Meninjau detail dan riwayat penemuan di Security Hub CSPM - AWS Security Hub
Meninjau detail dan riwayat penemuan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Meninjau detail dan riwayat penemuan di Security Hub CSPM

Dalam AWS Security Hub Cloud Security Posture Management (CSPM), temuan adalah catatan yang dapat diamati dari pemeriksaan keamanan atau deteksi terkait keamanan. Security Hub CSPM menghasilkan temuan ketika menyelesaikan pemeriksaan keamanan kontrol dan ketika menelan temuan dari produk terintegrasi Layanan AWS atau pihak ketiga. Setiap temuan mencakup riwayat perubahan dan detail lainnya, seperti peringkat keparahan dan informasi tentang sumber daya yang terpengaruh.

Anda dapat meninjau riwayat dan detail lain dari temuan individual di konsol CSPM Security Hub atau secara terprogram dengan Security Hub CSPM API atau. AWS CLI

Untuk membantu Anda merampingkan analisis, konsol CSPM Security Hub menampilkan panel pencarian saat Anda memilih temuan tertentu. Panel mencakup berbagai menu dan tab untuk meninjau detail spesifik dari sebuah temuan.

Menu tindakan

Dari menu ini, Anda dapat meninjau JSON lengkap dari sebuah temuan atau menambahkan catatan. Sebuah temuan hanya dapat memiliki satu catatan yang melekat padanya pada satu waktu. Menu ini juga menyediakan opsi untuk mengatur status alur kerja temuan atau mengirim temuan ke tindakan khusus di Amazon EventBridge.

Selidiki menu

Dari menu ini, Anda dapat menyelidiki temuan di Amazon Detective. Detective mengekstrak entitas, seperti alamat IP dan AWS pengguna, dari temuan dan memvisualisasikan aktivitas mereka. Anda dapat menggunakan aktivitas entitas sebagai titik awal untuk menyelidiki penyebab dan dampak temuan.

Tab Ikhtisar

Tab ini memberikan ringkasan temuan. Misalnya, Anda dapat menentukan kapan temuan dibuat dan terakhir diperbarui, di akun mana itu ada, dan sumber temuan. Untuk temuan kontrol, tab ini juga menampilkan nama AWS Config aturan terkait dan tautan ke panduan remediasi dalam dokumentasi CSPM Security Hub.

Dalam snapshot Sumber Daya pada tab Ikhtisar, Anda bisa mendapatkan gambaran singkat tentang sumber daya yang terlibat dalam temuan. Untuk beberapa sumber daya, ini termasuk opsi sumber daya terbuka, yang menautkan langsung ke sumber daya yang terkena dampak pada Layanan AWS konsol yang relevan. Snapshot Sejarah menunjukkan hingga dua perubahan yang dibuat pada temuan pada tanggal terbaru di mana sejarah sedang dilacak. Misalnya, jika Anda membuat satu perubahan kemarin dan satu lagi hari ini, snapshot menunjukkan perubahan hari ini. Untuk meninjau entri sebelumnya, beralih ke tab Riwayat.

Baris Kepatuhan diperluas untuk menampilkan detail selengkapnya. Misalnya, jika kontrol menyertakan parameter, Anda dapat meninjau nilai parameter yang saat ini digunakan Security Hub CSPM saat ini saat melakukan pemeriksaan keamanan untuk kontrol.

Tab sumber daya

Tab ini memberikan rincian tentang sumber daya yang terlibat dalam temuan. Jika Anda masuk ke akun yang memiliki sumber daya, Anda dapat meninjau sumber daya di Layanan AWS konsol yang berlaku. Jika Anda bukan pemilik sumber daya, tab ini menampilkan Akun AWS ID untuk pemiliknya.

Baris Detail menunjukkan detail spesifik sumber daya dalam sebuah temuan. Ini menunjukkan ResourceDetailsbagian temuan dalam format JSON.

Baris Tag menunjukkan kunci tag dan nilai yang ditetapkan ke sumber daya yang terlibat dalam temuan. Sumber daya yang didukung oleh GetResources pengoperasian API AWS Resource Groups Tagging dapat diberi tag. Security Hub CSPM memanggil operasi ini dengan menggunakan peran terkait layanan saat memproses temuan baru atau yang diperbarui, dan mengambil tag sumber daya jika bidang AWS Security Finding Format (ASFF) Resource.Id diisi dengan ARN sumber daya. Security Hub CSPM mengabaikan sumber daya yang tidak valid. IDs Untuk informasi lebih lanjut tentang penyertaan tag sumber daya dalam temuan, lihatTanda.

Tab sejarah

Tab ini melacak riwayat temuan. Menemukan riwayat tersedia untuk temuan aktif dan diarsipkan. Ini memberikan jejak perubahan yang tidak dapat diubah yang dibuat untuk temuan dari waktu ke waktu, termasuk bidang ASFF apa yang diubah, kapan perubahan terjadi, dan oleh pengguna mana. Setiap halaman pada tab menampilkan hingga 20 perubahan. Perubahan yang lebih baru ditampilkan terlebih dahulu.

Untuk temuan aktif, riwayat penemuan tersedia hingga 90 hari. Untuk temuan yang diarsipkan, riwayat penemuan tersedia hingga 30 hari. Menemukan riwayat mencakup perubahan yang dilakukan secara manual, atau secara otomatis oleh aturan otomatisasi CSPM Security Hub. Itu tidak termasuk perubahan pada bidang stempel waktu tingkat atas, seperti bidang danCreatedAt. UpdatedAt

Jika Anda masuk ke akun administrator CSPM Security Hub, menemukan riwayat adalah untuk akun administrator dan semua akun anggota.

Tab ancaman

Tab ini mencakup data dari ActionMalware,, dan ProcessDetailsobjek ASFF, termasuk jenis ancaman dan apakah sumber daya adalah target atau aktor. Rincian ini biasanya berlaku untuk temuan yang berasal dari Amazon GuardDuty.

Tab Kerentanan

Tab ini menampilkan data dari Vulnerabilityobjek ASFF, termasuk apakah ada eksploitasi atau perbaikan yang tersedia terkait dengan temuan. Rincian ini biasanya berlaku untuk temuan yang berasal dari Amazon Inspector.

Baris pada setiap tab menyertakan opsi salin atau filter. Misalnya, jika Anda membuka panel untuk temuan yang memiliki status alur kerja Notified, Anda dapat memilih opsi filter di sebelah baris status Alur Kerja. Jika Anda memilih Tampilkan semua temuan dengan nilai ini, CSPM Security Hub memfilter tabel temuan dan hanya menampilkan temuan dengan status alur kerja yang sama.

Meninjau detail dan riwayat penemuan

Pilih metode yang Anda inginkan, dan ikuti langkah-langkah untuk meninjau detail pencarian di Security Hub CSPM.

Jika Anda mengaktifkan agregasi lintas wilayah dan masuk ke Wilayah agregasi, menemukan data mencakup data dari Wilayah agregasi dan Wilayah tertaut. Di Wilayah lain, menemukan data khusus untuk Wilayah itu saja. Untuk informasi selengkapnya tentang agregasi lintas wilayah, lihat. Memahami agregasi lintas wilayah di Security Hub CSPM

Security Hub CSPM console
Meninjau detail dan riwayat penemuan

  1. Buka konsol AWS Security Hub Cloud Security Posture Management (CSPM) di. https://console.aws.amazon.com/securityhub/

  2. Untuk menampilkan daftar temuan, lakukan salah satu hal berikut:

    • Di panel navigasi, pilih Temuan. Tambahkan filter pencarian seperlunya untuk mempersempit daftar temuan.

    • Pada panel navigasi, silakan pilih Wawasan. Pilih wawasan. Kemudian, dalam daftar hasil, pilih hasil wawasan.

    • Di panel navigasi, pilih Integrasi. Pilih Lihat temuan untuk integrasi.

    • Di panel navigasi, pilih Kontrol.

  3. Pilih temuan. Panel temuan menampilkan detail temuan.

  4. Di panel pencarian, lakukan salah satu hal berikut:

    • Untuk meninjau detail spesifik untuk temuan, pilih tab.

    • Untuk mengambil tindakan pada temuan, pilih opsi dari menu Tindakan.

    • Untuk menyelidiki temuan di Detektif Amazon, pilih opsi Selidiki.

catatan

Jika Anda berintegrasi dengan AWS Organizations dan Anda masuk ke akun anggota, panel pencarian menyertakan nama akun. Untuk akun anggota yang diundang secara manual, bukan melalui Organizations, panel pencarian hanya menyertakan ID akun.

Security Hub CSPM API

Gunakan GetFindingspengoperasian Security Hub CSPM API, atau jika Anda menggunakan AWS CLI, jalankan perintah. get-findings Anda dapat memberikan satu atau lebih nilai untuk Filters parameter untuk mempersempit temuan untuk diambil.

Jika volume hasil terlalu besar, Anda dapat menggunakan MaxResults parameter untuk membatasi temuan ke angka tertentu dan NextToken parameter untuk membuat halaman temuan. Gunakan SortCriteria parameter untuk mengurutkan temuan berdasarkan bidang tertentu.

Misalnya, AWS CLI perintah berikut mengambil temuan yang cocok dengan kriteria filter yang ditentukan, dan mengurutkan hasil dalam urutan menurun menurut bidang. LastObservedAt Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Untuk meninjau riwayat penemuan, gunakan GetFindingHistoryoperasi. Jika Anda menggunakan AWS CLI, jalankan get-finding-historyperintah. Identifikasi temuan yang ingin Anda dapatkan riwayat dengan Id bidang ProductArn dan. Untuk informasi tentang bidang ini, lihat AwsSecurityFindingIdentifier. Setiap permintaan dapat mengambil riwayat hanya untuk satu temuan.

Misalnya, AWS CLI perintah berikut mengambil riwayat untuk temuan yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
PowerShell

Gunakan Get-SHUBFinding cmdlet. Secara opsional mengisi Filter parameter untuk mempersempit temuan untuk diambil.

Misalnya, cmdlet berikut mengambil temuan yang cocok dengan filter yang ditentukan.

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
catatan

Jika Anda memfilter temuan oleh CompanyName atauProductName, Security Hub CSPM menggunakan nilai yang merupakan bagian dari objek ProductFields ASFF. Security Hub CSPM tidak menggunakan top-level CompanyName dan field. ProductName