Impostazione dello stato dei risultati del flusso di lavoro

Impostazione dello stato del flusso di lavoro dei risultati in Security Hub CSPM

Lo stato del flusso di lavoro tiene traccia dello stato di avanzamento dell'indagine su un risultato. Lo stato del flusso di lavoro è specifico per una singola scoperta e non influisce sulla generazione di nuovi risultati. Ad esempio, se si modifica lo stato del flusso di lavoro di un risultato in SUPPRESSED oRESOLVED, la modifica non impedisce a Security Hub CSPM di generare un nuovo risultato per lo stesso problema.

Lo stato del flusso di lavoro di un risultato può corrispondere a uno dei seguenti valori.

NUOVO

Lo stato iniziale di un risultato prima di esaminarlo.

I risultati acquisiti da sistemi integrati Servizi AWS, ad esempio AWS Config, hanno NEW come stato iniziale.

Security Hub CSPM reimposta inoltre lo stato del flusso di lavoro da uno NOTIFIED o RESOLVED a NEW nei seguenti casi:

RecordStatecambia da a. ARCHIVED ACTIVE
Compliance.Statusmodifiche da PASSED a FAILEDWARNING, oNOT_AVAILABLE.

Queste modifiche implicano la necessità di ulteriori indagini.

NOTIFICATO

Indica che il problema di sicurezza è stato notificato al proprietario della risorsa. Puoi utilizzare questo stato quando non sei il proprietario della risorsa ed è necessario l'intervento del proprietario della risorsa per risolvere un problema di sicurezza.

Se si verifica una delle seguenti condizioni, lo stato del flusso di lavoro viene modificato automaticamente da NOTIFIED aNEW:

RecordStatecambia da ARCHIVED aACTIVE.
Compliance.Statusmodifiche da PASSED a FAILEDWARNING, oNOT_AVAILABLE.

SOPPRESSO

Indica che hai esaminato la scoperta e che non ritieni necessaria alcuna azione.

Lo stato del flusso di lavoro di un SUPPRESSED risultato non cambia se RecordState cambia da ARCHIVED aACTIVE.

RISOLTO

Il risultato è stato esaminato e corretto ed è ora considerato risolto.

Il risultato rimane valido RESOLVED a meno che non si verifichi una delle seguenti condizioni:

RecordStatecambia da ARCHIVED aACTIVE.
Compliance.Statusmodifiche da PASSED a FAILEDWARNING, oNOT_AVAILABLE.

In questi casi, lo stato del flusso di lavoro viene reimpostato automaticamente suNEW.

Per i risultati dei controlli, in caso Compliance.Status affermativoPASSED, Security Hub CSPM imposta automaticamente lo stato del flusso di lavoro su. RESOLVED

Impostazione dello stato dei risultati del flusso di lavoro

Per modificare lo stato del flusso di lavoro di uno o più risultati, puoi utilizzare la console CSPM di Security Hub o l'API CSPM di Security Hub. Se modifichi lo stato del flusso di lavoro di un risultato, tieni presente che Security Hub CSPM potrebbe impiegare diversi minuti per elaborare la richiesta e aggiornare il risultato.

Suggerimento

È inoltre possibile modificare automaticamente lo stato del flusso di lavoro dei risultati utilizzando le regole di automazione. Con le regole di automazione, configuri Security Hub CSPM per aggiornare automaticamente lo stato del flusso di lavoro dei risultati in base ai criteri specificati. Per ulteriori informazioni, consulta Comprensione delle regole di automazione in Security Hub CSPM.

Per modificare lo stato del flusso di lavoro di uno o più risultati, scegli il metodo preferito e segui i passaggi.

Security Hub CSPM console

Per modificare lo stato dei risultati del flusso di lavoro

Apri la console AWS Security Hub Cloud Security Posture Management (CSPM) all'indirizzo. https://console.aws.amazon.com/securityhub/
Nel riquadro di navigazione, effettuate una delle seguenti operazioni per visualizzare una tabella dei risultati:
- Scegliete Findings.
- Scegli Insights. Quindi scegli un approfondimento. Nei risultati dell'analisi, scegli un risultato.
- Scegli Integrations (Integrazioni). Quindi, nella sezione relativa all'integrazione, scegli Vedi risultati.
- Scegli gli standard di sicurezza. Quindi, nella sezione relativa allo standard, scegli Visualizza risultati. Nella tabella dei controlli, scegli un controllo per visualizzare i risultati relativi al controllo.
Nella tabella dei risultati, seleziona la casella di controllo per ogni risultato di cui desideri modificare lo stato del flusso di lavoro.
Nella parte superiore della pagina, scegli Stato del flusso di lavoro, quindi scegli il nuovo stato del flusso di lavoro per i risultati selezionati.
Nella finestra di dialogo Imposta lo stato del flusso di lavoro, inserisci facoltativamente una nota che descriva in dettaglio il motivo della modifica dello stato del flusso di lavoro. Quindi scegli Imposta stato.

Security Hub CSPM API

Usa l'BatchUpdateFindingsoperazione. Fornisci sia l'ID del risultato che l'ARN del prodotto che ha generato il risultato. È possibile ottenere questi dettagli utilizzando l'GetFindingsoperazione.

AWS CLI

Esegui il comando batch-update-findings. Fornisci sia l'ID del risultato che l'ARN del prodotto che ha generato il risultato. È possibile ottenere questi dettagli eseguendo il comando get-finding.


batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"

Esempio


aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Raggruppamento dei risultati

Invio dei risultati a un'operazione personalizzata