本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
查看 Security Hub 中的调查发现的详细信息和历史记录
在中 Amazon Security Hub,发现是安全检查或安全相关检测的可观察记录。Security Hub 在完成对控件的安全检查以及从集成产品 Amazon Web Services 服务 或第三方产品中提取发现结果时生成调查结果。每项调查发现都包括更改历史记录和其他详细信息,例如严重性评级和有关受影响资源的信息。
您可以在 Security Hub 控制台上查看查找历史记录和其他查找细节,也可以通过 Security Hub 以编程方式查看查找历史记录API和其他 Amazon CLI查找详情。
为了帮助您简化分析,Security Hub 控制台会在您选择特定调查发现时打开调查发现面板。该面板包含不同的菜单和选项卡,供您查看调查发现的各种详细信息。
- 操作菜单
在此菜单中,您可以查看查找结果JSON的完整内容或添加注释。一项调查发现一次只能附上一个注释。此菜单还提供了用于设置查找结果的工作流程状态或将调查结果发送到 Amazon 中的自定义操作的选项 EventBridge。
- 调查菜单
在这个菜单中,您可以在 Amazon Detective 中对调查发现进行调查。Detective 从调查结果中提取实体,例如 IP 地址和 Amazon 用户,并可视化他们的活动。您可以使用实体活动作为起点对调查发现的原因和影响进行调查。
- “Overview”(概述) 选项卡
此选项卡提供了调查发现的摘要。例如,您可以查看查找结果的创建时间和上次更新时间、存在于哪个帐户以及查找结果的来源。有关控制结果,您还可以在 Security Hub 文档中查看关联 Amazon Config 规则的名称和补救说明链接。
在概述选项卡的资源快照中,您可以获得调查发现中涉及的资源的简要概述。对于某些资源,我们提供了 “打开资源” 选项,然后在相关 Amazon Web Services 服务 控制台中直接查看受影响的资源。历史记录快照最多会显示在所跟踪历史记录的最近日期对调查发现所做的两次更改。该日期必须在过去 90 天内。例如,如果您昨天进行了更改,今天又进行了更改,则快照只会显示今天的更改。要查看之前的条目,请切换到历史记录选项卡。
展开合规行将显示更多详细信息。例如,对于包含参数的控件,您可以查看 Security Hub 在执行安全检查时使用的当前参数值。
- “资源”选项卡
此选项卡提供有关调查发现中涉及的资源的详细信息。如果您登录的是拥有资源的账户,则可以在相关 Amazon Web Services 服务 控制台中查看该资源。如果您不是资源的所有者,则控制台会显示所有者的 Amazon Web Services 账户 ID。
Details 行显示有关调查结果的特定资源详细信息,方法是显示 ResourceDetails调查结果的一部分JSON。
标签行会显示调查发现中涉及的资源的标签的键值信息。支持的资源 GetResources API可以对 Amazon Resource Groups 标记的操作进行标记。Security Hub 在处理新的或更新的发现结果时通过服务相关角色调用此操作,如果 Amazon 安全查找结果格式 (ASFF)
Resource.Id
字段已填充资源,则会检索资源标签。 Amazon ARNSecurity Hub 会忽略无效的资源IDs。有关在调查发现中包含资源标签的更多信息,请参阅 标签。- “调查发现的历史记录”选项卡
此选项卡跟踪过去 90 天内调查发现的历史记录。调查发现的历史记录适用于活动和已归档的调查发现。它提供了随着时间的推移对查找结果所做的更改的不可改变的跟踪,包括更改了什么 Sec Amazon urity Finding Format (ASFF) 字段、更改发生的时间以及由哪个用户更改。最近的更改优先显示。如果您登录了 Security Hub 管理员账户,则显示该管理员账户和所有成员账户的调查发现历史记录。
调查发现历史记录包括用户手动进行的更改或通过 Security Hub 自动化规则自动进行的更改。但是,调查发现历史记录不包括对顶级时间戳字段的更改,例如
CreatedAt
和UpdatedAt
。- “威胁”选项卡
此选项卡包含来自 Action, Malware 和 ProcessDetails的对象ASFF,包括威胁的类型以及资源是目标还是行为者。此对象通常适用于源自 Amazon GuardDuty 的调查结果。
- “漏洞”选项卡
此选项卡显示来自 Vulnerability的对象ASFF,包括是否存在与发现相关的漏洞或可用的修复程序。此对象通常适用于源自 Amazon Inspector 的调查发现。
每个选项卡中的行都包含一个复制或筛选选项。例如,如果您在查看工作流状态为已通知的调查发现的面板,则可以选择工作流状态行旁边的筛选选项。如果选择显示包含此值的所有调查发现,则会筛选调查发现列表,使其仅显示具有相同工作流状态的调查发现。
请查看下一节了解如何访问调查发现的这些详细信息。
查看调查发现的详细信息和历史记录的说明
选择您首选的方法,然后按照以下步骤在 Security Hub 中查看调查发现的详细信息。
如果您启用了跨区域聚合并登录了聚合区域,则调查发现将包括来自聚合区域和关联区域的数据。在其他区域,调查发现数据仅特定于当前区域。有关跨区域聚合的更多信息,请参阅 了解 Security Hub 中的跨区域聚合。
注意
当您按CompanyName
或筛选发现结果时ProductName
,Security Hub 会使用属于ProductFields
ASFF对象一部分的值。Security Hub 不使用顶级 CompanyName
和 ProductName
字段。