Revisione dei dettagli e della cronologia dei risultati

Analisi dei dettagli e della cronologia dei risultati in Security Hub CSPM

In AWS Security Hub Cloud Security Posture Management (CSPM), un risultato è una registrazione osservabile di un controllo di sicurezza o di un rilevamento relativo alla sicurezza. Security Hub CSPM genera un risultato quando completa un controllo di sicurezza e quando inserisce un risultato da un prodotto integrato Servizio AWS o di terze parti. Ogni risultato include una cronologia delle modifiche e altri dettagli, come un indice di gravità e informazioni sulle risorse interessate.

Puoi rivedere la cronologia e altri dettagli dei singoli risultati sulla console CSPM di Security Hub o a livello di codice con l'API CSPM di Security Hub o il. AWS CLI

Per aiutarti a semplificare l'analisi, la console Security Hub CSPM visualizza un pannello di ricerca quando scegli un risultato specifico. Il pannello include diversi menu e schede per esaminare i dettagli specifici di un risultato.

Menu Azioni

Da questo menu è possibile rivedere il codice JSON completo di una ricerca o aggiungere note. A un risultato può essere allegata una sola nota alla volta. Questo menu fornisce anche opzioni per impostare lo stato del flusso di lavoro di un risultato o inviare un risultato a un'azione personalizzata in Amazon EventBridge.

Esplora il menu

Da questo menu, puoi esaminare una scoperta in Amazon Detective. Detective estrae entità, come indirizzi IP e AWS utenti, da una scoperta e visualizza la loro attività. È possibile utilizzare l'attività dell'entità come punto di partenza per indagare sulla causa e sull'impatto di una scoperta.

Scheda Overview (Panoramica)

Questa scheda fornisce un riepilogo di un risultato. Ad esempio, è possibile determinare quando un risultato è stato creato e aggiornato l'ultima volta, in quale account esiste e l'origine del risultato. Per quanto riguarda i risultati del controllo, questa scheda mostra anche il nome della AWS Config regola associata e un collegamento alle linee guida per la correzione nella documentazione CSPM di Security Hub.

Nell'istantanea delle risorse della scheda Panoramica, è possibile ottenere una breve panoramica delle risorse coinvolte in un risultato. Per alcune risorse, è inclusa l'opzione Open resource, che si collega direttamente a una risorsa interessata sulla console Servizio AWS pertinente. L'istantanea della cronologia mostra fino a due modifiche apportate al risultato nella data più recente per la quale viene tenuta traccia della cronologia. Ad esempio, se hai apportato una modifica ieri e un'altra oggi, l'istantanea mostra la modifica odierna. Per rivedere le voci precedenti, passa alla scheda Cronologia.

La riga Conformità si espande per mostrare ulteriori dettagli. Ad esempio, se un controllo include parametri, è possibile rivedere i valori dei parametri attualmente utilizzati da Security Hub CSPM per eseguire i controlli di sicurezza per il controllo.

Scheda Risorse

Questa scheda fornisce dettagli sulle risorse coinvolte in un risultato. Se hai effettuato l'accesso all'account che possiede una risorsa, puoi esaminarla nella Servizio AWS console pertinente. Se non sei il proprietario di una risorsa, questa scheda mostra l' Account AWS ID del proprietario.

La riga Dettagli mostra i dettagli specifici della risorsa in un risultato. Mostra la ResourceDetailssezione del risultato in formato JSON.

La riga Tag mostra le chiavi e i valori dei tag assegnati alle risorse coinvolte in un risultato. Le risorse supportate dal GetResources funzionamento dell'API AWS Resource Groups Tagging possono essere taggate. Security Hub CSPM richiama questa operazione utilizzando un ruolo collegato al servizio durante l'elaborazione di risultati nuovi o aggiornati e recupera i tag delle risorse se il campo AWS Security Finding Format (ASFF) Resource.Id è popolato con l'ARN di una risorsa. Security Hub CSPM ignora la risorsa non valida. IDs Per ulteriori informazioni sull'inclusione dei tag delle risorse nei risultati, vedere. Tag

Scheda Cronologia

Questa scheda tiene traccia della cronologia di un ritrovamento. La cronologia delle ricerche è disponibile per i risultati attivi e archiviati. Fornisce una traccia immutabile delle modifiche apportate a un risultato nel tempo, tra cui le modifiche apportate al campo ASFF, quando è avvenuta la modifica e da quale utente. Ogni pagina della scheda mostra fino a 20 modifiche. Le modifiche più recenti vengono visualizzate per prime.

Per i risultati attivi, la cronologia dei risultati è disponibile per un massimo di 90 giorni. Per i risultati archiviati, la cronologia dei risultati è disponibile per un massimo di 30 giorni. La ricerca della cronologia include le modifiche apportate manualmente o automaticamente dalle regole di automazione CSPM di Security Hub. Non include le modifiche ai campi di timestamp di primo livello, come i campi e. CreatedAt UpdatedAt

Se hai effettuato l'accesso a un account amministratore CSPM di Security Hub, la cronologia delle ricerche riguarda l'account amministratore e tutti gli account dei membri.

Scheda Minacce

Questa scheda include i dati e ProcessDetailsgli oggetti dell'ASFF, incluso il tipo di minaccia e se una risorsa è l'obiettivo o l'attore. Action Malware Questi dettagli si applicano in genere ai risultati che provengono da Amazon GuardDuty.

Scheda Vulnerabilità

Questa scheda mostra i dati dell'Vulnerabilityoggetto dell'ASFF, inclusa l'eventuale presenza di exploit o correzioni disponibili associati a un risultato. Questi dettagli si applicano in genere ai risultati che provengono da Amazon Inspector.

Le righe di ogni scheda includono un'opzione di copia o filtro. Ad esempio, se aprite il pannello relativo a un risultato con lo stato del flusso di lavoro impostato su Notificato, potete scegliere l'opzione di filtro accanto alla riga Stato del flusso di lavoro. Se scegli Mostra tutti i risultati con questo valore, Security Hub CSPM filtra la tabella dei risultati e visualizza solo i risultati con lo stesso stato del flusso di lavoro.

Revisione dei dettagli e della cronologia dei risultati

Scegli il tuo metodo preferito e segui i passaggi per esaminare i dettagli della ricerca in Security Hub CSPM.

Se abiliti l'aggregazione tra regioni e accedi alla regione di aggregazione, la ricerca dei dati include i dati della regione di aggregazione e delle regioni collegate. In altre regioni, la ricerca di dati è specifica solo per quella regione. Per ulteriori informazioni sull'aggregazione tra regioni, vedere. Comprendere l'aggregazione interregionale in Security Hub CSPM

Security Hub CSPM console

Analisi dei dettagli e della cronologia dei risultati

Apri la console AWS Security Hub Cloud Security Posture Management (CSPM) all'indirizzo. https://console.aws.amazon.com/securityhub/
Per visualizzare un elenco dei risultati, effettuate una delle seguenti operazioni:
- Nel riquadro di navigazione, seleziona Esiti. Aggiungete i filtri di ricerca necessari per restringere l'elenco dei risultati.
- Nel riquadro di navigazione, seleziona Informazioni dettagliate. Scegli un approfondimento. Quindi, nell'elenco dei risultati, scegli un risultato approfondito.
- Nel riquadro di navigazione, scegli Integrazioni. Scegli Vedi risultati per un'integrazione.
- Nel riquadro di navigazione, scegli Controlli.
Scegli un risultato. Il pannello di ricerca mostra i dettagli del risultato.
Nel pannello di ricerca, effettuate una delle seguenti operazioni:
- Per esaminare i dettagli specifici del risultato, scegliete una scheda.
- Per intervenire sulla scoperta, scegli un'opzione dal menu Azioni.
- Per indagare sulla scoperta in Amazon Detective, scegli un'opzione Investigate.

Nota

Se esegui l'integrazione con AWS Organizations e hai effettuato l'accesso a un account membro, il pannello di ricerca include il nome dell'account. Per gli account membro invitati manualmente, anziché tramite Organizations, il pannello di ricerca include solo l'ID dell'account.

Security Hub CSPM API

Utilizza il GetFindingsfunzionamento dell'API CSPM Security Hub o, se stai utilizzando AWS CLI, esegui il comando. get-findings Puoi fornire uno o più valori per il Filters parametro per restringere i risultati da recuperare.

Se il volume dei risultati è troppo grande, è possibile utilizzare il MaxResults parametro per limitare i risultati a un numero specifico e il NextToken parametro per impaginare i risultati. Utilizzate il SortCriteria parametro per ordinare i risultati in base a un campo specifico.

Ad esempio, il AWS CLI comando seguente recupera i risultati che corrispondono ai criteri di filtro specificati e ordina i risultati in ordine decrescente in base al campo. LastObservedAt Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.


$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Per esaminare la cronologia dei risultati, utilizzare l'operazione. GetFindingHistory Se stai usando il AWS CLI, esegui il get-finding-historycomando. Identifica il risultato di cui vuoi ottenere la cronologia con i Id campi ProductArn and. Per informazioni su questi campi, consulta AwsSecurityFindingIdentifier. Ogni richiesta può recuperare la cronologia di un solo risultato.

Ad esempio, il AWS CLI comando seguente recupera la cronologia del risultato specificato. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.


$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"

PowerShell

Utilizzare il Get-SHUBFinding cmdlet. Facoltativamente, compila il Filter parametro per restringere i risultati da recuperare.

Ad esempio, il cmdlet seguente recupera i risultati che corrispondono ai filtri specificati.


Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}

Nota

Se si filtrano i risultati per CompanyName oProductName, Security Hub CSPM utilizza i valori che fanno parte dell'oggetto ProductFields ASFF. Security Hub CSPM non utilizza il livello e i campi principaliCompanyName. ProductName

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

BatchUpdateFindings per i clienti

Filtro dei risultati