術語與概念 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

術語與概念

本主題說明AWS安全性中樞中協助您開始使用的重要概念。

帳戶

包含您 AWS 資源的標準 Amazon Web Services (AWS) 帳戶。您可以使用您AWS的帳戶登入並啟用 Security Hub。

帳戶可以邀請其他帳戶啟用 Security Hub,並在 Security Hub 中與該帳戶建立關聯。接受成員邀請為選擇性。如果邀請被接受,該帳戶將成為管理員帳戶,而新增的帳戶是成員帳戶。管理員帳戶可以檢視其成員帳戶中的發現項目。

如果您已註冊AWS Organizations,則您的組織會指定組織的 Security Hub 管理員帳戶。Security Hub 系統管理員帳戶可以啟用其他組織帳戶做為成員帳戶。

帳戶不能同時是管理員帳戶和成員帳戶。一個帳戶只能有一個管理員帳戶。

如需詳細資訊,請參閱管理管理員和成員帳戶

管理員帳戶

Security Hub 中的一個帳戶,被授與檢視關聯成員帳戶發現項目的存取權。

帳戶會以下列其中一種方式成為系統管理員帳戶:

  • 該帳戶會邀請其他帳戶在安全性中心中與該帳戶建立關聯。當這些帳戶接受邀請時,他們就會成為成員帳戶,而邀請帳戶就會成為他們的管理員帳戶。

  • 該帳戶由組織管理帳戶指定為 Security Hub 系統管理員帳戶。Security Hub 系統管理員帳戶可以將任何組織帳戶啟用為成員帳戶,也可以邀請其他帳戶成為成員帳戶。

一個帳戶只能有一個管理員帳戶。帳戶不能同時是管理員帳戶和成員帳戶。

聚總區域

設定彙總區域可讓您在單一窗格AWS 區域中檢視多個安全發現項目。

聚總區域是您檢視與管理搜尋結果的「區域」。搜尋結果會從連結區域彙總至聚總區域。發現項目的更新會跨區域複寫。

在彙總區域中,「安全性」標準、「見解」和「發現項目」頁面包含來自所有連結區域的資料。

請參閱 跨區域彙總

存檔的問題清單

RecordState 設為 ARCHIVED 的問題清單。封存發現項目表示尋找項目提供者認為該發現項目已不再相關。記錄狀態與工作流程狀態不同,工作流程狀態會追蹤發現項目的調查狀態。

尋找提供者可以使用 Security Hub API 的BatchImportFindings作業來封存他們所建立的發現項目。如果控制項已停用或刪除關聯的資源,Security Hub 會根據下列其中一項準則,自動封存控制項的發現項目。

  • 發現結果不會在三到五天內更新(請注意,這是最好的努力,並不能保證)。

  • 會傳回相關聯的AWS Config評估NOT_APPLICABLE

根據預設,已封存的發現項目會從 Security Hub 主控台的發現項目清單中排除。您可以更新篩選條件以包含已封存的問題清單。

Security Hub API 的GetFindings作業會傳回使用中和封存的發現項目。您可以包含記錄狀態的篩選條件。

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],
AWS 安全問題清單格式 (ASFF)

Security Hub 彙總或產生之發現項目內容的標準化格式。AWS安全性尋找項目格式可讓您使用 Security Hub 來檢視和分析安全AWS性服務、協力廠商解決方案或 Security Hub 本身因執行安全性檢查而產生的發現項目。如需詳細資訊,請參閱AWS 安全性搜尋結果格式 (ASFF)

控制項

為資訊系統或組織規定的一種保護或應對措施,旨在保護其資訊的機密性、完整性和可用性,並符合一組定義的安全需求。安全性標準與控制項集合相關聯。

術語安全控制是指具有跨標準的單一控制項 ID 和標題的控制項。術語標準控制項是指具有標準特定控制項 ID 和標題的控制項。目前,Security Hub 僅支援AWS GovCloud (US) Region和中國區域的標準控制項。所有其他區域都支援安全性控制。

自訂動作

用於將所選發現項目傳送至的 Security Hub 機制 EventBridge。會在安全性中心中建立自訂動作。然後將其連結至 EventBridge 規則。規則會定義一個要在接收到與自訂動作 ID 建立關聯的問題清單時,所要採取的特定動作。例如,您可以使用自訂動作來將特定問題清單,或是一小組問題清單傳送至回應或修補工作流程。如需詳細資訊,請參閱建立自訂動作 (主控台)

委派的管理員帳戶 (Organizations)

在組織中,服務的委派管理員帳戶能夠管理組織服務的使用情況。

在資訊安全中心中,Security Hub 系統管理員帳戶也是 Security Hub 的委派系統管理員帳戶。當組織管理帳戶第一次指定 Security Hub 系統管理員帳戶時,Security Hub 會呼叫組 Organizations,將該帳戶設為委派的系統管理員帳戶。

接著,組織管理帳戶必須選擇委派的系統管理員帳戶做為所有區域中的 Security Hub 系統管理員帳戶。

問題清單

安全檢查或安全性相關偵測的可觀察記錄。Security Hub 會在完成控制項的安全性檢查之後產生一個發現項目。這些稱為控制項發現項目。發現結果也可能來自第三方產品整合。

如需有關安全中心中發現項目的詳細資訊,請參閱AWS 安全中心的發現項目

注意

問題清單會在最近更新 90 天後刪除,如果沒有更新,則在建立日期 90 天後刪除。若要存放超過 90 天的發現項目,您可以在將發現項目路由 EventBridge 到 Amazon S3 儲存貯體中設定規則。

跨區域彙總

將發現項目、見解、控制合規狀態和安全分數從連結的區域彙總到彙總區域。然後,您可以從彙總區域檢視所有資料,並從彙總區域更新發現項目和見解。

請參閱 跨區域彙總

尋找攝入

從其他AWS服務和協力廠商合作夥伴提供者將發現項目匯入 Security Hub。

尋找擷取事件包括新發現項目和現有發現項目的更新。

Insight

彙總陳述式和選用篩選條件定義的相關問題清單集合。該洞見會識別需要注意和介入的安全區域。Security Hub 提供了一些您無法修改的受管理(預設)見解。您也可以建立自訂 Security Hub 深入解析,以追蹤您的AWS環境和使用方式獨有的安全性問題。如需詳細資訊,請參閱AWS安全中心的洞察

連結區域

啟用跨區域彙總時,連結的區域是將發現項目、見解、控制符合性狀態和安全分數彙總至彙總區域的區域。

在連結的區域中,「搜尋結果」與「見解」頁面僅包含來自該區域的發現項目。

請參閱 跨區域彙總

成員帳戶

已授與管理員帳戶權限以檢視其發現項目並對其採取動作的帳戶。

帳戶會以下列其中一種方式成為會員帳戶:

  • 該帳戶接受來自其他帳戶的邀請。

  • 若為組織帳戶,Security Hub 系統管理員帳戶會將該帳戶啟用為成員帳戶。

相關要求

映射到控制的一組產業或法規要求。

規則

用於評定是否有遵守控制的一組自動化條件。規則受到評估時,可能會通過或失敗。如果評估無法判斷規則通過或失敗,則規則會處於警告狀態。如果無法評估規則,則規則會處於不可用狀態。

安全檢查

針對單一資源對規則進行特定 point-in-time 評估,導致通過、失敗、警告或無法使用的狀態。執行安全檢查會產生問題清單。

Security Hub 管理員帳戶

管理組織 Security Hub 成員資格的組織帳戶。

組織管理帳戶會在每個區域中指定安全性中樞系統管理員帳戶。組織管理帳戶必須在所有區域中選擇相同的 Security Hub 系統管理員帳戶。

安全性中樞系統管理員帳戶也是 Organizations 中安全性中樞的委派系統管理員帳戶。

Security Hub 系統管理員帳戶可以將任何組織帳戶啟用為成員帳戶。安全中心管理員帳戶也可以邀請其他帳戶成為成員帳戶。

安全標準

針對指定特性主題發佈的陳述式,通常可測量且為控制項形式,必須予以滿足或加以存檔以確保合規性。安全標準可以是以法規框架、最佳實務或內部公司政策為基礎。控制項可能與安全性中樞中的一個或多個支援的標準相關聯。若要深入了解安全性中心中的安全性標準,請參閱安全控制和安 AWS 全中心的標準

嚴重性

指派給 Security Hub 控制項的嚴重性可識別控制項的重要性。控制項的嚴重性可以是「嚴」、「」、「」、「」或「資訊」。指派給控制項發現項目的嚴重性等於控制項本身的嚴重性。若要瞭解 Security Hub 如何將嚴重性指派給控制項,請參閱指派嚴重性給控制項發現

工作流程狀態

調查問題清單的狀態。使用 Workflow.Status 屬性追蹤。

最初的工作流程狀態為 NEW。如果您通知資源擁有者對搜尋結果採取動作,您可以將工作流程狀態設定為 NOTIFIED。如果搜尋結果不是問題,且不需要任何動作,請將工作流程狀態設定為 SUPPRESSED。檢閱並修正尋找項目後,請將工作流程狀態設定為 RESOLVED

依預設,大多數的搜尋結果清單只包含工作流程狀態為 NEWNOTIFIED 的搜尋結果。控制的問題清單也會包含在 RESOLVED 的問題清單中。

對於 GetFindings 操作,您可以包含工作流程狀態的篩選條件。

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

Security Hub 主控台提供設定發現項目工作流程狀態的選項。客戶 (或 SIEM、票證、事件管理或 SOAR 工具代表客戶更新來自問題清單提供者的問題清單) 也可以用 BatchUpdateFindings 來更新工作流程狀態。