Security Hub 中的报道结果

注意

Security Hub 处于预览版，可能会发生变化。

Security Hub 的覆盖范围调查结果可让您了解启用了哪些 AWS 安全功能，以及独立账户或整个组织 AWS 环境中的覆盖范围可能存在差距。启用其他安全功能将增强 Security Hub 的检测能力。覆盖范围调查结果评估了账户启用了哪些 GuardDuty Amazon Inspector、Macie和Security Hub CSPM功能。这些发现以小部件的形式显示在 Security Hub 控制面板上，能够按特定的安全功能深入查看更详细的视图。对于授权的管理员，此小组件显示所有启用 Security Hub 的账户的覆盖范围明细。

限制

• 对于成员账户，承保范围信息是跨关联账户汇总的 AWS 区域，但仅限于该成员账户。

• 未登录 Security Hub 的账户不会显示承保范围信息

• 覆盖范围仅表示 AWS 服务 是否启用了，而不是 AWS 服务中的特定功能是否已启用。

Security Hub CSPM 的报道结果

Security Hub CSPM 覆盖率调查结果评估账户中是否启用了合格的状态管理安全标准。启用任何 Security Hub CSPM 标准都符合资格，但 AWS Control Tower 和资源标记标准除外。

启用 Security Hub CSPM 时，最多可能需要 24 小时才能检测到默认启用的标准。

的承保调查结果 GuardDuty

GuardDuty 覆盖率调查结果评估以下内容中 GuardDuty 是否已启用以及启用了哪些 GuardDuty 功能 AWS 账户：

• 亚马逊恶意软件防护 EC2 -扫描亚马逊 EC2 实例中是否存在潜在的恶意软件

• 亚马逊 EKS 保护 — 监控 Kubernetes 审计日志中是否存在亚马逊 EKS 集群中的威胁

• Lambda 保护 — 分析 Lambda 函数调用中是否存在潜在威胁

• Amazon S3 保护 — 分析数据事件是否存在对亚马逊 S3 存储桶的潜在威胁

• 亚马逊 RDS 保护 — 监控 Amazon RDS 数据库是否存在威胁

• 运行时监控 — 提供对 Amazon EC2 实例中运行时行为的实时监控

GuardDuty 覆盖范围的更新最多可能需要 24 小时才能反映到组织中的所有成员账户。

Amazon Inspector 的报道结果

Amazon Inspector 覆盖范围调查结果评估了是否启用了 Amazon Inspector 以及账户中启用了哪些功能：

• Amazon 扫 EC2 描 — 扫描亚马逊 EC2 实例中是否存在漏洞

• Amazon ECR 扫描 — 扫描 Amazon ECR 中的容器镜像是否存在漏洞

• Lambda 标准扫描 — 扫描 Lambda 函数中是否存在漏洞

• Lambda 代码扫描 — 扫描 Lambda 代码函数中是否存在代码漏洞

• Amazon Inspector 代码安全 — 扫描第一方应用程序源代码、第三方应用程序依赖项和基础设施即代码以发现漏洞

Macie 的报道调查结果

Macie 覆盖率调查结果是指示 Macie 是否已跨界启用的评估。 AWS 账户

Macie 自动敏感数据发现的更新可能需要长达 24 小时才能反映到组织中的所有成员账户中。