查看结果详细信息 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看结果详细信息

在 Security Hub 控制台的调查发现列表中,您可以显示调查发现的详细信息面板。详细信息面板包括过去 90 天内调查发现的历史记录。您还可以通过编程方式获取调查发现的详细信息和历史记录。

查看调查发现详细信息(控制台)

按照步骤在 Security Hub 控制台上查看查找详细信息。

查看调查发现详细信息面板(控制台)
  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

  2. 要显示调查发现列表,请执行以下操作之一:

    • 在 Security Hub 导航窗格中,选择结果

    • 在 Security Hub 导航窗格中,选择见解。选择见解。然后在结果列表上,选择一个见解结果。

    • 在 Security Hub 导航窗格中,选择集成。选择查看集成的调查发现

  3. 选择调查发现标题。

调查发现详细信息面板的顶部包含有关该调查发现的概述信息,包括账户、严重程度、日期和状态。如果您与之集成, Amazon Organizations 并且您登录的账户是组织成员账户,则详细信息面板将包含账户名称。对于手动邀请而非通过 Organizations 集成邀请的成员账户,详细信息面板仅会包含账户 ID。调查发现详细信息面板还包括以下信息:

  • 在 Detective 中调查中包含进一步调查 Detective 中的调查发现的链接。这仅包含从其他 Amazon Web Services那里收到的 Security Hub 结果。

  • 漏洞详细信息包含有关漏洞来源和受影响软件包的信息。这是针对单个漏洞的可扩展部分和针对多个漏洞的分页部分。本节仅适用于 Amazon Inspector 发送到 Security Hub 的调查发现

  • 类型和相关调查发现包含有关调查发现类型的信息。

  • 参数显示安全控件的当前参数值。Security Hub 在对控件进行安全检查时使用这些参数值。

  • 资源包含有关调查发现中涉及的资源的信息。本部分还包括调查发现中涉及应用程序的名称和 Amazon 资源名称(ARN)。只有在您创建了应用程序并向调查结果中涉及的资源添加了应用程序标签时,调查发现才会包含应用程序元数据。我们建议在 Amazon Service Catalog AppRegistry 中创建应用程序并添加标签。

  • 修复显示针对控件的调查发现。它提供了一个链接,指向解决触发该调查发现的问题的指导说明。

  • 调查发现提供商字段显示调查发现提供商提供的置信度、重要性、相关调查发现、严重性和调查发现类型的值。

在调查发现详细信息面板中,您可以查看更多详细信息并将字段值添加到筛选条件中。

  • 要显示调查发现的完整 JSON,请选择调查发现 ID。从 Finding JSON(查找 JSON) 中,可以将结果 JSON 下载到一个文件。

  • 要向调查发现列表筛选条件添加字段值,请选择字段旁边的搜索图标。

  • 要查看基于 Amazon Config 规则的结果,要显示适用规则的列表,请选择规则

  • 选择历史记录面板可查看长达 90 天的调查发现历史记录。

检索调查发现详情(编程)

选择首选方法,然后按照以下步骤以编程方式获取 Security Hub 调查发现列表。您可以指定筛选条件将调查发现列表缩小到特定的子集。

以下选项卡包含几种语言的说明,用于检索结果。有关其他语言的支持,请参阅在 Amazon上构建的工具

注意

当您按 CompanyNameProductName 筛选时,Security Hub 会使用 ProductFields 中的值。它不使用顶级 CompanyNameProductName 字段。

Security Hub API
  1. 运行 GetFindings

  2. 或者,填充 Filters 参数以缩小要检索的调查发现范围。

  3. 或者,填充 MaxResults 参数以将调查发现限制为指定数量,填充 NextToken 参数以对调查发现进行分页。

  4. 或者,填充 SortCriteria 参数以按特定字段对调查发现进行排序。

如果您启用了跨区域聚合并从聚合区域调用此 API,则结果将包括来自聚合和关联区域的调查发现。

Amazon CLI
  1. 在命令行处,运行 get-findings 命令。

  2. 或者,填充 filters 参数以缩小要检索的调查发现范围。

  3. 或者,填充 max-items 参数以将调查发现限制为指定数量,填充 page-size 参数以对调查发现进行分页。

  4. 或者,填充 sort-criteria 参数以按特定字段对调查发现进行排序。

get-findings --filters <filter criteria JSON> --sort-criteria <sort criteria> --page-size <findings per page> --max-items <maximum number of results>

示例

aws securityhub get-findings --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

如果您启用了跨区域聚合并从聚合区域调用此 API,则结果将包括来自聚合和关联区域的调查发现。

PowerShell
  1. 使用 Get-SHUBFinding cmdlet。

  2. 或者,填充 Filter 参数以缩小要检索的调查发现范围。

示例

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}

调查发现历史记录

调查发现历史记录是 Security Hub 的一项功能,可让您跟踪过去 90 天内对调查发现所做的更改。它适用于活跃和已存档的调查发现。调查发现历史记录提供了随着时间的推移对调查发现所做的更改的不可改变的跟踪,包括更改的内容、发生的时间以及由哪个用户所做的更改。

具体而言,您可以跟踪对 Amazon 安全调查结果格式 (ASFF) 中的字段所做的更改。Security Hub 会根据自动化规则跟踪您手动进行的变更。

查找历史记录可在 Security Hub 控制台、API 和中找到 Amazon CLI。

如果您登录了 Security Hub 管理员账户,则可以获取该管理员账户和所有成员账户的调查发现历史记录。

选择首选方法,然后按照步骤获取调查发现历史记录。

Security Hub console
查看调查发现历史记录(控制台)
  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

  2. 在左侧导航窗格中,选择发现

  3. 选择一个调查发现。在出现的面板中,选择历史记录选项卡。

Security Hub API
  1. 根据需要使用适当的筛选条件运行 GetFindings,以确定要查看其历史记录的调查发现。API 响应将为您提供调查发现的 ProductArnId。在第三步中,您需要这些字段的值。

  2. 运行 GetFindingHistory

  3. 使用 ProductArnId 字段确定要获取历史记录的调查发现。有关这些字段的更多信息,请参阅AwsSecurityFindingIdentifier。每个请求只能获取一个调查发现的历史记录。

  4. 提供 StartTimeEndTime 的值并限制调查发现历史记录在特定的时间段内。

  5. MaxResults 提供一个值,将调查发现历史记录限制为特定数量的结果。如果未提供,API 响应将返回调查发现历史记录的前 100 个结果。

  6. NextToken 提供一个值,以查看调查发现的后续 100 个结果(如适用)。在初始 API 请求中,NextToken 的值应为 NULL

API 请求示例:

{ "FindingIdentifier": { "ProductArn": "arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default", "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" }, "MaxResults": 2, "StartTime": "2021-09-30T15:53:35.573Z", "EndTime": "2021-09-31T15:53:35.573Z" }
Amazon CLI
  1. 根据需要使用适当的筛选条件运行 get-findings 命令,以确定要查看其历史记录的调查发现。回复将为您提供调查发现的 ProductArnId。在第三步中,您需要这些字段的值。

  2. 运行 get-finding-history 命令。

  3. 使用 ProductArnId 字段确定要获取历史记录的调查发现。有关这些字段的更多信息,请参阅AwsSecurityFindingIdentifier。每个请求只能获取一个调查发现的历史记录。

  4. 提供 start-timeend-time 的值并限制调查发现历史记录在特定的时间段内。

  5. max-results 提供一个值,将调查发现历史记录限制为特定数量的结果。如果未提供,该命令将返回调查发现历史记录的前 100 个结果。

  6. next-token 提供一个值,以查看调查发现的后续 100 个结果(如适用)。在初始请求中,next-token 的值应为 NULL

    命令示例:

    aws securityhub --region us-west-2 \ get-finding-history --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \ --max-results 2 --start-time "2021-09-30T15:53:35.573Z" --end-time "2021-09-31T15:53:35.573Z"