本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Security Hub 中的涵蓋範圍調查結果
注意
Security Hub 處於預覽版本,可能會有所變更。
Security Hub 的涵蓋範圍調查結果可讓您了解哪些 AWS 安全功能已啟用,以及獨立帳戶或組織成員帳戶中的涵蓋範圍可能存在差距之處。啟用其他安全功能將增強 Security Hub 的偵測功能。涵蓋範圍調查結果會評估帳戶啟用了哪些 GuardDuty、Amazon Inspector、Macie 和 Security Hub CSPM 功能。這些調查結果會出現在 Security Hub 儀表板的安全涵蓋範圍小工具中,並能夠依特定安全功能深入了解更詳細的檢視。對於委派管理員,此小工具會顯示所有啟用 Security Hub 的成員帳戶的涵蓋範圍明細。
限制
-
對於成員帳戶,涵蓋範圍資訊會跨連結彙總 AWS 區域,但僅適用於該成員帳戶。
-
未加入 Security Hub 的帳戶不會顯示涵蓋範圍資訊
AWS Security Hub CSPM 的涵蓋範圍調查結果
Security Hub CSPM 涵蓋範圍調查結果會評估帳戶中是否已啟用合格的狀態管理安全標準。啟用任何 Security Hub CSPM 標準將符合資格,但 AWS Control Tower 和 資源標記標準除外。
啟用 Security Hub CSPM 時,最多可能需要 24 小時才能偵測預設啟用的標準。
Amazon GuardDuty 的涵蓋範圍調查結果
GuardDuty 涵蓋範圍調查結果會評估 中是否啟用 GuardDuty,以及啟用哪些 GuardDuty 功能 AWS 帳戶:
-
適用於 Amazon EC2 的 GuardDuty 惡意軟體防護 – 掃描 Amazon EC2 執行個體是否有潛在的惡意軟體
-
GuardDuty Amazon EKS 保護 – 監控 Kubernetes 稽核日誌是否有 Amazon EKS 叢集中的威脅
-
GuardDuty Lambda 保護 – 分析 Lambda 函數叫用是否有潛在威脅
-
GuardDuty Amazon S3 保護 – 分析對 Amazon S3 儲存貯體的潛在威脅的資料事件
-
GuardDuty Amazon RDS 保護 – 監控對 Amazon RDS 資料庫的威脅
-
GuardDuty 執行期監控 – 即時監控 Amazon EC2 執行個體中的執行期行為
-
GuardDuty 基礎涵蓋 – 啟用 GuardDuty 時自動開啟的基準 GuardDuty 功能
注意
對於 GuardDuty 基礎涵蓋範圍,表示功能已關閉的涵蓋範圍調查結果在帳戶中未啟用平均 GuardDuty。
GuardDuty 涵蓋範圍的更新最多可能需要 24 小時,才能反映組織中所有成員帳戶。
Amazon Inspector 的涵蓋範圍調查結果
Amazon Inspector 涵蓋範圍調查結果會評估 Amazon Inspector 是否已啟用,以及在帳戶中啟用哪些功能:
-
Inspector EC2 掃描 – 掃描 Amazon EC2 執行個體是否有漏洞
-
Inspector ECR 掃描 – 掃描 Amazon ECR 容器映像是否有漏洞
-
Inspector Lambda 標準掃描 – 掃描 Lambda 函數是否有漏洞
-
Inspector Lambda 程式碼掃描 – 掃描 Lambda 程式碼函數是否有程式碼漏洞
Amazon Macie 的涵蓋範圍調查結果
Macie 涵蓋範圍調查結果會評估 Macie 是否已啟用 AWS 帳戶:
-
Macie 自動化敏感資料探索涵蓋範圍 – 持續評估 Amazon S3 資料資產的敏感資料。
更新涵蓋範圍調查結果的 Macie 自動化敏感資料探索最多可能需要 24 小時,才能反映組織中所有成員帳戶。
