本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub 如何使用Amazon Config运行安全检查的规则
要对环境的资源运行安全检查,Amazon Security Hub使用标准指定的步骤,或使用特定Amazon Config规则。有些规则是托管规则,由Amazon Config. 其他规则是 Security Hub 开发的自定义规则。
Amazon ConfigSecurity Hub 用于控制的规则称为服务相关规则,因为它们是由Security Hub 服务启用和控制的。
启用对这些的检查Amazon Config规则,每个启用了 Security Hub 的账户都必须先启用Amazon Config,并启用所有资源的资源记录。请参阅 启用和配置Amazon Config。
Security Hub 如何生成服务相关规则
对于每个使用Amazon Config服务相关规则,Security Hub 在您的Amazon环境。
这些服务相关规则特定于 Security Hub。即使已存在相同规则的其他实例,它也会创建这些服务相关规则。服务关联规则添加了securityhub在原始规则名称之前,以及规则名称后面的唯一标识符。例如,对于原来的Amazon Config托管规则vpc-flow-logs-enabled,则服务关联规则名称将类似于securityhub-vpc-flow-logs-enabled-12345.
Amazon ConfigHas托管规则数量的配额每区域每账户。服务相关的Amazon ConfigSecurity Hub 创建的规则不计入该配额。即使您已达到Amazon Config账户中托管规则的限制。对于服务相关规则,每区域每账户的配额为 250 个规则。这是对Amazon Config托管规则的配额。
查看有关Amazon Config控制规则
对于使用的控件Amazon Config托管规则,控制说明中包含指向Amazon Config关联的规则详细信息Amazon Config规则。请参阅CISAmazon 基金会基准控制、PCI DSS 控制和 Amazon 基础安全最佳实践控件所需的 Amazon Config 资源。自定义规则未与控件描述链接。
对于从这些控件生成的查找结果,查找结果详细信息包括指向关联的Amazon Config规则。请注意,要导航到Amazon Config规则以查找详细信息,您还必须在选定账户中具有 IAM 权限才能导航到Amazon Config.
发现的详细信息在结果页.见解页.集成页面包含一个Rule链接到Amazon Config规则详细信息。请参阅 查看结果详细信息(控制台)。
在控件详细信息页面上,调查查找结果列表的列包含指向Amazon Config规则详细信息。请参阅 查看Amazon Config结果资源的规则。