AWS Security Hub CSPM 功能

“AWS 基础安全最佳实践”标准内置于 Security Hub CSPM 中。这是一套精心策划的安全最佳实践，由 AWS 安全专家审查，可为您提供基于事件的持续监控或定期运行。每个控件都有特定的严重性等级，可帮助您确定补救工作的优先级别。我们建议在所有账户和 Region（区域）启用此标准，并且我们会通过新的控件和其他服务范围不断对其进行更新。

除了 AWS 基础安全最佳实践标准外，Security Hub CSPM 还提供符合行业和监管框架的其他标准，例如支付卡行业数据安全标准（PCI DSS）、互联网安全中心（CIS）、AWS 基金会基准以及美国国家标准与技术研究院（NIST）。这些标准还由持续的自动安全检查提供支持，无论安全检查映射到多少标准，您都只需为安全检查支付一次费用。

根据组织的特定安全准则自定义 Security Hub CSPM 控件，同时仍然享受托管控件的好处。您可以修改许多 Security Hub CSPM 控件中的参数值，从而减少在账户中手动构建和测试这些控件的工作量，同时仍然保持它们的安全评分。指定参数，例如资源被视为未使用的天数、密码策略的特定特征或高风险端口列表。您还可以在全球范围内集中管理所有或部分账户的这些配置和功能，而无需逐个账户和逐个区域对其进行更新。

Security Hub CSPM 为每个标准、所有启用标准的每个账户提供简单的 0-100 安全分数，并为所有账户提供总分

根据您的具体要求自定义您的 Security Hub CSPM 控制面板，以更轻松地识别模式、漏洞和威胁，从而实现更快的响应。  Security Hub CSPM 控制面板包含一组 AWS 托管的见解，这些见解经过精心挑选，可反映 AWS 观察到的现代云安全威胁形势，并以 AWS 在自身安全运营中吸取的经验教训为指导。您可以选择和修改要显示的小部件，应用和保存筛选条件以根据特定条件创建上下文视图，并根据您的需求确定组织安全状况的数据和视图的优先级。

作为统一安全解决方案的一部分，可指定一个聚合区域来集中管理您的账户和地区的安全调查发现，从而全面了解您的安全操作并简化其管理。调查发现会在区域之间持续同步，因此对一个区域的调查发现所做的更新会复制到另一个区域。现在，您在管理员账户和聚合器区域中的 Amazon EventBridge 源还包括您在所有成员账户和关联区域中的所有调查发现，这使您可以通过将这些集成整合到聚合器区域来简化与票务、聊天、事件管理、日志和自动修复工具的集成。

Security Hub CSPM 会自动收集和整合您的环境中启用的 AWS 安全服务的调查发现，例如来自 Amazon GuardDuty 的入侵检测结果、来自 Amazon Inspector 的漏洞扫描、来自 Amazon Macie 的 Amazon Simple Storage Service (Amazon S3) 存储桶策略调查发现、来自 IAM Access Analyzer 的可公开访问和跨账户资源，以及 AWS Firewall Manager 缺乏 WAF 覆盖范围的资源。Security Hub CSPM 还整合了来自数十个集成式 AWS 合作伙伴网络（APN）安全解决方案的调查发现。所有调查发现将在上次更新之日起 90 天内存储在 Security Hub CSPM 中。

Security Hub CSPM 通过引入 AWS 安全调查发现格式（ASFF）消除了耗时且资源密集型的数据标准化流程。借助 ASFF，Security Hub CSPM 集成合作伙伴（包括 AWS 服务和外部合作伙伴）以包含 1,000 多个可用字段的格式正确的 JSON 格式将其调查发现发送到 Security Hub CSPM。这意味着您的所有安全调查发现都将在摄取到 Security Hub CSPM 之前对其进行标准化，您无需自己进行任何解析和标准化。这些调查发现以一致的方式识别资源、严重性和时间戳，因此您可以更轻松地对其进行搜索并采取行动。

只需在控制台中单击几下，Security Hub 即可在整个 AWS Organizations 之间提供集中部署和管理功能。通过指定管理员帐户，您的安全团队可以通过单个合并视图查看所有账户的相关安全调查发现，而个人账户所有者只能查看与其账户相关的调查发现。与 AWS Organizations 集成允许您为组织中的任何账户自动启用 Security Hub，从而大规模简化安全操作。

根据 ASFF 中的字段筛选调查发现，并使用 GroupBy 语句将调查发现汇总到存储桶中。例如，您可以筛选调查发现以仅显示 Critical（危急）或 High（较高）的严重程度，然后按资源 ID 对其进行分组，以查看哪些资源具有最为危急或较高的严重程度。Security Hub CSPM 将这些类型称为搜索见解，Security Hub CSPM 既提供预打包的托管见解，又使您能够定义自己的自定义见解。每项见解都包含一个时间序列迷你图，以显示与见解相匹配的调查发现随时间推移的趋势。

使用 Security Hub CSPM 自动化规则，可以近乎实时地自动更新或隐藏调查发现。安全管理员可以创建具有特定条件的规则，这些规则可以根据传入的每个调查发现自动进行评估，如果匹配则更新调查发现字段。使用自动化规则更改特定调查发现的严重性或工作流状态、隐藏这些调查发现或更新其用户定义的字段。

使用 Security Hub CSPM 与 Amazon EventBridge 的集成，创建自定义的自动响应、修复和丰富工作流。Security Hub CSPM 的调查发现会自动发送到 EventBridge，您可以创建以 AWS Lambda 函数、AWS Step Function 函数或 AWS Systems Manager Automation 运行手册为目标的 EventBridge 规则。Security Hub CSPM 还支持通过自定义操作按需将调查发现发送到 EventBridge，而 Security Hub CSPM 自动响应和修复（ASR）解决方案为您提供了预先打包的 EventBridge 规则，供您通过 AWS Cloud Formation 进行部署。

Security Hub CSPM 集成了各种票务、聊天、事件管理、威胁调查、监管、风险与合规（GRC）、安全编排自动化和响应（SOAR）以及安全信息和事件管理（SIEM）工具，这些工具可以自动发送或接收来自 Security Hub CSPM 的调查发现。

Security Hub CSPM 提供 30 天的免费试用体验。试用版包括完整的 Security Hub CSPM 功能集以及安全最佳实践检查。每个区域启用 Security Hub CSPM 的每个 AWS 账户都将获得免费试用。免费试用版将会为您提供在相同账户和区域中继续使用 Security Hub CSPM 时每月的估计账单。另外，Security Hub CSPM 还提供永久免费套餐，即每月在每个区域每个账户可摄取 10000 个调查发现。了解有关 Security Hub 定价的更多信息。

Security Hub CSPM 按三个维度定价：安全检查的数量、摄取的调查发现数量和每月处理的规则评估数量。在 AWS Organizations 的支持下，Security Hub CSPM 使您能够连接多个 AWS 账户并整合这些账户的调查发现，从而对整个组织的安全检查、调查发现摄取和自动化规则评估享受分层定价。

Security Hub CSPM 将根据预先打包的安全标准自动持续进行最佳实践检查，以评估您的 AWS 账户和资源的安全状况。对于根据在 Security Hub CSPM 中可用的不同标准中常见的相同控件进行的检查，您无需为重复检查付费；Security Hub CSPM 只会向您收取一次费用。