Révision des détails des recherches et de l'historique

Révision des informations et de l'historique des recherches dans Security Hub CSPM

Dans AWS Security Hub Cloud Security Posture Management (CSPM), un résultat est un enregistrement observable d'un contrôle de sécurité ou d'une détection liée à la sécurité. Security Hub CSPM génère un résultat lorsqu'il effectue un contrôle de sécurité d'un contrôle et lorsqu'il ingère un résultat provenant d'un produit intégré Service AWS ou tiers. Chaque constatation inclut un historique des modifications et d'autres détails, tels qu'une note de gravité et des informations sur les ressources concernées.

Vous pouvez consulter l'historique et d'autres détails des résultats individuels sur la console Security Hub CSPM ou par programmation à l'aide de l'API Security Hub CSPM ou du. AWS CLI

Pour vous aider à rationaliser votre analyse, la console Security Hub CSPM affiche un panneau de recherche lorsque vous choisissez un résultat spécifique. Le panneau comprend différents menus et onglets permettant de consulter les détails spécifiques d'une constatation.

Menu d'actions

Dans ce menu, vous pouvez consulter le code JSON complet d'une recherche ou ajouter des notes. Une constatation ne peut être associée qu'à une seule note à la fois. Ce menu propose également des options permettant de définir le statut du flux de travail d'une recherche ou d'envoyer une constatation à une action personnalisée sur Amazon EventBridge.

Menu Enquêter

Dans ce menu, vous pouvez rechercher une découverte dans Amazon Detective. Detective extrait des entités, telles que les adresses IP et AWS les utilisateurs, d'une découverte et visualise leur activité. Vous pouvez utiliser l'activité de l'entité comme point de départ pour étudier la cause et l'impact d'un résultat.

Onglet Overview (Présentation)

Cet onglet fournit un résumé d'une constatation. Par exemple, vous pouvez déterminer quand un résultat a été créé et mis à jour pour la dernière fois, dans quel compte il existe et la source du résultat. Pour les résultats des contrôles, cet onglet affiche également le nom de la AWS Config règle associée et un lien vers les instructions de correction figurant dans la documentation Security Hub CSPM.

Dans l'instantané des ressources de l'onglet Vue d'ensemble, vous pouvez obtenir un bref aperçu des ressources impliquées dans une recherche. Pour certaines ressources, cela inclut une option de ressource ouverte, qui renvoie directement à une ressource affectée sur la Service AWS console correspondante. L'instantané de l'historique affiche jusqu'à deux modifications apportées au résultat à la date la plus récente pour laquelle l'historique est suivi. Par exemple, si vous avez apporté une modification hier et une autre aujourd'hui, l'instantané montre la modification d'aujourd'hui. Pour consulter les entrées précédentes, passez à l'onglet Historique.

La ligne Conformité s'agrandit pour afficher plus de détails. Par exemple, si un contrôle inclut des paramètres, vous pouvez consulter les valeurs de paramètres que Security Hub CSPM utilise actuellement lors des contrôles de sécurité du contrôle.

Onglet Ressources

Cet onglet fournit des détails sur les ressources impliquées dans une recherche. Si vous êtes connecté au compte propriétaire d'une ressource, vous pouvez consulter la ressource dans la Service AWS console appropriée. Si vous n'êtes pas propriétaire d'une ressource, cet onglet affiche l' Compte AWS identifiant du propriétaire.

La ligne Détails affiche les détails spécifiques à la ressource dans une constatation. Il montre la ResourceDetailssection du résultat au format JSON.

La ligne Tags indique les clés de balise et les valeurs attribuées aux ressources impliquées dans une recherche. Les ressources prises en charge par le GetResources fonctionnement de l'API de AWS Resource Groups balisage peuvent être étiquetées. Security Hub CSPM appelle cette opération en utilisant un rôle lié à un service lors du traitement des résultats nouveaux ou mis à jour, et récupère les balises de ressource si le champ AWS Security Finding Format (ASFF) Resource.Id est renseigné avec l'ARN d'une ressource. Security Hub CSPM ignore les ressources non valides. IDs Pour plus d'informations sur l'inclusion de balises de ressources dans les résultats, consultezBalises.

Onglet Historique

Cet onglet permet de suivre l'historique d'une découverte. L'historique des recherches est disponible pour les résultats actifs et archivés. Il fournit une trace immuable des modifications apportées à une découverte au fil du temps, y compris le champ ASFF modifié, le moment où le changement s'est produit et par quel utilisateur. Chaque page de l'onglet affiche jusqu'à 20 modifications. Les modifications les plus récentes sont affichées en premier.

Pour les résultats actifs, l'historique des recherches est disponible pendant 90 jours au maximum. Pour les résultats archivés, l'historique des recherches est disponible pendant 30 jours au maximum. La recherche de l'historique inclut les modifications effectuées manuellement ou automatiquement par les règles d'automatisation du Security Hub CSPM. Il n'inclut pas les modifications apportées aux champs d'horodatage de haut niveau, tels que les CreatedAt champs et. UpdatedAt

Si vous êtes connecté à un compte administrateur Security Hub CSPM, l'historique des recherches concerne le compte administrateur et tous les comptes membres.

Onglet Menace

Cet onglet inclut les données provenant du Action Malware, et ProcessDetailsdes objets de l'ASFF, y compris le type de menace et si une ressource est la cible ou l'acteur. Ces informations s'appliquent généralement aux résultats provenant d'Amazon GuardDuty.

onglet Vulnérabilités

Cet onglet affiche les données relatives à l'Vulnerabilityobjet de l'ASFF, notamment s'il existe des exploits ou des correctifs disponibles associés à une découverte. Ces informations s'appliquent généralement aux résultats provenant d'Amazon Inspector.

Les lignes de chaque onglet incluent une option de copie ou de filtre. Par exemple, si vous ouvrez le panneau pour afficher une découverte dont le statut du flux de travail est Notifié, vous pouvez choisir l'option de filtre à côté de la ligne d'état du flux de travail. Si vous choisissez Afficher tous les résultats avec cette valeur, Security Hub CSPM filtre le tableau des résultats et affiche uniquement les résultats ayant le même statut de flux de travail.

Révision des détails des recherches et de l'historique

Choisissez votre méthode préférée et suivez les étapes pour consulter les informations de recherche dans Security Hub CSPM.

Si vous activez l'agrégation entre régions et que vous vous connectez à la région d'agrégation, la recherche de données inclut les données provenant de la région d'agrégation et des régions liées. Dans d'autres régions, la recherche de données est spécifique à cette région uniquement. Pour plus d'informations sur l'agrégation entre régions, consultezComprendre l'agrégation entre régions dans Security Hub CSPM.

Security Hub CSPM console

Révision des détails des recherches et de l'historique

Ouvrez la console AWS Security Posture Management (CSPM) du Security Hub Cloud à l'adresse. https://console.aws.amazon.com/securityhub/
Pour afficher une liste de recherche, effectuez l'une des opérations suivantes :
- Dans le volet de navigation, choisissez Conclusions. Ajoutez des filtres de recherche si nécessaire pour affiner la liste de recherche.
- Dans le panneau de navigation, choisissez Insights. Choisissez un aperçu. Ensuite, dans la liste des résultats, choisissez un résultat d'aperçu.
- Dans le volet de navigation, choisissez Intégrations. Choisissez Voir les résultats pour une intégration.
- Dans le volet de navigation, choisissez Controls.
Choisissez une découverte. Le panneau de recherche affiche les détails de la recherche.
Dans le panneau de recherche, effectuez l'une des opérations suivantes :
- Pour consulter les détails spécifiques de la recherche, choisissez un onglet.
- Pour agir sur la base du résultat, choisissez une option dans le menu Actions.
- Pour étudier le résultat dans Amazon Detective, choisissez une option Investiguer.

Note

Si vous effectuez une intégration AWS Organizations et que vous êtes connecté à un compte membre, le panneau de recherche inclut le nom du compte. Pour les comptes de membres invités manuellement, plutôt que via Organizations, le panneau de recherche inclut uniquement l'identifiant du compte.

Security Hub CSPM API

Utilisez le GetFindingsfonctionnement de l'API Security Hub CSPM ou, si vous l'utilisez AWS CLI, exécutez la get-findingscommande. Vous pouvez fournir une ou plusieurs valeurs pour le Filters paramètre afin d'affiner les résultats à récupérer.

Si le volume de résultats est trop important, vous pouvez utiliser le MaxResults paramètre pour limiter les résultats à un nombre spécifié et le NextToken paramètre pour paginer les résultats. Utilisez le SortCriteria paramètre pour trier les résultats selon un champ spécifique.

Par exemple, la AWS CLI commande suivante récupère les résultats correspondant aux critères de filtre spécifiés et trie les résultats par ordre décroissant par champ. LastObservedAt Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.


$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Pour consulter l'historique des recherches, utilisez l'GetFindingHistoryopération. Si vous utilisez le AWS CLI, exécutez la get-finding-historycommande. Identifiez le résultat dont vous souhaitez obtenir un historique à l'aide des Id champs ProductArn et. Pour obtenir des informations sur ces champs, consultez AwsSecurityFindingIdentifier. Chaque demande ne peut récupérer l'historique que pour une seule recherche.

Par exemple, la AWS CLI commande suivante permet de récupérer l'historique du résultat spécifié. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.


$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"

PowerShell

Utilisez l'Get-SHUBFindingapplet de commande. Renseignez éventuellement le Filter paramètre pour affiner les résultats à récupérer.

Par exemple, l'applet de commande suivante extrait les résultats correspondant aux filtres spécifiés.


Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}

Note

Si vous filtrez les résultats par CompanyName ouProductName, Security Hub CSPM utilise les valeurs qui font partie de l'objet ProductFields ASFF. Security Hub CSPM n'utilise pas le niveau supérieur et les champs. CompanyName ProductName

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

BatchUpdateFindings pour les clients

Filtrage des résultats