本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理和查看查找结果的详细信息和历史记录
在 Amazon Security Hub 控制台上查看查找列表的方法有多种:
调查结果页面-显示所有已启用的控件和产品集成的调查结果的完整列表。默认情况下,会显示处于
NEW
或NOTIFIED
工作流程状态的活动调查结果。控件详细信息页面-显示在过去 24 小时内针对特定控件生成的结果列表。
见解页面-显示匹配见解的发现结果列表。洞察力是特定于集合的发现。有关更多信息,请参阅 查看见解结果和调查结果并采取相应措施。
集成页面-显示集成产品 Amazon Web Service 或第三方产品生成的调查结果列表。
您可以对这些列表中的发现结果进行筛选和分组,以专注于特定类型的发现。您也可以在前面的页面上选择特定的调查结果以查看有关该发现的详细信息。
要以编程方式查看发现结果列表,请使用 Security Hub API 的GetFindings
操作。您可以添加过滤器来检索特定类型的调查结果。
如果您启用跨区域聚合,则可以检索跨区域的控制状态、安全评分、见解和发现。在聚合区域中,查找数据包括来自聚合区域和关联区域的数据。在其他区域,查找数据仅针对该区域。有关配置跨区域聚合的信息,请参阅跨区域聚合。
筛选和分组结果(控制台)
在 Security Hub 控制台的 “调查结果” 页面、“集成” 页面或 “见解” 页面上显示发现结果列表时,将根据记录状态和工作流程状态对列表进行预过滤。这是用于见解或集成的筛选条件的补充。
记录状态表示查找结果是处于活动状态还是已存档。默认情况下,查找结果列表仅显示有效的查找结果。查找结果提供者可以将查找结果存档。 Amazon Security Hub 如果关联的资源被删除,还会自动存档控制结果。
工作流程状态表示调查结果的状态。默认情况下,结果列表仅显示工作流程状态为 NEW
或 NOTIFIED
的结果。您可以更新调查结果的工作流程状态。
如果您启用了查找结果聚合并登录到聚合区域,则可以在 “调查结果” 和 “见解” 页面上按区域筛选结果。
有关使用控制结果的信息,请参见筛选、排序和下载控件调查发现。此页面上的信息适用于 “调查结果”、“见解” 和 “集成” 页面上的查找列表。
添加筛选器
要更改列表的范围,您可以向列表添加筛选器。
您最多可以按 10 个属性进行筛选。对于每个属性,您最多可以提供 20 个筛选值。
筛选调查发现列表时,Security Hub 将 AND 逻辑应用于筛选条件集。换句话说,仅在结果符合所有提供的筛选条件时才被视为匹配的结果。例如,如果您添加 GuardDuty 为产品名称的筛选器和资源类型的筛选器,则匹配的结果必须符合这两个条件。AwsS3Bucket
不过,Security Hub 会对使用的属性相同但值不同的筛选条件应用 OR 逻辑。例如,您可以将两者 GuardDuty 和 Amazon Inspector 添加为商品名称的筛选值。在这种情况下,如果调查结果由任一用户 GuardDuty 或 Amazon Inspector 生成,则该结果与之匹配。
向结果列表添加筛选器
打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/
。 -
要显示调查发现列表,请执行以下操作之一:
-
在 Security Hub 导航窗格中,选择结果。
-
在 Security Hub 导航窗格中,选择见解。选择见解。然后在结果列表上,选择一个见解结果。
-
在 Security Hub 导航窗格中,选择集成。选择查看集成的调查发现。
-
-
在 “添加筛选器” 框中,为 “过滤器” 选择一个过滤器。
当您按公司名称或产品名称进行筛选时,控制台将使用顶层
CompanyName
和ProductName
字段。API 使用ProductFields
中的值。 -
选择筛选器匹配类型。
对于字符串筛选条件,您可以从以下比较选项中进行选择:
-
是——查找与筛选值完全匹配的值。
-
以...开头——查找以筛选值开头的值。
-
不是——查找与筛选值不匹配的值。
-
不以...开头——查找不以筛选值开头的值。
对于数值筛选条件,您可以选择是提供单个数字简单还是数值范围范围。
对于日期或时间筛选条件,您可以选择是提供从当前日期时间开始的时间长度滚动窗口还是提供具体日期范围固定范围。
添加多个筛选条件具有以下交互作用:
-
是和以...开头筛选条件由“或”连接。如果一个值包含任何筛选条件值,则该值匹配。例如,如果您将“严重性”标签指定为“重大”,“严重性”标签为“高”,则结果将包括重大和高严重性结果。
-
不是,不以...开头筛选条件由“和”连接的。仅当值不包含任何这些筛选条件值时才匹配。例如,如果您将 “严重性” 标签指定为 “低”,“严重性” 标签不为 “中”,则结果不包括低或中等严重性结果。
如果在某个字段上有 is 筛选器,则不能在同一个字段上使用 i s not 或 a 不以过滤器开头。
-
-
指定筛选器值。
对于字符串过滤器,筛选器值区分大小写。
例如,对于来自 Security Hub 的调查发现,产品名称为 Security Hub。如果使用 EQUALS 运算符查看来自 Security Hub 的调查发现,则必须输入
Security Hub
作为筛选条件值。如果输入security hub
,则不会显示任何结果。同样,如果您使用 PREFIX 运算符并输入
Sec
,则会显示 Security Hub 结果。如果您输入sec
,则不会显示任何 Security Hub 结果。 -
选择 应用。
对结果进行分组
除了变更筛选条件外,您还可以根据所选属性的值对结果进行分组。
对调查发现进行分组时,调查发现列表将替换为匹配调查发现中选定属性的值列表。对于每个值,列表显示与其他筛选条件匹配的调查发现数。
例如,如果您按 Amazon Web Services 账户 ID 对发现结果进行分组,则会看到账户标识符列表,其中包含每个账户的匹配结果数量。
请注意,Security Hub 只能显示 100 个值。如果分组值超过 100 个,则只能看到前 100 个。
选择属性值时,将显示该值的匹配调查发现列表。
将结果分组到结果列表中
-
在调查发现列表上,选择添加筛选条件框。
-
对于分组,请选择分组依据。
-
在列表中,选择要用于分组的属性。
-
选择 应用。
更改筛选条件值或分组属性
对于现有筛选器,您可以更改筛选器值。您还可以更改分组属性。
例如,您可以更改 Record state(记录状态) 筛选器以查找 ARCHIVED
结果而不是查找 ACTIVE
结果。
编辑筛选条件或分组属性
-
在筛选的调查发现列表中,选择筛选或分组属性。
-
对于分组依据,选择新属性,然后选择应用。
-
对于筛选条件,选择新值,然后选择应用。
删除筛选条件或分组属性
要删除筛选条件或分组属性,请选择 x 图标。
列表会自动更新以反映更改。删除分组属性时,列表将从字段值列表更改回调查发现列表。
可用的查找信息
您可以在 Security Hub 控制台上或通过调用 Security Hub API 的GetFindings操作来获取各种发现的详细信息。以下是您可以获得的查找详细信息的部分列表。
-
应用程序元数据-如果您创建了应用程序,则提供调查结果中涉及的应用程序的名称和 Amazon 资源名称 (ARN)。并向其中添加了 Amazon 应用程序标签。我们建议在中创建应用程序Amazon Service Catalog AppRegistry。
-
查找历史记录-提供过去 90 天内的查找结果历史记录。
-
在 Detective 中查找调查(仅限控制台)— 提供一个链接,使用自动日志收集、安全分析和 Amazon Web Service 资源探索工具,进一步调查 Detective 中的调查结果。如果您启用 Detective,则只有从其他人那里收到的 Security Hub 调查结果 Amazon Web Services 才会包含此信息。
-
查找提供者字段-显示查找提供者提供的置信度、重要性、相关发现、严重性和查找结果类型的值。
-
参数-显示安全控制的当前参数值。Security Hub 在对控件进行安全检查时使用这些参数值。
-
补救-提供修复失败控制结果的说明的链接。
-
资源-提供有关查找结果中涉及的 Amazon 资源的信息。
-
资源标签-为查找结果中涉及的资源提供标签键和值信息。您可以为标记 API
GetResources
操作支持的资源 Amazon Resource Groups 添加标签。如果 Amazon 安全调查结果格式 (ASFF)Resource.Id
字段填充了资源 ARN,Security Hub 会通过服务相关角色调用此操作并检索资源 Amazon 标签。无效的资源 ID 将被忽略。有关在调查结果中包含资源标签的更多信息,请参阅标签。 -
类型和相关调查结果-包含有关查找结果类型的信息。
-
漏洞详情-有关在发现结果中检测到的漏洞和受影响的软件包的信息。如果您启用 Amazon Inspector 来查看亚马逊检查器发送到 Security Hub 的调查结果,则可以获得这些详细信息。
请查看以下章节,了解如何访问这些详细信息以获得调查结果。
查看发现历史记录
调查发现历史记录是 Security Hub 的一项功能,可让您跟踪过去 90 天内对调查发现所做的更改。它适用于活跃和已存档的调查发现。调查发现历史记录提供了随着时间的推移对调查发现所做的更改的不可改变的跟踪,包括更改的内容、发生的时间以及由哪个用户所做的更改。
具体而言,您可以跟踪对 Amazon 安全调查结果格式 (ASFF) 中的字段所做的更改。Security Hub 会根据自动化规则跟踪您手动进行的变更。
查找历史记录可在 Security Hub 控制台、API 和 Amazon CLI。
如果您登录了 Security Hub 管理员账户,则可以获取该管理员账户和所有成员账户的调查发现历史记录。
选择您的首选方法,然后按照步骤查看查找历史记录。
查看发现详情
选择您的首选方法,然后按照步骤在 Security Hub 中查看查找详情。
注意
当您按CompanyName
或筛选查找结果时ProductName
,Security Hub 会使用作为 ProductFields
ASFF 对象一部分的值。Security Hub 不使用顶层CompanyName
和ProductName
字段。