Security Hub 的概念

在 Security Hub 中，我们建立在常用 AWS 概念和术语的基础上，并使用这些附加术语。

Account

包含您的 AWS 资源的标准 AWS 账户。 AWS 使用您的 AWS 帐户登录以启用 Security Hub。

如果您的帐户已注册 AWS Organizations，则您的组织会指定一个 Security Hub 管理员帐户。此账户可以启用其他组织账户作为成员账户。

一个组织只能有一个管理员账户。账户不能既是管理员账户又是成员账户。

Security Hub 支持以下账户：

组织管理 AWS 账户 — 管理 AWS 组织的账户。
委托管理员 AWS 账户 — 管理 AWS 组织使用情况 AWS 服务的账户。
成员账户 — 作为 AWS AWS 组织成员的账户。
独立账户-未 AWS Organizations 启用的 AWS 账户

管理员账户

此类 AWS 账户可以查看关联成员账户的调查结果。

当组织管理 AWS 帐户将该帐户指定为 Security Hub 管理员帐户时，此类帐户将变为管理员帐户。Security Hub 管理员账户可以启用任何组织账户作为成员账户，还可以邀请其他账户成为成员账户。

一个组织只能有一个管理员账户。账户不能既是管理员账户又是成员账户。

聚合区域

聚合区域允许您在单个控制面板 AWS 区域中查看来自多个区域的安全发现。

聚合区域是您查看和管理调查结果 AWS 区域的地方。调查发现会从关联区域聚合到聚合区域中。更新后的调查发现会在各个区域之间复制。

在聚合区域中，控制面板和库存页包含来自所有关联区域的数据。自动化页面只能用于定义聚合区域中的自动化规则。第三方票证集成只能在聚合区域中进行配置。

存档的发现

状态为 ARCHIVED 的调查发现。这些调查发现表明，调查发现的调查发现提供者或客户认为该调查发现不再相关。

寻找提供者可以存档他们创建的结果。客户可以使用 Security Hub API 的 BatchUpdateFindingsV2 操作或在 Security Hub 控制台中更新状态来存档他们认为不再相关的发现。

在 Security Hub 控制台中，默认筛选设置会将存档的调查发现从调查发现列表和表格中排除。您可以更新筛选条件以包括已存档的调查发现如果使用 GetFindingsV2 操作检索查找结果，则该操作会同时检索存档和活动查找结果。以下示例说明了如何在结果中排除已存档的调查发现。


{
    "StringFilters":
    [
        {
            "FieldName": "status",
            "Filter":
            {
                "Value": "Archived",
                "Comparison": "EQUALS"
            }
        }
    ]
}

跨区域聚合

将来自关联区域的调查发现和资源汇总到一个聚合区域。您可以查看聚合区域中的所有数据，并更新聚合区域中的调查发现。

委派管理员帐户

在中 AWS Organizations，服务的委派管理员帐户能够管理组织对服务的使用。

在 Security Hub 中，Security Hub 管理员账户也是 Security Hub 的委派管理员账户。当组织管理账户首次指定 Security Hub 管理员账户时，Security Hub 会调用 Organizations，将该账户设为委派管理员账户。

然后，组织管理账户必须选择委派管理员账户作为所有区域的 Security Hub 管理员账户。

曝光

风险是指安全控制、配置错误或其他可能被主动威胁利用的领域中更广泛的漏洞。

曝光示例包括：

资源的控制平面配置错误。
存在极有可能被利用的软件漏洞。
可公开访问的资源（网络或 API）。

暴露调查发现

一种描述您的环境中存在的暴露情况的调查发现。暴露调查发现包括特征和信号。一个信号可以包含一种或多种类型的暴露特征。 AWS 当来自 Security Hub CSPM、Amazon Inspector、亚马逊 GuardDuty、亚马逊 Macie AWS 或其他服务的信号表明存在风险时，Sec AWS urity Hub 会生成曝光结果。一项或多项曝光调查结果可能涉及资源。如果资源没有任何暴露特征或特征不足，Security Hub 不会为该资源生成暴露调查发现。

曝光发现的一个例子是：一个可以从互联网访问的 EC2 实例，并且存在很有可能被利用的软件漏洞。

调查发现

安全检查或与安全相关的检测的可观察记录。Security Hub 通过与其他安全调查发现进行关联来生成和更新调查发现。这些被称为暴露调查发现。调查结果也可能来自与其他产品 AWS 服务和第三方产品的集成。

发现摄入

将调查发现导入 Security Hub。调查发现摄取事件包括新调查发现和现有调查发现的更新。

关联区域

启用跨区域聚合后，关联区域是指将调查发现和资源清单聚合到聚合区域的区域。

在关联区域中，控制面板和库存页面仅包含相关调查结果 AWS 区域。

开放式网络安全架构框架（OCSF）

开放网络安全架构框架 (OCSF) 是由 AWS 网络安全行业的领先合作伙伴共同开发的开源项目。OCSF 为常见安全事件提供了标准架构，定义了版本控制标准以促进架构的演变，还包括安全日志生成者和使用者的自治流程。有关更多信息，请参阅 OCSF findings in Security Hub。

成员账户

授 AWS 账户予管理员帐户查看其调查结果并对其采取行动的权限。当 Security Hub 管理员帐户将其启用为成员帐户时，此类帐户 AWS 账户就会变成成员帐户。

信号

促成暴露调查发现的调查发现。信号可以被称为促成性调查发现。信号可以源自 Security Hub CSPM 或其他 AWS 服务信号 AWS Config，例如 Amazon Inspector。

特质

导致暴露调查发现的安全偏差。特征类型包括假设性、错误配置、可访问性、敏感数据和漏洞。一个特征与一个信号相关联，一个信号可以包含多个特征。例如，Security Hub CSPM 控件表示客户管理型策略允许管理访问控制。此信号包含错误配置特征。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

AWS Security Hub

成本估算器