在 Explorer 中從 AWS Security Hub 接收調查結果 - AWS Systems Manager
Explorer 接收之調查結果的類型啟用整合如何檢視 Security Hub 的調查結果如何停止接收調查結果

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Explorer 中從 AWS Security Hub 接收調查結果

AWS Security Hub 提供安全狀態的完整檢視 AWS。此服務會從各 AWS 帳戶、服務和支援的第三方產品收集安全資料 (稱為調查結果)。Security Hub 調查結果可協助您檢查環境是否符合安全業界標準和最佳實務、分析安全趨勢,並確定高優先順序的安全問題。

Security Hub 會將調查結果傳送至 Amazon EventBridge,EventBridge 會使用事件規則將調查結果傳送至 Explorer。啟用整合之後,如此處所述,您可以在 Explorer 小工具中檢視 Security Hub 調查結果,並在 OpsCenter OpsItems 中檢視調查結果詳細資訊。小工具可根據嚴重性提供所有 Security Hub 調查結果的摘要。Security Hub 中的新調查結果通常會在建立幾秒鐘後顯示在 Explorer 中。

警告

記下以下重要資訊:

  • Explorer 已與 Systems Manager 中的OpsCenter工具 整合。啟用 Explorer 與 Security Hub 的整合之後,OpsCenter 會自動為 Security Hub 調查結果建立 OpsItems。根據您的 AWS 環境,啟用整合可能會產生大量 OpsItems,但需付費。

    繼續之前,請閱讀有關 OpsCenter 與 Security Hub 整合的相關內容。本主題包含有關對調查結果和 OpsItems 的變更和更新將如何收費的詳細資訊。如需詳細資訊,請參閱了解與 的OpsCenter整合 AWS Security Hub。如需 OpsCenter 定價資訊,請參閱 AWS Systems Manager 定價

  • 如果您以系統管理員帳戶登入 Explorer 並建立資源資料同步,則會自動為系統管理員和同步中的所有成員帳戶啟用 Security Hub 整合。啟用之後,OpsCenter 會自動為建立 Security Hub 調查結果建立需要付費的 OpsItems。如需建立資源資料同步的相關資訊,請參閱 設定 Systems Manager Explorer 以顯示來自多個帳戶和區域的資料

Explorer 接收之調查結果的類型

Explorer 可接收來自 Security Hub 的所有調查結果 當您開啟 Security Hub 預設設定時,您可以在 Explorer 小工具中查看所有根據嚴重性的調查結果。根據預設,Explorer 可為「關鍵」和「高」安全性調查結果建立 OpsItems。您可以手動設定 Explorer,為「中等」和「低」安全性調查結果建立 OpsItems。

雖然 Explorer 不會針對資訊性調查結果建立 OpsItems,但您可以在 Security Hub 調查結果摘要小工具中檢視資訊性操作資料 (OpsData)。Explorer 會為所有調查結果建立 OpsData,不論調查結果的嚴重性如何。如需有關 Security Hub 嚴重性等級的詳細資訊,請參閱 AWS Security Hub API 參考中的安全性一節。

啟用整合

此節說明如何啟用和設定 Explorer 以開始接收 Security Hub 調查結果。

開始之前

在您設定 Explorer 之前,請完成以下任務,以開始接收 Security Hub 調查結果。

  • 啟用和設定 Security Hub。如需詳細資訊,請參閱《AWS Security Hub 使用者指南》中的建立 Security Hub

  • 登入 AWS Organizations 管理帳戶。Systems Manager 需要存取 AWS Organizations ,以從 Security Hub 調查結果建立 OpsItems。登入管理帳戶後,系統會提示您選取 Explorer Configure dashboard (設定儀表板) 標籤上的 Enable access (啟用存取) 按鈕 設定儀表板索引標籤,如下列程序所述。如果您未登入 AWS Organizations 管理帳戶,則無法允許存取,Explorer也無法OpsItems從 Security Hub 調查結果建立 。

若要開始接收 Security Hub 調查結果

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇 Explorer

  3. 選擇設定

  4. 選取 Configure dashboard (設定儀表板) 標籤。

  5. 選取 AWS Security Hub

  6. 選取 Disabled (已停用) 滑桿,以開啟 AWS Security Hub

    預設會顯示「關鍵」和「高」安全性調查結果。若要顯示「中」和「低」安全性調查結果,請選取中、低旁邊的已停用滑桿。

  7. OpsItems Security Hub 調查結果建立的 OpsItems 區段中,選擇啟用存取。如果您沒有看到此按鈕,請登入 AWS Organizations 管理帳戶並返回此頁面以選取按鈕。

如何檢視 Security Hub 的調查結果

下列處理程序描述如何檢視 Security Hub 調查結果。

若要檢視 Security Hub 調查結果

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇 Explorer

  3. 尋找 AWS Security Hub 調查結果摘要小工具。這會顯示您的 Security Hub 調查結果。您可以選取嚴重性等級,以檢視對應的 OpsItem 的詳細說明。

如何停止接收調查結果

下列處理程序描述如何停止接收 Security Hub 調查結果。

若要停止接收 Security Hub 調查結果

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇 Explorer

  3. 選擇設定

  4. 選取 Configure dashboard (設定儀表板) 標籤。

  5. 選取 Enabled (已啟用) 滑桿,以關閉 AWS Security Hub

重要

如果停用 Security Hub 調查結果的選項在主控台中呈現灰色,可以在 AWS CLI中執行下列命令來停用此設定。登入 AWS Organizations 管理帳戶或 Systems Manager 委派管理員帳戶時,您必須執行 命令。針對 region 參數,指定您要在 中停止接收 Security Hub 問題清單 AWS 區域 的 Explorer。


aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region AWS 區域

範例如下。


aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region us-east-1