本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Security Hub 為您提供 中安全狀態的完整檢視, AWS 並協助您根據安全產業標準和最佳實務來評估您的 AWS 環境。
Security Hub 會跨 和支援的第三方產品收集安全資料 AWS 帳戶 AWS 服務,並協助您分析安全趨勢,並識別最高優先順序的安全問題。
為了協助您管理組織的安全狀態,Security Hub 支援多個安全標準。其中包括由 開發 AWS 的基礎安全最佳實務 (FSBP) 標準 AWS,以及外部合規架構,例如網際網路安全中心 (CIS)、支付卡產業資料安全標準 (PCI DSS) 和國家標準和技術研究所 (NIST)。每個標準都包含數個安全控制,每個都代表安全最佳實務。Security Hub 會針對安全控制執行檢查,並產生控制調查結果,以協助您根據安全最佳實務評估合規性。
除了產生控制調查結果之外,Security Hub 也會接收其他 的調查結果 AWS 服務,例如 Amazon GuardDuty、Amazon Inspector 和 Amazon Macie,以及支援的第三方產品。這可讓您將單一面板納入各種與安全相關的問題。您也可以將 Security Hub 調查結果傳送至其他 AWS 服務 和支援的第三方產品。
Security Hub 提供自動化功能,可協助您分類和修復安全問題。例如,您可以使用自動化規則,在安全檢查失敗時自動更新關鍵問題清單。您也可以利用與 Amazon EventBridge 的整合來觸發對特定問題清單的自動回應。
Security Hub 的優點
以下是 Security Hub 協助您監控整個 AWS 環境合規和安全狀態的一些關鍵方式。
- 可讓您更輕易地收集和排列問題清單的優先順序
Security Hub 可減少從整合和 AWS 合作夥伴產品收集 AWS 服務 和排定帳戶間安全問題清單優先順序的努力。Security Hub 會使用標準調查結果格式 AWS (ASFF) 來處理調查結果資料。這樣就不需要以多種格式管理來自不同來源的問題清單。Security Hub 也會關聯跨提供者的調查結果,以協助您排定最重要的問題清單。
- 根據最佳實務和標準自動進行安全檢查
Security Hub 會根據 AWS 最佳實務和產業標準,自動執行連續的帳戶層級組態和安全檢查。Security Hub 使用這些檢查的結果來計算安全分數,並識別需要注意的特定帳戶和資源。
- 合併帳戶與提供者問題清單的檢視
Security Hub 會整合您跨帳戶和提供者產品的安全調查結果,並在 Security Hub 主控台上顯示結果。您也可以透過 Security Hub API AWS CLI或 SDKs擷取問題清單。透過目前安全狀態的全面檢視,您可以發現趨勢、識別潛在問題,並採取必要的修補步驟。
- 能夠自動化問題清單更新和修復
您可以建立自動化規則,以根據您的定義條件修改或隱藏問題清單。Security Hub 也支援與 Amazon EventBridge 整合。若要自動修復特定問題清單,您可以定義產生問題清單時要採取的自訂動作。例如,您可以設定自訂動作,將問題清單傳送到售票系統或自動化修補系統。
存取 Security Hub
Security Hub 大多數都可用 AWS 區域。如需目前可使用 Security Hub 的區域清單,請參閱 AWS 中的 Security Hub 端點和配額AWS 一般參考。如需管理 AWS 區域 的相關資訊 AWS 帳戶,請參閱 AWS 帳戶管理 參考指南中的指定 AWS 區域 您的帳戶可以使用哪些 。
在每個區域中,您可以透過下列任何方式存取和使用 Security Hub:
- Security Hub 主控台
AWS Management Console 是以瀏覽器為基礎的介面,可用來建立和管理 AWS 資源。作為該主控台的一部分,Security Hub 主控台可讓您存取 Security Hub 帳戶、資料和資源。您可以使用 Security Hub 主控台來執行 Security Hub 任務,包括檢視問題清單、建立自動化規則、建立彙總區域等。
- Security Hub API
-
Security Hub API 可讓您以程式設計方式存取 Security Hub 帳戶、資料和資源。使用 API,您可以直接將 HTTPS 請求傳送至 Security Hub。如需 API 的相關資訊,請參閱 AWS Security Hub API 參考。
- AWS CLI
-
使用 AWS CLI,您可以在系統的命令列執行命令,以執行 Security Hub 任務。在某些情況下,使用命令列可能比使用主控台更快、更方便。如果您想要建置執行任務的指令碼,命令列也很有用。如需有關安裝和使用 的資訊 AWS CLI,請參閱 AWS Command Line Interface 使用者指南。
- AWS SDKs
-
AWS 提供包含程式庫和範例程式碼SDKs,適用於各種程式設計語言和平台,例如 Java、Go、Python、C++ 和 .NET。SDKs可讓您以您偏好的語言,以方便、程式設計的方式存取 Security Hub 和其他 AWS 服務 。他們也會處理密碼編譯簽署請求、管理錯誤和自動重試請求等任務。如需有關安裝和使用 AWS SDKs的資訊,請參閱要建置的工具 AWS
。
重要
Security Hub 只會偵測和合併您啟用 Security Hub 後產生的問題清單。它不會追溯偵測和合併在您啟用 Security Hub 之前產生的安全調查結果。
Security Hub 只會在您帳戶中啟用 Security Hub 的區域中接收和處理問題清單。
若要完全符合 CIS AWS Foundations Benchmark 安全檢查,您必須在所有支援 AWS 的區域啟用 Security Hub。
相關服務
若要進一步保護您的 AWS 環境,請考慮使用其他 AWS 服務 搭配 Security Hub。有些會將問題清單 AWS 服務 傳送至 Security Hub,而 Security Hub 會將問題清單標準化為標準格式。有些 AWS 服務 也可以從 Security Hub 接收問題清單。
如需傳送或接收 Security Hub 調查結果 AWS 服務 的其他 清單,請參閱 AWS 服務 與 Security Hub 的整合。
Security Hub 使用來自 的服務連結規則 AWS Config 來執行大多數控制項的安全檢查。控制項是指特定 AWS AWS 服務 和資源。如需 Security Hub 控制項的清單,請參閱Security Hub 控制項參考。您必須在 AWS Config Security Hub 的 中啟用 AWS Config 並記錄資源,以產生大多數的控制問題清單。如需詳細資訊,請參閱啟用和設定 之前的考量事項 AWS Config。
Security Hub 免費試用和定價
當您 AWS 帳戶 第一次在 中啟用 Security Hub 時,該帳戶會自動註冊 30 天 Security Hub 免費試用版。
當您在免費試用期間使用 Security Hub 時,您需要支付使用 Security Hub 互動的其他 服務的費用,例如 AWS Config 項目。您無須為僅由 Security Hub 安全標準啟用的 AWS Config 規則付費。
在免費試用結束之前,您無需支付使用 Security Hub 的費用。
檢視用量詳細資訊與預估成本
Security Hub 提供用量資訊,包括使用 Security Hub 的預估 30 天成本。用量詳細資訊包含免費試用剩餘的時間。用量資訊可協助您了解免費試用結束後,Security Hub 的成本。免費試用結束後,也會提供用量資訊。
顯示用量資訊 (主控台)
在 https://https://console.aws.amazon.com/securityhub/
開啟 AWS Security Hub 主控台。 -
在導覽窗格中,選擇設定下的用量。
估計的每月成本是根據您帳戶的 Security Hub 用量,以預測 30 天期間內的問題清單和安全檢查。
用量資訊和估計成本僅適用於目前帳戶和目前區域。在彙總區域中,用量資訊和預估成本不包含連結的區域。如需連結區域的詳細資訊,請參閱 彙總的資料類型。
定價詳情
如需 Security Hub 如何針對擷取的調查結果和安全檢查收費的詳細資訊,請參閱 Security Hub 定價
