本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Security Hub CSPM 在您的漏洞管理程序中使用
<a name="aws-security-hub"></a>

构建可扩展的漏洞管理程序除了云配置风险外，还 AWS 涉及管理传统软件和网络漏洞。 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)帮助您根据安全行业标准检查您的 AWS 环境，并可以识别云配置风险。Security Hub CSPM 还 AWS 通过汇总来自其他安全服务和第三方安全工具的安全发现，全面了解您的 AWS 安全状态。

在以下各节中，我们提供了设置 Security Hub CSPM 以支持您的漏洞管理计划的最佳实践和建议：
+  [设置 Security Hub CSPM](#setting-up-security-hub)
+  [启用 Security Hub CSPM 标准](#enabling-security-hub-standards)
+  [管理 Security Hub CSPM 调查结果](#managing-security-hub-findings)
+  [聚合来自其他安全服务和工具的调查发现](#aggregating-findings-from-other-security-services-and-tools)

## 设置 Security Hub CSPM
<a name="setting-up-security-hub"></a>

有关设置说明，请参阅 [Setting up AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)。要使用 Security Hub CSPM，必须启用。[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)有关更多信息，请参阅 Security Hub CSPM 文档 AWS Config中的[启用和配置](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。

如果您已与组织管理帐户集成 AWS Organizations，则可以从组织管理帐户中指定一个帐户作为 Security Hub CSPM 授权管理员。有关说明，请参阅[指定 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#designate-admin-overview) 授权管理员。 AWS SRA 建议您创建一个[安全工具帐户](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)，并将其用作 Security Hub CSPM 委托的管理员。

授权的管理员自动有权为组织中的所有成员账户配置 Security Hub CSPM，并可以查看与这些账户关联的调查结果。我们建议你在所有 AWS 区域 版本中启用 Sec AWS Config urity Hub CSPM。 AWS 账户您可以将 Security Hub CSPM 配置为自动将新的组织帐户视为 Security Hub CSPM 成员帐户。有关说明，请参阅 [Managing member accounts that belong to an organization](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html)。

## 启用 Security Hub CSPM 标准
<a name="enabling-security-hub-standards"></a>

*Security Hub CSPM 通过对安全控制进行自动和持续的安全检查来生成调查结果。*这些控制措施与一个或多个*安全标准*关联。这些控件可帮助您确定是否满足标准中的要求。

当你在 Security Hub CSPM 中启用标准时，Security Hub CSPM 会自动启用适用于该标准的控件。Security Hub CSPM 使用 AWS Config [规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)来执行其大部分安全控制检查。您可以随时启用或禁用 Security Hub CSPM 标准。有关更多信息，请参阅[中的安全控制和标准 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html)。有关标准的完整列表，请参阅 Sec [urity Hub CSPM 标准](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html)参考。

如果您的组织还没有首选安全标准，我们建议使用 [AWS Foundational Security Best Practices（FSBP）标准](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)。该标准旨在检测何时 AWS 账户 出现资源偏离安全最佳实践。 AWS 策划本标准并定期对其进行更新，以涵盖新的功能和服务。对 FSBP 的调查发现进行分类后，可以考虑启用其他标准。

## 管理 Security Hub CSPM 调查结果
<a name="managing-security-hub-findings"></a>

Security Hub CSPM 提供了多种功能，可帮助您处理来自整个组织的大量调查结果并了解环境的安全状态。 AWS 为了帮助您管理调查结果，我们建议启用以下两个 Security Hub CSPM 功能：
+ 使用[跨区域聚合](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)将多个聚合区域的调查结果、查找更新、见解、控制合规性状态和安全评分汇总 AWS 区域 到单个聚合区域。
+ 使用[整合的控制调查发现](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)，通过删除重复的调查发现来减少调查发现噪音。在您的账户中启用合并控制结果后，Security Hub CSPM 会为控件的每项安全检查生成一个新的发现或查找结果更新，即使一个控件适用于多个启用的标准。

## 聚合来自其他安全服务和工具的调查发现
<a name="aggregating-findings-from-other-security-services-and-tools"></a>

除了生成安全调查结果外，您还可以使用 Security Hub CSPM 来汇总来自多个受支持的第三方安全 AWS 服务 解决方案的查找数据。本节重点介绍向 Security Hub CSPM 发送安全调查结果。下一节将讨论如何将 S [准备分配安全调查发现](prepare-finding-assignments.md) ecurity Hub CSPM 与可以接收 Security Hub CSPM 调查结果的产品集成。

您可以将许多 AWS 服务第三方产品和开源解决方案与 Security Hub CSPM 集成。如果您刚开始使用，我们建议执行以下操作：

1. **启用**集成 AWS 服务— 在您同时启用 S AWS 服务 ecurity Hub CSPM 和集成服务后，大多数向 Security Hub CSPM 发送调查结果的集成都会自动激活。对于您的漏洞管理计划，我们建议在每个账户中启用 Amazon Inspector GuardDuty AWS Health、Amazon 和 IAM Access Analyzer。这些服务会自动将其发现结果发送到 Security Hub CSPM。有关支持的 AWS 服务 集成的完整列表，请参阅[AWS 服务 将调查结果发送给 Security Hub CSP](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html) M。
**注意**  
AWS Health 如果满足以下条件之一，则向 Security Hub CSPM 发送调查结果：  
该发现与 AWS 安全部门有关
调查发现 **typecode** 包含 `security`、`abuse` 或 `certificate` 字样
查找 AWS Health 服务是`risk`或 `abuse`

1. **设置第三方集成**：要查看当前支持的集成列表，请参阅 [Available third-party partner product integrations](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html)。选择任何其他可以向 Security Hub CSPM 发送调查结果或从 Security Hub CSPM 接收调查结果的工具。您可能已经拥有其中一些第三方工具。按照产品说明配置与 Security Hub CSPM 的集成。