本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub 的概念
在 Security Hub 中,我们建立在常用 AWS 概念和术语的基础上,并使用这些附加术语。
- Account
-
包含您的 AWS 资源的标准 AWS 账户。 AWS 使用您的 AWS 帐户登录以启用 Security Hub。
如果您的帐户已注册 AWS Organizations,则您的组织会指定一个 Security Hub 管理员帐户。此账户可以启用其他组织账户作为成员账户。
一个组织只能有一个管理员账户。账户不能既是管理员账户又是成员账户。
Security Hub 支持以下账户:
-
组织管理 AWS 账户 — 管理 AWS 组织的账户。
-
委托管理员 AWS 账户 — 管理 AWS 组织使用情况 AWS 服务 的账户。
-
成员账户 — 作为 AWS AWS 组织成员的账户。
-
独立账户-未 AWS Organizations 启用的 AWS 账户
-
- 管理员账户
-
此类 AWS 账户可以查看关联成员账户的调查结果。
当组织管理 AWS 帐户将该帐户指定为 Security Hub 管理员帐户时,此类帐户将变为管理员帐户。Security Hub 管理员账户可以启用任何组织账户作为成员账户,还可以邀请其他账户成为成员账户。
一个组织只能有一个管理员账户。账户不能既是管理员账户又是成员账户。
- 聚合区域
-
聚合区域允许您在单个控制面板 AWS 区域 中查看来自多个区域的安全发现。
聚合区域是您查看和管理调查结果 AWS 区域 的地方。调查发现会从关联区域聚合到聚合区域中。更新后的调查发现会在各个区域之间复制。
在聚合区域中,控制面板和库存页包含来自所有关联区域的数据。自动化页面只能用于在聚合区域定义自动化规则。 Third-party 只能在聚合区域配置工单集成。
- 已存档的发现
-
状态为
ARCHIVED的调查发现。这些调查发现表明,调查发现的调查发现提供者或客户认为该调查发现不再相关。寻找提供者可以将他们创建的结果存档。客户可以使用 Security Hub API 的BatchUpdateFindingsV2操作或在 Security Hub 控制台中更新状态来存档他们认为不再相关的发现。
在 Security Hub 控制台中,默认筛选设置会将存档的调查发现从调查发现列表和表格中排除。您可以更新筛选条件以包括已存档的调查发现 如果使用 GetFindingsV2 操作检索查找结果,则该操作会同时检索存档和活动查找结果。以下示例说明了如何在结果中排除已存档的调查发现。
{ "StringFilters": [ { "FieldName": "status", "Filter": { "Value": "Archived", "Comparison": "EQUALS" } } ] } - Cross-Region 聚合
-
将来自关联区域的调查发现和资源汇总到一个聚合区域。您可以查看聚合区域中的所有数据,并更新聚合区域中的调查发现。
- 委派管理员帐户
-
在中 AWS Organizations,服务的委派管理员帐户能够管理组织对服务的使用。
在 Security Hub 中,Security Hub 管理员账户也是 Security Hub 的委派管理员账户。当组织管理账户首次指定 Security Hub 管理员账户时,Security Hub 会调用 Organizations,将该账户设为委派管理员账户。
然后,组织管理账户必须选择委派管理员账户作为所有区域的 Security Hub 管理员账户。
- 曝光
-
风险是指安全控制、配置错误或其他可能被主动威胁利用的领域中更广泛的漏洞。
曝光的例子包括:
-
Mis-configured 资源的控制平面。
-
存在极有可能被利用的软件漏洞。
-
可公开访问的资源(网络或 API)。
-
- 暴露调查发现
-
一种描述您的环境中存在的暴露情况的调查发现。暴露调查发现包括特征和信号。一个信号可以包含一种或多种类型的暴露特征。 AWS 当来自 Security Hub CSPM、Amazon Inspector、亚马逊 GuardDuty、亚马逊 Macie AWS 或其他服务的信号表明存在风险时,Sec AWS urity Hub 会生成曝光结果。一项或多项曝光调查结果可能涉及资源。如果资源没有任何暴露特征或特征不足,Security Hub 不会为该资源生成暴露调查发现。
曝光发现的一个例子是:一个可从互联网访问的 EC2 实例,该实例存在很有可能被利用的软件漏洞。
- 调查发现
-
安全检查或与安全相关的检测的可观察记录。Security Hub 通过与其他安全调查发现进行关联来生成和更新调查发现。这些被称为暴露调查发现。调查结果也可能来自与其他产品 AWS 服务 和第三方产品的集成。
- 正在寻找摄入量
-
将调查发现导入 Security Hub。调查发现摄取事件包括新调查发现和现有调查发现的更新。
- 关联区域
-
启用跨区域聚合后,关联区域是指将调查发现和资源清单聚合到聚合区域的区域。
在关联区域中,控制面板和库存页面仅包含相关调查结果 AWS 区域。
- 开放式网络安全架构框架(OCSF)
-
开放网络安全架构框架 (OCSF)
是由 AWS 网络安全行业的领先合作伙伴共同开发的开源项目。OCSF 为常见安全事件提供了标准架构,定义了版本控制标准以促进架构的演变,还包括安全日志生成者和使用者的自治流程。有关更多信息,请参阅 OCSF findings in Security Hub。 - 成员账户
-
授 AWS 账户 予管理员帐户查看其调查结果并对其采取行动的权限。当 Security Hub 管理员帐户将其启用为成员帐户时,此类帐户 AWS 账户 就会变成成员帐户。
- 信号
-
促成暴露调查发现的调查发现。信号可以被称为促成性调查发现。信号可以源自 Security Hub CSPM 或其他 AWS 服务信号 AWS Config,例如 Amazon Inspector。
- Service-linked 配置记录器
-
一种 AWS Config 记录器,用于记录服务特定资源的配置数据。Security Hub 以事件驱动的方法使用这些记录器来获取风险分析覆盖范围、资源库存报告和状态管理控制评估的资源配置项目。此功能作为基本计划定价的一部分提供给所有 Security Hub 客户。启用 Security Hub 后,将在您的账户中创建以下与服务相关的配置记录器:
-
在每个 AWS 账户 和中 AWS 区域,都会创建一个名为
AWSConfigurationRecorderForSecurityHubAssets的与服务相关的配置记录器。 -
对于全局资源类型,将在 us-east AWS 区域-1 中创建名
AWSConfigurationRecorderForSecurityHubAssetsGlobal为的附加服务关联配置记录器。
-
- Service-linked 分析器
-
Security Hub 代表您创建和管理的 IAM 访问分析器。启用 Security Hub 后,它会自动创建一个与服务相关的未使用访问分析器,以识别在 90 天回顾期内未使用的 IAM 角色、用户、访问密钥和权限。该分析器在美国东部(弗吉尼亚北部)运行,因为 IAM 是一项全球服务。Security Hub 会将未使用的访问结果复制到您已启用 Security Hub 的所有区域。您无需单独启用 IAM Access Analyzer 或采取任何其他操作。此功能作为基本计划定价的一部分提供给所有 Security Hub 客户。您可以在 IAM Access Analyzer 控制台中查看与服务相关的分析器,但在启用 Security Hub 后,您无法对其进行修改或删除。当您在的所有区域禁用分析器时,Security Hub 会删除该分析器 AWS 账户。有关更多信息,请参阅 了解 Security Hub 中未使用的访问发现结果。
- 特质
-
导致暴露调查发现的安全偏差。特征类型包括假设性、错误配置、可访问性、敏感数据和漏洞。一个特征与一个信号相关联,一个信号可以包含多个特征。例如,Security Hub CSPM 控件表示客户管理型策略允许管理访问控制。此信号包含错误配置特征。
- 未使用的访问权限发现
-
一项发现,用于识别在 90 天回顾期内未使用的 IAM 角色、用户、访问密钥或一组权限。Security Hub 使用与服务关联的 IAM 访问分析器生成未使用的访问结果。未使用的访问发现有四种类型:未使用的 IAM 角色、未使用的 IAM 用户访问密钥、未使用的 IAM 用户密码和未使用的权限。