Creazione e aggiornamento dei risultati in Security Hub CSPM - AWS Security Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione e aggiornamento dei risultati in Security Hub CSPM

In AWS Security Hub Cloud Security Posture Management (CSPM), un risultato è una registrazione osservabile di un controllo di sicurezza o di un rilevamento relativo alla sicurezza. Un risultato può provenire da una delle seguenti fonti:

  • Un controllo di sicurezza per un controllo in Security Hub CSPM.

  • Un'integrazione con un'altra. Servizio AWS

  • Un'integrazione con un prodotto di terze parti.

  • Un'integrazione personalizzata.

Security Hub CSPM normalizza i risultati provenienti da tutte le fonti in una sintassi e un formato standard chiamati AWS Security Finding Format (ASFF). Per informazioni dettagliate su questo formato, incluse le descrizioni dei singoli campi ASFF, vedere. AWS Formato ASFF (Security Finding Format) Se abiliti l'aggregazione tra regioni, Security Hub CSPM aggrega automaticamente anche i risultati nuovi e aggiornati da tutte le regioni collegate a un'area di aggregazione specificata. Per ulteriori informazioni, consulta Comprendere l'aggregazione interregionale in Security Hub CSPM.

Dopo aver creato un risultato, può essere aggiornato come segue:

  • Un provider di ricerca può utilizzare il BatchImportFindingsfunzionamento dell'API CSPM Security Hub per aggiornare le informazioni generali sul risultato. I provider di risultati possono aggiornare solo i risultati che hanno creato.

  • Un cliente può utilizzare la console CSPM di Security Hub o il BatchUpdateFindingsfunzionamento dell'API CSPM di Security Hub per aggiornare lo stato dell'indagine sulla scoperta. L'BatchUpdateFindingsoperazione può essere utilizzata anche da uno strumento SIEM, di ticketing, di gestione degli incidenti, SOAR o altro tipo di strumento per conto di un cliente.

Per ridurre il rumore dei risultati e semplificare il tracciamento e l'analisi dei singoli risultati, Security Hub CSPM elimina automaticamente i risultati che non sono stati aggiornati di recente. La tempistica con cui Security Hub CSPM esegue questa operazione dipende dal fatto che un risultato sia attivo o archiviato:

  • Un risultato attivo è un risultato il cui stato record () è. RecordState ACTIVE Security Hub CSPM archivia i risultati attivi per 90 giorni. Se un risultato attivo non viene aggiornato per 90 giorni, scade e Security Hub CSPM lo elimina definitivamente.

  • Un risultato archiviato è un risultato il cui stato record () è. RecordState ARCHIVED Security Hub CSPM archivia i risultati archiviati per 30 giorni. Se un risultato archiviato non viene aggiornato per 30 giorni, scade e Security Hub CSPM lo elimina definitivamente.

Per i risultati del controllo, ovvero i risultati generati da Security Hub CSPM dai controlli di sicurezza per i controlli, Security Hub CSPM determina se un risultato è scaduto in base al valore del campo del risultato. UpdatedAt Se questo valore risale a più di 90 giorni fa per un risultato attivo, Security Hub CSPM elimina definitivamente il risultato. Se questo valore risale a più di 30 giorni fa per un risultato archiviato, Security Hub CSPM elimina definitivamente il risultato.

Per tutti gli altri tipi di risultati, Security Hub CSPM determina se un risultato è scaduto in base ai valori per i UpdatedAt campi ProcessedAt e del risultato. Security Hub CSPM confronta i valori di questi campi e determina quale è più recente. Se il valore più recente risale a più di 90 giorni fa per un risultato attivo, Security Hub CSPM elimina definitivamente il risultato. Se il valore più recente risale a più di 30 giorni fa per un risultato archiviato, Security Hub CSPM elimina definitivamente il risultato. I provider di ricerca possono modificare il valore per il UpdatedAt campo di uno o più risultati utilizzando il BatchImportFindingsfunzionamento dell'API CSPM Security Hub.

Per conservare i risultati a lungo termine, puoi esportarli in un bucket S3. Puoi farlo utilizzando un'azione personalizzata con una EventBridge regola Amazon. Per ulteriori informazioni, consulta Utilizzo EventBridge per la risposta e la correzione automatizzate.