在 Security Hub CSPM 中设置发现结果的工作流程状态 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Security Hub CSPM 中设置发现结果的工作流程状态

工作流程状态跟踪对调查发现的调查进度。工作流程状态特定于单个发现,不会影响新发现的生成。例如,如果您将调查结果的工作流程状态更改为SUPPRESSEDRESOLVED,则所做的更改不会阻止 Security Hub CSPM 针对同一问题生成新的调查结果。

查找结果的工作流程状态可以是以下值之一。

全新

调查发现在被审查前的初始状态。

从集成 Amazon Web Services 服务(例如)中提取的发现以 Amazon Config其初始状态NEW为初始状态。

在以下情况下,Security Hub CSPM 还会RESOLVEDNEW工作流程状态从NOTIFIED或重置为:

  • RecordStateARCHIVED 变为 ACTIVE

  • Compliance.StatusPASSED 变为 FAILEDWARNINGNOT_AVAILABLE

这些变化表明需要进一步调查。

已通知

表示您已将安全问题告知资源拥有者。如果您不是资源拥有者,并且需要资源拥有者的干预才能解决安全问题,则可以使用此状态。

如果出现以下情况之一,则工作流程状态将自动从 NOTIFIED 更改为 NEW

  • RecordStateARCHIVED 变为 ACTIVE

  • Compliance.StatusPASSED 变为 FAILEDWARNINGNOT_AVAILABLE

已抑制

表示您已查看调查发现,但认为不需要采取任何操作。

如果 RecordStateARCHIVED 变为 ACTIVE,则 SUPPRESSED 调查发现的工作流程状态不会改变。

已解决

已对结果进行审查并采取了补救措施,现在被视为已解决。

除非出现下列情况之一,否则调查发现将保持为 RESOLVED

  • RecordStateARCHIVED 变为 ACTIVE

  • Compliance.StatusPASSED 变为 FAILEDWARNINGNOT_AVAILABLE

在这种情况下,工作流程状态会自动重置为 NEW

对于来自控件的结果(如果Compliance.Status是),S PASSED ecurity Hub CSPM 会自动将工作流程状态设置为。RESOLVED

设置调查发现的工作流程状态

要更改一项或多项发现的工作流程状态,可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API。如果您更改调查结果的工作流程状态,请注意,Security Hub CSPM 可能需要几分钟才能处理您的请求并更新调查结果。

提示

您还可以使用自动化规则自动更改发现的工作流程状态。使用自动化规则,您可以将 Security Hub CSPM 配置为根据您指定的条件自动更新发现的工作流程状态。有关更多信息,请参阅 了解 Security Hub CSPM 中的自动化规则

要更改一项或多项发现的工作流程状态,请选择您的首选方法并按照步骤操作。

Security Hub CSPM console
更改调查结果的工作流程状态
  1. 打开 Sec Amazon urity Hub 云安全态势管理 (CSPM) 控制台,网址为。https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,执行以下任一操作以显示调查结果表:

    • 选择 “调查结果”。

    • 选择 Insights。然后选择一个见解。在洞察结果中,选择一个结果。

    • 选择集成。然后,在集成部分中,选择查看调查结果

    • 选择安全标准。然后,在标准部分中,选择查看结果。在控件表中,选择一个控件以显示该控件的结果。

  3. 在调查结果表中,选中要更改其工作流程状态的每个查找结果的复选框。

  4. 在页面顶部,选择工作流状态,然后为所选结果选择新的工作流程状态。

  5. 在 “设置工作流状态” 对话框中,可以选择输入注释,详细说明更改工作流程状态的原因。然后选择 “设置状态”

Security Hub CSPM API

使用 BatchUpdateFindings 操作。提供用于生成调查发现的产品调查发现 ID 和 ARN。您可以使用GetFindings操作来获取这些详细信息。

Amazon CLI

运行 batch-update-findings 命令。提供用于生成调查发现的产品调查发现 ID 和 ARN。你可以通过运行 get-findings 命令来获取这些详细信息。

batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"

示例

aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"