本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 準備可擴展的漏洞管理計劃
<a name="prepare-program"></a>

準備建置可擴展的漏洞管理計劃涉及教育人員、開發程序，並根據最佳實務實作適當的技術。人員、程序和技術對有效的漏洞管理計劃同樣重要，您必須緊密整合它們來大規模管理漏洞。

本指南的本節會檢閱您可以採取的基本動作，以準備可擴展的漏洞管理計劃 AWS。

**Topics**
+ [定義漏洞管理計畫](vulnerability-management-plan.md)
+ [分發安全擁有權](distribute-ownership.md)
+ [開發漏洞揭露計畫](disclosure-program.md)
+ [準備您的 AWS 環境](prepare-environment.md)
+ [監控 AWS 安全公告](monitor-aws-security-bulletins.md)
+ [設定 AWS 安全服務](configure-aws-security-services.md)
+ [準備指派安全性問題清單](prepare-finding-assignments.md)

# 定義漏洞管理計畫
<a name="vulnerability-management-plan"></a>

準備雲端漏洞管理計劃的第一步是定義*漏洞管理計劃*。此計劃包含您的組織遵循的政策和程序。所有利益相關者都應記錄和存取此計劃。漏洞管理計畫是高階文件，通常包含下列各節：
+ **目標和範圍** – 概述漏洞管理的目標、功能和範圍。
+ **角色和責任** – 列出漏洞管理利益相關者並詳細說明其責任。
+ **漏洞嚴重性和優先順序定義** – 決定如何分類漏洞嚴重性以及如何排定優先順序。
+ **用於修復****的服務層級協議 (SLAs)** – 針對每個嚴重性層級，定義修復擁有者解決安全問題清單所需的時間上限。由於 SLA 合規是擁有有效且可擴展的漏洞管理計畫不可或缺的一部分，請考慮如何追蹤您是否滿足這些 SLAs。
+ **例外狀況程序 **– 詳細說明提交、核准和更新例外狀況的程序。此程序應確保例外狀況合法、有時間限制且受到追蹤。
+ **漏洞資訊來源 **– 列出產生安全調查結果的來源或工具。如需有關 AWS 服務 可能是安全調查結果來源的詳細資訊，請參閱本指南[設定 AWS 安全服務](configure-aws-security-services.md)中的 。

雖然這些區段在大小和產業不同的公司中都很常見，但每個組織的漏洞管理計畫都是獨一無二的。您需要建立最適合您組織的漏洞管理計劃。預期隨著時間的推移反覆執行您的計劃，以納入經驗教訓和不斷發展的技術。

# 分發安全擁有權
<a name="distribute-ownership"></a>

[AWS 共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)定義了 AWS 及其客戶如何共同承擔雲端安全與合規的責任。在此模型中， 會 AWS 保護執行 中提供之所有服務的基礎設施 AWS 雲端，而 AWS 客戶需負責保護其資料和應用程式的安全。

您可以在組織內鏡射此模型，並在雲端和應用程式團隊之間分配責任。這可協助您更有效地擴展雲端安全計劃，因為應用程式團隊擁有其應用程式的某些安全層面。共同責任模型最簡單的解釋是，如果您有權設定資源，則需負責該資源的安全性。

將安全責任分配給應用程式團隊的關鍵部分是建置自助式安全工具，協助您的應用程式團隊自動化。一開始，這可能是共同努力。安全團隊可以將安全需求轉換為程式碼掃描工具，然後應用程式團隊可以使用這些工具來與其內部開發人員社群建置和共用解決方案。這有助於提高其他團隊之間的效率，這些團隊需要滿足類似的安全需求。

下表概述將擁有權分發給應用程式團隊的步驟，並提供範例。


****  

| 步驟 | Action | 範例 | 
| --- | --- | --- | 
| 1 | 定義您的安全需求 – 您嘗試達成什麼？ 這可能來自安全標準或合規要求。 | 範例安全需求是應用程式身分的最低權限存取。 | 
| 2 | 列舉安全需求的控制 – 從控制角度來看，此要求實際上意味著什麼？ 我需要做什麼才能達成此目標？ | 為了實現應用程式身分的最低權限，下列是兩個範例控制項：[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/vulnerability-management/distribute-ownership.html) | 
| 3 | 控制項的文件指引 – 透過這些控制項，您可以提供哪些指引給開發人員，以協助他們遵守控制項？ | 一開始，您可以從記錄簡單的範例政策開始，包括安全和不安全的 IAM 政策和 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策。接下來，您可以在持續整合和持續交付 (CI/CD) 管道中嵌入政策掃描解決方案，例如使用[AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html)進行主動評估。 | 
| 4 | 開發可重複使用的成品 – 透過 指引，您可以更輕鬆地為開發人員開發可重複使用的成品嗎？ | 您可以建立基礎設施做為程式碼 (IaC)，以部署遵循最低權限原則的 IAM 政策。您可以在程式碼儲存庫中存放這些可重複使用的成品。 | 

自助式服務可能不適用於所有安全需求，但適用於標準案例。透過遵循這些步驟，組織可以授權其應用程式團隊以可擴展的方式處理更多自己的安全責任。整體而言，分散式責任模型會在許多組織中產生更多協作安全實務。

# 開發漏洞揭露計畫
<a name="disclosure-program"></a>

如需[defense-in-depth](apg-gloss.md#glossary-defense-in-depth)漏洞管理的方法，請建立漏洞揭露計畫，以便組織內外的人員可以報告安全漏洞或風險。

對於組織內的人員，請建立提交風險或漏洞的程序。這可以透過票證系統或電子郵件來完成。無論您選擇哪個程序，您的員工都必須了解程序，並且可以輕鬆提交他們遇到的任何漏洞或風險。

對於組織外部的人員，請建立用於提交潛在安全漏洞的外部網頁。例如，請參閱[AWS 漏洞報告](https://aws.amazon.com/security/vulnerability-reporting/)網頁。此網頁也應包含揭露準則，以協助保護組織的資料和資產。漏洞揭露計畫不應鼓勵潛在的有害活動，因此您必須有明確的政策，其中包含指導方針。建立成熟、負責任的披露計劃是在您使計劃成熟時努力的目標。大多數都不是從外部揭露計畫開始，需要一些時間才能正確執行。

# 準備您的 AWS 環境
<a name="prepare-environment"></a>

在實作任何漏洞管理工具之前，請確定您的 AWS 環境已架構成支援可擴展的漏洞管理計劃。您 AWS 帳戶 和組織標記政策的結構可以簡化建置可擴展性漏洞管理計畫的程序。

## 開發 AWS 帳戶 結構
<a name="account-structure"></a>

[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 隨著您的業務成長和擴展其 AWS 資源， 有助於集中管理 AWS 環境。中的 AWS Organizations *組織*會將您的 合併 AWS 帳戶 為邏輯群組或*組織單位*，以便您以單一單位管理它們。您可以從 AWS Organizations 稱為管理帳戶的專用*帳戶進行管理*。如需詳細資訊，請參閱 [AWS Organizations 術語與概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)。

建議您在 中管理 AWS 多帳戶環境 AWS Organizations。這有助於建立公司帳戶和資源的完整清查。這個完整的資產庫存是漏洞管理的關鍵層面。應用程式團隊不應使用組織外部的帳戶。

[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 可協助您設定和管理 AWS 多帳戶環境，並遵循規範最佳實務。如果您尚未建立多帳戶環境， AWS Control Tower 是很好的起點。

我們建議您使用[AWS 安全參考架構 (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/) 中所述的[專用帳戶結構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/dedicated-accounts.html)和最佳實務。[安全工具帳戶](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)應做為安全服務的委派管理員。本指南稍後將提供有關在此帳戶中設定漏洞管理工具的詳細資訊。在[工作負載組織單位 (OU) ](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/application.html)的專用帳戶中託管應用程式。這會為每個應用程式建立強大的工作負載層級隔離和明確的安全界限。如需使用多帳戶方法之設計原則和優點的相關資訊，請參閱[使用多個帳戶組織您的 AWS 環境](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-multiple-aws-accounts.html) (AWS 白皮書）。

擁有刻意的帳戶結構，並從專用帳戶集中管理安全服務，是可擴展漏洞管理計畫的關鍵層面。

## 定義、實作和強制執行標籤
<a name="define-implement-and-enforce-tags"></a>

*標籤*是鍵值組，可做為中繼資料來組織您的 AWS 資源。如需詳細資訊，請參閱[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。您可以使用標籤來提供業務內容，例如業務單位、應用程式擁有者、環境和成本中心。下表顯示一組範例標籤。


****  

| 金鑰 | 值 | 
| --- | --- | 
| BusinessUnit | HumanResources | 
| CostCenter | CC101 | 
| ApplicationTeam | HumanResourcesTechnology | 
| Environment | 生產 | 

標籤可協助您排定問題清單的優先順序。例如，它可以協助您：
+ 識別負責修補漏洞的資源擁有者
+ 追蹤哪些應用程式或業務單位有大量的調查結果
+ 針對特定資料分類呈報問題清單的嚴重性，例如個人身分識別資訊 (PII) 或支付卡產業 (PCI) 資料
+ 識別環境中的資料類型，例如在較低層級的開發環境中測試資料或生產資料

為了協助您大規模實現有效的標記，請遵循*標記 AWS 資源最佳實務* (AWS 白皮書） 中的[建立標記策略](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/building-your-tagging-strategy.html)中的指示。

# 監控 AWS 安全公告
<a name="monitor-aws-security-bulletins"></a>

我們強烈建議定期和頻繁地監控[AWS 安全公告](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinId&card-body.sort-order=desc&awsf.bulletins-flag=*all&awsf.bulletins-year=*all)。安全公告可以通知您任何新的安全相關漏洞、受影響的服務和適用的更新。您也可以訂閱安全公告的 [RSS 摘要](https://aws.amazon.com/security/security-bulletins/rss/feed/)，並建置程序來擷取和解決這些公告，做為漏洞管理計畫的一部分。

# 設定 AWS 安全服務
<a name="configure-aws-security-services"></a>

AWS 提供各種安全服務，旨在協助保護您的 AWS 環境。針對您的漏洞管理計劃，我們建議您 AWS 服務 在每個帳戶中啟用下列項目：
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 可協助偵測您環境中的作用中威脅。GuardDuty 調查結果可協助您識別環境中利用的未知漏洞。它也可以協助您了解未修補漏洞的影響。
+ [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) 可讓您持續了解資源效能，以及 AWS 服務 和 帳戶的可用性。
+ [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 會分析您 AWS 環境中以資源為基礎的政策，以識別與外部實體共用的資源。這可協助您識別與意外存取資源和資料相關的漏洞。針對帳戶外部共用資源的每一個執行個體，IAM Access Analyzer 都會產生一份問題清單。
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) 是一種漏洞管理服務，可持續掃描 AWS 工作負載是否有軟體漏洞和意外的網路暴露。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 可協助您根據安全產業標準檢查 AWS 環境，並識別雲端組態風險。它還可以彙總來自其他 AWS 安全服務和第三方 AWS 安全工具的問題清單，以全面檢視您的安全狀態。

本節討論如何啟用和設定 Amazon Inspector 和 Security Hub CSPM，以協助您建立可擴展的漏洞管理計畫。

# 在漏洞管理計畫中使用 Amazon Inspector
<a name="amazon-inspector"></a>

[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) 是一種漏洞管理服務，可持續掃描您的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、Amazon Elastic Container Registry (Amazon ECR) 容器映像，以及 AWS Lambda 軟體漏洞和意外網路暴露的函數。您可以使用 Amazon Inspector 來取得整個 AWS 環境的軟體漏洞的可見性，並排定解決優先順序。

Amazon Inspector 會在資源的整個生命週期中持續評估您的環境。它會自動重新掃描資源，以回應可能會引入新漏洞的變更。例如，當您在 EC2 執行個體上安裝新套件、安裝修補程式，或發佈影響資源的新常見漏洞和暴露 (CVE) 時，它會重新掃描。當 Amazon Inspector 識別漏洞或開放式網路路徑時，會產生您可以調查的問題清單。調查結果提供有關漏洞的完整資訊，包括下列項目：
+ [Amazon Inspector 風險分數](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-score.html)
+ [常見漏洞評分系統 (CVSS) 分數](https://www.first.org/cvss/calculator/3.1)
+ 受影響的資源
+ 來自 Amazon、 [https://www.recordedfuture.com/](https://www.recordedfuture.com/)和 的 CVE 漏洞智慧資料 [https://www.cisa.gov/](https://www.cisa.gov/)
+ 修復建議

如需設定 Amazon Inspector 的說明，請參閱 [Amazon Inspector 入門](https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html)。本教學課程中的*啟用 Amazon Inspector* 步驟提供兩種組態選項：獨立帳戶環境和多帳戶環境。如果您想要監控屬於組織成員的多個 AWS 帳戶 ，建議您使用多帳戶環境選項 AWS Organizations。

當您為多帳戶環境設定 Amazon Inspector 時，您可以將組織中的帳戶指定為 Amazon Inspector 委派管理員。委派管理員可以管理組織成員的問題清單和一些設定。例如，委派管理員可以檢視所有成員帳戶彙總調查結果的詳細資訊、啟用或停用成員帳戶的掃描，以及檢閱掃描的資源。 AWS SRA 建議您建立[安全工具帳戶](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)，並將其用作 Amazon Inspector 委派管理員。

# 在漏洞管理程式 AWS Security Hub CSPM 中使用
<a name="aws-security-hub"></a>

在 上建置可擴展的漏洞管理計畫，除了雲端組態風險之外，還 AWS 涉及管理傳統軟體和網路漏洞。 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)可協助您根據安全產業標準檢查 AWS 環境，並識別雲端組態風險。Security Hub CSPM 也 AWS 透過彙整來自其他安全服務和第三方 AWS 安全工具的安全調查結果，提供 中安全狀態的完整檢視。

在下列各節中，我們提供設定 Security Hub CSPM 以支援漏洞管理計劃的最佳實務和建議：
+  [設定 Security Hub CSPM](#setting-up-security-hub)
+  [啟用 Security Hub CSPM 標準](#enabling-security-hub-standards)
+  [管理 Security Hub CSPM 問題清單](#managing-security-hub-findings)
+  [從其他安全服務和工具彙總問題清單](#aggregating-findings-from-other-security-services-and-tools)

## 設定 Security Hub CSPM
<a name="setting-up-security-hub"></a>

如需設定說明，請參閱[設定 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)。若要使用 Security Hub CSPM，您必須啟用 [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)。如需詳細資訊，請參閱 Security Hub CSPM 文件中的[啟用和設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。

如果您與組織管理帳戶整合 AWS Organizations，您可以將帳戶指定為 Security Hub CSPM 委派管理員。如需說明，請參閱[指定 Security Hub CSPM 委派管理員](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#designate-admin-overview)。 AWS SRA 建議您建立[安全工具帳戶](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)，並將其用作 Security Hub CSPM 委派管理員。

委派管理員會自動擁有為組織中的所有成員帳戶設定 Security Hub CSPM 的存取權，並檢視與這些帳戶相關聯的問題清單。建議您在所有 AWS 區域 和所有 中啟用 AWS Config Security Hub CSPM AWS 帳戶。您可以設定 Security Hub CSPM 自動將新組織帳戶視為 Security Hub CSPM 成員帳戶。如需說明，請參閱[管理屬於組織的成員帳戶](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html)。

## 啟用 Security Hub CSPM 標準
<a name="enabling-security-hub-standards"></a>

Security Hub CSPM 透過對安全*控制*執行自動化和持續安全檢查來產生問題清單。這些控制項與一或多個*安全標準*相關聯。這些控制項可協助您判斷是否符合標準中的要求。

當您在 Security Hub CSPM 中啟用標準時，Security Hub CSPM 會自動啟用適用於標準的控制項。Security Hub CSPM 使用 AWS Config [規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)來執行其控制項的大部分安全檢查。您可以隨時啟用或停用 Security Hub CSPM 標準。如需詳細資訊，請參閱 [中的安全控制和標準 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html)。如需完整的標準清單，請參閱 [Security Hub CSPM 標準參考](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html)。

如果您的組織還沒有偏好的安全標準，我們建議您使用 [AWS 基礎安全最佳實務 (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)。此標準旨在偵測 AWS 帳戶 和資源何時偏離安全最佳實務。 AWS 策劃此標準並定期更新，以涵蓋新功能和服務。對 FSBP 調查結果進行分類後，請考慮啟用其他標準。

## 管理 Security Hub CSPM 問題清單
<a name="managing-security-hub-findings"></a>

Security Hub CSPM 提供多種功能，可協助您處理整個組織中的大量問題清單，並了解 AWS 環境的安全狀態。為了協助您管理問題清單，我們建議您啟用下列兩個 Security Hub CSPM 功能：
+ 使用[跨區域彙總](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)將問題清單、問題清單更新、洞見、控制合規狀態和安全分數從多個彙總 AWS 區域 到單一彙總區域。
+ 透過移除重複的問題[清單，使用合併的控制](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)問題清單來減少問題清單雜訊。在您的帳戶中開啟合併控制項調查結果時，即使控制項適用於多個啟用的標準，Security Hub CSPM 仍會為每個控制項的安全檢查產生單一新調查結果或調查結果更新。

## 從其他安全服務和工具彙總問題清單
<a name="aggregating-findings-from-other-security-services-and-tools"></a>

除了產生安全調查結果之外，您還可以使用 Security Hub CSPM 從數個 AWS 服務 和支援的第三方安全解決方案彙總調查結果資料。本節著重於將安全性問題清單傳送至 Security Hub CSPM。下一節[準備指派安全性問題清單](prepare-finding-assignments.md)討論如何將 Security Hub CSPM 與可從 Security Hub CSPM 接收問題清單的產品整合。

您可以與 Security Hub AWS 服務 CSPM 整合許多可用的第三方產品和開放原始碼解決方案。如果您才剛開始使用，我們建議您執行下列動作：

1. **啟用整合 AWS 服務** – 大多數將問題清單傳送到 Security Hub CSPM 的 AWS 服務 整合會在您同時啟用 Security Hub CSPM 和整合服務後自動啟用。針對您的漏洞管理計劃，我們建議您在每個帳戶中啟用 Amazon Inspector AWS Health、Amazon GuardDuty 和 IAM Access Analyzer。這些服務會自動將其調查結果傳送至 Security Hub CSPM。如需支援 AWS 服務 整合的完整清單，請參閱[AWS 服務 將問題清單傳送至 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html)。
**注意**  
AWS Health 如果符合下列其中一個條件， 會將問題清單傳送至 Security Hub CSPM：  
調查結果與 AWS 安全服務相關聯
問題清單**類型碼**包含單字 `security`、 `abuse`或 `certificate`
問題清單 AWS Health 服務為 `risk`或 `abuse`

1. **設定第三方整合** – 如需目前支援的整合清單，請參閱[可用的第三方合作夥伴產品整合](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html)。選取可將問題清單傳送至 Security Hub CSPM 或從中接收問題清單的任何其他工具。您可能已經擁有其中一些第三方工具。遵循產品說明來設定與 Security Hub CSPM 的整合。

# 準備指派安全性問題清單
<a name="prepare-finding-assignments"></a>

在本節中，您會設定團隊用來管理和指派安全性問題清單的工具。本節包含下列選項：
+ [管理現有工具和工作流程中的問題清單](existing-tools.md) – 此選項 AWS Security Hub CSPM 會與現有的系統整合，讓您的團隊用來管理日常任務，例如產品待處理項目。對於已建立工具來管理工作流程的團隊，建議使用此選項。
+ [在 Security Hub CSPM 中管理問題清單](manage-findings-in-security-hub.md) – 此選項會設定 Security Hub CSPM 事件的通知，以便適當的團隊收到提醒，並可以解決 Security Hub CSPM 中的問題清單。

決定哪個工作流程最適合您的團隊，並確保安全調查結果可以立即將其提供給其各自的擁有者。

# 管理現有工具和工作流程中的問題清單
<a name="existing-tools"></a>

我們建議為已建立工具的企業組織提供額外的 Security Hub CSPM 整合，供團隊用來管理或執行日常任務。您可以將 Security Hub CSPM 調查結果資料匯入數個技術平台。範例包括：
+ [安全資訊和事件管理 (SIEM) 系統](apg-gloss.md#glossary-siem)可協助安全團隊分類操作安全事件。SIEM 系統可即時分析應用程式和網路硬體所產生的安全提醒。
+ [控管、風險和合規 (GRC)](https://aws.amazon.com/what-is/grc/) 系統可協助合規和控管團隊監控和報告風險管理資料。GRC 工具是企業可用來管理政策、評估風險、控制使用者存取和簡化合規的軟體應用程式。您可以使用 GRC 工具來整合業務流程、降低成本並改善效率。
+ 產品待處理項目和票證系統可協助應用程式和雲端團隊管理功能，並排定開發任務的優先順序。 [https://www.atlassian.com/software/jira](https://www.atlassian.com/software/jira)和 [https://learn.microsoft.com/en-us/azure/devops/user-guide/what-is-azure-devops](https://learn.microsoft.com/en-us/azure/devops/user-guide/what-is-azure-devops)是這些系統的範例。

將 Security Hub CSPM 調查結果直接與這些現有企業系統整合，可以改善平均復原時間 (MTTR) 和安全性結果，因為日常營運工作流程不需要變更。團隊可以更快地回應安全調查結果並從中學習，因為他們不需要使用單獨的工作流程和工具。整合讓解決安全調查結果成為一般標準工作流程的一部分。

Security Hub CSPM 與多個第三方合作夥伴產品整合。如需完整清單和說明，請參閱 Security Hub CSPM 文件中的[可用的第三方合作夥伴產品整合](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html)。常見的整合包括 [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-atlassian-jira-service-management](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-atlassian-jira-service-management)、[與 AWS Security Hub CSPMJira軟體雙向整合](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html)，以及 [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-servicenow-itsm](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-servicenow-itsm)。下圖顯示如何設定 Amazon Inspector 將問題清單傳送至 Security Hub CSPM，然後設定 Security Hub CSPM 將所有問題清單傳送至 Jira。



![\[將 Amazon Inspector 和 AWS Security Hub CSPM 調查結果傳送至 Jira\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/vulnerability-management/images/jira-integration-security-hub.png)


# 在 Security Hub CSPM 中管理問題清單
<a name="manage-findings-in-security-hub"></a>

您可以使用 [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) 規則和 Amazon Simple Notification Service (Amazon SNS) 主題，為 Security Hub CSPM 調查結果建置雲端型通知系統。此系統會在建立問題清單時通知適當的團隊。對於此方法， 中所述的多帳戶策略[開發 AWS 帳戶 結構](prepare-environment.md#account-structure)至關重要，因為應用程式分為專用帳戶。這可協助您為每個調查結果通知正確的團隊。

安全性或雲端團隊可能會選擇接收所有 的事件 AWS 帳戶。在此情況下，請在 Security Hub CSPM 委派管理員帳戶中建置 EventBridge 規則，並訂閱通知這些團隊的 Amazon SNS 主題。對於應用程式團隊，請在其各自的應用程式帳戶中設定 EventBridge 規則和 SNS 主題。當 Security Hub CSPM 調查結果在應用程式帳戶中發生時，負責的團隊會收到調查結果的通知。

Security Hub CSPM 已自動將所有新調查結果和現有調查結果的所有更新作為 **Security Hub CSPM 調查結果 - 匯入**的事件傳送至 EventBridge。每個 **Security Hub CSPM 調查結果 - 匯入**的事件都包含單一調查結果。您可以在 EventBridge 規則上套用篩選條件，讓問題清單只有在問題清單符合篩選條件時，才會啟動規則。如需說明，請參閱為[自動傳送的問題清單設定 EventBridge 規則](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-all-findings.html)。如需建立和訂閱 Amazon SNS 主題的詳細資訊，請參閱[設定 Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-configuring.html)。

採取此方法時，請考量下列事項：
+ 對於應用程式團隊，在應用程式託管的每個 AWS 帳戶 和 AWS 區域 中建立 EventBridge 規則。
+ 對於安全與雲端團隊，請在 Security Hub CSPM 委派管理員帳戶中建立 EventBridge 規則。這會通知團隊成員帳戶中的所有問題清單。
+ 如果安全調查結果的狀態為 ，Amazon SNS 會每天傳送通知`NEW`。如果您想要關閉每日通知，您可以建立自訂 AWS Lambda 函數，在 Amazon SNS 訂閱者收到通知`NEW``NOTIFIED`後，將調查結果的狀態從 變更為 。