本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在漏洞管理程式 AWS Security Hub CSPM 中使用
<a name="aws-security-hub"></a>

在 上建置可擴展的漏洞管理計畫，除了雲端組態風險之外，還 AWS 涉及管理傳統軟體和網路漏洞。 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)可協助您根據安全產業標準檢查 AWS 環境，並識別雲端組態風險。Security Hub CSPM 也 AWS 透過彙整來自其他安全服務和第三方 AWS 安全工具的安全調查結果，提供 中安全狀態的完整檢視。

在下列各節中，我們提供設定 Security Hub CSPM 以支援漏洞管理計劃的最佳實務和建議：
+  [設定 Security Hub CSPM](#setting-up-security-hub)
+  [啟用 Security Hub CSPM 標準](#enabling-security-hub-standards)
+  [管理 Security Hub CSPM 問題清單](#managing-security-hub-findings)
+  [從其他安全服務和工具彙總問題清單](#aggregating-findings-from-other-security-services-and-tools)

## 設定 Security Hub CSPM
<a name="setting-up-security-hub"></a>

如需設定說明，請參閱[設定 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)。若要使用 Security Hub CSPM，您必須啟用 [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)。如需詳細資訊，請參閱 Security Hub CSPM 文件中的[啟用和設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。

如果您與組織管理帳戶整合 AWS Organizations，您可以將帳戶指定為 Security Hub CSPM 委派管理員。如需說明，請參閱[指定 Security Hub CSPM 委派管理員](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#designate-admin-overview)。 AWS SRA 建議您建立[安全工具帳戶](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)，並將其用作 Security Hub CSPM 委派管理員。

委派管理員會自動擁有為組織中的所有成員帳戶設定 Security Hub CSPM 的存取權，並檢視與這些帳戶相關聯的問題清單。建議您在所有 AWS 區域 和所有 中啟用 AWS Config Security Hub CSPM AWS 帳戶。您可以設定 Security Hub CSPM 自動將新組織帳戶視為 Security Hub CSPM 成員帳戶。如需說明，請參閱[管理屬於組織的成員帳戶](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html)。

## 啟用 Security Hub CSPM 標準
<a name="enabling-security-hub-standards"></a>

Security Hub CSPM 透過對安全*控制*執行自動化和持續安全檢查來產生問題清單。這些控制項與一或多個*安全標準*相關聯。這些控制項可協助您判斷是否符合標準中的要求。

當您在 Security Hub CSPM 中啟用標準時，Security Hub CSPM 會自動啟用適用於標準的控制項。Security Hub CSPM 使用 AWS Config [規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)來執行其控制項的大部分安全檢查。您可以隨時啟用或停用 Security Hub CSPM 標準。如需詳細資訊，請參閱 [中的安全控制和標準 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html)。如需完整的標準清單，請參閱 [Security Hub CSPM 標準參考](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html)。

如果您的組織還沒有偏好的安全標準，我們建議您使用 [AWS 基礎安全最佳實務 (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)。此標準旨在偵測 AWS 帳戶 和資源何時偏離安全最佳實務。 AWS 策劃此標準並定期更新，以涵蓋新功能和服務。對 FSBP 調查結果進行分類後，請考慮啟用其他標準。

## 管理 Security Hub CSPM 問題清單
<a name="managing-security-hub-findings"></a>

Security Hub CSPM 提供多種功能，可協助您處理整個組織中的大量問題清單，並了解 AWS 環境的安全狀態。為了協助您管理問題清單，我們建議您啟用下列兩個 Security Hub CSPM 功能：
+ 使用[跨區域彙總](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)將問題清單、問題清單更新、洞見、控制合規狀態和安全分數從多個彙總 AWS 區域 到單一彙總區域。
+ 透過移除重複的問題[清單，使用合併的控制](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)問題清單來減少問題清單雜訊。在您的帳戶中開啟合併控制項調查結果時，即使控制項適用於多個啟用的標準，Security Hub CSPM 仍會為每個控制項的安全檢查產生單一新調查結果或調查結果更新。

## 從其他安全服務和工具彙總問題清單
<a name="aggregating-findings-from-other-security-services-and-tools"></a>

除了產生安全調查結果之外，您還可以使用 Security Hub CSPM 從數個 AWS 服務 和支援的第三方安全解決方案彙總調查結果資料。本節著重於將安全性問題清單傳送至 Security Hub CSPM。下一節[準備指派安全性問題清單](prepare-finding-assignments.md)討論如何將 Security Hub CSPM 與可從 Security Hub CSPM 接收問題清單的產品整合。

您可以與 Security Hub AWS 服務 CSPM 整合許多可用的第三方產品和開放原始碼解決方案。如果您才剛開始使用，我們建議您執行下列動作：

1. **啟用整合 AWS 服務** – 大多數將問題清單傳送到 Security Hub CSPM 的 AWS 服務 整合會在您同時啟用 Security Hub CSPM 和整合服務後自動啟用。針對您的漏洞管理計劃，我們建議您在每個帳戶中啟用 Amazon Inspector AWS Health、Amazon GuardDuty 和 IAM Access Analyzer。這些服務會自動將其調查結果傳送至 Security Hub CSPM。如需支援 AWS 服務 整合的完整清單，請參閱[AWS 服務 將問題清單傳送至 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html)。
**注意**  
AWS Health 如果符合下列其中一個條件， 會將問題清單傳送至 Security Hub CSPM：  
調查結果與 AWS 安全服務相關聯
問題清單**類型碼**包含單字 `security`、 `abuse`或 `certificate`
問題清單 AWS Health 服務為 `risk`或 `abuse`

1. **設定第三方整合** – 如需目前支援的整合清單，請參閱[可用的第三方合作夥伴產品整合](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html)。選取可將問題清單傳送至 Security Hub CSPM 或從中接收問題清單的任何其他工具。您可能已經擁有其中一些第三方工具。遵循產品說明來設定與 Security Hub CSPM 的整合。