本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
查看见解结果和调查结果并采取相应措施
对于每个见解,Amazon Security Hub 首先确定与筛选条件匹配的调查发现,然后使用分组属性对匹配的调查发现进行分组。
从见解控制台页面中,您可以查看结果和调查发现并采取相应措施。
如果您启用跨区域聚合,则在聚合区域中,托管见解的调查发现包括来自聚合区域和关联区域的调查发现。对于自定义见解结果,如果见解未按区域筛选,则结果将包括来自聚合区域和关联区域的调查发现。
在其他区域,见解结果仅适用于本区域。
有关如何配置跨区域聚合的信息,请参阅 跨区域聚合。
查看见解结果并采取相应措施(控制台)
见解结果由见解结果的分组列表组成。例如,如果见解按资源标识符进行分组,则见解结果是资源标识符的列表。结果列表中的每个项均指示该项的匹配结果数。
请注意,如果调查发现按资源标识符或资源类型分组,则结果将包括所有匹配调查发现中的资源。这包括与筛选条件中指定的资源类型不同的资源。例如,一个见解标识符与 S3 存储桶相关联的发现。如果匹配的调查发现同时包含 S3 存储桶资源和 IAM 访问密钥资源,则见解结果将列出这两个资源。
结果列表的排序方式为:从匹配率最高的结果到匹配率最低的结果。
Security Hub 只能显示 100 个结果。如果分组值超过 100 个,则只能看到前 100 个。
除了结果列表之外,见解结果还显示一组图表,其中汇总了以下属性的匹配结果数。
-
严重性标签——每个严重性标签的调查发现数
-
Amazon Web Services 账户 ID——匹配调查发现的前 5 个账户 ID
-
资源类型——匹配调查发现的前 5 个资源类型
-
资源 ID——匹配调查发现的前 5 个资源 ID
-
产品名称——匹配的调查发现的前 5 个调查发现提供商
如果您已配置自定义操作,则可以将选定结果发送到自定义操作。操作必须与 Security Hub
Insight Results
事件类型的 CloudWatch 规则相关联。请参阅自动响应和补救。
如果您尚未配置自定义操作,则操作菜单将被禁用。
显示见解结果列表并采取相应措施
打开 Amazon Security Hub 控制台,登陆:https://console.aws.amazon.com/securityhub/
。 -
在导航窗格中,选择 Insights。
-
要显示见解结果列表,请选择见解名称。
-
选中要发送到自定义操作的每个结果的复选框。
-
从 Actions (操作) 菜单中,选择自定义操作。
查看见解结果 (Security Hub API, Amazon CLI)
要查看见解结果,您可以使用 API 调用或 Amazon Command Line Interface。
要查看见解结果 (Security Hub API, Amazon CLI)
-
Security Hub API – 使用该
GetInsightResults
操作。要确定要返回结果的见解,您需要见解 ARN。要获取自定义见解的见解 ARN,请使用GetInsights
操作。 -
Amazon CLI – 在命令行处,运行
get-insight-results
命令。aws securityhub get-insight-results --insight-arn
<insight ARN>
示例:
aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
查看见解结果的调查发现(控制台)
从见解结果列表中,您可以显示每个结果的调查结果列表。
显示见解结果并采取相应措施
打开 Amazon Security Hub 控制台,登陆:https://console.aws.amazon.com/securityhub/
。 -
在导航窗格中,选择 Insights。
-
要显示见解结果列表,请选择见解名称。
-
要显示见解结果的调查结果列表,请从结果列表中选择项目。
调查结果列表显示了工作流程状态为 NEW
或 NOTIFIED
的所选见解结果的活动调查结果。
从调查结果列表中,您可以执行以下操作。