本页面中描述的服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国区域的亚马逊云科技服务入门页面。中国区域的亚马逊云科技服务入门页面中,仅关于特定服务的“区域可用性”和“功能可用性和实现差异”的部分(但不包括其通过超链接援引的内容)构成您与光环新网或西云数据之间就您使用亚马逊云科技中国(北京)区域或亚马逊云科技中国(宁夏)区域服务达成的协议(“协议”)项下的“文档”的一部分,而该入门页面的其他内容不构成“协议”的任何部分。
Amazon Security Hub 文档
Amazon Security Hub是一种云安全态势管理服务,旨在针对亚马逊云科技资源执行持续的安全最佳实践检查。Security Hub旨在将各种亚马逊云科技中国区域服务和合作伙伴产品的安全警报(即调查结果)以标准格式汇总,以便您可以更轻松地对其采取行动。为了帮助您了解亚马逊云科技的安全态势,您需要集成多种工具和服务,包括Amazon GuardDuty的威胁检测、Amazon Inspector的漏洞、Amazon Macie的敏感数据分类、Amazon Config的资源配置问题以及Amazon Partner Network Products。Security Hub通过Amazon Config规则支持的安全最佳实践检查以及与其他亚马逊云科技中国区域服务和合作伙伴产品的集成,帮助简化您理解和改善安全状况的方式。
Security Hub可以帮助您通过亚马逊云科技账户的综合安全评分了解您的整体安全状况,并通过Amazon Foundational Security Best Practices标准和其他合规框架评估亚马逊云科技账户资源的安全性。它还通过Amazon Security Finding Format将您从其他亚马逊云科技安全服务和APN产品中获得的所有安全发现汇总到一个位置和格式中,并通过响应和补救支持帮助减少您的平均补救时间(MTTR)。Security Hub具有与票务、聊天、安全信息和事件管理(SIEM)、安全编排自动化和响应(SOAR)、威胁调查、治理风险和合规性(GRC)以及事件管理工具的开箱即用集成,为您的用户提供完整的安全操作工作流。
安全最佳实践检查
Security Hub为您提供了一组称为Amazon Foundational Security Best Practices标准的安全控件。这是一组经过亚马逊云科技安全专家审查的推荐安全实践,无论是在相关资源发生变化时,还是在一个固定的定期计划中,都会持续运行。每个控件都有一个特定的严重性分数,以帮助您确定补救工作的优先级。Security Hub定期更新新的控制和额外的服务范围。我们建议您在所有账户和地区启用Amazon Foundational Security Best Practices标准。
跨亚马逊云科技中国区域服务和合作伙伴集成的整合调查结果
Security Hub旨在收集并整合您环境中启用的亚马逊云科技安全服务的调查结果,例如Amazon GuardDuty的入侵检测结果、Amazon Inspector的漏洞扫描、Amazon Macie的Amazon Simple Storage Service(Amazon S3)存储桶策略结果、IAM Access Analyzer的公共可访问和跨账户资源,以及Amazon Firewall Manager的WAF覆盖范围不足的资源。Amazon Security Hub还旨在整合其他集成Amazon Partner Network(APN)安全解决方案的结果。所有调查结果在上次更新日期后90天存储在安全中心中。
针对您调查结果的单一标准化数据格式
传统而言,当将安全警报组合到单个系统中时,您需要解析和规范每个数据源,以将其转换为搜索、分析、响应和补救行动的通用格式。安全中心通过引入Amazon Security Findings Format (ASFF),帮助消除这些耗时且资源密集的过程。通过ASFF,Security Hub的所有集成合作伙伴(包括亚马逊云科技中国区域服务和外部合作伙伴)都必须将其结果以JSON格式发送到Security Hub,该格式包含1000多个可用字段。这意味着在将这些安全发现纳入安全中心之前,应该对其进行规范化,并有助于消除自己进行任何解析和规范化的需要。这些发现以一致的方式识别资源、严重程度和时间戳,以便您可以更容易地搜索并对其采取行动。
符合监管和行业合规框架的安全标准
除了Amazon Foundational Security Best Practices标准外,Security Hub还提供与行业和监管框架相一致的其他标准,如支付卡行业数据安全标准(PCI DSS)和互联网安全中心(CIS)Amazon Foundations Benchmark。这些标准还得到了持续安全检查的支持。
响应、补救及措施
您可以使用Security Hub与Amazon EventBridge的集成创建自定义响应、补救和丰富工作流。所有Security Hub发现结果都会发送到EventBridge,您可以创建EventBridge规则,将Amazon Lambda函数、Amazon Step Function函数或Amazon Systems Manager Automation运行手册作为其目标。这些功能和运行手册可以帮助使用其他数据丰富调查结果,或对发现采取响应和补救措施。Security Hub还支持通过自定义操作按需将结果发送到EventBridge,以便您可以让分析师决定何时触发响应或补救操作。Security Hub自动响应和补救(SHARR)解决方案为您提供预打包的EventBridge规则,供您通过Amazon CloudFormation进行部署。
多账户和Amazon Organizations支持
您可以连接多个亚马逊云科技帐户,并在Amazon Security Hub控制台中整合这些账户发现的问题。通过指定管理员账户,您可以使您的安全团队能够查看组织账户的合并结果,而个人账户所有者只能查看与其账户关联的问题。通过与Amazon Organizations的集成,您可以使用Security Hub和Amazon Foundational Security Best Practices标准启用组织中的任何账户。
跨区域聚合调查结果
Amazon Security Hub使您能够指定聚合区域并将其他区域关联到该聚合区域,从而为您提供所有账户和所有关联区域中的所有调查结果的集中视图。将某个区域关联到聚合区域之后,您的调查结果将会在区域之间持续同步,因此,一个区域中的任何调查结果更新均会复制到另一个区域。您的Security Hub管理员或聚合区域中的指定管理员账户可以查看和管理您的所有调查结果。聚合区域中的单独Security Hub成员账户也可以查看和管理所有关联区域中的所有调查结果。管理员账户和聚合区域中的Amazon EventBridge源现在也包括所有成员账户和关联账户中的所有调查结果,这使您能够简化与票务、聊天、事件管理、日志记录和自动修复工具的集成,方法是将这些集成整合到聚合区域中。
与票务、聊天、事件管理、调查、GRC、SOAR和SIEM工具集成
除了与发送Security Hub调查结果的其他亚马逊云科技安全服务和合作伙伴产品集成外,Security Hub还与各种票务、聊天、事件管理、威胁调查、治理风险和合规性(GRC)、安全编排自动化和响应(SOAR)、,以及安全信息和事件管理(SIEM)工具,可从安全中心接收调查结果。这些集成包括亚马逊云科技中国区域服务,如Amazon Detective(威胁调查)、Amazon Audit Manager,以及各种合作伙伴工具,如Splunk、Slack、PagerDuty、Sumo Logic、ServiceNow ITSM和Atlassian的Jira Service Management。与ServiceNow和Jira的集成是双向的,因此对票证的任何更新都与Security Hub中的发现同步。
安全分数和摘要面板
Security Hub为每个标准、所有启用的标准中的每个账户提供简单的0-100安全分数,并为与管理员账户关联的所有账户提供总分。该分数基于标准、客户和/或组织通过与失败的控制数量。为了帮助您监控安全状况,安全评分信息与其他关键见解一起显示在摘要面板中,例如哪些资源的安全检查失败最多。
筛选、分组和保存搜索结果
您可以根据Amazon Security Finding Format中的字段筛选查找结果,并使用GroupBy语句将查找结果聚合到存储桶中。例如,您可以筛选结果以仅显示“严重”或“高严重性”结果,然后按资源ID对其进行分组,以查看哪些资源具有最严重或最严重的结果。Security Hub将这些类型的搜索称为“见解”,并提供预打包的管理见解,并允许您定义自己的自定义见解。每个洞察都包含一条时间序列迷你图,以显示与洞察相匹配的发现在一段时间的趋势。
其他信息
有关服务控制、安全特性及功能的其他信息,包括有关存储、检索、修改、限制和删除数据的信息,请参见 https://docs.amazonaws.cn/。以上链接包含的信息不构成光环新网关于亚马逊云科技(北京区域)的客户协议或西云数据关于亚马逊云科技(宁夏区域)的客户协议的“文档”的一部分,也不构成您与光环新网或西云数据之间就您使用亚马逊云科技中国区域服务达成的其他协议的任何部分。