管理和查看查找结果的详细信息和历史记录 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理和查看查找结果的详细信息和历史记录

在 Amazon Security Hub 控制台上查看查找列表的方法有多种:

  • 调查结果页面-显示所有已启用的控件和产品集成的调查结果的完整列表。默认情况下,会显示处于NEWNOTIFIED工作流程状态的活动调查结果。

  • 控件详细信息页面-显示在过去 24 小时内针对特定控件生成的结果列表。

  • 见解页面-显示匹配见解的发现结果列表。洞察力是特定于集合的发现。有关更多信息,请参阅 查看见解结果和调查结果并采取相应措施

  • 集成页面-显示集成产品 Amazon Web Service 或第三方产品生成的调查结果列表。

您可以对这些列表中的发现结果进行筛选和分组,以专注于特定类型的发现。您也可以在前面的页面上选择特定的调查结果以查看有关该发现的详细信息。

要以编程方式查看发现结果列表,请使用 Security Hub API 的GetFindings操作。您可以添加过滤器来检索特定类型的调查结果。

如果您启用跨区域聚合,则可以检索跨区域的控制状态、安全评分、见解和发现。在聚合区域中,查找数据包括来自聚合区域和关联区域的数据。在其他区域,查找数据仅针对该区域。有关配置跨区域聚合的信息,请参阅跨区域聚合

筛选和分组结果(控制台)

在 Security Hub 控制台的 “调查结果” 页面、“集成” 页面或 “见解” 页面上显示发现结果列表时,将根据记录状态和工作流程状态对列表进行预过滤。这是用于见解或集成的筛选条件的补充。

记录状态表示查找结果是处于活动状态还是已存档。默认情况下,查找结果列表仅显示有效的查找结果。查找结果提供者可以将查找结果存档。 Amazon Security Hub 如果关联的资源被删除,还会自动存档控制结果。

工作流程状态表示调查结果的状态。默认情况下,结果列表仅显示工作流程状态为 NEWNOTIFIED 的结果。您可以更新调查结果的工作流程状态。

如果您启用了查找结果聚合并登录到聚合区域,则可以在 “调查结果” 和 “见解” 页面上按区域筛选结果

有关使用控制结果的信息,请参见筛选、排序和下载控件调查发现。此页面上的信息适用于 “调查结果”、“见解” 和 “集成” 页面上的查找列表。

添加筛选器

要更改列表的范围,您可以向列表添加筛选器。

您最多可以按 10 个属性进行筛选。对于每个属性,您最多可以提供 20 个筛选值。

筛选调查发现列表时,Security Hub 将 AND 逻辑应用于筛选条件集。换句话说,仅在结果符合所有提供的筛选条件时才被视为匹配的结果。例如,如果您添加 GuardDuty 为产品名称的筛选器和资源类型的筛选器,则匹配的结果必须符合这两个条件。AwsS3Bucket

不过,Security Hub 会对使用的属性相同但值不同的筛选条件应用 OR 逻辑。例如,您可以将两者 GuardDuty 和 Amazon Inspector 添加为商品名称的筛选值。在这种情况下,如果调查结果由任一用户 GuardDuty 或 Amazon Inspector 生成,则该结果与之匹配。

向结果列表添加筛选器
  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

  2. 要显示调查发现列表,请执行以下操作之一:

    • 在 Security Hub 导航窗格中,选择结果

    • 在 Security Hub 导航窗格中,选择见解。选择见解。然后在结果列表上,选择一个见解结果。

    • 在 Security Hub 导航窗格中,选择集成。选择查看集成的调查发现

  3. 在 “添加筛选器” 框中,为 “过滤器” 选择一个过滤器。

    当您按公司名称或产品名称进行筛选时,控制台将使用顶层CompanyNameProductName字段。API 使用 ProductFields 中的值。

  4. 选择筛选器匹配类型。

    对于字符串筛选条件,您可以从以下比较选项中进行选择:

    • ——查找与筛选值完全匹配的值。

    • 以...开头——查找以筛选值开头的值。

    • 不是——查找与筛选值不匹配的值。

    • 不以...开头——查找不以筛选值开头的值。

    对于数值筛选条件,您可以选择是提供单个数字简单还是数值范围范围

    对于日期或时间筛选条件,您可以选择是提供从当前日期时间开始的时间长度滚动窗口还是提供具体日期范围固定范围

    添加多个筛选条件具有以下交互作用:

    • 以...开头筛选条件由“或”连接。如果一个值包含任何筛选条件值,则该值匹配。例如,如果您将“严重性”标签指定为“重大”“严重性”标签为“高”,则结果将包括重大和高严重性结果。

    • 不是不以...开头筛选条件由“和”连接的。仅当值不包含任何这些筛选条件值时才匹配。例如,如果您将 “严重性” 标签指定为 “低”,“严重性” 标签不为 “中”,则结果不包括低或中等严重性结果。

    如果在某个字段上有 is 筛选器,则不能在同一个字段上使用 i s not 或 a 不以过滤器开头

  5. 指定筛选器值。

    对于字符串过滤器,筛选器值区分大小写。

    例如,对于来自 Security Hub 的调查发现,产品名称为 Security Hub。如果使用 EQUALS 运算符查看来自 Security Hub 的调查发现,则必须输入 Security Hub 作为筛选条件值。如果输入 security hub,则不会显示任何结果。

    同样,如果您使用 PREFIX 运算符并输入 Sec,则会显示 Security Hub 结果。如果您输入 sec,则不会显示任何 Security Hub 结果。

  6. 选择 应用

对结果进行分组

除了变更筛选条件外,您还可以根据所选属性的值对结果进行分组。

对调查发现进行分组时,调查发现列表将替换为匹配调查发现中选定属性的值列表。对于每个值,列表显示与其他筛选条件匹配的调查发现数。

例如,如果您按 Amazon Web Services 账户 ID 对发现结果进行分组,则会看到账户标识符列表,其中包含每个账户的匹配结果数量。

请注意,Security Hub 只能显示 100 个值。如果分组值超过 100 个,则只能看到前 100 个。

选择属性值时,将显示该值的匹配调查发现列表。

将结果分组到结果列表中
  1. 在调查发现列表上,选择添加筛选条件框。

  2. 对于分组,请选择分组依据

  3. 在列表中,选择要用于分组的属性。

  4. 选择 应用

更改筛选条件值或分组属性

对于现有筛选器,您可以更改筛选器值。您还可以更改分组属性。

例如,您可以更改 Record state(记录状态) 筛选器以查找 ARCHIVED 结果而不是查找 ACTIVE 结果。

编辑筛选条件或分组属性
  1. 在筛选的调查发现列表中,选择筛选或分组属性。

  2. 对于分组依据,选择新属性,然后选择应用

  3. 对于筛选条件,选择新值,然后选择应用

删除筛选条件或分组属性

要删除筛选条件或分组属性,请选择 x 图标。

列表会自动更新以反映更改。删除分组属性时,列表将从字段值列表更改回调查发现列表。

可用的查找信息

您可以在 Security Hub 控制台上或通过调用 Security Hub API 的GetFindings操作来获取各种发现的详细信息。以下是您可以获得的查找详细信息的部分列表。

  • 应用程序元数据-如果您创建了应用程序,则提供调查结果中涉及的应用程序的名称和 Amazon 资源名称 (ARN)。并向其中添加了 Amazon 应用程序标签。我们建议在中创建应用程序Amazon Service Catalog AppRegistry

  • 查找历史记录-提供过去 90 天内的查找结果历史记录。

  • 在 Detective 中查找调查(仅限控制台)— 提供一个链接,使用自动日志收集、安全分析和 Amazon Web Service 资源探索工具,进一步调查 Detective 中的调查结果。如果您启用 Detective,则只有从其他人那里收到的 Security Hub 调查结果 Amazon Web Services 才会包含此信息。

  • 查找提供者字段-显示查找提供者提供的置信度、重要性、相关发现、严重性和查找结果类型的值。

  • 参数-显示安全控制的当前参数值。Security Hub 在对控件进行安全检查时使用这些参数值。

  • 补救-提供修复失败控制结果的说明的链接。

  • 资源-提供有关查找结果中涉及的 Amazon 资源的信息。

  • 资源标签-为查找结果中涉及的资源提供标签键和值信息。您可以为标记 API GetResources 操作支持的资源 Amazon Resource Groups 添加标签。如果 Amazon 安全调查结果格式 (ASFF) Resource.Id 字段填充了资源 ARN,Security Hub 会通过服务相关角色调用此操作并检索资源 Amazon 标签。无效的资源 ID 将被忽略。有关在调查结果中包含资源标签的更多信息,请参阅标签

  • 类型和相关调查结果-包含有关查找结果类型的信息。

  • 漏洞详情-有关在发现结果中检测到的漏洞和受影响的软件包的信息。如果您启用 Amazon Inspector 来查看亚马逊检查器发送到 Security Hub 的调查结果,则可以获得这些详细信息。

请查看以下章节,了解如何访问这些详细信息以获得调查结果。

查看发现历史记录

调查发现历史记录是 Security Hub 的一项功能,可让您跟踪过去 90 天内对调查发现所做的更改。它适用于活跃和已存档的调查发现。调查发现历史记录提供了随着时间的推移对调查发现所做的更改的不可改变的跟踪,包括更改的内容、发生的时间以及由哪个用户所做的更改。

具体而言,您可以跟踪对 Amazon 安全调查结果格式 (ASFF) 中的字段所做的更改。Security Hub 会根据自动化规则跟踪您手动进行的变更。

查找历史记录可在 Security Hub 控制台、API 和 Amazon CLI。

如果您登录了 Security Hub 管理员账户,则可以获取该管理员账户和所有成员账户的调查发现历史记录。

选择您的首选方法,然后按照步骤查看查找历史记录。

Security Hub console
查看发现历史记录
  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

  2. 在左侧导航窗格中,选择发现

  3. 选择一个调查发现。在出现的面板中,选择历史记录选项卡。

Security Hub API
查看发现历史记录
  1. 运行 GetFindings,或者如果你使用的是 Amazon CLI,则运行get-findings命令。 根据需要使用适当的筛选器来识别您要查看历史记录的发现。API 响应将为您提供调查发现的 ProductArnId。在第三步中,您需要这些字段的值。

  2. 运行 GetFindingHistory,或者如果你使用的是 Amazon CLI,则运行get-finding-history命令。

  3. 使用 ProductArnId 字段确定要获取历史记录的调查发现。有关这些字段的更多信息,请参阅AwsSecurityFindingIdentifier。每个请求只能获取一个调查发现的历史记录。

  4. StartTime. 和提供值EndTime,将查找历史记录限制在特定的时间段内。

  5. MaxResults 提供一个值,将调查发现历史记录限制为特定数量的结果。如果未提供,API 响应将返回调查发现历史记录的前 100 个结果。

  6. NextToken 提供一个值,以查看调查发现的后续 100 个结果(如适用)。在初始 API 请求中,NextToken 的值应为 NULL

以下 CLI 命令检索指定发现的历史记录。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securityhub get-finding-history \ --region us-west-2 \ --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \ --max-results 2 \ --start-time "2021-09-30T15:53:35.573Z" \ --end-time "2021-09-31T15:53:35.573Z"

查看发现详情

选择您的首选方法,然后按照步骤在 Security Hub 中查看查找详情。

Security Hub console
查看发现详情
  1. 打开 Amazon Security Hub 控制台,网址为 https://console.aws.amazon.com/securityhub/

  2. 要显示查找结果列表,请执行以下操作之一:

    • 在 Security Hub 导航窗格中,选择调查发现。根据需要添加搜索过滤器以缩小查找结果列表的范围。

    • 在 Security Hub 导航窗格中,选择见解。选择见解。然后在结果列表上,选择一个见解结果。

    • 在 Security Hub 导航窗格中,选择集成。选择查看集成的调查发现

  3. 选择调查发现标题。

  4. 在查找结果详细信息面板中,您可以执行其他操作,如下所示:

    • 要显示调查发现的完整 JSON,请选择调查发现 ID。从查找 JSON 中,下载查找 JSON。

    • 要查看基于 Amazon Config 规则的结果,要显示适用规则的列表,请选择规则

    • 选择 “使用 Macie 调查”,调查在 Macie 控制台的调查结果中发现的敏感数据。只有在您启用 Amazon Macie 及其自动敏感数据发现功能时,此选项才可用。

    • 选择 “资源” 以查看查找结果中涉及的资源的信息。

    • 选择 “在 Amazon Detec tive 中调查”,在 Detective 控制台中调查调查结果。只有在您启用 Amazon Detective 时,此选项才可用。

    • 选择 “历史记录” 选项卡可查看长达 90 天的查找历史记录。

注意

调查发现详细信息面板的顶部包含有关该调查发现的概述信息,包括账户、严重程度、日期和状态。如果您与之集成, Amazon Organizations 并且您登录的账户是组织成员账户,则详细信息面板将包含账户名称。对于手动邀请而非通过 Organizations 集成邀请的成员账户,详细信息面板仅会包含账户 ID。

Security Hub API

查看发现详情

使用 Security Hub API 的GetFindings操作,或者如果你使用的是 Amazon CLI,则运行 get-findings 命令。

您可以为Filters参数提供一个或多个值,以缩小要检索的结果范围。

如果结果量太大,则可以使用MaxResults参数将结果限制为指定数量,使用NextToken参数对结果进行分页。使用SortCriteria参数按特定字段对结果进行排序。

如果您已启用跨区域聚合并从聚合区域调用此操作,则结果将包括来自聚合和关联区域的结果。

以下 CLI 命令检索与提供的筛选条件匹配的结果,并按字段的降序对其进行排序。LastObservedAt此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100
PowerShell
查看发现详情
  1. 使用 Get-SHUBFinding cmdlet。

  2. 或者,填充 Filter 参数以缩小要检索的调查发现范围。

示例

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
注意

当您按CompanyName或筛选查找结果时ProductName,Security Hub 会使用作为 ProductFields ASFF 对象一部分的值。Security Hub 不使用顶层CompanyNameProductName字段。