Amazon Security Hub 文档

Amazon Security Hub 是一种云安全态势管理服务，旨在针对亚马逊云科技资源执行持续的安全最佳实践检查。Security Hub 旨在将各种亚马逊云科技中国区域服务和合作伙伴产品的安全警报（即调查结果）以标准格式汇总，以便您可以更轻松地对其采取行动。为了帮助您了解亚马逊云科技的安全态势，您需要集成多种工具和服务，包括 Amazon GuardDuty 的威胁检测、Amazon Inspector 的漏洞、Amazon Macie 的敏感数据分类、Amazon Config 的资源配置问题以及 Amazon Partner Network Products。Security Hub 通过 Amazon Config 规则支持的安全最佳实践检查以及与其他亚马逊云科技中国区域服务和合作伙伴产品的集成，帮助简化您理解和改善安全状况的方式。

Security Hub 可以帮助您通过亚马逊云科技账户的综合安全评分了解您的整体安全状况，并通过 Amazon Foundational Security Best Practices 标准和其他合规框架评估亚马逊云科技账户资源的安全性。它还通过 Amazon Security Finding Format 将您从其他亚马逊云科技安全服务和 APN 产品中获得的所有安全发现汇总到一个位置和格式中，并通过响应和补救支持帮助减少您的平均补救时间（MTTR）。Security Hub 具有与票务、聊天、安全信息和事件管理（SIEM）、安全编排自动化和响应（SOAR）、威胁调查、治理风险和合规性（GRC）以及事件管理工具的开箱即用集成，为您的用户提供完整的安全操作工作流。

Security Hub 为您提供了一组称为 Amazon Foundational Security Best Practices 标准的安全控件。这是一组经过亚马逊云科技安全专家审查的推荐安全实践，无论是在相关资源发生变化时，还是在一个固定的定期计划中，都会持续运行。每个控件都有一个特定的严重性分数，以帮助您确定补救工作的优先级。Security Hub 定期更新新的控制和额外的服务范围。我们建议您在所有账户和地区启用 Amazon Foundational Security Best Practices 标准。

Security Hub 旨在收集并整合您环境中启用的亚马逊云科技安全服务的调查结果，例如 Amazon GuardDuty 的入侵检测结果、Amazon Inspector 的漏洞扫描、Amazon Macie 的 Amazon Simple Storage Service（Amazon S3）存储桶策略结果、IAM Access Analyzer 的公共可访问和跨账户资源，以及 Amazon Firewall Manager 的 WAF 覆盖范围不足的资源。Amazon Security Hub 还旨在整合其他集成 Amazon Partner Network（APN）安全解决方案的结果。所有调查结果在上次更新日期后 90 天存储在安全中心中。

传统而言，当将安全警报组合到单个系统中时，您需要解析和规范每个数据源，以将其转换为搜索、分析、响应和补救行动的通用格式。安全中心通过引入 Amazon Security Findings Format (ASFF)，帮助消除这些耗时且资源密集的过程。通过 ASFF，Security Hub 的所有集成合作伙伴（包括亚马逊云科技中国区域服务和外部合作伙伴）都必须将其结果以 JSON 格式发送到 Security Hub，该格式包含 1000 多个可用字段。这意味着在将这些安全发现纳入安全中心之前，应该对其进行规范化，并有助于消除自己进行任何解析和规范化的需要。这些发现以一致的方式识别资源、严重程度和时间戳，以便您可以更容易地搜索并对其采取行动。

除了 Amazon Foundational Security Best Practices 标准外，Security Hub 还提供与行业和监管框架相一致的其他标准，如支付卡行业数据安全标准（PCI DSS）和互联网安全中心（CIS）Amazon Foundations Benchmark。这些标准还得到了持续安全检查的支持。   

您可以使用 Security Hub 与 Amazon EventBridge 的集成创建自定义响应、补救和丰富工作流。所有 Security Hub 发现结果都会发送到 EventBridge，您可以创建 EventBridge 规则，将 Amazon Lambda 函数、Amazon Step Function 函数或 Amazon Systems Manager Automation 运行手册作为其目标。这些功能和运行手册可以帮助使用其他数据丰富调查结果，或对发现采取响应和补救措施。Security Hub 还支持通过自定义操作按需将结果发送到 EventBridge，以便您可以让分析师决定何时触发响应或补救操作。Security Hub 自动响应和补救（SHARR）解决方案为您提供预打包的 EventBridge 规则，供您通过 Amazon CloudFormation 进行部署。

您可以连接多个亚马逊云科技帐户，并在 Amazon Security Hub 控制台中整合这些账户发现的问题。通过指定管理员账户，您可以使您的安全团队能够查看组织账户的合并结果，而个人账户所有者只能查看与其账户关联的问题。通过与 Amazon Organizations 的集成，您可以使用 Security Hub 和 Amazon Foundational Security Best Practices 标准启用组织中的任何账户。   

Amazon Security Hub 使您能够指定聚合区域并将其他区域关联到该聚合区域，从而为您提供所有账户和所有关联区域中的所有调查结果的集中视图。将某个区域关联到聚合区域之后，您的调查结果将会在区域之间持续同步，因此，一个区域中的任何调查结果更新均会复制到另一个区域。您的Security Hub管理员或聚合区域中的指定管理员账户可以查看和管理您的所有调查结果。聚合区域中的单独 Security Hub 成员账户也可以查看和管理所有关联区域中的所有调查结果。管理员账户和聚合区域中的 Amazon EventBridge 源现在也包括所有成员账户和关联账户中的所有调查结果，这使您能够简化与票务、聊天、事件管理、日志记录和自动修复工具的集成，方法是将这些集成整合到聚合区域中。  

除了与发送 Security Hub 调查结果的其他亚马逊云科技安全服务和合作伙伴产品集成外，Security Hub 还与各种票务、聊天、事件管理、威胁调查、治理风险和合规性（GRC）、安全编排自动化和响应（SOAR）、，以及安全信息和事件管理（SIEM）工具，可从安全中心接收调查结果。这些集成包括亚马逊云科技中国区域服务，如 Amazon Detective（威胁调查）、Amazon Audit Manager，以及各种合作伙伴工具，如 Splunk、Slack、PagerDuty、Sumo Logic、ServiceNow ITSM 和 Atlassian 的 Jira Service Management。与 ServiceNow 和 Jira 的集成是双向的，因此对票证的任何更新都与 Security Hub 中的发现同步。

Security Hub 为每个标准、所有启用的标准中的每个账户提供简单的 0-100 安全分数，并为与管理员账户关联的所有账户提供总分。该分数基于标准、客户和/或组织通过与失败的控制数量。为了帮助您监控安全状况，安全评分信息与其他关键见解一起显示在摘要面板中，例如哪些资源的安全检查失败最多。   

您可以根据 Amazon Security Finding Format 中的字段筛选查找结果，并使用 GroupBy 语句将查找结果聚合到存储桶中。例如，您可以筛选结果以仅显示“严重”或“高严重性”结果，然后按资源 ID 对其进行分组，以查看哪些资源具有最严重或最严重的结果。Security Hub 将这些类型的搜索称为“见解”，并提供预打包的管理见解，并允许您定义自己的自定义见解。每个洞察都包含一条时间序列迷你图，以显示与洞察相匹配的发现在一段时间的趋势。

有关服务控制、安全特性及功能的其他信息，包括有关存储、检索、修改、限制和删除数据的信息，请参见 https://docs.amazonaws.cn/。以上链接包含的信息不构成光环新网关于亚马逊云科技（北京区域）的客户协议或西云数据关于亚马逊云科技（宁夏区域）的客户协议的“文档”的一部分，也不构成您与光环新网或西云数据之间就您使用亚马逊云科技中国区域服务达成的其他协议的任何部分。