在 Security Hub CSPM 中查看发现的详细信息和历史记录

在此菜单中，您可以查看调查发现的完整 JSON 或添加注释。一项发现一次只能附上一个注释。此菜单还提供了用于设置查找结果的工作流程状态或将调查结果发送到 Amazon 中的自定义操作的选项 EventBridge。

在这个菜单中，您可以在 Amazon Detective 中对调查发现进行调查。Detective 从调查结果中提取实体，例如 IP 地址和 Amazon 用户，并可视化他们的活动。您可以使用实体活动作为起点对调查发现的原因和影响进行调查。

此选项卡提供调查结果的摘要。例如，您可以确定查找结果的创建时间和上次更新时间、存在于哪个帐户以及查找结果的来源。对于控制结果，此选项卡还显示关联 Amazon Config 规则的名称以及 Security Hub CSPM 文档中补救指南的链接。

在 “概述” 选项卡上的 “资源” 快照中，您可以简要概述调查结果中涉及的资源。对于某些资源，这包括打开资源选项，该选项直接链接到相关 Amazon Web Services 服务 控制台上受影响的资源。历史记录快照最多会显示在所跟踪历史记录的最近日期对调查发现所做的两次更改。例如，如果您昨天做了一个更改，今天又做了一个更改，则快照会显示今天的更改。要查看之前的条目，请切换到 “历史记录” 选项卡。

展开合规行将显示更多详细信息。例如，如果控件包含参数，则可以查看 Security Hub CSPM 在对该控件进行安全检查时当前使用的参数值。

此选项卡提供有关调查发现中涉及的资源的详细信息。如果您登录的是拥有资源的账户，则可以在相应的 Amazon Web Services 服务 控制台中查看该资源。如果您不是资源的所有者，则此选项卡会显示所有者的 Amazon Web Services 账户 ID。

详细信息行显示调查结果中特定于资源的详细信息。它以 JSON 格式显示了调查结果的ResourceDetails部分。

标签行显示分配给查找结果中涉及的资源的标签键和值。可以标记 Amazon Resource Groups 标记 API 的 GetResources 操作支持的资源。Security Hub CSPM 在处理新的或更新的发现结果时使用服务相关角色调用此操作，如果 Amazon 安全查找格式 (ASFF) Resource.Id 字段填充了资源的 ARN，则会检索资源标签。Security Hub CSPM 会忽略无效的资源。 IDs有关在调查发现中包含资源标签的更多信息，请参阅 标签。

此选项卡跟踪发现的历史记录。调查发现的历史记录适用于活动和已归档的调查发现。它提供了随着时间的推移对查找结果所做的更改的不可变轨迹，包括 ASFF 字段更改了什么、更改发生的时间以及由哪个用户更改。选项卡上的每个页面最多显示 20 个更改。最近的更改优先显示。

对于活跃的发现，查找历史记录最长可保存 90 天。对于已存档的调查结果，查找历史记录最多可保留 30 天。查找历史记录包括手动更改或由 Sec urity Hub CSPM 自动化规则自动进行的更改。它不包括对顶级时间戳字段（例如CreatedAt和字UpdatedAt段）的更改。

如果您登录了 Security Hub CSPM 管理员帐户，则可以查找管理员帐户和所有成员帐户的历史记录。

此选项卡包含 ASFF 的 Action、Malware 和 ProcessDetails 对象的数据，包括威胁类型以及资源是目标还是角色。这些详细信息通常适用于源自 Amazon GuardDuty 的调查结果。

此选项卡显示 ASFF 的 Vulnerability 对象的数据，包括是否存在与调查发现关联的漏洞或可用的修复程序。这些详细信息通常适用于源自 Amazon Inspector 的调查结果。