Création et mise à jour des résultats dans Security Hub CSPM

Dans AWS Security Hub Cloud Security Posture Management (CSPM), un résultat est un enregistrement observable d'un contrôle de sécurité ou d'une détection liée à la sécurité. Une découverte peut provenir de l'une des sources suivantes :

Un contrôle de sécurité pour un contrôle dans Security Hub CSPM.
Une intégration avec un autre Service AWS.
Une intégration avec un produit tiers.
Une intégration personnalisée.

Security Hub CSPM normalise les résultats provenant de toutes les sources selon une syntaxe et un format standard appelés AWS Security Finding Format (ASFF). Pour des informations détaillées sur ce format, y compris les descriptions des champs ASFF individuels, voirAWS Format de recherche de sécurité (ASFF). Si vous activez l'agrégation entre régions, Security Hub CSPM agrège également automatiquement les résultats nouveaux et mis à jour provenant de toutes les régions liées vers une région d'agrégation que vous spécifiez. Pour de plus amples informations, veuillez consulter Comprendre l'agrégation entre régions dans Security Hub CSPM.

Une fois qu'un résultat a été créé, il peut être mis à jour comme suit :

Un fournisseur de recherche peut utiliser le BatchImportFindingsfonctionnement de l'API Security Hub CSPM pour mettre à jour les informations générales concernant le résultat. Les fournisseurs de résultats ne peuvent mettre à jour que les résultats qu'ils ont créés.
Un client peut utiliser la console Security Hub CSPM ou le BatchUpdateFindingsfonctionnement de l'API Security Hub CSPM pour mettre à jour le statut de l'enquête sur le résultat. L'BatchUpdateFindingsopération peut également être utilisée par un SIEM, une billetterie, une gestion des incidents, un SOAR ou un autre type d'outil pour le compte d'un client.

Pour réduire le bruit lié aux recherches et rationaliser le suivi et l'analyse des résultats individuels, Security Hub CSPM supprime automatiquement les résultats qui n'ont pas été mis à jour récemment. Le délai dans lequel Security Hub CSPM effectue cette opération dépend du fait qu'une découverte est active ou archivée :

Un résultat actif est un résultat dont l'état d'enregistrement (RecordState) estACTIVE. Security Hub CSPM stocke les résultats actifs pendant 90 jours. Si un résultat actif n'a pas été mis à jour depuis 90 jours, il expire et Security Hub CSPM le supprime définitivement.
Une découverte archivée est une découverte dont l'état d'enregistrement (RecordState) estARCHIVED. Security Hub CSPM stocke les résultats archivés pendant 30 jours. Si un résultat archivé n'a pas été mis à jour depuis 30 jours, il expire et Security Hub CSPM le supprime définitivement.

Pour les résultats de contrôle, qui sont des résultats générés par Security Hub CSPM à partir de vérifications de sécurité pour les contrôles, Security Hub CSPM détermine si un résultat a expiré en fonction de la valeur du UpdatedAt champ du résultat. Si cette valeur remonte à plus de 90 jours pour un résultat actif, Security Hub CSPM le supprime définitivement. Si cette valeur remonte à plus de 30 jours pour un résultat archivé, Security Hub CSPM le supprime définitivement.

Pour tous les autres types de résultats, Security Hub CSPM détermine si un résultat a expiré en fonction des valeurs des UpdatedAt champs ProcessedAt et du résultat. Security Hub CSPM compare les valeurs de ces champs et détermine lequel est le plus récent. Si la valeur la plus récente remonte à plus de 90 jours pour un résultat actif, Security Hub CSPM le supprime définitivement. Si la valeur la plus récente remonte à plus de 30 jours pour un résultat archivé, Security Hub CSPM supprime définitivement le résultat. Les fournisseurs de recherche peuvent modifier la valeur du UpdatedAt champ d'un ou de plusieurs résultats en utilisant le BatchImportFindingsfonctionnement de l'API Security Hub CSPM.

Pour conserver les résultats à plus long terme, vous pouvez exporter les résultats vers un compartiment S3. Vous pouvez le faire en utilisant une action personnalisée avec une EventBridge règle Amazon. Pour de plus amples informations, veuillez consulter Utilisation EventBridge pour une réponse et une correction automatisées.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Intégrations de produits personnalisées

BatchImportFindings pour trouver des fournisseurs