AWS Security Hub CSPM 在您的漏洞管理程序中使用 - AWS 规范性指导
设置 Security Hub CSPM启用 Security Hub CSPM 标准管理 Security Hub CSPM 调查结果聚合调查发现

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Security Hub CSPM 在您的漏洞管理程序中使用

构建可扩展的漏洞管理程序除了云配置风险外,还 AWS 涉及管理传统软件和网络漏洞。 AWS Security Hub CSPM帮助您根据安全行业标准检查您的 AWS 环境,并可以识别云配置风险。Security Hub CSPM 还 AWS 通过汇总来自其他安全服务和第三方安全工具的安全发现,全面了解您的 AWS 安全状态。

在以下各节中,我们提供了设置 Security Hub CSPM 以支持您的漏洞管理计划的最佳实践和建议:

设置 Security Hub CSPM

有关设置说明,请参阅 Setting up AWS Security Hub CSPM。要使用 Security Hub CSPM,必须启用。AWS Config有关更多信息,请参阅 Security Hub CSPM 文档 AWS Config中的启用和配置

如果您已与组织管理帐户集成 AWS Organizations,则可以从组织管理帐户中指定一个帐户作为 Security Hub CSPM 授权管理员。有关说明,请参阅指定 Security Hub CSPM 授权管理员。 AWS SRA 建议您创建一个安全工具帐户,并将其用作 Security Hub CSPM 委托的管理员。

授权的管理员自动有权为组织中的所有成员账户配置 Security Hub CSPM,并可以查看与这些账户关联的调查结果。我们建议你在所有 AWS 区域 版本中启用 Sec AWS Config urity Hub CSPM。 AWS 账户您可以将 Security Hub CSPM 配置为自动将新的组织帐户视为 Security Hub CSPM 成员帐户。有关说明,请参阅 Managing member accounts that belong to an organization

启用 Security Hub CSPM 标准

Security Hub CSPM 通过对安全控制进行自动和持续的安全检查来生成调查结果。这些控制措施与一个或多个安全标准关联。这些控件可帮助您确定是否满足标准中的要求。

当你在 Security Hub CSPM 中启用标准时,Security Hub CSPM 会自动启用适用于该标准的控件。Security Hub CSPM 使用 AWS Config 规则来执行其大部分安全控制检查。您可以随时启用或禁用 Security Hub CSPM 标准。有关更多信息,请参阅中的安全控制和标准 AWS Security Hub CSPM。有关标准的完整列表,请参阅 Sec urity Hub CSPM 标准参考。

如果您的组织还没有首选安全标准,我们建议使用 AWS Foundational Security Best Practices(FSBP)标准。该标准旨在检测何时 AWS 账户 出现资源偏离安全最佳实践。 AWS 策划本标准并定期对其进行更新,以涵盖新的功能和服务。对 FSBP 的调查发现进行分类后,可以考虑启用其他标准。

管理 Security Hub CSPM 调查结果

Security Hub CSPM 提供了多种功能,可帮助您处理来自整个组织的大量调查结果并了解环境的安全状态。 AWS 为了帮助您管理调查结果,我们建议启用以下两个 Security Hub CSPM 功能:

  • 使用跨区域聚合将多个聚合区域的调查结果、查找更新、见解、控制合规性状态和安全评分汇总 AWS 区域 到单个聚合区域。

  • 使用整合的控制调查发现,通过删除重复的调查发现来减少调查发现噪音。在您的账户中启用合并控制结果后,Security Hub CSPM 会为控件的每项安全检查生成一个新的发现或查找结果更新,即使一个控件适用于多个启用的标准。

聚合来自其他安全服务和工具的调查发现

除了生成安全调查结果外,您还可以使用 Security Hub CSPM 来汇总来自多个受支持的第三方安全 AWS 服务 解决方案的查找数据。本节重点介绍向 Security Hub CSPM 发送安全调查结果。下一节将讨论如何将 S 准备分配安全调查发现 ecurity Hub CSPM 与可以接收 Security Hub CSPM 调查结果的产品集成。

您可以将许多 AWS 服务第三方产品和开源解决方案与 Security Hub CSPM 集成。如果您刚开始使用,我们建议执行以下操作:

  1. 启用集成 AWS 服务— 在您同时启用 S AWS 服务 ecurity Hub CSPM 和集成服务后,大多数向 Security Hub CSPM 发送调查结果的集成都会自动激活。对于您的漏洞管理计划,我们建议在每个账户中启用 Amazon Inspector GuardDuty AWS Health、Amazon 和 IAM Access Analyzer。这些服务会自动将其发现结果发送到 Security Hub CSPM。有关支持的 AWS 服务 集成的完整列表,请参阅AWS 服务 将调查结果发送给 Security Hub CSP M。

    注意

    AWS Health 如果满足以下条件之一,则向 Security Hub CSPM 发送调查结果:

    • 该发现与 AWS 安全部门有关

    • 调查发现 typecode 包含 securityabusecertificate 字样

    • 查找 AWS Health 服务是riskabuse

  2. 设置第三方集成:要查看当前支持的集成列表,请参阅 Available third-party partner product integrations。选择任何其他可以向 Security Hub CSPM 发送调查结果或从 Security Hub CSPM 接收调查结果的工具。您可能已经拥有其中一些第三方工具。按照产品说明配置与 Security Hub CSPM 的集成。