Security Hub 中的涵蓋範圍調查結果

注意

Security Hub 處於預覽版本，可能會有所變更。

Security Hub 的涵蓋範圍調查結果可讓您了解哪些 AWS 安全功能已啟用，以及獨立帳戶或整個組織 AWS 環境中的涵蓋範圍可能存在差距之處。啟用其他安全功能將增強 Security Hub 的偵測功能。涵蓋範圍調查結果會評估為帳戶啟用哪些 GuardDuty、Amazon Inspector、Macie 和 Security Hub CSPM 功能。這些調查結果會在 Security Hub 儀表板上顯示為小工具，並能夠依特定安全功能深入了解更詳細的檢視。對於委派管理員，此小工具會顯示所有啟用 Security Hub 帳戶的涵蓋範圍明細。

限制

• 對於成員帳戶，涵蓋範圍資訊會跨連結彙總 AWS 區域，但僅適用於該成員帳戶。

• 未加入 Security Hub 的帳戶不會顯示涵蓋範圍資訊

• 涵蓋範圍只會指出 AWS 服務 是否已啟用，而不是 AWS 服務中的特定功能是否已啟用。

Security Hub CSPM 的涵蓋範圍調查結果

Security Hub CSPM 涵蓋範圍調查結果會評估帳戶中是否啟用合格的狀態管理安全標準。啟用任何 Security Hub CSPM 標準將符合資格，但 AWS Control Tower 和 資源標記標準除外。

啟用 Security Hub CSPM 時，最多可能需要 24 小時才能偵測預設啟用的標準。

GuardDuty 的涵蓋範圍調查結果

GuardDuty 涵蓋範圍調查結果會評估是否啟用 GuardDuty，以及在 中啟用哪些 GuardDuty 功能 AWS 帳戶：

• Amazon EC2 的惡意軟體防護 – 掃描 Amazon EC2 執行個體是否有潛在的惡意軟體

• Amazon EKS 保護 – 監控 Kubernetes 稽核日誌是否有 Amazon EKS 叢集中的威脅

• Lambda 保護 – 分析 Lambda 函數叫用是否有潛在威脅

• Amazon S3 保護 – 分析對 Amazon S3 儲存貯體的潛在威脅的資料事件

• Amazon RDS 保護 – 監控 Amazon RDS 資料庫的威脅

• 執行期監控 – 即時監控 Amazon EC2 執行個體中的執行期行為

GuardDuty 涵蓋範圍的更新最多可能需要 24 小時，才能反映組織中所有成員帳戶。

Amazon Inspector 的涵蓋範圍調查結果

Amazon Inspector Coverage Findings 會評估 Amazon Inspector 是否已啟用，以及在帳戶中啟用哪些功能：

• Amazon EC2 掃描 – 掃描 Amazon EC2 執行個體是否有漏洞

• Amazon ECR 掃描 – 掃描 Amazon ECR 中的容器映像是否有漏洞

• Lambda 標準掃描 – 掃描 Lambda 函數是否有漏洞

• Lambda 程式碼掃描 – 掃描 Lambda 程式碼函數是否有程式碼漏洞

• Amazon Inspector Code Security – 掃描第一方應用程式原始碼、第三方應用程式相依性和基礎設施做為漏洞的程式碼

Macie 的涵蓋範圍調查結果

Macie 涵蓋範圍調查結果是指出是否跨 Macie 啟用的評估 AWS 帳戶。

Macie 自動化敏感資料探索的更新最多可能需要 24 小時，才能反映組織中所有成員帳戶。