Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat dan memperbarui temuan di Security Hub CSPM
Dalam AWS Security Hub Cloud Security Posture Management (CSPM), temuan adalah catatan yang dapat diamati dari pemeriksaan keamanan atau deteksi terkait keamanan. Temuan dapat berasal dari salah satu sumber berikut:
-
Pemeriksaan keamanan untuk kontrol di Security Hub CSPM.
-
Integrasi dengan yang lain Layanan AWS.
-
Integrasi dengan produk pihak ketiga.
-
Integrasi kustom.
Security Hub CSPM menormalkan temuan dari semua sumber ke dalam sintaks dan format standar yang disebut AWS Security Finding Format (ASFF). Untuk informasi rinci tentang format ini, termasuk deskripsi bidang ASFF individual, lihat. AWS Format Pencarian Keamanan (ASFF) Jika Anda mengaktifkan agregasi Lintas wilayah, Security Hub CSPM juga mengumpulkan temuan baru dan yang diperbarui secara otomatis dari semua Wilayah tertaut ke Wilayah agregasi yang Anda tentukan. Untuk informasi selengkapnya, lihat Memahami agregasi lintas wilayah di Security Hub CSPM.
Setelah temuan dibuat, itu dapat diperbarui sebagai berikut:
-
Penyedia temuan dapat menggunakan BatchImportFindingspengoperasian Security Hub CSPM API untuk memperbarui informasi umum tentang temuan tersebut. Penyedia pencarian hanya dapat memperbarui temuan yang mereka buat.
-
Pelanggan dapat menggunakan konsol CSPM Security Hub atau BatchUpdateFindingspengoperasian Security Hub CSPM API untuk memperbarui status penyelidikan ke dalam temuan.
BatchUpdateFindingsOperasi ini juga dapat digunakan oleh SIEM, tiket, manajemen insiden, SOAR, atau jenis alat lain atas nama pelanggan.
Untuk mengurangi kebisingan penemuan dan merampingkan pelacakan dan analisis temuan individu, Security Hub CSPM secara otomatis menghapus temuan yang belum diperbarui baru-baru ini. Waktu dimana Security Hub CSPM melakukan hal ini tergantung pada apakah suatu temuan aktif atau diarsipkan:
-
Temuan aktif adalah temuan yang status catatannya (
RecordState)ACTIVE. Security Hub CSPM menyimpan temuan aktif selama 90 hari. Jika temuan aktif belum diperbarui selama 90 hari, itu kedaluwarsa dan Security Hub CSPM menghapusnya secara permanen. -
Temuan yang diarsipkan adalah temuan yang status catatan (
RecordState) adalahARCHIVED. Security Hub CSPM menyimpan temuan yang diarsipkan selama 30 hari. Jika temuan yang diarsipkan belum diperbarui selama 30 hari, temuan tersebut akan kedaluwarsa dan Security Hub CSPM menghapusnya secara permanen.
Untuk temuan kontrol, yang merupakan temuan yang dihasilkan oleh Security Hub CSPM dari pemeriksaan keamanan untuk kontrol, Security Hub CSPM menentukan apakah temuan telah kedaluwarsa berdasarkan nilai bidang temuan. UpdatedAt Jika nilai ini lebih dari 90 hari yang lalu untuk temuan aktif, Security Hub CSPM secara permanen menghapus temuan tersebut. Jika nilai ini lebih dari 30 hari yang lalu untuk temuan yang diarsipkan, Security Hub CSPM secara permanen menghapus temuan tersebut.
Untuk semua jenis temuan lainnya, Security Hub CSPM menentukan apakah temuan telah kedaluwarsa berdasarkan nilai untuk ProcessedAt dan UpdatedAt bidang temuan. Security Hub CSPM membandingkan nilai untuk bidang ini dan menentukan mana yang lebih baru. Jika nilai yang lebih baru lebih dari 90 hari yang lalu untuk temuan aktif, Security Hub CSPM secara permanen menghapus temuan tersebut. Jika nilai yang lebih baru lebih dari 30 hari yang lalu untuk temuan yang diarsipkan, Security Hub CSPM secara permanen menghapus temuan tersebut. Penyedia pencarian dapat mengubah nilai untuk UpdatedAt bidang satu atau lebih temuan dengan menggunakan BatchImportFindingspengoperasian Security Hub CSPM API.
Untuk retensi temuan jangka panjang, Anda dapat mengekspor temuan ke ember S3. Anda dapat melakukan ini dengan menggunakan tindakan kustom dengan EventBridge aturan Amazon. Untuk informasi selengkapnya, lihat Menggunakan EventBridge untuk respon otomatis dan remediasi.
Topik
