Ergebnisse in Security Hub CSPM erstellen und aktualisieren - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ergebnisse in Security Hub CSPM erstellen und aktualisieren

In AWS Security Hub Cloud Security Posture Management (CSPM) ist ein Ergebnis eine beobachtbare Aufzeichnung einer Sicherheitsüberprüfung oder einer sicherheitsrelevanten Erkennung. Ein Befund kann aus einer der folgenden Quellen stammen:

  • Eine Sicherheitsüberprüfung für ein Steuerelement in Security Hub CSPM.

  • Eine Integration mit einem anderen. AWS-Service

  • Eine Integration mit einem Drittanbieterprodukt.

  • Eine benutzerdefinierte Integration.

Security Hub CSPM normalisiert Ergebnisse aus allen Quellen in eine Standardsyntax und ein Standardformat, das als AWS Security Finding Format (ASFF) bezeichnet wird. Ausführliche Informationen zu diesem Format, einschließlich Beschreibungen der einzelnen ASFF-Felder, finden Sie unter. AWS Format für Sicherheitssuche (ASFF) Wenn Sie die regionsübergreifende Aggregation aktivieren, aggregiert Security Hub CSPM auch automatisch neue und aktualisierte Ergebnisse aus allen verknüpften Regionen in eine von Ihnen angegebene Aggregationsregion. Weitere Informationen finden Sie unter Grundlegendes zur regionsübergreifenden Aggregation in Security Hub CSPM.

Nachdem ein Ergebnis erstellt wurde, kann es wie folgt aktualisiert werden:

  • Ein Findungsanbieter kann den BatchImportFindingsBetrieb der Security Hub CSPM-API verwenden, um allgemeine Informationen über das Ergebnis zu aktualisieren. Ergebnisanbieter können nur Ergebnisse aktualisieren, die sie erstellt haben.

  • Ein Kunde kann die Security Hub CSPM-Konsole oder den BatchUpdateFindingsBetrieb der Security Hub CSPM-API verwenden, um den Status der Untersuchung des Ergebnisses zu aktualisieren. Der BatchUpdateFindings Vorgang kann auch von einem SIEM-, Ticketing-, Incident Management-, SOAR- oder anderen Tools im Namen eines Kunden genutzt werden.

Security Hub CSPM löscht automatisch Ergebnisse, die in letzter Zeit nicht aktualisiert wurden, um das Auffinden zu reduzieren und die Nachverfolgung und Analyse einzelner Ergebnisse zu optimieren. Der Zeitpunkt, zu dem Security Hub CSPM dies tut, hängt davon ab, ob ein Ergebnis aktiv oder archiviert ist:

  • Ein aktives Ergebnis ist ein Befund, dessen Datensatzstatus (RecordState) ist. ACTIVE Security Hub CSPM speichert aktive Ergebnisse 90 Tage lang. Wenn ein aktives Ergebnis 90 Tage lang nicht aktualisiert wurde, läuft es ab und Security Hub CSPM löscht es dauerhaft.

  • Ein archiviertes Ergebnis ist ein Befund mit dem Datensatzstatus ()RecordState. ARCHIVED Security Hub CSPM speichert archivierte Ergebnisse 30 Tage lang. Wenn ein archiviertes Ergebnis 30 Tage lang nicht aktualisiert wurde, läuft es ab und Security Hub CSPM löscht es dauerhaft.

Bei Kontrollergebnissen, d. h. Ergebnissen, die Security Hub CSPM aus Sicherheitsprüfungen für Kontrollen generiert, bestimmt Security Hub CSPM anhand des Werts für das UpdatedAt Feld des Ergebnisses, ob ein Ergebnis abgelaufen ist. Wenn dieser Wert für einen aktiven Befund mehr als 90 Tage zurückliegt, löscht Security Hub CSPM den Befund dauerhaft. Wenn dieser Wert für einen archivierten Befund vor mehr als 30 Tagen lag, löscht Security Hub CSPM den Befund dauerhaft.

Für alle anderen Arten von Ergebnissen bestimmt Security Hub CSPM anhand der Werte für die UpdatedAt Felder ProcessedAt und des Ergebnisses, ob ein Ergebnis abgelaufen ist. Security Hub CSPM vergleicht die Werte für diese Felder und ermittelt, welcher aktueller ist. Wenn der neuere Wert für einen aktiven Befund vor mehr als 90 Tagen liegt, löscht Security Hub CSPM den Befund dauerhaft. Wenn der neuere Wert für ein archiviertes Ergebnis mehr als 30 Tage zurückliegt, löscht Security Hub CSPM das Ergebnis dauerhaft. Die Suche nach Anbietern kann den Wert für das UpdatedAt Feld eines oder mehrerer Ergebnisse mithilfe der BatchImportFindingsSecurity Hub CSPM-API ändern.

Für eine längerfristige Aufbewahrung von Ergebnissen können Sie Ergebnisse in einen S3-Bucket exportieren. Sie können dies tun, indem Sie eine benutzerdefinierte Aktion mit einer EventBridge Amazon-Regel verwenden. Weitere Informationen finden Sie unter Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen.

Themen