查看见解结果和调查结果并采取相应措施 - Amazon Security Hub
查看见解结果并采取相应措施(控制台)查看见解结果(Security Hub API,Amazon CLI)查看见解结果的调查结果(控制台)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看见解结果和调查结果并采取相应措施

对于每一个洞察力,AmazonSecurity Hub 首先确定与筛选条件匹配的结果,然后使用分组属性对匹配的结果进行分组。

见解控制台页面中,您可以查看结果和调查结果并采取相应措施。

查看见解结果并采取相应措施(控制台)

见解结果由见解结果的分组列表组成。例如,如果见解按资源标识符进行分组,则见解结果是资源标识符的列表。结果列表中的每个项均指示该项的匹配结果数。

请注意,如果按资源标识符或资源类型对查找结果进行分组,则结果将包括匹配查找结果中的所有资源。这包括与筛选条件中指定的资源类型不同的资源类型的资源。例如,洞察可识别与 S3 存储桶相关联的调查结果。如果匹配的查找结果同时包含 S3 存储桶资源和 IAM 访问密钥资源,则洞察结果将列出这两个资源。

结果列表的排序方式为:从匹配率最高的结果到匹配率最低的结果。

Security Hub 只能显示 100 个结果。如果分组值超过 100 个,则只能看到前 100 个。

除了结果列表之外,见解结果还显示一组图表,其中汇总了以下属性的匹配结果数。

  • Severity label— 每个严重性标签的结果数

  • Amazon账户 ID— 匹配结果的前 5 个账户 ID

  • 资源类型— 匹配结果的前 5 个资源类型

  • Resource ID (资源 ID)— 匹配结果的前 5 个资源 ID

  • 产品名称-匹配结果的前 5 个调查提供商

如果您已配置自定义操作,则可以将选定结果发送到自定义操作。操作 CloudWatch 须与Security Hub Insight Results事件类型。请参阅自动响应和补救

如果尚未配置自定义操作,则操作菜单处于禁用状态。

显示见解结果列表并采取相应措施

  1. 打开AmazonSecurity Hub 控制台https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 要显示见解结果列表,请选择见解名称。

  4. 选中要发送到自定义操作的每个结果的复选框。

  5. Actions (操作) 菜单中,选择自定义操作。

查看见解结果(Security Hub API,Amazon CLI)

要查看见解结果,您可以使用 API 调用或Amazon Command Line Interface。

要查看见解结果(Security Hub API,Amazon CLI)

  • Security Hub API— 使用GetInsightResultsoperation. 要确定要返回结果的洞察力,您需要洞察 ARN。要获取洞察 ARN 以获取自定义见解,请使用GetInsightsoperation.

  • Amazon CLI— 在命令行处,运行get-insight-results命令。 

    aws securityhub get-insight-results --insight-arn <insight ARN>

    例如:

    aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

查看见解结果的调查结果(控制台)

从见解结果列表中,您可以显示每个结果的调查结果列表。

显示见解结果并采取相应措施

  1. 打开AmazonSecurity Hub 控制台https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 要显示见解结果列表,请选择见解名称。

  4. 要显示见解结果的调查结果列表,请从结果列表中选择项目。

调查结果列表显示了工作流程状态为 NEWNOTIFIED 的所选见解结果的活动调查结果。

从调查结果列表中,您可以执行以下操作。