本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Security Hub 中创建和更新调查发现
在中 Amazon Security Hub,发现是安全检查或安全相关检测的可观察记录。
调查发现可能来自 Security Hub 中的以下来源之一:
-
对 Security Hub 中的已启用控件运行的安全检查
-
已启用与其他集成 Amazon Web Services 服务
-
已启用的与第三方产品的集成
-
自定义集成
创建调查发现后,调查发现提供者或 Security Hub 用户可以按如下方式对其进行更新:
-
寻找提供者可以使用 BatchImportFindings运行 Security Hub API 以更新有关发现的一般信息。结果提供商只能更新他们创建的结果。
-
客户可以使用 BatchUpdateFindingsSecurity Hub 的运营,API以更新调查结果的调查状态。
BatchUpdateFindings
也可以由代表客户的工单、事件管理、编排、补救或SIEM工具使用。客户还可以更新 Security Hub 控制台中的调查发现。
Security Hub 将来自所有来源的发现标准化为一种名为 “ Amazon 安全发现格式” (ASFF) 的标准语法和格式。有关 ASFF 的更多信息,请参阅 Amazon 安全调查结果格式 (ASFF)。
Security Hub 会自动删除过去 90 天内未更新的调查发现。具体而言,Security Hub 会在账户中保留该UpdatedAt
ASFF字段的最新值之后的 90 天。即使 Security Hub 处于已禁用状态,此调查发现也会在此日期之后保留 90 天。90 天期限结束后,Security Hub 会永久删除账户中的调查发现。查找提供者可以通过以下方式更改该UpdatedAt
字段的值 BatchImportFindings运行 Security Hub API 以更新调查结果。
如果您启用跨区域聚合,则 Security Hub 会自动将来自关联区域的新的和更新的调查发现聚合到聚合区域。有关更多信息,请参阅 了解 Security Hub 中的跨区域聚合。