Security Hub 概念 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Security Hub 概念

在 Security Hub 中,我們以常見的 AWS 概念和術語為基礎,並使用這些額外的術語。

帳戶

包含 資源的標準 AWS 帳戶 AWS 。 AWS 使用您的 AWS 帳戶登入 以啟用 Security Hub。

如果您的帳戶已註冊 AWS Organizations,您的組織會指定 Security Hub 管理員帳戶。此帳戶可以將其他組織帳戶啟用為成員帳戶。

組織只能有一個管理員帳戶。帳戶不能同時是管理員帳戶和成員帳戶。

Security Hub 支援下列帳戶:

  • 組織管理帳戶 — 管理 AWS 組織的 AWS 帳戶。

  • 委派管理員帳戶 — 管理 AWS 服務 AWS 組織使用 AWS 的帳戶。

  • 成員帳戶 — AWS 為 AWS 組織成員的帳戶。

  • 獨立帳戶 — 未 AWS Organizations 啟用 AWS 的帳戶

管理員帳戶

這種類型的 AWS 帳戶可以檢視相關聯成員帳戶的調查結果。

當組織管理帳戶將帳戶指定為 Security Hub 管理員帳戶時,此類型的帳戶 AWS 會成為管理員帳戶。Security Hub 管理員帳戶可以將任何組織帳戶啟用為成員帳戶,也可以邀請其他帳戶成為成員帳戶。

組織只能有一個管理員帳戶。帳戶不能同時是管理員帳戶和成員帳戶。

彙總區域

彙總區域可讓您在 AWS 區域 單一玻璃窗格中檢視來自多個 的安全調查結果。

彙總區域是您檢視和管理問題清單 AWS 區域 的 。調查結果會從連結的區域彙總到彙總區域中。更新的問題清單會跨區域複寫。

在彙總區域中,儀表板和庫存頁面包含來自所有連結區域的資料。自動化頁面只能用來定義彙總區域中的自動化規則。第三方票證整合只能在彙總區域中設定。

已封存的問題清單

狀態為 的調查結果ARCHIVED。這些調查結果指出調查結果提供者或調查調查結果的客戶認為調查結果不再相關。

問題清單提供者可以封存他們建立的問題清單。客戶可以使用 Security Hub API 的 BatchUpdateFindingsV2 操作或在 Security Hub 主控台中更新狀態,來封存他們認為不再相關的任何問題清單。

在 Security Hub 主控台中,預設篩選條件設定會從問題清單和資料表中排除封存的問題清單。您可以更新篩選條件,以包含封存的問題清單。如果您使用 GetFindingsV2 操作擷取問題清單,該操作會同時擷取封存和作用中的問題清單。下列範例顯示如何在結果中排除封存的問題清單。

{
    "StringFilters":
    [
        {
            "FieldName": "status",
            "Filter":
            {
                "Value": "Archived",
                "Comparison": "EQUALS"
            }
        }
    ]
}
跨區域彙總

從連結區域到彙總區域的調查結果和資源彙總。您可以從彙總區域檢視所有資料,並從彙總區域更新問題清單。

委派管理員帳戶

在 中 AWS Organizations,服務的委派管理員帳戶可以管理組織的服務使用。

在 Security Hub 中,Security Hub 管理員帳戶也是 Security Hub 的委派管理員帳戶。當組織管理帳戶首次指定 Security Hub 管理員帳戶時,Security Hub 會呼叫 Organizations 將該帳戶設為委派管理員帳戶。

然後,組織管理帳戶必須選擇委派管理員帳戶作為所有區域中的 Security Hub 管理員帳戶。

曝光

暴露是安全控制、設定錯誤或其他可能被作用中威脅利用之區域的更廣泛弱點。

公開的範例包括:

  • 資源的控制平面設定錯誤。

  • 存在具有高可利用性可能性的軟體漏洞。

  • 可公開存取的資源 (網路或 API)。

暴露問題清單

一種問題清單類型,描述存在於您環境中的暴露。曝光問題清單包含特徵和訊號。訊號可以包含一或多個類型的曝光特徵。 AWS 當來自 Security Hub CSPM、Amazon Inspector、Amazon GuardDuty、Amazon Macie 或其他 AWS 服務的訊號指出存在暴露時, AWS Security Hub 會產生暴露調查結果。資源可以參與一或多個暴露問題清單。如果資源沒有任何暴露特徵或特徵不足,Security Hub 不會為該資源產生暴露調查結果。

公開調查結果的範例為:可從網際網路連線的 EC2 執行個體,且具有高度入侵的軟體漏洞。

問題清單

安全檢查或安全性相關偵測的可觀察記錄。Security Hub 透過其他安全調查結果的相互關聯產生和更新調查結果。這些稱為暴露問題清單。問題清單也可以來自與其他 AWS 服務 和第三方產品的整合。

尋找擷取

將問題清單匯入 Security Hub 。調查結果擷取事件包括新調查結果和現有調查結果的更新。

連結的區域

當您啟用跨區域彙總時,連結的區域是將問題清單和資源庫存彙總至彙總區域的區域。

在連結的區域中,儀表板和庫存頁面僅包含該區域的調查結果 AWS 區域。

開放式網路安全結構描述架構 (OCSF)

Open Cybersecurity Schema Framework (OCSF) 是由網路安全產業的 AWS 領導合作夥伴所共同努力的開放原始碼工作。OCSF 為常見安全事件提供標準結構描述、定義版本控制條件以促進結構描述演變,並包含安全日誌生產者和消費者的自我監管程序。如需詳細資訊,請參閱 Security Hub 中的 OCSF 問題清單。

成員帳戶

AWS 帳戶 授予管理員帳戶檢視其問題清單並對其採取動作的許可。當 Security Hub 管理員帳戶將其啟用為成員帳戶時,這種類型的 AWS 帳戶 會成為成員帳戶。

訊號

有助於公開調查結果的問題清單。訊號可以稱為貢獻調查結果。訊號可以源自 Security Hub CSPM AWS Config或其他 AWS 服務,例如 Amazon Inspector。

特徵

導致暴露問題清單的安全偏差。特性類型包括假設性設定錯誤可達性敏感資料漏洞。特徵與一個訊號相關聯,而訊號可以包含多個特徵。例如,Security Hub CSPM 控制項表示客戶受管政策允許管理存取控制。此訊號包含組態錯誤特性。