在 Security Hub CSPM 中查看调查发现详细信息和历史记录

在此菜单中，您可以查看调查发现的完整 JSON 或添加注释。一项调查发现一次只能附上一个注释。此菜单还提供用于在 Amazon EventBridge 中设置调查发现的工作流状态或将调查发现发送到自定义操作的选项。

在这个菜单中，您可以在 Amazon Detective 中对调查发现进行调查。Detective 会从调查发现中提取实体（例如 IP 地址和 Amazon 用户），并可视化其活动。您可以使用实体活动作为起点对调查发现的原因和影响进行调查。

此选项卡提供调查发现的摘要。例如，您可以确定调查发现的创建时间和上次更新时间、调查发现所在的账户以及调查发现的来源。对于控件调查发现，此选项卡还会显示关联的 Amazon Config 规则的名称以及指向 Security Hub CSPM 文档中补救指导的链接。

在概述选项卡上的资源快照中，您可以获得调查发现中涉及的资源的简要概述。对于某些资源，这包括打开资源选项，其直接链接到相关 Amazon Web Services 服务控制台上的受影响资源。历史记录快照最多会显示在所跟踪历史记录的最近日期对调查发现所做的两次更改。例如，如果您昨天进行了更改，今天又进行了另一个更改，则快照会显示今天的更改。要查看之前的条目，请切换到历史记录选项卡。

展开合规行将显示更多详细信息。例如，如果某个控件包含参数，您可以查看 Security Hub CSPM 在对该控件进行安全检查时当前使用的参数值。

此选项卡提供有关调查发现中涉及的资源的详细信息。如果您已登录到拥有资源的账户，则可以在相应的 Amazon Web Services 服务控制台中查看该资源。如果您不是资源的拥有者，则此选项卡会显示所有者的 Amazon Web Services 账户 ID。

详细信息行显示调查发现中特定于资源的详细信息。它以 JSON 格式显示调查发现的 ResourceDetails 部分。

标签行显示分配给调查发现中涉及的资源的标签键和值。可以标记 Amazon Resource Groups 标记 API 的 GetResources 操作支持的资源。Security Hub CSPM 在处理新的或更新的调查发现时，会使用服务相关角色调用此操作，并且如果 Amazon 安全调查发现格式 (ASFF) Resource.Id 字段填充了资源的 ARN，则会检索资源标签。Security Hub CSPM 会忽略无效的资源 ID。有关在调查发现中包含资源标签的更多信息，请参阅 标签。

此选项卡跟踪调查发现的历史记录。调查发现的历史记录适用于活动和已归档的调查发现。它提供随着时间推移对调查发现所做的更改的不可改变跟踪，包括 ASFF 字段更改的内容、更改发生的时间以及由哪个用户所做的更改。选项卡上的每个页面最多显示 20 个更改。最近的更改优先显示。

对于活跃调查发现，调查发现历史记录最多可保留 90 天。对于存档的调查发现，调查发现历史记录最多可保留 30 天。调查发现历史记录包括手动进行的更改或通过 Security Hub CSPM 自动化规则自动进行的更改。它不包括对顶级时间戳字段的更改，例如 CreatedAt 和 UpdatedAt 字段。

如果您登录了 Security Hub CSPM 管理员账户，则显示该管理员账户和所有成员账户的调查发现历史记录。

此选项卡包括 ASFF 的 Action、Malware 和 ProcessDetails 对象的数据，包括威胁类型以及资源是目标还是角色。这些详细信息通常适用于源自 Amazon GuardDuty 的调查发现。

此选项卡显示 ASFF 的 Vulnerability 对象的数据，包括是否存在与调查发现关联的漏洞或可用的修复程序。这些详细信息通常适用于源自 Amazon Inspector 的调查发现。