了解 Security Hub CSPM 中的安全检查和分数
对于您启用的每个控件,AWS Security Hub CSPM 都会运行安全检查。安全检查可生成调查发现,指明特定 AWS 资源是否符合控件中包含的规则。
有些检查是定期进行的。其他检查仅在资源状态发生更改时运行。有关更多信息,请参阅 有关运行安全检查的计划。
许多安全检查使用 AWS Config 托管或自定义规则来确定合规性要求。要运行这些检查,您必须设置 AWS Config 并为所需资源启用资源记录。有关如何设置 AWS Config 的更多信息,请参阅 为 Security Hub CSPM 启用和配置 AWS Config。有关必须为每个标准记录的 AWS Config 资源列表,请参阅 控件调查发现所需的 AWS Config 资源。其他控件使用自定义 Lambda 函数,这些函数由 Security Hub CSPM 管理,并且不需要任何先决条件。
当 Security Hub CSPM 运行安全检查时,它会生成调查发现并为其分配合规性状态。有关合规状态的更多信息,请参阅 评估 Security Hub CSPM 调查发现的合规性状态。
Security Hub CSPM 使用控件调查发现的合规性状态来确定总体控件状态。根据控件状态,Security Hub CSPM 还会计算所有已启用控件和特定标准的安全分数。有关更多信息,请参阅评估合规性状态和控件状态和计算安全分数。
如果您开启了整合的控件调查发现,即使一个控件与多个标准相关联,Security Hub CSPM 也会生成一个调查发现。有关更多信息,请参阅 整合的控件调查发现。
