本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解 Security Hub CSPM 中的安全控制
<a name="controls-view-manage"></a>

在 AWS Security Hub CSPM 中，*安全控制*也稱為*控制項*，是一種安全標準中的保護措施，可協助組織保護資訊的機密性、完整性和可用性。在 Security Hub CSPM 中，控制項與特定 AWS 資源相關。

當您在一或多個標準中啟用控制項時，Security Hub CSPM 會開始對其執行安全檢查。安全檢查會產生 Security Hub CSPM 調查結果。當您停用控制項時，Security Hub CSPM 會停止對其執行安全檢查，而且不會再產生問題清單。

您可以個別啟用或停用單一帳戶和 的控制項 AWS 區域。為了節省時間並減少多帳戶環境中的組態偏離，我們建議您使用[中央組態](central-configuration-intro.md)來啟用或停用控制項。透過中央組態，委派的 Security Hub CSPM 管理員可以建立政策，指定如何在多個帳戶和區域中設定控制項。如需啟用和停用控制項的詳細資訊，請參閱 [在 Security Hub CSPM 中啟用控制項](securityhub-standards-enable-disable-controls.md)。

## 合併控制項檢視
<a name="consolidated-controls-view"></a>

Security Hub CSPM 主控台的**控制項**頁面會顯示目前 中可用的所有控制項 AWS 區域 （您可以透過造訪**安全標準**頁面並選擇啟用的標準，在標準內容中檢視控制項）。Security Hub CSPM 指派控制跨標準一致的安全控制 ID、標題和描述。控制項 IDs包括相關 AWS 服務 和唯一數字 （例如 CodeBuild.3).

下列資訊可在 [Security Hub CSPM 主控台](https://console.aws.amazon.com/securityhub/)的**控制**頁面上取得：
+ 整體安全分數，根據傳遞控制項與具有資料之已啟用控制項總數的比例
+ 所有支援的 Security Hub CSPM 控制項的控制狀態明細
+ 通過和失敗的安全檢查總數。
+ 針對不同嚴重性控制項的失敗安全檢查數量，以及檢視這些失敗檢查詳細資訊的連結。
+ Security Hub CSPM 控制項的清單，其中包含可檢視特定控制項子集的篩選條件。

在**控制項**頁面中，您可以選擇控制項以檢視其詳細資訊，並對控制項產生的調查結果採取動作。在此頁面上，您也可以在目前的 AWS 帳戶 和 中啟用或停用安全控制 AWS 區域。**控制**頁面的啟用和停用動作會跨標準套用。如需詳細資訊，請參閱[在 Security Hub CSPM 中啟用控制項](securityhub-standards-enable-disable-controls.md)。

對於管理員帳戶，**控制項**頁面會反映成員帳戶之間的控制項狀態。如果至少一個成員帳戶中的控制項檢查失敗，則控制項狀態為**失敗**。如果您已設定[彙總區域](finding-aggregation.md)，則**控制項**頁面會反映所有連結區域的控制項狀態。如果至少一個連結區域中的控制項檢查失敗，則控制項狀態為**失敗**。

合併控制項檢視會導致變更，以控制 AWS 安全性調查結果格式 (ASFF) 中可能影響工作流程的調查結果欄位。如需詳細資訊，請參閱[合併控制項檢視 – ASFF 變更](asff-changes-consolidation.md#securityhub-findings-format-consolidated-controls-view)。

## 控制項的摘要安全分數
<a name="controls-overall-score"></a>

**控制**頁面會顯示 0-100% 的摘要安全分數。摘要安全分數是根據通過的控制項與具有跨標準資料的已啟用控制項總數的比例來計算。

**注意**  
 若要檢視控制項的整體安全分數，您必須新增許可，以**`BatchGetControlEvaluations`**呼叫您用來存取 Security Hub CSPM 的 IAM 角色。檢視特定標準的安全性分數不需要此許可。

當您啟用 Security Hub CSPM 時，Security Hub CSPM 會在您第一次造訪 Security Hub CSPM 主控台的**摘要**頁面或**安全標準**頁面後 30 分鐘內計算初始安全分數。在中國區域和 中，首次產生安全分數最多可能需要 24 小時 AWS GovCloud (US) Regions。

除了整體安全分數之外，Security Hub CSPM 還會在您第一次造訪**摘要**頁面或安全標準頁面後 30 分鐘內計算每個已啟用標準的標準**安全**分數。若要檢視目前啟用的標準清單，請使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html) API 操作。

AWS Config 必須啟用資源記錄，才能顯示分數。如需 Security Hub CSPM 如何計算安全分數的資訊，請參閱 [計算安全分數](standards-security-score.md)。

第一次產生分數後，Security Hub CSPM 會每 24 小時更新一次安全分數。Security Hub CSPM 會顯示時間戳記，指出上次更新安全分數的時間。

如果您已設定彙總區域，則整體安全分數會反映連結區域之間的控制問題清單。