本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Security Hub CSPM 中的概念和術語
在 AWS Security Hub Cloud Security Posture Management (CSPM) 中,我們以常見的 AWS 概念和術語為基礎,並使用這些額外的術語。
- 帳戶
-
標準 Amazon Web Services (AWS) 帳戶,其中包含您的 AWS 資源。您可以使用 AWS 帳戶登入 ,並啟用 Security Hub CSPM。
帳戶可以邀請其他帳戶啟用 Security Hub CSPM,並在 Security Hub CSPM 中與該帳戶建立關聯。接受成員邀請為選擇性。如果接受邀請,帳戶會成為管理員帳戶,而新增的帳戶是成員帳戶。管理員帳戶可以檢視其成員帳戶中的問題清單。
如果您已註冊 AWS Organizations,則組織會為組織指定 Security Hub CSPM 管理員帳戶。Security Hub CSPM 管理員帳戶可以將其他組織帳戶啟用為成員帳戶。
帳戶不能同時是管理員帳戶和成員帳戶。帳戶只能有一個管理員帳戶。
如需詳細資訊,請參閱在 Security Hub CSPM 中管理管理員和成員帳戶。
- 管理員帳戶
-
Security Hub CSPM 中的帳戶,有權檢視相關聯成員帳戶的問題清單。
帳戶會以下列其中一種方式成為管理員帳戶:
-
帳戶會邀請其他帳戶在 Security Hub CSPM 中與其建立關聯。當這些帳戶接受邀請時,他們將成為成員帳戶,邀請帳戶將成為其管理員帳戶。
-
帳戶由組織管理帳戶指定為 Security Hub CSPM 管理員帳戶。Security Hub CSPM 管理員帳戶可以將任何組織帳戶啟用為成員帳戶,也可以邀請其他帳戶成為成員帳戶。
帳戶只能有一個管理員帳戶。帳戶不能同時是管理員帳戶和成員帳戶。
-
- 彙總區域
-
設定彙總區域可讓您在 AWS 區域 單一玻璃窗格中檢視來自多個 的安全調查結果。
彙總區域是您檢視和管理問題清單的區域。調查結果會從連結的區域彙總到彙總區域。問題清單的更新會跨區域複寫。
在彙總區域中,安全標準、洞見和調查結果頁面包含來自所有連結區域的資料。
如需詳細資訊,請參閱了解 Security Hub CSPM 中的跨區域彙總。
- 存檔的問題清單
-
記錄狀態 (
RecordState
) 為 的調查結果ARCHIVED
。封存問題清單表示問題清單提供者認為問題清單不再相關。記錄狀態與工作流程狀態不同,工作流程狀態會追蹤調查結果的調查狀態。問題清單提供者可以使用 Security Hub CSPM API BatchImportFindings的操作來封存他們建立的問題清單。Security Hub CSPM 會自動封存符合特定條件的控制調查結果。如需詳細資訊,請參閱產生、更新和封存控制問題清單。
在 Security Hub CSPM 主控台上,預設篩選條件設定會從問題清單和資料表中排除封存的問題清單。您可以更新設定以包含封存的問題清單。如果您使用 Security Hub CSPM API GetFindings的操作來擷取問題清單,則該操作會同時擷取封存和作用中的問題清單。若要排除封存的問題清單,您可以篩選結果。例如:
"RecordState": [ { "Comparison": "EQUALS", "Value": "ARCHIVED" } ],
- AWS 安全調查結果格式 (ASFF)
-
Security Hub CSPM 彙總或產生之問題清單內容的標準化格式。 AWS 安全調查結果格式可讓您使用 Security Hub CSPM 檢視和分析 AWS 由安全服務、第三方解決方案或 Security Hub CSPM 本身從執行安全檢查所產生的調查結果。如需詳細資訊,請參閱AWS 安全調查結果格式 (ASFF)。
- 控制項
-
為資訊系統或組織規定的一種保護或應對措施,旨在保護其資訊的機密性、完整性和可用性,並符合一組定義的安全需求。安全標準與控制項集合相關聯。
安全控制一詞是指跨標準具有單一控制項 ID 和標題的控制項。標準控制項一詞是指具有標準特定控制項 IDs和標題的控制項。目前,Security Hub CSPM 僅支援中國區域和 的標準控制項 AWS GovCloud (US) Regions。所有其他區域都支援安全控制。
- 自訂動作
-
用於將所選問題清單傳送至 EventBridge 的 Security Hub CSPM 機制。自訂動作是在 Security Hub CSPM 中建立。然後,它會連結到 EventBridge 規則。規則會定義一個要在接收到與自訂動作 ID 建立關聯的問題清單時,所要採取的特定動作。例如,您可以使用自訂動作來將特定問題清單,或是一小組問題清單傳送至回應或修補工作流程。如需詳細資訊,請參閱建立自訂動作。
- 委派管理員帳戶 (組織)
-
在 中 AWS Organizations,服務的委派管理員帳戶可以管理組織的服務使用。
在 Security Hub CSPM 中,Security Hub CSPM 管理員帳戶也是 Security Hub CSPM 的委派管理員帳戶。當組織管理帳戶首次指定 Security Hub CSPM 管理員帳戶時,Security Hub CSPM 會呼叫 Organizations 將該帳戶設為委派管理員帳戶。
組織管理帳戶接著必須選擇委派管理員帳戶作為所有區域中的 Security Hub CSPM 管理員帳戶。
- 問題清單
-
安全檢查或安全性相關偵測的可觀察記錄。Security Hub CSPM 會在完成控制項的安全檢查後產生問題清單。這些稱為控制調查結果。問題清單也可以來自與其他 AWS 服務 和第三方產品的整合。
如需詳細資訊,請參閱在 Security Hub CSPM 中建立和更新問題清單。
- 跨區域彙總
-
問題清單、洞見、控制合規狀態和安全分數從連結區域彙總到彙總區域。然後,您可以從彙總區域檢視所有資料,並從彙總區域更新調查結果和洞見。
如需詳細資訊,請參閱了解 Security Hub CSPM 中的跨區域彙總。
- 尋找擷取
-
從其他服務 AWS 和第三方合作夥伴提供者將問題清單匯入 Security Hub CSPM。
調查結果擷取事件包括新調查結果和現有調查結果的更新。
- Insight
-
彙總陳述式和選用篩選條件定義的相關問題清單集合。該洞見會識別需要注意和介入的安全區域。Security Hub CSPM 提供數個您無法修改的受管 (預設) 洞見。您也可以建立自訂 Security Hub CSPM 洞見,以追蹤您 AWS 環境和用量特有的安全問題。如需詳細資訊,請參閱在 Security Hub CSPM 中檢視洞見。
- 連結的區域
-
當您啟用跨區域彙總時,連結的區域是將調查結果、洞察、控制合規狀態和安全分數彙總至彙總區域的區域。
在連結的區域中,調查結果和洞見頁面僅包含該區域的調查結果。
如需詳細資訊,請參閱了解 Security Hub CSPM 中的跨區域彙總。
- 成員帳戶
-
已授予管理員帳戶檢視其問題清單並對其採取動作之許可的帳戶。
帳戶會以下列其中一種方式成為成員帳戶:
-
帳戶接受來自另一個帳戶的邀請。
-
對於組織帳戶,Security Hub CSPM 管理員帳戶會將帳戶啟用為成員帳戶。
-
- 相關要求
-
映射到控制的一組產業或法規要求。
- 規則
-
用於評定是否有遵守控制的一組自動化條件。規則受到評估時,可能會通過或失敗。如果評估無法判斷規則通過或失敗,則規則會處於警告狀態。如果無法評估規則,則規則會處於不可用狀態。
- 安全檢查
-
針對單一資源對規則的特定point-in-time評估,導致
PASSED
、WARNING
、FAILED
或NOT_AVAILABLE
狀態。執行安全檢查會產生問題清單。 - Security Hub CSPM 管理員帳戶
-
管理組織 Security Hub CSPM 成員資格的組織帳戶。
組織管理帳戶會在每個區域中指定 Security Hub CSPM 管理員帳戶。組織管理帳戶必須在所有區域中選擇相同的 Security Hub CSPM 管理員帳戶。
Security Hub CSPM 管理員帳戶也是 Organizations 中 Security Hub CSPM 的委派管理員帳戶。
Security Hub CSPM 管理員帳戶可以將任何組織帳戶啟用為成員帳戶。Security Hub CSPM 管理員帳戶也可以邀請其他帳戶成為成員帳戶。
- 安全標準
-
針對指定特性主題發佈的陳述式,通常可測量且為控制項形式,必須予以滿足或加以存檔以確保合規性。安全標準可以是以法規框架、最佳實務或內部公司政策為基礎。控制項可能與 Security Hub CSPM 中的一或多個支援的標準相關聯。若要進一步了解 Security Hub CSPM 中的安全標準,請參閱 了解 Security Hub CSPM 中的安全標準。
- 嚴重性
-
指派給 Security Hub CSPM 控制項的嚴重性可識別控制項的重要性。控制項的嚴重性可以是「關鍵」、「高」、「中」、「低」或「資訊」。指派給控制調查結果的嚴重性等於控制本身的嚴重性。若要了解 Security Hub CSPM 如何將嚴重性指派給控制項,請參閱 控制調查結果的嚴重性等級。
- 工作流程狀態
-
調查問題清單的狀態。這會使用
Workflow.Status
屬性進行追蹤。最初的工作流程狀態為
NEW
。如果您通知資源擁有者對搜尋結果採取動作,您可以將工作流程狀態設定為NOTIFIED
。如果搜尋結果不是問題,且不需要任何動作,請將工作流程狀態設定為SUPPRESSED
。檢閱並修正尋找項目後,請將工作流程狀態設定為RESOLVED
。依預設,大多數的搜尋結果清單只包含工作流程狀態為
NEW
或NOTIFIED
的搜尋結果。控制的問題清單也會包含在RESOLVED
的問題清單中。對於 GetFindings 操作,您可以包含工作流程狀態的篩選條件。
"WorkflowStatus": [ { "Comparison": "EQUALS", "Value": "RESOLVED" } ],
Security Hub CSPM 主控台提供設定問題清單工作流程狀態的選項。客戶 (或 SIEM、票證、事件管理或 SOAR 工具代表客戶更新來自問題清單提供者的問題清單) 也可以用 BatchUpdateFindings 來更新工作流程狀態。