在 Security Hub CSPM 中查看发现的详细信息和历史记录 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Security Hub CSPM 中查看发现的详细信息和历史记录

在 Sec Amazon urity Hub 云安全态势管理 (CSPM) 中,发现是安全检查或安全相关检测的可观察记录。Security Hub CSPM 在完成控件的安全检查以及从集成产品 Amazon Web Services 服务 或第三方产品中提取发现结果时生成调查结果。每项调查发现都包括更改历史记录和其他详细信息,例如严重性评级和有关受影响资源的信息。

你可以在 Security Hub CSPM 控制台上查看个别发现的历史记录和其他细节,也可以使用 Security Hub CSPM API 或以编程方式查看。 Amazon CLI

为了帮助您简化分析,当您选择特定发现时,Security Hub CSPM 控制台会显示一个查找面板。该面板包括不同的菜单和选项卡,用于查看调查结果的具体细节。

操作菜单

在此菜单中,您可以查看调查发现的完整 JSON 或添加注释。一项发现一次只能附上一个注释。此菜单还提供了用于设置查找结果的工作流程状态将调查结果发送到 Amazon 中的自定义操作的选项 EventBridge。

调查菜单

在这个菜单中,您可以在 Amazon Detective 中对调查发现进行调查。Detective 从调查结果中提取实体,例如 IP 地址和 Amazon 用户,并可视化他们的活动。您可以使用实体活动作为起点对调查发现的原因和影响进行调查。

“Overview”(概述) 选项卡

此选项卡提供调查结果的摘要。例如,您可以确定查找结果的创建时间和上次更新时间、存在于哪个帐户以及查找结果的来源。对于控制结果,此选项卡还显示关联 Amazon Config 规则的名称以及 Security Hub CSPM 文档中补救指南的链接。

在 “概述” 选项卡上的 “资源” 快照中,您可以简要概述调查结果中涉及的资源。对于某些资源,这包括打开资源选项,该选项直接链接到相关 Amazon Web Services 服务 控制台上受影响的资源。历史记录快照最多会显示在所跟踪历史记录的最近日期对调查发现所做的两次更改。例如,如果您昨天做了一个更改,今天又做了一个更改,则快照会显示今天的更改。要查看之前的条目,请切换到 “历史记录” 选项卡。

展开合规行将显示更多详细信息。例如,如果控件包含参数,则可以查看 Security Hub CSPM 在对该控件进行安全检查时当前使用的参数值。

“资源”选项卡

此选项卡提供有关调查发现中涉及的资源的详细信息。如果您登录的是拥有资源的账户,则可以在相应的 Amazon Web Services 服务 控制台中查看该资源。如果您不是资源的所有者,则此选项卡会显示所有者的 Amazon Web Services 账户 ID。

详细信息行显示调查结果中特定于资源的详细信息。它以 JSON 格式显示了调查结果的ResourceDetails部分。

标签行显示分配给查找结果中涉及的资源的标签键和值。可以标记 Amazon Resource Groups 标记 API 的 GetResources 操作支持的资源。Security Hub CSPM 在处理新的或更新的发现结果时使用服务相关角色调用此操作,如果 Amazon 安全查找格式 (ASFF) Resource.Id 字段填充了资源的 ARN,则会检索资源标签。Security Hub CSPM 会忽略无效的资源。 IDs有关在调查发现中包含资源标签的更多信息,请参阅 标签

“历史” 选项卡

此选项卡跟踪发现的历史记录。调查发现的历史记录适用于活动和已归档的调查发现。它提供了随着时间的推移对查找结果所做的更改的不可变轨迹,包括 ASFF 字段更改了什么、更改发生的时间以及由哪个用户更改。选项卡上的每个页面最多显示 20 个更改。最近的更改优先显示。

对于活跃的发现,查找历史记录最长可保存 90 天。对于已存档的调查结果,查找历史记录最多可保留 30 天。查找历史记录包括手动更改或由 Sec urity Hub CSPM 自动化规则自动进行的更改。它不包括对顶级时间戳字段(例如CreatedAt和字UpdatedAt段)的更改。

如果您登录了 Security Hub CSPM 管理员帐户,则可以查找管理员帐户和所有成员帐户的历史记录。

“威胁”选项卡

此选项卡包含 ASFF 的 ActionMalwareProcessDetails 对象的数据,包括威胁类型以及资源是目标还是角色。这些详细信息通常适用于源自 Amazon GuardDuty 的调查结果。

“漏洞”选项卡

此选项卡显示 ASFF 的 Vulnerability 对象的数据,包括是否存在与调查发现关联的漏洞或可用的修复程序。这些详细信息通常适用于源自 Amazon Inspector 的调查结果。

每个选项卡上的行都包含一个复制或筛选选项。例如,如果您为工作流状态为 “已通知” 的调查结果打开面板,则可以选择 “工作流状态” 行旁边的筛选器选项。如果选择 “使用此值显示所有查找结果”,Security Hub CSPM 会筛选结果表并仅显示具有相同工作流程状态的查找结果。

查看调查发现的详细信息和历史记录

选择您的首选方法,然后按照步骤在 Security Hub CSPM 中查看查找详情。

如果您启用了跨区域聚合并登录了聚合区域,则调查发现将包括来自聚合区域和关联区域的数据。在其他区域,调查发现数据仅特定于当前区域。有关跨区域聚合的更多信息,请参阅 了解 Security Hub CSPM 中的跨区域聚合

Security Hub CSPM console
查看调查发现的详细信息和历史记录
  1. 打开 Sec Amazon urity Hub 云安全态势管理 (CSPM) 控制台,网址为。https://console.aws.amazon.com/securityhub/

  2. 要显示调查发现列表,请执行以下操作之一:

    • 在导航窗格中,选择 调查发现。根据需要添加搜索过滤器以缩小查找结果列表的范围。

    • 在导航窗格中,选择 Insights。选择见解。然后,在结果列表中,选择一个洞察结果。

    • 在导航窗格中,选择集成。选择查看集成的调查发现

    • 在导航窗格中,选择控件

  3. 选择一个发现。查找结果面板显示查找结果的详细信息。

  4. 在查找面板中,执行以下任一操作:

    • 要查看调查结果的具体细节,请选择一个选项卡。

    • 要对调查结果采取行动,请从 “操作” 菜单中选择一个选项。

    • 要在 Amazon Detective 中调查调查结果,请选择 “调查” 选项。

注意

如果您集成 Amazon Organizations 并登录了成员账户,则搜索面板中会包含账户名称。对于手动邀请而不是通过 Organizations 邀请的成员账户,查找面板仅包含账户 ID。

Security Hub CSPM API

使用 Security Hub CSPM API 的GetFindings操作,或者如果你使用的是 Amazon CLI,则运行命令。get-findings您可以为Filters参数提供一个或多个值,以缩小要检索的结果范围。

如果调查发现的数量过大,则可以使用 MaxResults 参数将调查发现限制为指定数量,并使用 NextToken 参数对调查发现进行分页。使用 SortCriteria 参数以按特定字段对调查发现进行排序。

例如,以下 Amazon CLI 命令检索符合指定筛选条件的结果,并按字段降序对结果进行排序。LastObservedAt此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

要查看调查发现的历史记录,请使用 GetFindingHistory 操作。如果您使用的是 Amazon CLI,请运行该get-finding-history命令。使用 ProductArnId 字段确定要获取历史记录的调查发现。有关这些字段的信息,请参阅 AwsSecurityFindingIdentifier。每个请求只能检索一个发现的历史记录。

例如,以下 Amazon CLI 命令检索指定查找结果的历史记录。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securityhub get-finding-history \ --region us-west-2 \ --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \ --max-results 2 \ --start-time "2021-09-30T15:53:35.573Z" \ --end-time "2021-09-31T15:53:35.573Z"
PowerShell

使用 Get-SHUBFinding cmdlet。(可选)填充Filter参数以缩小要检索的结果范围。

例如,以下 cmdlet 检索与指定过滤器匹配的结果。

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
注意

如果您按CompanyName或筛选搜索结果ProductName,Security Hub CSPM 将使用作为 ProductFields ASFF 对象一部分的值。Security Hub CSPM 不使用顶层CompanyName和字段。ProductName