AWS Security Hub 功能介绍

安全性与合规性检查

自动、持续的安全最佳实践检查

AWS 基础安全防御最佳实践标准内置于 Security Hub 中。这是一套精心策划的安全最佳实践，由 AWS 安全专家审查，可为您提供基于事件的持续监控或定期运行。每个控件都有特定的严重性等级，可帮助您确定补救工作的优先级别。我们建议在所有账户和 Region（区域）启用此标准，并且我们会通过新的控件和其他服务范围不断对其进行更新。

符合监管和行业合规框架的安全标准

除了 AWS 基础安全最佳实践标准外，Security Hub 还提供符合行业和监管框架的其他标准，例如支付卡行业数据安全标准（PCI DSS）、互联网安全中心（CIS）、AWS 基金会基准以及美国国家标准与技术研究院（NIST）。这些标准还由持续的自动安全检查提供支持，无论安全检查映射到多少标准，您都只需为安全检查支付一次费用。

微调和集中配置您的 CSPM 控件，以满足组织的需求

根据组织的特定安全准则自定义 Security Hub 控件，同时仍然享受托管控件的好处。您可以修改许多 Security Hub 控件中的参数值，从而减少在账户中手动构建和测试这些控件的工作量，同时仍然保持它们的安全评分。指定参数，例如资源被视为未使用的天数、密码策略的特定特征或高风险端口列表。您还可以在全球范围内集中管理所有或部分账户的这些配置和功能，而无需逐个账户和逐个区域对其进行更新。

使用安全分数评估您的安全状况

Security Hub 为每个标准、所有启用标准的每个账户提供简单的 0-100 安全分数，并为与您的管理员账户关联的所有账户提供总分。该分数基于标准、账户或组织的已通过和未通过的控件的数量。

通过安全数据可视化获得强有力的见解

根据您的具体要求自定义您的 Security Hub 控制面板，以更轻松地识别模式、漏洞和威胁，从而实现更快的响应。Security Hub 的控制面板包含一组 AWS 托管的见解，这些见解经过精心挑选，可反映 AWS 观察到的现代云安全威胁形势，并以 AWS 在自身安全运营中吸取的经验教训为指导。您可以选择和修改要显示的小部件，应用和保存筛选条件以根据特定条件创建上下文视图，并根据您的需求确定组织安全状况的数据和视图的优先级。

管理安全警报

跨区域聚合调查发现

指定聚合器区域并关联部分或所有区域，以便您集中查看您的账户和关联区域的调查发现。调查发现会在区域之间持续同步，因此对一个区域的调查发现所做的更新会复制到另一个区域。现在，您在管理员账户和聚合器区域中的 Amazon EventBridge 源还包括您在所有成员账户和关联区域中的所有调查发现，这使您可以通过将这些集成整合到聚合器区域来简化与票务、聊天、事件管理、日志和自动修复工具的集成。

汇总 AWS 服务和合作伙伴集成的调查发现

Security Hub 会自动收集和整合您的环境中启用的 AWS 安全服务的调查发现，例如来自 Amazon GuardDuty 的入侵检测结果、来自 Amazon Inspector 的漏洞扫描、来自 Amazon Macie 的 Amazon Simple Storage Service (Amazon S3) 存储桶策略调查发现、来自 IAM Access Analyzer 的可公开访问和跨账户资源，以及 AWS Firewall Manager 缺乏 WAF 覆盖范围的资源。Security Hub 还整合了来自数十个集成式 AWS 合作伙伴网络（APN）安全解决方案的调查发现。所有调查发现将在上次更新之日起 90 天内存储在安全中心中。

综合控制调查发现和综合控制视图

通过整合多个标准的控制结果，简化对调查发现的分类、调查和修复的方式，从而更轻松地根据严重性和故障资源数量识别错误配置，并提高总体安全分数。您还可以在一个位置查看所有启用的控件及其合规性状态以及通过和失败的安全检查摘要，并通过单个操作配置所有标准的每个控件。

所有调查发现的单一标准化数据格式

Security Hub 通过引入 AWS Security Findings Format (ASFF) 消除了耗时且资源密集型的数据标准化流程。借助 ASFF，Security Hub 集成合作伙伴（包括 AWS 服务和外部合作伙伴）以包含 1,000 多个可用字段的格式正确的 JSON 格式将其调查发现发送到 Security Hub。这意味着您的所有安全调查发现都将在摄取到 Security Hub 之前对其进行标准化，您无需自己进行任何解析和标准化。这些调查发现以一致的方式识别资源、严重性和时间戳，因此您可以更轻松地对其进行搜索并采取行动。

多账户和 AWS Organizations 支持

只需在 Security Hub 控制台中单击几下，即可连接多个 AWS 账户并整合这些账户的调查发现。通过指定管理员账户，您可以使您的安全团队能够查看所有账户的综合调查结果，而个人账户所有者只能查看与其账户相关的调查结果。与 AWS Organizations 集成使您能够使用 Security Hub 和 AWS 基础安全防御最佳实践标准自动启用组织中的任何账户。

对调查发现进行筛选、分组并保存搜索

自动化和响应

自动更新调查发现

使用 Security Hub 自动化规则，可以近乎实时地自动更新或隐藏调查发现。安全管理员可以创建具有特定条件的规则，这些规则可以根据传入的每个调查发现自动进行评估，如果匹配则更新调查发现字段。使用自动化规则更改特定调查发现的严重性或工作流状态、隐藏这些调查发现或更新其用户定义的字段。

自动化响应、补救和丰富操作

使用 Security Hub 与 Amazon EventBridge 的集成，创建自定义的自动响应、修复和丰富工作流。Security Hub 的调查发现会自动发送到 EventBridge，您可以创建以 AWS Lambda 函数、AWS Step Function 函数或 AWS Systems Manager Automation 运行手册为目标的 EventBridge 规则。Security Hub 还支持通过自定义操作按需将调查发现发送到 EventBridge，而 Security Hub 自动响应和修复（ASR）解决方案为您提供了预先打包的 EventBridge 规则，供您通过 AWS Cloud Formation 进行部署。

与票务、聊天、事件管理、调查、GRC、SOAR 和 SIEM 工具集成

Security Hub 集成了各种票务、聊天、事件管理、威胁调查、监管、风险与合规 (GRC)、安全编排、自动化和响应 (SOAR) 以及安全信息和事件管理 (SIEM) 工具，这些工具可以自动发送或接收来自 Security Hub 的调查发现。

云安保状况管理 – AWS Security Hub 功能 – Amazon Web Services

原创文章，作者：奋斗，如若转载，请注明出处：https://blog.ytso.com/312347.html