本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 AWS 安全服務
<a name="configure-aws-security-services"></a>

AWS 提供各種安全服務，旨在協助保護您的 AWS 環境。針對您的漏洞管理計劃，我們建議您 AWS 服務 在每個帳戶中啟用下列項目：
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 可協助偵測您環境中的作用中威脅。GuardDuty 調查結果可協助您識別環境中利用的未知漏洞。它也可以協助您了解未修補漏洞的影響。
+ [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) 可讓您持續了解資源效能，以及 AWS 服務 和 帳戶的可用性。
+ [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 會分析您 AWS 環境中以資源為基礎的政策，以識別與外部實體共用的資源。這可協助您識別與意外存取資源和資料相關的漏洞。針對帳戶外部共用資源的每一個執行個體，IAM Access Analyzer 都會產生一份問題清單。
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) 是一種漏洞管理服務，可持續掃描 AWS 工作負載是否有軟體漏洞和意外的網路暴露。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 可協助您根據安全產業標準檢查 AWS 環境，並識別雲端組態風險。它還可以彙總來自其他 AWS 安全服務和第三方 AWS 安全工具的問題清單，以全面檢視您的安全狀態。

本節討論如何啟用和設定 Amazon Inspector 和 Security Hub CSPM，以協助您建立可擴展的漏洞管理計畫。

# 在漏洞管理計畫中使用 Amazon Inspector
<a name="amazon-inspector"></a>

[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) 是一種漏洞管理服務，可持續掃描您的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、Amazon Elastic Container Registry (Amazon ECR) 容器映像，以及 AWS Lambda 軟體漏洞和意外網路暴露的函數。您可以使用 Amazon Inspector 來取得整個 AWS 環境的軟體漏洞的可見性，並排定解決優先順序。

Amazon Inspector 會在資源的整個生命週期中持續評估您的環境。它會自動重新掃描資源，以回應可能會引入新漏洞的變更。例如，當您在 EC2 執行個體上安裝新套件、安裝修補程式，或發佈影響資源的新常見漏洞和暴露 (CVE) 時，它會重新掃描。當 Amazon Inspector 識別漏洞或開放式網路路徑時，會產生您可以調查的問題清單。調查結果提供有關漏洞的完整資訊，包括下列項目：
+ [Amazon Inspector 風險分數](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-score.html)
+ [常見漏洞評分系統 (CVSS) 分數](https://www.first.org/cvss/calculator/3.1)
+ 受影響的資源
+ 來自 Amazon、 [https://www.recordedfuture.com/](https://www.recordedfuture.com/)和 的 CVE 漏洞智慧資料 [https://www.cisa.gov/](https://www.cisa.gov/)
+ 修復建議

如需設定 Amazon Inspector 的說明，請參閱 [Amazon Inspector 入門](https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html)。本教學課程中的*啟用 Amazon Inspector* 步驟提供兩種組態選項：獨立帳戶環境和多帳戶環境。如果您想要監控屬於組織成員的多個 AWS 帳戶 ，建議您使用多帳戶環境選項 AWS Organizations。

當您為多帳戶環境設定 Amazon Inspector 時，您可以將組織中的帳戶指定為 Amazon Inspector 委派管理員。委派管理員可以管理組織成員的問題清單和一些設定。例如，委派管理員可以檢視所有成員帳戶彙總調查結果的詳細資訊、啟用或停用成員帳戶的掃描，以及檢閱掃描的資源。 AWS SRA 建議您建立[安全工具帳戶](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)，並將其用作 Amazon Inspector 委派管理員。

# 在漏洞管理程式 AWS Security Hub CSPM 中使用
<a name="aws-security-hub"></a>

在 上建置可擴展的漏洞管理計畫，除了雲端組態風險之外，還 AWS 涉及管理傳統軟體和網路漏洞。 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)可協助您根據安全產業標準檢查 AWS 環境，並識別雲端組態風險。Security Hub CSPM 也 AWS 透過彙整來自其他安全服務和第三方 AWS 安全工具的安全調查結果，提供 中安全狀態的完整檢視。

在下列各節中，我們提供設定 Security Hub CSPM 以支援漏洞管理計劃的最佳實務和建議：
+  [設定 Security Hub CSPM](#setting-up-security-hub)
+  [啟用 Security Hub CSPM 標準](#enabling-security-hub-standards)
+  [管理 Security Hub CSPM 問題清單](#managing-security-hub-findings)
+  [從其他安全服務和工具彙總問題清單](#aggregating-findings-from-other-security-services-and-tools)

## 設定 Security Hub CSPM
<a name="setting-up-security-hub"></a>

如需設定說明，請參閱[設定 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html)。若要使用 Security Hub CSPM，您必須啟用 [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)。如需詳細資訊，請參閱 Security Hub CSPM 文件中的[啟用和設定 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)。

如果您與組織管理帳戶整合 AWS Organizations，您可以將帳戶指定為 Security Hub CSPM 委派管理員。如需說明，請參閱[指定 Security Hub CSPM 委派管理員](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#designate-admin-overview)。 AWS SRA 建議您建立[安全工具帳戶](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)，並將其用作 Security Hub CSPM 委派管理員。

委派管理員會自動擁有為組織中的所有成員帳戶設定 Security Hub CSPM 的存取權，並檢視與這些帳戶相關聯的問題清單。建議您在所有 AWS 區域 和所有 中啟用 AWS Config Security Hub CSPM AWS 帳戶。您可以設定 Security Hub CSPM 自動將新組織帳戶視為 Security Hub CSPM 成員帳戶。如需說明，請參閱[管理屬於組織的成員帳戶](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html)。

## 啟用 Security Hub CSPM 標準
<a name="enabling-security-hub-standards"></a>

Security Hub CSPM 透過對安全*控制*執行自動化和持續安全檢查來產生問題清單。這些控制項與一或多個*安全標準*相關聯。這些控制項可協助您判斷是否符合標準中的要求。

當您在 Security Hub CSPM 中啟用標準時，Security Hub CSPM 會自動啟用適用於標準的控制項。Security Hub CSPM 使用 AWS Config [規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)來執行其控制項的大部分安全檢查。您可以隨時啟用或停用 Security Hub CSPM 標準。如需詳細資訊，請參閱 [中的安全控制和標準 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html)。如需完整的標準清單，請參閱 [Security Hub CSPM 標準參考](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html)。

如果您的組織還沒有偏好的安全標準，我們建議您使用 [AWS 基礎安全最佳實務 (FSBP) 標準](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)。此標準旨在偵測 AWS 帳戶 和資源何時偏離安全最佳實務。 AWS 策劃此標準並定期更新，以涵蓋新功能和服務。對 FSBP 調查結果進行分類後，請考慮啟用其他標準。

## 管理 Security Hub CSPM 問題清單
<a name="managing-security-hub-findings"></a>

Security Hub CSPM 提供多種功能，可協助您處理整個組織中的大量問題清單，並了解 AWS 環境的安全狀態。為了協助您管理問題清單，我們建議您啟用下列兩個 Security Hub CSPM 功能：
+ 使用[跨區域彙總](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)將問題清單、問題清單更新、洞見、控制合規狀態和安全分數從多個彙總 AWS 區域 到單一彙總區域。
+ 透過移除重複的問題[清單，使用合併的控制](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)問題清單來減少問題清單雜訊。在您的帳戶中開啟合併控制項調查結果時，即使控制項適用於多個啟用的標準，Security Hub CSPM 仍會為每個控制項的安全檢查產生單一新調查結果或調查結果更新。

## 從其他安全服務和工具彙總問題清單
<a name="aggregating-findings-from-other-security-services-and-tools"></a>

除了產生安全調查結果之外，您還可以使用 Security Hub CSPM 從數個 AWS 服務 和支援的第三方安全解決方案彙總調查結果資料。本節著重於將安全性問題清單傳送至 Security Hub CSPM。下一節[準備指派安全性問題清單](prepare-finding-assignments.md)討論如何將 Security Hub CSPM 與可從 Security Hub CSPM 接收問題清單的產品整合。

您可以與 Security Hub AWS 服務 CSPM 整合許多可用的第三方產品和開放原始碼解決方案。如果您才剛開始使用，我們建議您執行下列動作：

1. **啟用整合 AWS 服務** – 大多數將問題清單傳送到 Security Hub CSPM 的 AWS 服務 整合會在您同時啟用 Security Hub CSPM 和整合服務後自動啟用。針對您的漏洞管理計劃，我們建議您在每個帳戶中啟用 Amazon Inspector AWS Health、Amazon GuardDuty 和 IAM Access Analyzer。這些服務會自動將其調查結果傳送至 Security Hub CSPM。如需支援 AWS 服務 整合的完整清單，請參閱[AWS 服務 將問題清單傳送至 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html)。
**注意**  
AWS Health 如果符合下列其中一個條件， 會將問題清單傳送至 Security Hub CSPM：  
調查結果與 AWS 安全服務相關聯
問題清單**類型碼**包含單字 `security`、 `abuse`或 `certificate`
問題清單 AWS Health 服務為 `risk`或 `abuse`

1. **設定第三方整合** – 如需目前支援的整合清單，請參閱[可用的第三方合作夥伴產品整合](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html)。選取可將問題清單傳送至 Security Hub CSPM 或從中接收問題清單的任何其他工具。您可能已經擁有其中一些第三方工具。遵循產品說明來設定與 Security Hub CSPM 的整合。