查看见解结果和调查结果并采取相应措施 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

查看见解结果和调查结果并采取相应措施

对于每个见解,Amazon Security Hub 首先确定与筛选条件匹配的调查发现,然后使用分组属性对匹配的调查发现进行分组。

在控制台上的洞察页面中,您可以查看结果和调查发现并执行相应操作。

如果您启用跨区域聚合,则托管洞察的结果(在您登录到聚合区域后)包括聚合区域和关联区域的调查发现。如果洞察未按区域筛选,则自定义洞察的结果还会包括聚合区域和关联区域的调查发现(在您登录到聚合区域后)。在其他区域,见解结果仅适用于本区域。

有关配置跨区域聚合的信息,请参阅了解 Security Hub 中的跨区域聚合

查看洞察结果并执行相应操作

见解结果由见解结果的分组列表组成。例如,如果见解按资源标识符进行分组,则见解结果是资源标识符的列表。结果列表中的每个项均指示该项的匹配结果数。

如果调查发现按资源标识符或资源类型分组,则结果会包括匹配调查发现中的所有资源。这包括与筛选条件中指定的资源类型不同的资源。例如,一个见解标识符与 S3 存储桶相关联的发现。如果匹配的调查发现同时包含 S3 存储桶资源和 IAM 访问密钥资源,则洞察结果会包括这两种资源。

在 Security Hub 控制台上,结果列表从匹配率最高的调查发现到匹配率最低的调查发现排序。Security Hub 只能显示 100 个结果。如果分组值超过 100 个,则只能看到前 100 个。

除了结果列表之外,见解结果还显示一组图表,其中汇总了以下属性的匹配结果数。

  • 严重性标签——每个严重性标签的调查发现数

  • Amazon Web Services 账户 ID——匹配调查发现的前 5 个账户 ID

  • 资源类型——匹配调查发现的前 5 个资源类型

  • 资源 ID——匹配调查发现的前 5 个资源 ID

  • 产品名称——匹配的调查发现的前 5 个调查发现提供商

如果您已配置自定义操作,则可以将选定结果发送到自定义操作。操作必须与 Security Hub Insight Results 事件类型的 Amazon CloudWatch 规则相关联。有关更多信息,请参阅 使用 EventBridge 进行自动响应和补救。如果您尚未配置自定义操作,则操作菜单处于禁用状态。

Security Hub console
查看洞察结果并执行相应操作(控制台)
  1. 打开 Amazon Security Hub 控制台,登录:https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 要显示见解结果列表,请选择见解名称。

  4. 选中要发送到自定义操作的每个结果的复选框。

  5. Actions (操作) 菜单中,选择自定义操作。

Security Hub API, Amazon CLI

查看洞察结果并执行相应操作(API、Amazon CLI)

要查看洞察结果,请使用 Security Hub API 的 >GetInsightResults 操作。如果您使用 Amazon CLI,请运行 get-insight-results 命令。

要确定要返回结果的见解,您需要见解 ARN。要获取自定义洞察的洞察 ARN,请使用 GetInsights API 操作或 get-insight-results 命令。

以下示例会检索指定洞察的结果。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

有关如何以编程方式创建自定义操作的信息,请参阅使用自定义操作将调查发现和见解结果发送到 EventBridge

查看洞察结果调查发现并执行相应操作(控制台)

从 Security Hub 控制台上的洞察结果列表中,您可以显示每个结果的调查发现列表。

显示洞察调查发现并执行相应操作(控制台)
  1. 打开 Amazon Security Hub 控制台,登录:https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 Insights

  3. 要显示见解结果列表,请选择见解名称。

  4. 要显示见解结果的调查结果列表,请从结果列表中选择项目。调查结果列表显示了工作流程状态为 NEWNOTIFIED 的所选见解结果的活动调查结果。

从调查发现列表中,您可以执行以下操作: