Security Hub 建议

注意

Security Hub 处于预览版，可能会发生变化。

中的以下安全服务以 OCSF 格式 AWS 将发现结果发送到 Security Hub。启用 Security Hub 后，我们建议启用这些功能 AWS 服务 以提高安全性。

Security Hub CSPM

启用 Security Hub CSPM 后，你可以在中全面了解自己的安全状态。 AWS这可以帮助您根据安全行业标准和最佳实践评估您的环境。尽管你可以在不启用 Security Hub CSPM 的情况下开始使用 Security Hub，但我们建议启用 Security Hub CSPM，因为安全中心会关联来自 Security Hub CSPM 的安全信号以改善你的状态管理。

如果您启用 Security Hub CSPM，我们还建议您的账户启用 AWS 基础安全最佳实践标准。该标准由一组控件组成，用于检测您的 AWS 账户 和资源何时偏离安全最佳实践。当您为账户启用 AWS 基础安全最佳实践标准时，Sec AWS urity Hub CSPM 会自动启用其所有控件，包括对以下资源类型的控制：

• 账户控制

• DynamoDB 控件

• 亚马逊 EC2 控制

• IAM 控件

• AWS Lambda 控件

• Amazon RDS 控件

• Amazon S3 控件

您可以禁用此列表中的任何控件。但是，如果您禁用这些控件中的任何一个，则无法收到受支持资源的暴露调查结果。有关适用于基础安全最佳实践标准的控件的信息，请参阅 AWS AWS 基础安全最佳实践 v1.0.0 (FSBP) 标准。

GuardDuty

启用后 GuardDuty，您可以在 Security Hub 控制台的控制面板中查看所有威胁和安全覆盖结果。如果启用 GuardDuty，则 GuardDuty 会自动开始以 OCSF 格式向 Security Hub 发送数据。

Amazon Inspector

启用 Amazon Inspec tor 后，您可以在 Security Hub 控制台的控制面板中查看您的所有风险和安全覆盖结果。如果你启用 Amazon Inspector，Amazon Inspector 会自动开始以 OCSF 格式向 Security Hub 发送数据。

我们建议激活亚马逊 EC2 扫描和 Lambda 标准扫描。当您激活亚马逊 EC2 扫描时，Amazon Inspector 会扫描您账户中的亚马逊 EC2 实例，查找包裹漏洞和网络可访问性问题。当您激活 Lambda 标准扫描时，Amazon Inspector 会扫描 Lambda 函数以查找包依赖项中的软件漏洞。有关更多信息，请参阅 Amazon Inspector 用户指南中的激活扫描类型。

Macie

启用 Macie 后，您可以检测到您的 Amazon S3 存储桶存在额外风险。我们建议配置自动发现敏感数据，这样 Macie 就可以每天评估您的 Amazon S3 存储桶清单。