在 Security Hub 中创建和更新调查发现 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Security Hub 中创建和更新调查发现

在中 Amazon Security Hub,调查发现是安全检查或与安全相关的检测的可观察记录。

调查发现可能来自 Security Hub 中的以下来源之一:

  • 对 Security Hub 中的已启用控件运行的安全检查

  • 已启用的与其他的集成 Amazon Web Services 服务

  • 已启用的与第三方产品的集成

  • 自定义集成

创建调查发现后,调查发现提供者或 Security Hub 用户可以按如下方式对其进行更新:

  • 调查发现提供者可以使用 Security Hub API 的 BatchImportFindings 操作更新有关调查发现的一般信息。结果提供商只能更新他们创建的结果。

  • 客户可使用 Security Hub API 的 BatchUpdateFindings 操作将调查状态更新到调查发现中。BatchUpdateFindings 也可以由票证、事件管理、编排、补救或 SIEM 工具代表客户使用。

    客户还可以更新 Security Hub 控制台中的调查发现。

Security Hub 将所有来源中的调查发现标准化为一种标准语法和格式,称为 Amazon 安全调查发现格式 (ASFF)。有关 ASFF 的更多信息,请参阅 Amazon 安全调查发现格式 (ASFF)

Security Hub 会自动删除过去 90 天内未更新的调查发现。具体而言,Security Hub 会在 UpdatedAt ASFF 字段的最新值后,将账户中的现有调查发现保留 90 天。即使 Security Hub 处于已禁用状态,此调查发现也会在此日期之后保留 90 天。90 天期限结束后,Security Hub 会永久删除账户中的调查发现。调查发现提供者可以通过使用 Security Hub API 的 BatchImportFindings 操作更新调查发现,以此更改 UpdatedAt 字段的值。

如果您启用跨区域聚合,则 Security Hub 会自动将来自关联区域的新的和更新的调查发现聚合到聚合区域。有关更多信息,请参阅 了解 Security Hub 中的跨区域聚合