Security Hub 中的覆盖范围调查发现
注意
Security Hub 目前为预览版,可能会发生变化。
Security Hub 的覆盖范围调查发现可让您了解启用了哪些 AWS 安全功能,以及独立账户或组织的成员账户中可能存在哪些覆盖范围方面的差距。启用其他安全功能将增强 Security Hub 的检测能力。覆盖范围调查发现评估为账户启用了哪些 GuardDuty、Amazon Inspector、Macie 和 Security Hub CSPM 功能。这些调查发现显示在 Security Hub 控制面板的“安全覆盖范围”小组件中,可以按特定安全功能深入查看更详细的视图。对于委派管理员,此小组件显示所有 Security Hub 已启用成员账户的覆盖范围明细。
限制
-
对于成员账户,覆盖范围信息是跨关联 AWS 区域聚合的,但仅限于该成员账户。
-
未登录 Security Hub 的账户不会显示覆盖范围信息
AWS Security Hub CSPM 的覆盖范围调查发现
Security Hub CSPM 覆盖范围调查发现评测账户中是否启用了合格的状况管理安全标准。启用任何 Security Hub CSPM 标准都将符合资格,但 AWS Control Tower 和资源标注标准除外。
启用 Security Hub CSPM 时,可能需要长达 24 小时才能检测到默认启用的标准。
Amazon GuardDuty 的覆盖范围调查发现
GuardDuty 覆盖范围调查发现评测 AWS 账户中是否启用了 GuardDuty 以及启用了哪些 GuardDuty 功能:
-
适用于 Amazon EC2 的 GuardDuty 恶意软件防护 – 扫描 Amazon EC2 实例中是否存在潜在恶意软件
-
GuardDuty Amazon EKS Protection – 监控 Kubernetes 审计日志以发现 Amazon EKS 集群中的威胁
-
GuardDuty Lambda Protection – 分析 Lambda 函数调用是否存在潜在威胁
-
GuardDuty Amazon S3 Protection – 分析数据事件是否存在对 Amazon S3 存储桶的潜在威胁
-
GuardDuty Amazon RDS Protection – 监控 Amazon RDS 数据库是否存在威胁
-
GuardDuty 运行时监控 – 提供对 Amazon EC2 实例中运行时行为的实时监控
-
GuardDuty Foundational Coverage – 启用 GuardDuty 时自动开启的基准 GuardDuty 功能
注意
对于 GuardDuty Foundational Coverage,指示该功能已关闭的覆盖范围调查发现意味着在覆盖范围调查发现的账户中未启用 GuardDuty。
GuardDuty 覆盖范围的更新最多可能需要 24 小时才能反映到组织内的所有成员账户中。
Amazon Inspector 的覆盖范围调查发现
Amazon Inspector 覆盖范围调查发现评测是否启用了 Amazon Inspector 以及账户中启用了哪些功能:
-
Inspector EC2 扫描 – 扫描 Amazon EC2 实例是否存在漏洞
-
Inspector ECR 扫描 – 扫描 Amazon ECR 容器映像是否存在漏洞
-
Inspector Lambda 标准扫描 – 扫描 Lambda 函数是否存在漏洞
-
Inspector Lambda 代码扫描 – 扫描 Lambda 代码函数是否存在代码漏洞
Amazon Macie 的覆盖范围调查发现
Macie 覆盖范围调查发现评测是否已在 AWS 账户中启用 Macie:
-
Macie 自动敏感数据发现覆盖范围 – 持续评估您的 Amazon S3 数据资产是否包含敏感数据。
Macie 自动敏感数据发现的覆盖范围调查发现更新可能需要长达 24 小时才能反映到组织中的所有成员账户中。
