AWS Security Hub 功能

Security Hub 关联并丰富了安全调查发现，以优先处理您的账户和 AWS 区域中的关键安全问题。该集成式控制面板通过可自定义小组件提供清晰的可视化效果，这些小组件展示了风险概要、威胁趋势以及安全覆盖情况，包括近乎实时的风险分析和趋势数据。通过自动化分析和基于风险的优先级排序，您可以更迅速地了解哪些问题需要立即注意，从而帮帮助您对环境中的风险修复作出明智决策。

Security Hub 通过分析资源关联、潜在影响以及安全问题之间的关系，提供自动关联和增强的风险背景。这种自动分析能够更深入地揭示安全风险，从而让您能够更明智地决定首先处理哪些问题。通过关联相关的威胁、漏洞和错误配置，Security Hub 能够揭示出那些若不加以关注就可能被忽略的复杂安全情况，从而帮助您提升整体安全态势。

Security Hub 关联安全调查发现，以对环境中的关键问题进行优先级排序。通过分析来 Amazon Inspector、AWS Security Hub 云安全态势管理（CSPM）、Amazon GuardDuty 和 Amazon Macie 等服务的信号，Security Hub 可以连接相关的漏洞、威胁和错误配置，以帮助您了解潜在的风险。Security Hub 会自动生成风险调查发现，以帮助您识别、优先处理并响应关键的安全问题。通过这种关联，您可以快速对安全问题进行分类，了解如何结合不同的调查发现形成潜在的攻击路径。您可以清晰地了解可能被利用的资源，并自信地决定首先解决哪些问题，从而帮助您确定在单独查看调查发现时可能会遗漏的复杂安全场景。

通过了解对手如何将漏洞和配置错误串联起来以破坏关键资源，来可视化潜在的攻击路径。通过映射这些连接，Security Hub 能够帮助您了解对手可能在您的环境中采取的行动路径，并确定哪些关键资源可能会受到影响。您可以查看潜在受损情况的范围，从而帮助您确定优先处理的补救措施，更有效地保护关键资源，并在可能的攻击链被利用之前将其中断。

访问您的 AWS 资源的综合视图，该视图会将安全态势、配置详细信息和应用程序上下文汇总到一个解决方案中。您可以通过 Security Hub 资源清单查看资源、资源配置和相关安全调查发现的摘要视图，而无需在不同的工具或控制台之间切换。您可以通过按资源类型查看调查发现并根据关键安全标准进行筛选的方式来简化安全分析，从而帮助您就安全工作的重点方向做出明智的决策。

通过高级分析功能跟踪安全态势的变化，这些功能可以识别整个环境中安全数据的模式和趋势。Security Hub 提供预构建的托管洞察，并提供随时间变化趋势的可视化显示，使您能够监控安全态势的变化，并专注于关键领域。您可以利用控制面板小组件来分析威胁趋势、风险模式、活跃的资源和安全覆盖指标，从而使您能够为长期安全策略做出数据驱动型决策，并向利益相关者展示可衡量的安全改进。

通过简化的 AWS 安全服务定价和内置的成本估算工具，简化您的安全运营。Security Hub 在简化的定价模式下整合收费，降低了管理多个服务账单的复杂性，并提供可预测的基于资源的定价。使用集成的成本估算器在部署前规划和预测 AWS 账户和区域的安全投资，帮助您就安全基础设施做出明智的决策，并大规模优化成本。

通过自动化工作流来缩短响应时间，该工作流能与您现有的票务系统（包括 Jira Cloud 和 ServiceNow）无缝集成，帮助您大规模地简化补救流程。通过与您的工具和流程集成，Security Hub 使您可以专注于响应安全问题，而不是管理行政任务，从而改善整体安全态势和运营效率。

Security Hub 使用开放网络安全架构框架（OCSF）（一种标准化的安全数据格式）来启用高级安全分析，以帮助您在关键问题影响运营之前将其识别出来。OCSF 为各种 AWS 服务和合作伙伴集成中的安全调查发现提供一致的格式。通过利用 OCSF，Security Hub 可与您的安全工具和工作流无缝集成。这种标准化方法能够提升您在云环境中识别模式、趋势和异常情况的能力，从而实现更有效的安全管理。

标准化安全使用 OCSF 来简化从各种 AWS 服务和合作伙伴集成中提取和处理安全数据的流程。这种统一的数据格式支持与您现有的安全工具和工作流无缝集成。OCSF 为安全调查发现提供一致的格式，包括资源标识符、严重性级别和时间戳等详细信息，使您可以更轻松地在整个环境中搜索、筛选和关联安全数据。

只需在控制台中单击几下，Security Hub 即可在整个 AWS Organizations 之间提供集中部署和管理功能。通过指定管理员账户，您的安全团队可以通过单个合并视图查看所有账户的相关安全调查发现，而个人账户所有者只能查看与其账户相关的调查发现。与 AWS Organizations 集成可提供统一支持，允许您为组织中的任何账户自动启用 Security Hub，从而大规模简化安全操作。

作为统一安全解决方案的一部分，可指定一个聚合区域来集中管理您的账户和地区的安全调查发现，从而更全面地了解您的安全操作并简化其管理。调查发现会在区域之间持续同步，因此对一个区域的调查发现所做的更新会复制到其他区域。现在，您在管理员账户和聚合器区域中的 Amazon EventBridge 事件总线会发布您在所有成员账户和关联区域中的所有调查发现的事件，这使您可以通过将这些集成整合到发布事件所在的聚合器区域来简化与票务、聊天、事件管理、日志和自动修复工具的集成。

Security Hub 中的高级分析功能使您能够对安全调查发现进行筛选、分类，并创建保存的搜索。利用标准化的 OCSF 格式，您可以创建自定义视图和洞察，从而帮助您发现整个环境中的关键风险。例如，您可以筛选调查发现，以专注于严重程度较高的问题，并按资源对其进行分组，从而找出易受攻击的资产。Security Hub 不仅提供了预先打包好的托管洞察，还具备创建自定义洞察的能力，这有助于您从安全数据中识别出模式和趋势。每项洞察都包含可视化图表，以展示随着时间推移的趋势，这样您就能跟踪自身安全态势的变化，并专注于最重要的事项。

Security Hub 利用标准化 OCSF 格式实现与现有安全工具的无缝集成，包括票务、聊天、事件管理、威胁调查、GRC（治理风险与合规性）、SOAR（安全、编排、自动化和响应）以及 SIEM（安全信息和事件管理）工具。这些集成与自动化工作流相结合，有助于简化您的安全运营并实现大规模响应。

CrowdStrike — 适用于端点的 Falcon

CrowdStrike 致力于保护企业风险中最关键的领域，涵盖端点、云工作负载、身份识别和数据。通过整合新一代杀毒软件（NGAV）、端点检测与响应（EDR）以及云工作负载保护（CWP），客户可获得对工作站、服务器、虚拟机、容器和无服务器工作负载的实时保护。基于人工智能的防护措施和攻击指标（IOA）可在威胁造成损害前将其拦截。持续的事件遥测消除了可见性差距，实现对所有主要操作系统的自动化检测和响应。只需几分钟即可部署单个轻量级传感器，通过即时可见性和和可扩展的防护能力，为 AWS、Azure、OCI 和 GCP 提供安全保障，从而在无需复杂操作的情况下阻止安全漏洞。

Okta — AWS 员工身份

Okta Workforce Identity Foundations for AWS 提供统一的身份识别解决方案，旨在保障您整个云生态系统中员工、承包商和合作伙伴的安全。通过与 AWS 无缝集成，其可消除密码孤岛，并依托三大核心支柱强化您的安全态势：用于集中管理应用程序访问的单点登录（SSO）、用于智能身份验证的防钓鱼多因素认证（MFA），以及作为 AD 或 HR 系统统一事实来源的通用目录。此基础涵盖白银级支持及五个自动化工作流程，为您的整个现代化员工队伍提供可扩展且安全的环境，在保障安全与流畅的用户体验之间取得平衡。

Britive — 优先访问管理

Britive 统一优先访问管理（PAM）是专为 AWS 和多云环境中的人类、代理式人工智能以及非人类身份设计的原生身份安全控制面板。与会产生巨大集成开销的传统基于存储库的解决方案不同，Britive 无需安装端点软件或更改架构即可运行，从而打破了线性成本曲线。Britive 不是静态凭证，而是在执行时精确生成动态、短效访问权限，以严格执行“零静态权限”原则。任务完成后，访问权限将自动撤销，从而消除环境中的风险。这种 API优先的设计能够与 CI/CD 管道和 AWS 基础设施无缝集成，通过在所有参与方中统一应用一项政策，将身份识别转化为您主要的安全边界。

SailPoint — 身份安全加速器

SailPoint 身份安全加速器是一款专为成长型企业打造、基于人工智能的统一解决方案。它将我们的基础治理引擎与端到端应用程序发现、基于风险的优先级排序以及零接触入职功能相结合。它由 SailPoint 平台提供支持，可提供即时、智能的控制能力以及基础的身份安全防护。我们的人工智能将您杂乱无章的应用程序环境转化为一份按优先级排序的路线图，助您在数天内（而非数月）将数百个应用程序纳入管理范畴。这极大地降低了风险和成本，在避免传统实施方案造成阻碍的同时，建立了可扩展的身份识别计划，确保能够立即实现合规性。

Opti — 人工智能原生身份

Opti 是人工智能原生身份平台，能够持续监控、分析并修复企业环境中的过度权限。与依赖静态业务数据和手动流程的传统工具不同，Opti 能够实时检测并自动修复权限过高的问题，从而降低审计周期之间基于身份的风险。Opti 通过 AWS Security Hub Extended 提供，可直接集成到您的现有安全操作中，并将符合 OCSF 标准的调查发现汇总到 AWS Security Hub 中，从而让 IT 和安全团队能够通过单一控制台管理人类、非人类及代理身份。企业利用 Opti 持续实施最低权限原则，加快合规进程，并消除定期访问审查所需的人工操作，从而使组织能够从检测阶段迈向补救阶段。

Proofpoint — 协作防护

Proofpoint 协作防护可在电子邮件威胁演变为安全事件之前将其拦截。其可在 48 小时内部署完成，既能防御高级定向攻击，又能提供直观的用户体验，便于管理垃圾邮件和灰色邮件。实时、即时指导能帮助用户识别并报告可疑消息。Proofpoint 由 Nexus AI 威胁检测堆栈提供支持，结合威胁情报、机器学习、关系图谱、大语言模型和计算机视觉，能够以 99.999% 的有效率拦截甚至是最复杂的威胁。这包括企业电子邮件入侵（BEC）、由人工智能驱动的攻击（如隐藏式提示注入）、勒索软件、电子邮件轰炸、回拨钓鱼以及其他高级社会工程学技巧。

Zscaler SSE — 私有访问平台

Zscaler 将 ZPA 描述为“业界首个基于人工智能的零信任网络架构”——这是一款云原生解决方案，可为所有用户提供零信任访问，使其能够直接连接私有应用程序；同时通过将应用程序隐藏在 Zero Trust Exchange 之后来最小化攻击面，利用基于人工智能的用户到应用程序分段技术消除横向移动，并借助集成的流量检测、应用程序和数据保护功能抵御复杂攻击。

Cyera — DSPM + Datawatcher

Cyera 数据安全态势管理（DSPM）可在 IaaS 和 DBaaS 环境中提供可操作的数据情报，能够自主发现和分类敏感数据，关联访问与暴露风险，并推动大规模、按优先级排序的数据安全风险修复。持续的清晰度支持安全的人工智能采用。对于需要额外帮助的组织而言，Cyera 托管服务：DataWatcher 是一项可选的附加组件，可对 Cyera 的 DSPM 进行持续监控、优化和运营。由专家主导的风险分析、补救指导及持续支持，可在不增加内部负担的情况下，助力实现可量化的成果。Cyera DSPM 与 DataWatcher 协同工作，能够更快、更有效地降低数据安全风险。

Island — 安全浏览和人工智能防护

Island 安全浏览和人工智能防护通过一款轻量级扩展程序，能在数分钟内部署并本地强制执行策略，将 Chrome 和 Edge 等消费者浏览器转变为安全的工作环境。无需流量回传，无需基础设施改造，也不会影响员工的工作方式。安全浏览提供内联 URL 分类、实时恶意软件检测以及高级反钓鱼保护，可拦截恶意站点、阻止有害下载，并防止凭证被盗。人工智能防护提供对人工智能应用程序和扩展程序的可见性，并对提示及行为实施策略管控，从而让员工能够放心使用人工智能，同时避免泄露敏感数据或引入无法管控的风险。

Upwind — 云安全性

Upwind 是一款云原生应用程序保护解决方案，它利用运行时上下文来识别云基础设施中最为关键的风险，从而帮助安全团队准确设定优先级并更快地做出响应。Upwind 结合云安全态势管理、云检测与响应、漏洞与风险管理、数据安全以及人工智能安全功能，可在 AWS、其他云平台及本地环境中提供实时保护。

Noma — AI-SPM + Discovery、Noma 红蓝对抗、Noma 运行时防护

Noma 是专为人工智能和代理构建的人工智能安全平台。随着企业将人工智能的应用范围扩展至开发、部署和生产环境，Noma 提供全面的可见性、保护和治理能力。该平台可保障所有类型人工智能的安全，包括自主研发的应用程序、SaaS 代理以及本地开发人员环境。Noma 提供三项核心功能：人工智能安全态势管理可发现资产并识别配置错误；红蓝对抗可在系统投入生产前对其进行对抗性攻击测试；运行时防护可检测并阻止诸如提示注入和数据外泄等实时威胁。

Oligo — 人工智能运行时安全性

Oligo 运行时人工智能安全性在运行时保护人工智能工作负载。其统一传感器结合人工智能安全态势管理（AI-SPM）和人工智能检测与响应（AI-DR）功能，可对跨 AWS 环境的模型行为、供应链风险及运行时异常提供持续的可视化监控。AI-SPM 能在事件发生前识别出配置错误、暴露的模型以及政策违规情况。AI-DR 实时监控代理工具的调用和行为，以检测对抗性操纵和幻觉。Oligo 通过 AWS Security Hub Extended 提供，可与 AWS 基础设施原生集成，无需任何运营开销即可立即发挥价值。

Splunk — 企业安全基础知识

将 AWS Security Hub 与 Splunk Enterprise Security Essentials 整合到统一、基于人工智能的 SecOps 解决方案中，为 SOC 提供显著优势。通过 Security Hub Extended 提供的这一原生集成，将 AWS 的高精度洞察与 Splunk 的安全监控和分析功能相结合，从而在混合环境中实现更全面的覆盖和更简化的操作。Splunk 将 AWS 安全调查发现提升为原生调查发现，从而绕过复杂的解析过程，并以近乎实时的速度向分析师呈现高优先级事件，从而显著缩短平均检测时间（MTTD）。Splunk 通过专有的关联引擎、人工智能和威胁情报进一步丰富调查发现，并将这些无缝集成到统一的分析师工作流程中。

7AI — 代理式安全平台

7AI 通过动态人工智能代理实现自主安全运营，这些代理整合来自云、身份、端点、网络及 DLP 来源的调查发现，从而评测风险、调查威胁并执行补救措施。7AI 专为 AWS Security Hub Extended 打造，可与 Security Hub、GuardDuty 和 CloudTrail 原生集成，从而在整个 AWS 环境中自主调查发现的问题、评测影响范围并采取行动。人工智能代理能在数分钟内完成全面调查，具备专家级推理能力；其响应措施不仅限于预定义的行动手册，还能灵活执行；通过优化检测规则，可将误报率降低 95% 至 99%；并能主动搜寻威胁。