶。
- 管理員帳戶
-
Security Hub 中的一個帳戶,被授與檢視關聯成員帳戶發現項目的存取權。
帳戶會以下列其中一種方式成為系統管理員帳戶:
-
該帳戶會邀請其他帳戶在安全性中心中與該帳戶建立關聯。當這些帳戶接受邀請時,他們就會成為成員帳戶,而邀請帳戶就會成為他們的管理員帳戶。
-
該帳戶由組織管理帳戶指定為 Security Hub 系統管理員帳戶。Security Hub 系統管理員帳戶可以將任何組織帳戶啟用為成員帳戶,也可以邀請其他帳戶成為成員帳戶。
一個帳戶只能有一個管理員帳戶。帳戶不能同時是管理員帳戶和成員帳戶。
-
- 聚總區域
-
設定聚總區域可讓您檢視來自多個的安全發現項目 AWS 區域 在玻璃的單一窗格中。
聚總區域是您檢視與管理搜尋結果的「區域」。搜尋結果會從連結區域彙總至聚總區域。發現項目的更新會跨區域複寫。
在彙總區域中,「安全性」標準、「見解」和「發現項目」頁面包含來自所有連結區域的資料。
請參閱 了解安全中樞中的跨區域彙總。
- 存檔的問題清單
-
將
RecordState
設為ARCHIVED
的問題清單。封存發現項目表示尋找項目提供者認為該發現項目已不再相關。記錄狀態與工作流程狀態不同,工作流程狀態會追蹤發現項目的調查狀態。尋找提供者可以使用 Security Hub 的
BatchImportFindings
作業API來封存他們所建立的發現項目。如果控制項已停用或刪除關聯的資源,Security Hub 會根據下列其中一項準則,自動封存控制項的發現項目。-
發現結果不會在三到五天內更新(請注意,這是最好的努力,並不能保證)。
-
相關的 AWS Config 評估回報
NOT_APPLICABLE
。
根據預設,已封存的發現項目會從 Security Hub 主控台的發現項目清單中排除。您可以更新篩選條件以包含已封存的問題清單。
Security Hub 的
GetFindings
作業會API傳回使用中和已封存的發現項目。您可以包含記錄狀態的篩選條件。"RecordState": [ { "Comparison": "EQUALS", "Value": "ARCHIVED" } ],
-
- AWS 安全性發現格式 (ASFF)
-
Security Hub 彙總或產生之發現項目內容的標準化格式。所以此 AWS 安全性搜尋結果格式可讓您使用 Security Hub 來檢視及分析由下列項目所產生的發現項目 AWS 安全服務,第三方解決方案或 Security Hub 本身從運行安全檢查。如需詳細資訊,請參閱AWS 安全調查結果格式 (ASFF)。
- 控制項
-
為資訊系統或組織規定的一種保護或應對措施,旨在保護其資訊的機密性、完整性和可用性,並符合一組定義的安全需求。安全性標準與控制項集合相關聯。
術語安全控制是指具有跨標準的單一控制項 ID 和標題的控制項。術語標準控制項是指具有標準特定控制項IDs和標題的控制項。目前,安全中心僅支援 AWS GovCloud (US) Region 和中國地區。所有其他區域都支援安全性控制。
- 自訂動作
-
用於將所選發現項目傳送至的 Security Hub 機制 EventBridge。會在安全性中心中建立自訂動作。然後將其連結至 EventBridge 規則。規則會定義一個要在接收到與自訂動作 ID 建立關聯的問題清單時,所要採取的特定動作。例如,您可以使用自訂動作來將特定問題清單,或是一小組問題清單傳送至回應或修補工作流程。如需詳細資訊,請參閱建立自訂動作。
- 委派的管理員帳戶 (Organizations)
-
在組織中,服務的委派管理員帳戶能夠管理組織服務的使用情況。
在資訊安全中心中,Security Hub 系統管理員帳戶也是 Security Hub 的委派系統管理員帳戶。當組織管理帳戶第一次指定 Security Hub 系統管理員帳戶時,Security Hub 會呼叫組 Organizations,將該帳戶設為委派的系統管理員帳戶。
接著,組織管理帳戶必須選擇委派的系統管理員帳戶做為所有區域中的 Security Hub 系統管理員帳戶。
- 問題清單
-
安全檢查或安全性相關偵測的可觀察記錄。Security Hub 會在完成控制項的安全性檢查之後產生一個發現項目。這些稱為控制項發現項目。發現結果也可能來自第三方產品整合。
如需有關安全中心中發現項目的詳細資訊,請參閱在 Security Hub 中建立和更新調查結果。
注意
問題清單會在最近更新 90 天後刪除,如果沒有更新,則在建立日期 90 天後刪除。若要存放超過 90 天的發現項目,您可以在將發現項目路由 EventBridge 到 Amazon S3 儲存貯體中設定規則。
- 跨區域彙總
-
將發現項目、見解、控制合規狀態和安全分數從連結的區域彙總到彙總區域。然後,您可以從彙總區域檢視所有資料,並從彙總區域更新發現項目和見解。
請參閱 了解安全中樞中的跨區域彙總。
- 尋找攝入
-
將發現項目從其他資 Security Hub 匯入 AWS 服務和來自第三方合作夥伴供應商
尋找擷取事件包括新發現項目和現有發現項目的更新。
- Insight
-
彙總陳述式和選用篩選條件定義的相關問題清單集合。該洞見會識別需要注意和介入的安全區域。Security Hub 提供了一些您無法修改的受管理(預設)見解。您也可以建立自訂的 Security Hub 深入解析,以追蹤您專屬的安全性問題 AWS 環境和使用。如需詳細資訊,請參閱檢視安全中心的深入解析。
- 連結區域
-
啟用跨區域彙總時,連結的區域是將發現項目、見解、控制符合性狀態和安全分數彙總至彙總區域的區域。
在連結的區域中,「搜尋結果」與「見解」頁面僅包含來自該區域的發現項目。
請參閱 了解安全中樞中的跨區域彙總。
- 成員帳戶
-
已授與管理員帳戶權限以檢視其發現項目並對其採取動作的帳戶。
帳戶會以下列其中一種方式成為會員帳戶:
-
該帳戶接受來自其他帳戶的邀請。
-
若為組織帳戶,Security Hub 系統管理員帳戶會將該帳戶啟用為成員帳戶。
-
- 相關要求
-
映射到控制的一組產業或法規要求。
- 規則
-
用於評定是否有遵守控制的一組自動化條件。規則受到評估時,可能會通過或失敗。如果評估無法判斷規則通過或失敗,則規則會處於警告狀態。如果無法評估規則,則規則會處於不可用狀態。
- 安全檢查
-
針對單一資源的規則進行特定 point-in-time 評估
PASSED
,產生FAILED
WARNING
、或NOT_AVAILABLE
狀態。執行安全檢查會產生問題清單。 - Security Hub 管理員帳戶
-
管理組織 Security Hub 成員資格的組織帳戶。
組織管理帳戶會在每個區域中指定安全性中樞系統管理員帳戶。組織管理帳戶必須在所有區域中選擇相同的 Security Hub 系統管理員帳戶。
安全性中樞系統管理員帳戶也是 Organizations 中安全性中樞的委派系統管理員帳戶。
Security Hub 系統管理員帳戶可以將任何組織帳戶啟用為成員帳戶。安全中心管理員帳戶也可以邀請其他帳戶成為成員帳戶。
- 安全標準
-
針對指定特性主題發佈的陳述式,通常可測量且為控制項形式,必須予以滿足或加以存檔以確保合規性。安全標準可以是以法規框架、最佳實務或內部公司政策為基礎。控制項可能與安全性中樞中的一個或多個支援的標準相關聯。若要深入了解安全性中心中的安全性標準,請參閱了解 Security Hub 中的安全標準。
- 嚴重性
-
指派給 Security Hub 控制項的嚴重性可識別控制項的重要性。控制項的嚴重性可以是「嚴重」、「高」、「中」、「低」或「資訊」。指派給控制項發現項目的嚴重性等於控制項本身的嚴重性。若要瞭解 Security Hub 如何將嚴重性指派給控制項,請參閱指派嚴重性給控制項發現。
- 工作流程狀態
-
調查問題清單的狀態。使用
Workflow.Status
屬性追蹤。最初的工作流程狀態為
NEW
。如果您通知資源擁有者對搜尋結果採取動作,您可以將工作流程狀態設定為NOTIFIED
。如果搜尋結果不是問題,且不需要任何動作,請將工作流程狀態設定為SUPPRESSED
。檢閱並修正尋找項目後,請將工作流程狀態設定為RESOLVED
。依預設,大多數的搜尋結果清單只包含工作流程狀態為
NEW
或NOTIFIED
的搜尋結果。控制的問題清單也會包含在RESOLVED
的問題清單中。對於
GetFindings
操作,您可以包含工作流程狀態的篩選條件。"WorkflowStatus": [ { "Comparison": "EQUALS", "Value": "RESOLVED" } ],
Security Hub 主控台提供設定發現項目工作流程狀態的選項。客戶 (或者SIEM,票務、事件管理或代表客戶SOAR工作以更新尋找提供者發現結果的工具) 也可以使用
BatchUpdateFindings
來更新工作流程狀態。