在 Explorer 中從 AWS Security Hub 接收調查結果 - AWS Systems Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Explorer 中從 AWS Security Hub 接收調查結果

AWS Security Hub提供中安全性狀態的全面檢視 AWS。此服務會從各 AWS 帳戶、服務和支援的第三方產品收集安全資料 (稱為調查結果)。Security Hub 調查結果可協助您檢查環境是否符合安全業界標準和最佳實務、分析安全趨勢,並確定高優先順序的安全問題。

Security Hub 會將發現項目傳送至 Amazon EventBridge,Amazon 會使用事件規則將發現項目傳送至Explorer。啟用整合之後,如此處所述,您可以在 Explorer 小工具中檢視 Security Hub 調查結果,並在 OpsCenter OpsItems 中檢視調查結果詳細資訊。小工具可根據嚴重性提供所有 Security Hub 調查結果的摘要。Security Hub 中的新調查結果通常會在建立幾秒鐘後顯示在 Explorer 中。

警告

記下以下重要資訊:

  • Explorer 與 Systems Manager 的功能 OpsCenter 整合。啟用 Explorer 與 Security Hub 的整合之後,OpsCenter 會自動為 Security Hub 調查結果建立 OpsItems。根據您的 AWS 環境而定,啟用整合可能會產生OpsItems大量的成本。

    繼續之前,請閱讀有關 OpsCenter 與 Security Hub 整合的相關內容。本主題包含有關對調查結果和 OpsItems 的變更和更新將如何收費的詳細資訊。如需詳細資訊,請參閱了解OpsCenter整合 AWS Security Hub。如需 OpsCenter 定價資訊,請參閱 AWS Systems Manager 定價

  • 如果您以系統管理員帳戶登入 Explorer 並建立資源資料同步,則會自動為系統管理員和同步中的所有成員帳戶啟用 Security Hub 整合。啟用之後,OpsCenter 會自動為建立 Security Hub 調查結果建立需要付費的 OpsItems。如需建立資源資料同步的相關資訊,請參閱 設定 Systems Manager Explorer 以顯示來自多個帳戶和區域的資料

Explorer 接收之調查結果的類型

Explorer 可接收來自 Security Hub 的所有調查結果 當您開啟 Security Hub 預設設定時,您可以在 Explorer 小工具中查看所有根據嚴重性的調查結果。根據預設,Explorer 可為「關鍵」和「高」安全性調查結果建立 OpsItems。您可以手動設定 Explorer,為「中等」和「低」安全性調查結果建立 OpsItems。

雖然Explorer不會OpsItems針對資訊發現項目建立,但您可以在 Security Hub 發現項目摘要 Widget 中檢視資訊作業資料 (OpsData)。 Explorer建立所有 OpsData 發現項目,而不論嚴重性為何 如需 Security Hub 嚴重性層級的詳細資訊,請參閱AWS Security Hub API參考資料中的嚴重性。

啟用整合

此節說明如何啟用和設定 Explorer 以開始接收 Security Hub 調查結果。

開始之前

在您設定 Explorer 之前,請完成以下任務,以開始接收 Security Hub 調查結果。

  • 啟用和設定 Security Hub。如需詳細資訊,請參閱《AWS Security Hub 使用者指南》中的建立 Security Hub

  • 登入 AWS Organizations 管理帳戶。Systems Manager 需要存取 AWS Organizations ,以從 Security Hub 調查結果建立 OpsItems。登入管理帳戶後,系統會提示您選取 Explorer Configure dashboard (設定儀表板) 標籤上的 Enable access (啟用存取) 按鈕 設定儀表板索引標籤,如下列程序所述。如果您未登入 AWS Organizations 管理帳戶,就無法允許存取,也Explorer無法OpsItems從 Security Hub 發現項目建立。

若要開始接收 Security Hub 調查結果
  1. 在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Explorer

  3. 選擇 Settings (設定)

  4. 選取 Configure dashboard (設定儀表板) 標籤。

  5. 選取 AWS Security Hub

  6. 選取 Disabled (已停用) 滑桿,以開啟 AWS Security Hub

    預設會顯示「關鍵」和「高」安全性調查結果。若要顯示「中」和「低」安全性調查結果,請選取中、低旁邊的已停用滑桿。

  7. OpsItems Security Hub 調查結果建立的 OpsItems 區段中,選擇啟用存取。如果沒有看到此按鈕,請登入 AWS Organizations 管理帳戶並返回此頁面以選取按鈕。

如何檢視 Security Hub 的調查結果

下列處理程序描述如何檢視 Security Hub 調查結果。

若要檢視 Security Hub 調查結果
  1. 在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Explorer

  3. 尋找 AWS Security Hub 調查結果摘要小工具。這會顯示您的 Security Hub 調查結果。您可以選取嚴重性等級,以檢視對應的 OpsItem 的詳細說明。

如何停止接收調查結果

下列處理程序描述如何停止接收 Security Hub 調查結果。

若要停止接收 Security Hub 調查結果
  1. 在開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

  2. 在導覽窗格中,選擇 Explorer

  3. 選擇 Settings (設定)

  4. 選取 Configure dashboard (設定儀表板) 標籤。

  5. 選取 Enabled (已啟用) 滑桿,以關閉 AWS Security Hub

重要

如果停用 Security Hub 發現項目的選項在主控台中呈現灰色,您可以在中執行下列命令來停用此設定。 AWS CLI您必須在登入 AWS Organizations 管理帳戶或系統管理員委派的 Systems Manager 員帳戶時執行命令。針對region參數,指定您 AWS 區域 要停止接收安全中心發現項目的位置Explorer。

aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region AWS 區域

範例如下。

aws ssm update-service-setting --setting-id /ssm/opsdata/SecurityHub --setting-value Disabled --region us-east-1