Security Hub 建议

注意

Security Hub 目前为预览版，可能会发生变化。

以下 AWS 安全服务会将调查发现以 OCSF 格式发送到 Security Hub。启用 Security Hub 后，建议启用这些 AWS 服务以增强安全性。

Security Hub CSPM

启用 Security Hub CSPM 后，您将在 AWS 中全面了解安全状态。这有助于您根据安全行业标准和最佳实践评估您的环境。虽然您可以不启用 Security Hub CSPM 即可开始使用 Security Hub，但我们建议启用 Security Hub CSPM，因为 Security Hub 会关联来自 Security Hub CSPM 的安全信号，以改善您的态势管理。

如果您启用了 Security Hub CSPM，则还建议您为您的账户启用 AWS 基础安全最佳实践标准。https://docs.aws.amazon.com/securityhub/latest/userguide/enable-standards.html此标准包含一组控件，用于检测您的 AWS 账户和资源何时偏离安全最佳实践。当您为您的账户启用 AWS 基础安全最佳实践标准时，AWS Security Hub CSPM 会自动启用其所有控件，包括以下资源类型的控件：

账户控件
Amazon DynamoDB 控件
Amazon Elastic Compute Cloud 控件
AWS Identity and Access Management（IAM）控件
AWS Lambda 控件
Amazon Relational Database Service (Amazon RDS) 控件
Amazon Simple Storage Service 控制

您可以禁用此列表中的任意控件。但是，如果您禁用这些控件中的任何一个，则无法收到受支持资源的暴露调查发现。有关适用于 AWS 基础安全最佳实践标准的控件的信息，请参阅 AWS Foundational Security Best Practices v1.0.0 (FSBP) standard。

GuardDuty

启用 GuardDuty 后，您可以在 Security Hub 控制台的控制面板中查看所有威胁和安全覆盖范围调查发现。如果启用 GuardDuty，GuardDuty 将自动开始以 OCSF 格式向 Security Hub 发送数据。

Amazon Inspector

启用 Amazon Inspector 后，您可以在 Security Hub 控制台的控制面板中查看所有暴露和安全覆盖范围调查发现。如果启用 Amazon Inspector，Amazon Inspector 将自动开始以 OCSF 格式向 Security Hub 发送数据。

我们建议激活 Amazon EC2 扫描和 Lambda 标准扫描。激活 Amazon EC2 扫描后，Amazon Inspector 会扫描您账户中的 Amazon EC2 实例，查找是否存在程序包漏洞和网络可访问性问题。激活 Lambda 标准扫描后，Amazon Inspector 会扫描 Lambda 函数，查找程序包依赖项中是否存在软件漏洞。有关更多信息，请参阅《Amazon Inspector 用户指南》中的 Activating a scan type。

Macie

启用 Macie 后，您可以检测 Amazon S3 存储桶的其他暴露。建议配置自动敏感数据发现，以便 Macie 可以每天评估您的 Amazon S3 存储桶清单。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

移除委托管理员

控制面板