在 Security Hub CSPM 中创建和更新调查结果 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Security Hub CSPM 中创建和更新调查结果

在 Sec Amazon urity Hub 云安全态势管理 (CSPM) 中,发现是安全检查或安全相关检测的可观察记录。发现可能来自以下来源之一:

  • 在 Security Hub CSPM 中对控件进行安全检查。

  • 与他人的集成 Amazon Web Services 服务。

  • 与第三方产品的集成。

  • 自定义集成。

Security Hub CSPM 将来自所有来源的发现标准化为一种称为Amazon 安全调查结果格式 (ASFF) 的标准语法和格式。有关此格式的详细信息,包括各个 ASFF 字段的描述,请参阅Amazon 安全调查结果格式 (ASFF)。如果您启用跨区域聚合,Security Hub CSPM 还会自动将所有关联区域的新发现和更新的发现汇总到您指定的聚合区域。有关更多信息,请参阅 了解 Security Hub CSPM 中的跨区域聚合

创建查找结果后,可以按如下方式对其进行更新:

  • 查找提供者可以使用 Security Hub CSPM API 的BatchImportFindings操作来更新有关调查结果的一般信息。结果提供商只能更新他们创建的结果。

  • 客户可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API 的BatchUpdateFindings操作来更新调查结果的状态。SIEM、票务、事件管理、SOAR 或其他类型的工具也可以代表客户使用该BatchUpdateFindings操作。

为了减少查找噪音并简化对单个发现的跟踪和分析,Security Hub CSPM 会自动删除最近未更新的发现。Security Hub CSPM 执行此操作的时间取决于调查结果是处于活动状态还是已存档:

  • 活跃的查找结果是其记录状态 (RecordState) 为的发现ACTIVE。Security Hub CSPM 将活跃的发现存储 90 天。如果活动查找结果已经 90 天未更新了,则该发现将过期,Security Hub CSPM 会将其永久删除。

  • 存档的查找结果是其记录状态 (RecordState) 为的查找结果ARCHIVED。Security Hub CSPM 将存档的调查结果存储 30 天。如果已存档的查找结果已经 30 天未更新了,则该发现将过期,Security Hub CSPM 会将其永久删除。

对于控制结果,即 Security Hub CSPM 通过对控制的安全检查生成的调查结果,Security Hub CSPM 会根据查找结果UpdatedAt字段的值来确定发现结果是否已过期。如果活跃查找结果的此值已超过 90 天,则 Security Hub CSPM 将永久删除该查找结果。如果存档查找结果的此值已超过 30 天,则 Security Hub CSPM 将永久删除该查找结果。

对于所有其他类型的查找结果,Security Hub CSPM 会根据查找结果的ProcessedAtUpdatedAt字段的值来确定查找结果是否已过期。Security Hub CSPM 会比较这些字段的值并确定哪些是最新的。如果当前查找结果的最新值超过 90 天前,Security Hub CSPM 将永久删除该查找结果。如果存档查找结果的最新值超过 30 天前,Security Hub CSPM 将永久删除该查找结果。通过使用 Security Hub CSPM API 的BatchImportFindings操作,查找提供者可以更改一个或多个查找结果UpdatedAt字段的值。

为了长期保留调查结果,您可以将调查结果导出到 S3 存储桶。您可以通过使用带有 Amazon EventBridge 规则的自定义操作来实现此目的。有关更多信息,请参阅 EventBridge 用于自动响应和补救