Den Workflow-Status von Ergebnissen in Security Hub CSPM festlegen - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Den Workflow-Status von Ergebnissen in Security Hub CSPM festlegen

Der Workflow-Status verfolgt den Fortschritt Ihrer Untersuchung zu einem Ergebnis. Der Workflow-Status ist spezifisch für ein einzelnes Ergebnis und hat keinen Einfluss auf die Generierung neuer Ergebnisse. Wenn Sie beispielsweise den Workflow-Status eines Ergebnisses auf SUPPRESSED oder ändernRESOLVED, verhindert Ihre Änderung nicht, dass Security Hub CSPM ein neues Ergebnis für dasselbe Problem generiert.

Der Workflow-Status eines Befundes kann einer der folgenden Werte sein.

NEU

Der Ausgangszustand eines Ergebnisses, bevor Sie es überprüfen.

Ergebnisse, die aus integrierten Quellen aufgenommen wurden AWS-Services AWS Config, haben z. NEW B. ihren ursprünglichen Status.

Security Hub CSPM setzt in den folgenden Fällen auch den Workflow-Status von entweder NOTIFIED oder RESOLVED NEW auf zurück:

  • RecordState ändert sich von ARCHIVED in ACTIVE.

  • Compliance.Statusändert sich von PASSED zuFAILED, WARNING oder. NOT_AVAILABLE

Diese Änderungen bedeuten, dass zusätzliche Untersuchungen erforderlich sind.

BENACHRICHTIGT

Gibt an, dass Sie den Ressourceneigentümer über das Sicherheitsproblem informiert haben. Sie können diesen Status verwenden, wenn Sie nicht der Ressourceneigentümer sind und einen Eingriff von diesem benötigen, um ein Sicherheitsproblem zu beheben.

Wenn einer der folgenden Fälle eintritt, wird der Workflow-Status automatisch von NOTIFIED zu geändertNEW:

  • RecordState ändert sich von ARCHIVED in ACTIVE.

  • Compliance.Statusändert sich von PASSED zu FAILEDWARNING, oderNOT_AVAILABLE.

UNTERDRÜCKT

Zeigt an, dass Sie das Ergebnis überprüft haben und nicht der Meinung sind, dass weitere Maßnahmen erforderlich sind.

Der Workflow-Status eines SUPPRESSED Ergebnisses RecordState ändert sich nicht, wenn er von ARCHIVED zu geändert wirdACTIVE.

GELÖST

Das Ergebnis wurde überprüft und korrigiert und gilt nun als gelöst.

Der Befund bleibt bestehenRESOLVED, sofern nicht einer der folgenden Fälle eintritt:

  • RecordState ändert sich von ARCHIVED in ACTIVE.

  • Compliance.Statusändert sich von PASSED zu FAILEDWARNING, oderNOT_AVAILABLE.

In diesen Fällen wird der Workflow-Status automatisch auf zurückgesetztNEW.

Falls dies der Fall Compliance.Status istPASSED, setzt Security Hub CSPM den Workflow-Status automatisch auf. RESOLVED

Den Workflow-Status von Ergebnissen festlegen

Um den Workflow-Status eines oder mehrerer Ergebnisse zu ändern, können Sie die Security Hub CSPM-Konsole oder die Security Hub CSPM-API verwenden. Wenn Sie den Workflow-Status eines Befundes ändern, beachten Sie, dass es mehrere Minuten dauern kann, bis Security Hub CSPM Ihre Anfrage bearbeitet und das Ergebnis aktualisiert hat.

Tipp

Sie können den Workflow-Status von Ergebnissen auch automatisch ändern, indem Sie Automatisierungsregeln verwenden. Mit Automatisierungsregeln konfigurieren Sie Security Hub CSPM so, dass der Workflow-Status von Ergebnissen auf der Grundlage der von Ihnen angegebenen Kriterien automatisch aktualisiert wird. Weitere Informationen finden Sie unter Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM.

Um den Workflow-Status eines oder mehrerer Ergebnisse zu ändern, wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten.

Security Hub CSPM console
Um den Workflow-Status von Ergebnissen zu ändern
  1. Öffnen Sie die AWS Security Hub Cloud Security Posture Management (CSPM) -Konsole unter. https://console.aws.amazon.com/securityhub/

  2. Führen Sie im Navigationsbereich einen der folgenden Schritte aus, um eine Tabelle mit Ergebnissen anzuzeigen:

    • Wählen Sie Ergebnisse aus.

    • Wählen Sie Insights. Wählen Sie dann einen Einblick aus. Wählen Sie in den Insight-Ergebnissen ein Ergebnis aus.

    • Wähle Sie Integrations (Integrationen) aus. Wählen Sie dann im Abschnitt für die Integration die Option Ergebnisse anzeigen aus.

    • Wählen Sie Sicherheitsstandards aus. Wählen Sie dann im Abschnitt für den Standard die Option Ergebnisse anzeigen aus. Wählen Sie in der Kontrolltabelle ein Steuerelement aus, um die Ergebnisse für das Steuerelement anzuzeigen.

  3. Aktivieren Sie in der Tabelle mit den Ergebnissen das Kontrollkästchen für jedes Ergebnis, dessen Workflow-Status Sie ändern möchten.

  4. Wählen Sie oben auf der Seite Workflow-Status und dann den neuen Workflow-Status für die ausgewählten Ergebnisse aus.

  5. Geben Sie im Dialogfeld Workflow-Status festlegen optional eine Notiz ein, in der der Grund für die Änderung des Workflow-Status detailliert beschrieben wird. Wählen Sie dann Status festlegen aus.

Security Hub CSPM API

Verwenden Sie die BatchUpdateFindingsOperation. Geben Sie sowohl die Befund-ID als auch den ARN des Produkts an, das den Befund generiert hat. Sie können diese Details mithilfe der GetFindingsOperation abrufen.

AWS CLI

Führen Sie den Befehl batch-update-findings aus. Geben Sie sowohl die Befund-ID als auch den ARN des Produkts an, das den Befund generiert hat. Sie können diese Details abrufen, indem Sie den Befehl get-findings ausführen.

batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"

Beispiel

aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"