审查 Security Hub CSPM 中的见解并采取行动 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

审查 Security Hub CSPM 中的见解并采取行动

对于每项见解, Amazon Security Hub Cloud 安全态势管理 (CSPM) 首先确定符合筛选条件的结果,然后使用分组属性对匹配的结果进行分组。

在控制台上的洞察页面中,您可以查看结果和调查发现并执行相应操作。

如果您启用跨区域聚合,则托管洞察的结果(在您登录到聚合区域后)包括聚合区域和关联区域的调查发现。如果洞察未按区域筛选,则自定义洞察的结果还会包括聚合区域和关联区域的调查发现(在您登录到聚合区域后)。在其他区域,见解结果仅适用于本区域。

有关配置跨区域聚合的信息,请参阅了解 Security Hub CSPM 中的跨区域聚合

查看洞察结果并执行相应操作

见解结果由见解结果的分组列表组成。例如,如果见解按资源标识符进行分组,则见解结果是资源标识符的列表。结果列表中的每个项均指示该项的匹配结果数。

如果调查发现按资源标识符或资源类型分组,则结果会包括匹配调查发现中的所有资源。这包括与筛选条件中指定的资源类型不同的资源。例如,一个见解标识符与 S3 存储桶相关联的发现。如果匹配的调查发现同时包含 S3 存储桶资源和 IAM 访问密钥资源,则洞察结果会包括这两种资源。

在 Security Hub CSPM 控制台上,结果列表按匹配结果最多到最少的顺序排序。Security Hub CSPM 只能显示 100 个结果。如果分组值超过 100 个,则只能看到前 100 个。

除了结果列表之外,见解结果还显示一组图表,其中汇总了以下属性的匹配结果数。

  • 严重性标签——每个严重性标签的调查发现数

  • Amazon Web Services 账户 ID — 匹配结果的前五个原因 IDs

  • 资源类型——匹配调查发现的前 5 个资源类型

  • 资源 ID-匹配结果的前五个资源 IDs

  • 产品名称——匹配的调查发现的前 5 个调查发现提供商

如果您已配置自定义操作,则可以将选定结果发送到自定义操作。该操作必须与Security Hub Insight Results事件类型的 Amazon CloudWatch 规则相关联。有关更多信息,请参阅 EventBridge 用于自动响应和补救。如果您尚未配置自定义操作,则操作菜单处于禁用状态。

Security Hub CSPM console
查看洞察结果并执行相应操作(控制台)
  1. 打开 Sec Amazon urity Hub 云安全态势管理 (CSPM) 控制台,网址为。https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 要显示见解结果列表,请选择见解名称。

  4. 选中要发送到自定义操作的每个结果的复选框。

  5. Actions (操作) 菜单中,选择自定义操作。

Security Hub CSPM API, Amazon CLI

要查看洞察结果并对其采取行动(API, Amazon CLI)

要查看洞察结果,请使用 Security Hub CSPM API 的>GetInsightResults操作。如果您使用 Amazon CLI,请运行该get-insight-results命令。

要确定要返回结果的见解,您需要见解 ARN。要获取自定义见解 ARNs 的见解,请使用 GetInsightsAPI 操作或get-insight-results命令。

以下示例会检索指定洞察的结果。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

有关如何以编程方式创建自定义操作的信息,请参阅使用自定义操作将调查结果和见解结果发送到 EventBridge

查看洞察结果调查发现并执行相应操作(控制台)

从 Security Hub CSPM 控制台上的洞察结果列表中,您可以显示每个结果的发现结果列表。

显示洞察调查发现并执行相应操作(控制台)
  1. 打开 Sec Amazon urity Hub 云安全态势管理 (CSPM) 控制台,网址为。https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 要显示见解结果列表,请选择见解名称。

  4. 要显示见解结果的调查结果列表,请从结果列表中选择项目。调查结果列表显示了工作流程状态为 NEWNOTIFIED 的所选见解结果的活动调查结果。

从调查发现列表中,您可以执行以下操作: