设置 Security Hub 调查发现的工作流状态 - Amazon Security Hub
设置调查发现的工作流程状态
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 Security Hub 调查发现的工作流状态

工作流程状态跟踪对调查发现的调查进度。工作流程状态特定于单个调查发现。它不影响新调查发现的产生。例如,将调查发现的工作流程状态设置为SUPPRESSEDRESOLVED不会 Amazon Security Hub 阻止针对同一问题生成新的调查发现。

工作流程状态可以是以下值:

NEW

调查发现在被审查前的初始状态。

从集成 Amazon Web Services 服务(例如)中提取的 Amazon Config调查发现采用NEW初始状态。

在以下情况下,Security Hub 还会将工作流程状态从 NOTIFIEDRESOLVED 重置为 NEW

  • RecordStateARCHIVED 变为 ACTIVE

  • Compliance.StatusPASSED 变为 FAILEDWARNINGNOT_AVAILABLE

这些变化表明需要进一步调查。

NOTIFIED

表示您已将安全问题告知资源拥有者。如果您不是资源拥有者,并且需要资源拥有者的干预才能解决安全问题,则可以使用此状态。

如果出现以下情况之一,则工作流程状态将自动从 NOTIFIED 更改为 NEW

  • RecordStateARCHIVED 变为 ACTIVE

  • Compliance.StatusPASSED 变为 FAILEDWARNINGNOT_AVAILABLE

SUPPRESSED

表示您已查看调查发现,但认为不需要采取任何操作。

如果 RecordStateARCHIVED 变为 ACTIVE,则 SUPPRESSED 调查发现的工作流程状态不会改变。

RESOLVED

已对结果进行审查并采取了补救措施,现在被视为已解决。

除非出现下列情况之一,否则调查发现将保持为 RESOLVED

  • RecordStateARCHIVED 变为 ACTIVE

  • Compliance.StatusPASSED 变为 FAILEDWARNINGNOT_AVAILABLE

在这种情况下,工作流程状态会自动重置为 NEW

对于来自控件的调查发现,如果 Compliance.StatusPASSED,则 Security Hub 会自动将工作流程状态设置为 RESOLVED

设置调查发现的工作流程状态

选择首选方法,然后按照步骤设置一个或多个调查发现的工作流程状态。

要自动更新特定调查发现的工作流程状态,请参阅 了解 Security Hub 中的自动化规则

Security Hub console
要更新调查发现的工作流程状态

  1. 打开 Amazon Security Hub 控制台,网址为https://console.aws.amazon.com/securityhub/

  2. 要显示调查发现列表,请执行以下操作之一:

    • 在 Security Hub 导航窗格中,选择结果

    • 在 Security Hub 导航窗格中,选择见解。选择见解。然后在结果列表上,选择一个见解结果。

    • 在 Security Hub 导航窗格中,选择集成。选择查看集成的调查发现

    • 在 Security Hub 导航窗格中,选择安全标准。选择查看结果以显示控件列表。然后,选择一个控件以查看该控件的调查发现列表。

  3. 在调查发现列表中,选中要更新的每个调查发现的复选框。

  4. 在列表顶部,针对工作流程状态,选择状态。

  5. 设置工作流状态对话框中,提供可选注释,以详细说明更新工作流状态的原因。选择设置状态

Security Hub API

调用 BatchUpdateFindings API。提供用于生成调查发现的产品调查发现 ID 和 ARN。您可以通过调用 GetFindings API 来获取这些详细信息。

Amazon CLI

运行 batch-update-findings 命令。提供用于生成调查发现的产品调查发现 ID 和 ARN。您可以通过运行 get-findings 命令来获取这些详细信息。

batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"

示例

aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"