Überprüfung der Funddetails und des Verlaufs in Security Hub CSPM - AWS Security Hub
Details und Verlauf der Ergebnisse überprüfen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überprüfung der Funddetails und des Verlaufs in Security Hub CSPM

In AWS Security Hub Cloud Security Posture Management (CSPM) ist ein Ergebnis eine beobachtbare Aufzeichnung einer Sicherheitsüberprüfung oder einer sicherheitsrelevanten Erkennung. Security Hub CSPM generiert ein Ergebnis, wenn es eine Sicherheitsüberprüfung einer Kontrolle abschließt und wenn es ein Ergebnis aus einem integrierten Produkt AWS-Service oder einem Drittanbieterprodukt aufnimmt. Jedes Ergebnis enthält eine Historie der Änderungen und weitere Details, wie z. B. eine Bewertung des Schweregrads und Informationen zu den betroffenen Ressourcen.

Sie können den Verlauf und andere Details einzelner Ergebnisse auf der Security Hub CSPM-Konsole oder programmgesteuert mit der Security Hub CSPM-API oder dem überprüfen. AWS CLI

Um Ihnen bei der Optimierung Ihrer Analyse zu helfen, zeigt die Security Hub CSPM-Konsole ein Ergebnisfenster an, wenn Sie ein bestimmtes Ergebnis auswählen. Das Fenster umfasst verschiedene Menüs und Registerkarten zur Überprüfung bestimmter Details eines Ergebnisses.

Menü „Aktionen“

In diesem Menü können Sie die vollständige JSON-Datei eines Befundes überprüfen oder Notizen hinzufügen. Einem Befund kann jeweils nur eine Notiz angehängt werden. Dieses Menü bietet auch Optionen, um den Workflow-Status eines Ergebnisses festzulegen oder ein Ergebnis an eine benutzerdefinierte Aktion in Amazon zu senden EventBridge.

Menü „Untersuchen“

In diesem Menü können Sie einen Befund in Amazon Detective untersuchen. Detective extrahiert Entitäten wie IP-Adressen und AWS Benutzer aus einem Befund und visualisiert deren Aktivitäten. Sie können die Entitätsaktivität als Ausgangspunkt verwenden, um die Ursache und die Auswirkung eines Ergebnisses zu untersuchen.

Registerkarte Overview (Übersicht)

Diese Registerkarte enthält eine Zusammenfassung eines Ergebnisses. Sie können beispielsweise ermitteln, wann ein Ergebnis erstellt und zuletzt aktualisiert wurde, in welchem Konto es vorhanden ist und aus welcher Quelle das Ergebnis stammt. Bei Kontrollergebnissen werden auf dieser Registerkarte auch der Name der zugehörigen AWS Config Regel und ein Link zu Anleitungen zur Problembehebung in der Security Hub CSPM-Dokumentation angezeigt.

Im Ressourcen-Snapshot auf der Registerkarte Übersicht können Sie sich einen kurzen Überblick über die Ressourcen verschaffen, die an einem Befund beteiligt waren. Bei einigen Ressourcen umfasst dies die Option „Ressource öffnen“, die direkt zu einer betroffenen Ressource auf der entsprechenden AWS-Service Konsole führt. In der Momentaufnahme des Verlaufs werden bis zu zwei Änderungen an dem Ergebnis angezeigt, die an dem letzten Tag vorgenommen wurden, für den der Verlauf nachverfolgt wird. Wenn Sie beispielsweise gestern eine Änderung und heute eine weitere vorgenommen haben, zeigt der Snapshot die Änderung von heute. Um frühere Einträge zu überprüfen, wechseln Sie zur Registerkarte Verlauf.

Die Zeile Konformität wird erweitert, um weitere Details anzuzeigen. Wenn ein Steuerelement beispielsweise Parameter enthält, können Sie die Parameterwerte überprüfen, die Security Hub CSPM derzeit bei der Durchführung von Sicherheitsprüfungen für das Steuerelement verwendet.

Registerkarte „Ressourcen“

Auf dieser Registerkarte finden Sie Einzelheiten zu den Ressourcen, die an einem Befund beteiligt waren. Wenn Sie bei dem Konto angemeldet sind, dem eine Ressource gehört, können Sie die Ressource in der entsprechenden AWS-Service Konsole überprüfen. Wenn Sie nicht der Besitzer einer Ressource sind, wird auf dieser Registerkarte die AWS-Konto ID des Besitzers angezeigt.

In der Zeile „Details“ werden ressourcenspezifische Details zu einem Ergebnis angezeigt. Sie zeigt den ResourceDetailsAbschnitt des Ergebnisses im JSON-Format.

In der Zeile „Tags“ werden Tag-Schlüssel und -Werte angezeigt, die den Ressourcen zugewiesen sind, die an einem Befund beteiligt sind. Ressourcen, die vom GetResources Betrieb der AWS Resource Groups Tagging-API unterstützt werden, können markiert werden. Security Hub CSPM ruft diesen Vorgang mithilfe einer dienstbezogenen Rolle bei der Verarbeitung neuer oder aktualisierter Ergebnisse auf und ruft die Ressourcen-Tags ab, wenn das Resource.Id Feld AWS Security Finding Format (ASFF) mit dem ARN einer Ressource gefüllt ist. Security Hub CSPM ignoriert ungültige Ressourcen. IDs Weitere Informationen zur Aufnahme von Ressourcen-Tags in die Ergebnisse finden Sie unter. Tags

Registerkarte „Verlauf“

Auf dieser Registerkarte wird der Verlauf eines Befundes nachverfolgt. Die Fundhistorie ist für aktive und archivierte Ergebnisse verfügbar. Es bietet eine unveränderliche Aufzeichnung der Änderungen, die im Laufe der Zeit an einem Ergebnis vorgenommen wurden, einschließlich der Änderung, welches ASFF-Feld geändert wurde, wann die Änderung vorgenommen wurde und von welchem Benutzer. Auf jeder Seite der Registerkarte werden bis zu 20 Änderungen angezeigt. Neuere Änderungen werden zuerst angezeigt.

Bei aktiven Ergebnissen ist die Fundhistorie für bis zu 90 Tage verfügbar. Für archivierte Ergebnisse ist die Fundhistorie für bis zu 30 Tage verfügbar. Der Suchverlauf umfasst Änderungen, die manuell oder automatisch durch die CSPM-Automatisierungsregeln von Security Hub vorgenommen wurden. Änderungen an Zeitstempelfeldern der obersten Ebene, wie z. B. den Feldern und, sind nicht enthalten. CreatedAt UpdatedAt

Wenn Sie mit einem Security Hub CSPM-Administratorkonto angemeldet sind, bezieht sich der Suchverlauf auf das Administratorkonto und alle Mitgliedskonten.

Registerkarte „Bedrohung“

Diese Registerkarte enthält Daten von ActionMalware, und ProcessDetailsObjekten der ASFF, einschließlich der Art der Bedrohung und ob es sich bei einer Ressource um das Ziel oder den Akteur handelt. Diese Angaben gelten in der Regel für Ergebnisse, die ihren Ursprung in Amazon haben GuardDuty.

Registerkarte Sicherheitslücken

Auf dieser Registerkarte werden Daten aus dem VulnerabilityObjekt des ASFF angezeigt, einschließlich Informationen darüber, ob es im Zusammenhang mit einem Befund Exploits oder verfügbare Fixes gibt. Diese Angaben gelten in der Regel für Ergebnisse, die ihren Ursprung in Amazon Inspector haben.

Die Zeilen auf jeder Registerkarte enthalten eine Kopier- oder Filteroption. Wenn Sie beispielsweise den Bereich für ein Ergebnis öffnen, das den Workflow-Status Benachrichtigt hat, können Sie die Filteroption neben der Zeile Workflow-Status auswählen. Wenn Sie Alle Ergebnisse mit diesem Wert anzeigen wählen, filtert Security Hub CSPM die Ergebnistabelle und zeigt nur Ergebnisse mit demselben Workflow-Status an.

Details und Verlauf der Ergebnisse überprüfen

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die Suchdetails in Security Hub CSPM zu überprüfen.

Wenn Sie die regionsübergreifende Aggregation aktivieren und sich bei der Aggregationsregion anmelden, umfasst die Suche nach Daten auch Daten aus der Aggregationsregion und verknüpften Regionen. In anderen Regionen ist das Suchen von Daten nur für diese Region spezifisch. Weitere Informationen zur regionsübergreifenden Aggregation finden Sie unter. Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM

Security Hub CSPM console
Einzelheiten und Verlauf der Ergebnisse überprüfen

  1. Öffnen Sie die AWS Security Hub Cloud Security Posture Management (CSPM) -Konsole unter. https://console.aws.amazon.com/securityhub/

  2. Gehen Sie wie folgt vor, um eine Ergebnisliste anzuzeigen:

    • Wählen Sie im Navigationsbereich Findings aus. Fügen Sie nach Bedarf Suchfilter hinzu, um die Ergebnisliste einzugrenzen.

    • Wählen Sie im Navigationsbereich Insights aus. Wählen Sie einen Einblick. Wählen Sie dann in der Ergebnisliste ein Insight-Ergebnis aus.

    • Wählen Sie im Navigationsbereich Integrationen aus. Wählen Sie Ergebnisse anzeigen für eine Integration aus.

    • Wählen Sie im Navigationsbereich Controls aus.

  3. Wählen Sie ein Ergebnis aus. Im Ergebnisfenster werden die Details des Ergebnisses angezeigt.

  4. Führen Sie im Ergebnisfenster einen der folgenden Schritte aus:

    • Wählen Sie eine Registerkarte, um spezifische Details zum Ergebnis zu überprüfen.

    • Um Maßnahmen gegen das Ergebnis zu ergreifen, wählen Sie eine Option aus dem Menü „Aktionen“ aus.

    • Um den Befund in Amazon Detective zu untersuchen, wählen Sie eine Option Untersuchen.

Anmerkung

Wenn Sie sich mit einem Mitgliedskonto integrieren AWS Organizations und dort angemeldet sind, enthält das Ergebnisfenster den Kontonamen. Für Mitgliedskonten, die manuell statt über Organizations eingeladen werden, enthält das Suchfeld nur die Konto-ID.

Security Hub CSPM API

Verwenden Sie den GetFindingsBetrieb der Security Hub CSPM-API, oder wenn Sie die verwenden AWS CLI, führen Sie den Befehl aus. get-findings Sie können einen oder mehrere Werte für den Filters Parameter angeben, um die abzurufenden Ergebnisse einzugrenzen.

Wenn das Volumen der Ergebnisse zu groß ist, können Sie den MaxResults Parameter verwenden, um die Ergebnisse auf eine bestimmte Zahl zu beschränken, und den NextToken Parameter, um die Ergebnisse zu paginieren. Verwenden Sie den SortCriteria Parameter, um die Ergebnisse nach einem bestimmten Feld zu sortieren.

Mit dem folgenden AWS CLI Befehl werden beispielsweise die Ergebnisse abgerufen, die den angegebenen Filterkriterien entsprechen, und die Ergebnisse werden in absteigender Reihenfolge nach dem LastObservedAt Feld sortiert. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Verwenden Sie den Vorgang, um den Verlauf der GetFindingHistoryErgebnisse zu überprüfen. Wenn Sie den verwenden AWS CLI, führen Sie den get-finding-historyBefehl aus. Identifizieren Sie das Ergebnis, für das Sie den Verlauf abrufen möchten, mit den Id Feldern ProductArn und. Informationen zu diesen Feldern finden Sie unter AwsSecurityFindingIdentifier. Jede Anfrage kann den Verlauf für nur einen Befund abrufen.

Mit dem folgenden AWS CLI Befehl wird beispielsweise der Verlauf für das angegebene Ergebnis abgerufen. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
PowerShell

Verwenden Sie das Get-SHUBFinding Cmdlet. Füllen Sie optional den Filter Parameter aus, um die abzurufenden Ergebnisse einzugrenzen.

Das folgende Cmdlet ruft beispielsweise die Ergebnisse ab, die den angegebenen Filtern entsprechen.

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
Anmerkung

Wenn Sie Ergebnisse nach CompanyName oder filternProductName, verwendet Security Hub CSPM die Werte, die Teil des ProductFields ASFF-Objekts sind. Security Hub CSPM verwendet nicht die Felder der obersten Ebene CompanyName und. ProductName