Security Hub 建議

注意

Security Hub 處於預覽版本，可能會有所變更。

中的下列安全服務會以 OCSF 格式 AWS 將問題清單傳送至 Security Hub。啟用 Security Hub 之後，我們建議您啟用這些功能 AWS 服務 ，以提高安全性。

Security Hub CSPM

當您啟用 Security Hub CSPM 時，您可以全面檢視其中的安全狀態 AWS。這可協助您根據安全產業標準和最佳實務來評估您的環境。雖然您可以在不啟用 Security Hub CSPM 的情況下開始使用 Security Hub，但我們建議您啟用 Security Hub CSPM，因為 Security Hub 會關聯來自 Security Hub CSPM 的安全訊號，以改善您的狀態管理。

如果您啟用 Security Hub CSPM，我們也建議您為帳戶啟用 AWS 基礎安全最佳實務標準。此標準包含一組控制項，可偵測您的 AWS 帳戶 和資源何時偏離安全最佳實務。當您為帳戶啟用 AWS 基礎安全最佳實務標準時， AWS Security Hub CSPM 會自動啟用其所有控制項，包括下列資源類型的控制項：

• 帳戶控制

• DynamoDB 控制項

• Amazon EC2 控制項

• IAM 控制項

• AWS Lambda 控制項

• Amazon RDS 控制項

• Amazon S3 控制項

您可以停用此清單中的任何控制項。不過，如果您停用任何這些控制項，您就無法接收支援資源的公開調查結果。如需適用於 AWS 基礎安全最佳實務標準之控制項的相關資訊，請參閱AWS 基礎安全最佳實務 1.0.0 版 (FSBP) 標準。

GuardDuty

當您啟用 GuardDuty 時，您可以在 Security Hub 主控台的儀表板中檢視所有威脅和安全涵蓋範圍調查結果。如果您啟用 GuardDuty，GuardDuty 會自動開始以 OCSF 格式將資料傳送至 Security Hub。

Amazon Inspector

當您啟用 Amazon Inspector 時，您可以在 Security Hub 主控台的儀表板中檢視所有公開和安全性涵蓋範圍調查結果。如果您啟用 Amazon Inspector，Amazon Inspector 會自動開始以 OCSF 格式將資料傳送至 Security Hub。

我們建議您啟用 Amazon EC2 掃描和 Lambda 標準掃描。當您啟用 Amazon EC2 掃描時，Amazon Inspector 會掃描您帳戶中的 Amazon EC2 執行個體是否有套件漏洞和網路連線能力問題。當您啟用 Lambda 標準掃描時，Amazon Inspector 會掃描 Lambda 函數是否有套件相依性中的軟體漏洞。如需詳細資訊，請參閱《Amazon Inspector 使用者指南》中的啟用掃描類型。

Macie

啟用 Macie 時，您可以偵測 Amazon S3 儲存貯體的其他暴露。我們建議設定自動敏感資料探索，讓 Macie 可以每天評估您的 Amazon S3 儲存貯體庫存。