本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 中檢視 AWS Security Hub CSPM 控制項 AWS Trusted Advisor
AWS Security Hub CSPM 為 啟用 之後 AWS 帳戶,您可以在 Trusted Advisor 主控台中檢視您的安全控制及其調查結果。您可以使用 Security Hub CSPM 控制項來識別您帳戶中的安全漏洞,方法與您可以使用 Trusted Advisor 檢查的方式相同。您可以檢視檢查的狀態、受影響的資源清單,然後遵循 Security Hub CSPM 建議來解決您的安全問題。您可以使用此功能,在一個方便的位置找到來自 Trusted Advisor 和 Security Hub CSPM 的安全建議。
**備註**
從中 Trusted Advisor,您可以檢視 AWS 基礎安全最佳實務安全標準中的控制項,但具有類別:復原 > 恢復能力的控制項*除外*。如需支援的控制項清單,請參閱《AWS Security Hub CSPM 使用者指南》**中的 [AWS 基礎安全最佳實務控制項](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html)。
如需 Security Hub CSPM 類別的詳細資訊,請參閱[控制類別](https://docs.aws.amazon.com/securityhub/latest/userguide/control-categories.html)。
Trusted Advisor 截至 2024 年 9 月 26 日的加入 Security Hub CSPM 控制。2024 年 9 月 26 日之後發行的控制項尚未加入 Trusted Advisor。您可以在 [Security Hub CSPM 日誌](https://docs.aws.amazon.com/securityhub/latest/userguide/doc-history.html)中找到在該日期之後發行的控制項。
**Topics**
+ [先決條件](#prerequisites-security-hub)
+ [檢視您的 Security Hub CSPM 調查結果](#security-controls-trusted-advisor-console)
+ [重新整理 Security Hub CSPM 問題清單](#refreshing-security-hub-findings)
+ [從 停用 Security Hub CSPM Trusted Advisor](#disable-security-hub)
+ [疑難排解](#troubleshooting-security-hub-integration)
## 先決條件
您必須符合下列要求,才能啟用與 的 Security Hub CSPM 整合 Trusted Advisor:
+ 您必須擁有此功能的 AWS Business Support\+、 AWS Enterprise Support 或 AWS Unified Operations 計劃。您可以在 [AWS 支援 中心](https://console.aws.amazon.com/support)或[支援計劃](https://console.aws.amazon.com/support/plans)頁面中找到您的支援計劃。如需詳細資訊,請參閱[比較 AWS 支援 計劃](https://aws.amazon.com/premiumsupport/plans/)。
+ 您必須 AWS Config 為 Security Hub CSPM 控制項 AWS 區域 所需的 在 中啟用資源記錄。如需詳細資訊,請參閱[啟用並設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。
+ 您必須啟用 Security Hub CSPM,然後選取**AWS 基礎安全最佳實務 1.0.0 版**安全標準。如果您尚未執行,請參閱《AWS Security Hub CSPM 使用者指南》**中的[設定 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)。
**注意**
如果您已完成這些先決條件,您可以跳至 [檢視您的 Security Hub CSPM 調查結果](#security-controls-trusted-advisor-console)。
### 關於 AWS Organizations 帳戶
如果您已經完成了管理帳戶的先決條件,則系統會為組織中的所有成員帳戶自動啟用此整合。個別成員帳戶不需要聯絡 支援 即可啟用此功能。不過,如果組織中的成員帳戶想要查看其問題清單,則必須啟用 Security Hub CSPM Trusted Advisor。
如果您要停用特定成員帳戶的這項整合,請參閱 [停用 AWS Organizations 帳戶的此功能](#disabling-security-hub-for-organizations)。
## 檢視您的 Security Hub CSPM 調查結果
為您的帳戶啟用 Security Hub CSPM 後,Security Hub CSPM 調查結果最多可能需要 24 小時才會出現在主控台**的安全**頁面 Trusted Advisor 中。
**在 中檢視 Security Hub CSPM 問題清單 Trusted Advisor**
1. 導覽至 [Trusted Advisor 主控台](https://console.aws.amazon.com/trustedadvisor),然後選擇 **Security** (安全) 類別。
1. 在 **Search by keyword** (依關鍵字搜尋) 欄位中,請在欄位中輸入控制項的名稱或描述。
**提示**
對於**來源**,您可以選擇**AWS Security Hub CSPM**篩選 Security Hub CSPM 控制項。
1. 選擇 Security Hub CSPM 控制名稱以檢視下列資訊:
+ **描述** – 描述此控制項如何檢查您的帳戶是否存在安全漏洞。
+ **Source** (來源) – 檢查是否來自 AWS Trusted Advisor 或 AWS Security Hub CSPM。對於 Security Hub CSPM 控制項,您可以找到控制項 ID。
+ **Alert Criteria** (提醒條件) – 控制項的狀態。例如,如果 Security Hub CSPM 偵測到重要問題,狀態可能是**紅色:嚴重或高**。
+ **建議的動作 **– 使用 Security Hub CSPM 文件連結來尋找修正問題的建議步驟。
+ **Security Hub CSPM 資源** – 您可以在 Security Hub CSPM 偵測到問題的帳戶中找到資源。
**備註**
這些檢查的結果每天至少會自動重新整理一次,不允許重新整理請求。變更可能需要幾個小時才會顯示。您可以使用 Trusted Advisor 主控台,從自動重新整理的檢查中排除資源。您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API,從 Trusted Advisor Priority 建議資源以外的任何檢查中排除資源。
組織檢視功能支援此與 Security Hub CSPM 的整合。您可以檢視整個組織中 Security Hub CSPM 控制項的問題清單,然後建立和下載報告。如需詳細資訊,請參閱[的組織檢視 AWS Trusted Advisor](organizational-view.md)。
**Example 範例:IAM 使用者存取金鑰的 Security Hub CSPM 控制不應存在**
以下是 主控台中 Trusted Advisor Security Hub CSPM 控制項的範例調查結果。
## 重新整理 Security Hub CSPM 問題清單
啟用安全標準後,Security Hub CSPM 最多可能需要兩個小時才能為您的資源建立問題清單。然後,該資料最多可能需要 24 小時才會出現在 Trusted Advisor 主控台中。如果您最近啟用**AWS 了基礎安全最佳實務 1.0.0 **版安全標準,請稍後再次檢查 Trusted Advisor 主控台。
**注意**
每個 Security Hub CSPM 控制項的重新整理排程都是*定期*或*觸發變更*。目前,您無法使用 Trusted Advisor 主控台或 AWS 支援 API 來重新整理 Security Hub CSPM 控制項。如需詳細資訊,請參閱[執行安全檢查的排程](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-schedule.html)。
這些檢查的結果每天至少會自動重新整理一次,不允許重新整理請求。變更可能需要幾個小時才會顯示。您可以使用 Trusted Advisor 主控台,從自動重新整理的檢查中排除資源。您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API,從 Trusted Advisor Priority 建議資源以外的任何檢查中排除資源。
## 從 停用 Security Hub CSPM Trusted Advisor
如果您不希望 Security Hub CSPM 資訊出現在 Trusted Advisor 主控台中,請遵循此程序。此程序只會停用與 的 Security Hub CSPM 整合 Trusted Advisor。它不會影響您使用 Security Hub CSPM 的組態。您可以繼續使用 Security Hub CSPM 主控台來檢視您的安全控制、資源和建議。
**停用 Security Hub CSPM 整合**
1. 聯絡 [AWS 支援](https://console.aws.amazon.com/support)並請求停用 Security Hub CSPM 整合 Trusted Advisor。
AWS 支援 停用此功能後,Security Hub CSPM 不會再將資料傳送至 Trusted Advisor。您的 Security Hub CSPM 資料將從中移除 Trusted Advisor。
1. 如果您要再次啟用此整合,請聯絡 [AWS 支援](https://console.aws.amazon.com/support)。
### 停用 AWS Organizations 帳戶的此功能
如果您已完成管理帳戶的先前程序,Security Hub CSPM 整合會自動從組織中的所有成員帳戶中移除。組織的個別成員帳戶無需分別聯絡 AWS 支援 。
如果您是組織中的成員帳戶,您可以聯絡 支援 ,僅從您的帳戶中移除此功能。
## 疑難排解
如果您在這項整合上遇到問題,請參閱以下故障診斷資訊。
**Contents**
+ [我在 Trusted Advisor 主控台中看不到 Security Hub CSPM 問題清單](#security-hub-findings-not-appearing)
+ [我已 AWS Config 正確設定 Security Hub CSPM,但我的問題清單仍然遺失](#findings-still-not-appearing-after-enabling)
+ [我想要停用特定 Security Hub CSPM 控制項](#missing-findings-for-some-checks)
+ [我想要尋找排除的 Security Hub CSPM 資源](#finding-excluded-security-hub-findings)
+ [我想要為屬於 AWS 組織的成員帳戶啟用或停用此功能](#troubleshooting-organizations)
+ [我看到 Security Hub AWS 區域 CSPM 檢查的相同受影響資源有多個](#multiple-regions-check-results)
+ [我已關閉 Security Hub CSPM 或在 AWS Config 區域中](#disable-security-hub-regions)
+ [我的控制項會封存在 Security Hub CSPM 中,但我仍會在 中看到問題清單 Trusted Advisor](#archived-resource-still-appears-trusted-advisor)
+ [我仍然無法檢視我的 Security Hub CSPM 問題清單](#security-hub-contact-support)
### 我在 Trusted Advisor 主控台中看不到 Security Hub CSPM 問題清單
驗證您是否已完成下列步驟:
+ 您有 AWS Business Support\+、 AWS Enterprise Support 或 AWS Unified Operations 計劃。
+ 您已 AWS Config 在與 Security Hub CSPM 相同的區域內啟用資源記錄。
+ 您已啟用 Security Hub CSPM,並選取**AWS 基礎安全最佳實務 1.0.0 版**安全標準。
+ 來自 Security Hub CSPM 的新控制項會在兩到四週 Trusted Advisor 內新增為檢查。參閱[注意事項](#best-effort-basis)。
如需更多資訊,請參閱[先決條件](#prerequisites-security-hub)。
### 我已 AWS Config 正確設定 Security Hub CSPM,但我的問題清單仍然遺失
Security Hub CSPM 最多可能需要兩個小時才能取得您資源的問題清單。然後,該資料最多可能需要 24 小時才會出現在 Trusted Advisor 主控台中。請稍後再次檢查 Trusted Advisor 主控台。
**備註**
除了具有**類別:復原 > 恢復能力**的控制項*之外*, 中 Trusted Advisor 只會顯示 AWS 基礎安全最佳實務安全標準中控制項的問題清單。
如果 Security Hub CSPM 或 Security Hub CSPM 無法使用服務問題,您的問題清單最多可能需要 24 小時才會出現 Trusted Advisor。請稍後再次檢查 Trusted Advisor 主控台。
### 我想要停用特定 Security Hub CSPM 控制項
Security Hub CSPM Trusted Advisor 會自動將您的資料傳送至 。如果您停用 Security Hub CSPM 控制項,或不再有該控制項的資源,您的問題清單就不會出現在 中 Trusted Advisor。
您可以登入 [Security Hub CSPM 主控台](https://console.aws.amazon.com/securityhub),並驗證您的控制項是否啟用或停用。
如果您停用 Security Hub CSPM 控制項或停用 AWS 基礎安全最佳實務安全標準的所有控制項,您的問題清單會在接下來的五天內封存。這個五天的封存期限僅為近似值,會盡力而為,但不一定保證實現。封存問題清單時,會從中移除問題清單 Trusted Advisor。
如需詳細資訊,請參閱下列主題:
+ [停用和啟用個別控制項](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable-controls.html)
+ [停用或啟用安全標準](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-enable-disable.html)
### 我想要尋找排除的 Security Hub CSPM 資源
從 Trusted Advisor 主控台,您可以選擇 Security Hub CSPM 控制項名稱,然後選擇**排除項目**選項。此選項會顯示 Security Hub CSPM 中隱藏的所有資源。
如果資源的工作流程狀態設定為 `SUPPRESSED`,那麼該資源是 Trusted Advisor中的已排除項目。您無法從 Trusted Advisor 主控台隱藏 Security Hub CSPM 資源。若要這樣做,請使用 [Security Hub CSPM 主控台](https://console.aws.amazon.com/securityhub)。如需詳細資訊,請參閱[設定問題清單的工作流程狀態](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-workflow-status.html)。
### 我想要為屬於 AWS 組織的成員帳戶啟用或停用此功能
根據預設,成員帳戶從 AWS Organizations管理帳戶繼承該功能。如果管理帳戶已啟用該功能,則組織中的所有帳戶也將具有該功能。如果您有成員帳戶,並想要為您的帳戶進行特定的變更,您必須聯絡 [AWS 支援](https://console.aws.amazon.com/support)。
### 我看到 Security Hub AWS 區域 CSPM 檢查的相同受影響資源有多個
有些 AWS 服務 是全域的,並非特定於區域,例如 IAM 和 Amazon CloudFront。依預設,Amazon S3 儲存貯體等全域資源會顯示在美國東部 (維吉尼亞北部) 區域。
對於評估全域服務資源的 Security Hub CSPM 檢查,您可能會看到受影響資源的多個項目。例如,如果 `Hardware MFA should be enabled for the root user` 檢查識別到您的帳戶尚未啟用此功能,您會在相同資源的資料表中看到多個區域。
您可以設定 Security Hub CSPM, AWS Config 讓相同資源不會出現多個區域。如需詳細資訊,請參閱[您可能想要停用的AWS 基本最佳實務控制](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp-to-disable.html)。
### 我已關閉 Security Hub CSPM 或在 AWS Config 區域中
如果您在 中使用 停止資源記錄 AWS Config 或停用 Security Hub CSPM AWS 區域, Trusted Advisor 不會再接收該區域中任何控制項的資料。 會在 7-9 天內 Trusted Advisor 移除您的 Security Hub CSPM 問題清單。此時間框架為盡最大努力的結果,且不能保證。如需詳細資訊,請參閱[停用 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-disable.html)。
若要停用您帳戶的這項功能,請參閱[從 停用 Security Hub CSPM Trusted Advisor](#disable-security-hub)。
### 我的控制項會封存在 Security Hub CSPM 中,但我仍會在 中看到問題清單 Trusted Advisor
當問題清單`RecordState`的狀態變更為 `ARCHIVED` 時, 會從您的帳戶 Trusted Advisor 中刪除該 Security Hub CSPM 控制項的問題清單。在刪除問題清單之前,您可能會在 中看到問題清單 Trusted Advisor 長達 7-9 天。此時間框架為盡最大努力的結果,且不能保證。
### 我仍然無法檢視我的 Security Hub CSPM 問題清單
如果您對於本功能仍有問題,您可以前往 [AWS 支援 中心](https://console.aws.amazon.com//support/home)建立技術支援案例。