使用 Security Hub CSPM 中的控制面板
在 Security Hub CSPM 控制台上,摘要控制面板显示您的风险、攻击序列和安全覆盖范围的摘要。此控制面板可帮助您根据不同安全功能的严重性和账户覆盖范围识别风险和攻击序列。每次打开控制面板时,它都会自动刷新。但请注意,安全分数和控件状态每 24 小时刷新一次。
您可以通过在摘要控制面板中添加和删除不同的安全小组件来对其进行自定义。您也可以指定筛选条件来检索和显示特定类型的数据。如果自定义控制面板,Security Hub 会保存您的自定义设置。如果您的账户的其他用户自定义了控制面板,则其更改将独立于您的自定义设置进行保存。
如果您在 Security Hub CSPM 中配置了跨区域聚合,则摘要控制面板会显示聚合数据。如果您的账户是某组织的委派管理员账户,则数据包括您的账户和成员帐户的调查发现。如果您的账户是成员账户或独立账户,则数据仅包含您的账户的调查发现。
摘要控制面板的可用小组件
摘要控制面板包含了反映现代云安全威胁情形的小组件,以 AWS 客户的安全运营和体验为指导。有些小组件是默认显示的,而另一些则不是。您可以通过添加或删除小组件来自定义控制面板视图。
要添加小组件,请选择控制面板顶部的添加小组件。然后,您可以浏览可用小组件列表,也可以在搜索栏中输入小组件的标题。找到要添加的小组件后,请将其拖动到希望它在控制面板上显示的位置。有关更多信息,请参阅 自定义 控制面板。
默认显示的小组件
默认情况下,摘要控制面板包含以下小组件。
- 主要威胁序列
-
显示严重性最高的威胁序列。威胁序列调查发现(在 Amazon GuardDuty 中称为攻击序列调查发现)将多个事件关联起来,以识别您的 AWS 环境中的潜在威胁。威胁序列可能包括您的环境中正在进行或最近发生的攻击行为(在 24 小时时间范围内),这反过来可能导致进一步危害。您必须启用 GuardDuty 和 GuardDuty S3 Protection 才能在 Security Hub CSPM 中接收威胁序列调查发现。
- 主要风险
-
显示您的环境中的主要风险摘要。小组件顶部显示每个严重性级别的风险计数。您可以选择一个严重性级别来前往风险页面,并将风险筛选到所选严重性级别。在您的环境中发生频率最高的风险会首先显示。此小组件可帮助您优先处理要缓解的风险。
- 安全覆盖范围
-
根据覆盖范围控件调查发现,总结您的安全覆盖范围。覆盖范围控件检查特定 AWS 服务及其功能是否已启用(例如 [Macie.1] 应启用 Amazon Macie)。此小组件可帮助您拥有覆盖范围控件的
PASSED调查发现。Security Hub CSPM 控制台通过此小组件提供链接,帮助您启用缺失的安全功能。建议使用中心配置来启用多个 AWS 账户和 AWS 区域中缺失的安全功能。有关更多信息,请参阅 了解 Security Hub CSPM 中的中心配置。 - 安全标准
-
显示您最新的摘要安全分数以及每项 Security Hub CSPM 标准的安全分数。安全分数(介于 0-100% 之间)表示已通过控件与所有已启用控件的比例。有关这些资源的更多信息,请参阅计算安全分数的方法。此小组件可帮助您了解自己的整体安全状况。
- 具有最多调查发现的资产
-
概述具有最多调查发现的资源、账户和应用程序。该列表按调查发现的数量降序排序。在小组件中,按严重性和资源类型分组,每个选项卡显示该类别中排名前六的项目。如果您在调查发现总数列中选择一个数字,Security Hub CSPM 会打开一个页面显示资产的调查发现。此小组件可帮助您快速识别哪些核心资产存在潜在的安全威胁。
- 按地区划分的调查发现
-
按严重性分组,显示每个启用了 Security Hub CSPM 的 AWS 区域 中的调查发现总数。此小组件可帮助您识别可能影响特定区域的安全问题。如果您在聚合区域中打开控制面板,则此小组件可帮助您监控每个关联区域中的潜在安全问题。
- 最常见的威胁类型
-
详细列出您的 AWS 环境中最常见的 10 种威胁类型。包括权限升级、使用公开的凭证或与恶意 IP 地址通信等威胁。
要查看这些数据,必须启用 Amazon GuardDuty。如果已启用,请在此小组件中选择一种威胁类型,打开 GuardDuty 控制台并查看与此威胁相关的调查发现。此小组件可帮助您评估其他安全问题背景下的潜在威胁。
- 已被利用的软件漏洞
-
提供 AWS 环境中已知已被利用的软件漏洞的摘要。您还可以查看有可用修复程序和没有可用修复程序的漏洞明细。
要查看这些数据,必须启用 Amazon Inspector。如果已启用,请在此小组件中选择一项统计数据,打开 Amazon Inspector 控制台并查看有关该漏洞的更多详细信息。此小组件可帮助您在其他安全问题背景下评估软件漏洞。
- 随着时间推移而出现的新调查发现
-
显示过去 90 天内每日新调查发现数量的趋势。您可以按严重性或按提供程序对数据进行细分,以获取更多背景信息。此小组件可帮助您了解在过去 90 天中的特定时间内,调查发现数量是激增还是下降。
- 具有最多调查发现的资源
-
提供按以下资源类型进行细分,具有最多调查发现的资源摘要:Amazon Simple Storage Service(Amazon S3)存储桶、Amazon Elastic Compute Cloud(Amazon EC2)实例和 AWS Lambda 函数。
在小组件中,每个选项卡都侧重于上述某个资源类型,列出了调查发现最多的 10 个资源实例。要查看特定资源的调查发现,请选择该资源实例。此小组件可帮助您对与常用 AWS 资源相关的安全调查发现进行分类。
默认隐藏的小组件
以下小组件也可用于摘要控制面板,但默认情况下处于隐藏状态。
- 具有最多调查发现的 AMI
-
提供生成调查发现最多的 10 个亚马逊机器映像(AMI)的列表。仅当您的账户启用了 Amazon EC2 时,此数据才可用。它可以帮助您识别哪些 AMI 会带来潜在的安全风险。
- 调查发现最多的 IAM 主体
-
提供生成调查发现最多的 10 个 AWS Identity and Access Management(IAM)用户的列表。此小组件可帮助您执行管理和计费任务。它会显示那些使用 Security Hub CSPM 最多的用户。
- 调查发现最多的账户(按严重性分类)
-
显示生成调查发现最多的 10 个账户的图表,并按严重性分组。此小组件可帮助您确定要重点分析和修复哪些账户。
- 调查发现最多的账户(按资源类型分类)
-
显示生成调查发现最多的 10 个账户的图表,并按资源类型分组。此小组件可帮助您确定要优先分析和修复哪些账户和资源类型。
- 洞察
-
列出五个 Security Hub CSPM 托管见解及其生成的调查发现数量。洞察力确定了需要关注的特定安全领域。
- AWS 集成的最新调查发现
-
显示您在 Security Hub CSPM 中从集成 AWS 服务 中收到的调查发现数量。它还会显示您最近一次从每项集成服务中收到调查发现的时间。此小组件提供来自多个 AWS 服务 的调查发现整合数据。要深入了解,请选择集成服务。然后,Security Hub CSPM 会打开该服务的控制台。
