Security Hub CSPM에서 조사 결과 세부 정보 및 기록 검토 - AWS Security Hub
조사 결과 세부 정보 및 기록 검토

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Hub CSPM에서 조사 결과 세부 정보 및 기록 검토

AWS Security Hub CSPM에서 결과는 보안 검사 또는 보안 관련 탐지에 대한 관찰 가능한 레코드입니다. Security Hub CSPM은 제어의 보안 검사를 완료하고 통합 AWS 서비스 또는 서드 파티 제품에서 조사 결과를 수집할 때 조사 결과를 생성합니다. 각 조사 결과에는 변경 기록과 심각도 등급 및 영향을 받는 리소스에 대한 정보와 같은 기타 세부 정보가 포함됩니다.

Security Hub CSPM 콘솔에서 또는 Security Hub CSPM API 및 AWS CLI를 통해 프로그래밍 방식으로 개별 조사 결과의 기록 및 기타 세부 정보를 검토할 수 있습니다.

분석을 간소화하는 데 도움이 되도록 Security Hub CSPM 콘솔은 특정 조사 결과를 선택할 때 조사 결과 패널을 표시합니다. 이 패널에는 다양한 조사 결과의 세부 정보를 볼 수 있는 다양한 메뉴 및 탭이 포함되어 있습니다.

실행 메뉴

이 메뉴에서 조사 결과의 전체 JSON을 검토하거나 메모를 추가할 수 있습니다. 조사 결과에는 한 번에 하나의 메모만 연결할 수 없습니다. 또한 이 메뉴는 조사 결과의 워크플로 상태를 설정하거나 Amazon EventBridge의 사용자 지정 작업에 조사 결과를 전송하는 옵션을 제공합니다.

메뉴 조사

이 메뉴에서 Amazon Detective의 조사 결과를 조사할 수 있습니다. Detective는 조사 결과에서 IP 주소 및 AWS 사용자와 같은 개체를 추출하고 활동을 시각화합니다. 엔티티 활동을 시작점으로 사용하여 조사 결과의 원인과 영향을 조사할 수 있습니다.

개요 탭

이 탭은 조사 결과에 대한 요약을 제공합니다. 예를 들어 조사 결과가 생성 및 마지막으로 업데이트된 시점, 조사 결과가 있는 계정 및 조사 결과의 소스를 확인할 수 있습니다. 제어 조사 결과의 경우 이 탭에는 연결된 AWS Config 규칙 이름과 Security Hub CSPM 설명서의 문제 해결 지침에 대한 링크도 표시됩니다.

개요 탭의 리소스 스냅샷에서 조사 결과에 관련된 리소스에 대한 간략한 개요를 확인할 수 있습니다. 일부 리소스의 경우 관련 AWS 서비스 콘솔에서 영향을 받는 리소스에 직접 연결되는 리소스 열기 옵션이 포함됩니다. 기록 스냅샷은 기록이 추적되는 가장 최근 날짜에 조사 결과에 대한 최대 2개의 변경 사항을 표시합니다. 예를 들어, 어제 한 번 변경하고 오늘 다시 한 번 변경한 경우, 스냅샷에는 오늘의 변경 사항만 표시됩니다. 이전 항목을 보려면 기록 탭으로 전환합니다.

규정 준수 행이 확장되면서 세부 정보가 표시됩니다. 예를 들어, 제어에 파라미터가 포함된 경우, Security Hub CSPM이 보안 검사를 실행할 때 현재 사용하는 파라미터 값을 검토할 수 있습니다.

리소스 탭

이 탭은 조사 결과에 관련된 리소스에 대한 세부 정보를 제공합니다. 리소스를 소유한 계정에 로그인한 경우 해당 AWS 서비스 콘솔에서 리소스를 검토할 수 있습니다. 리소스 소유자가 아닌 경우이 탭에는 소유자의 AWS 계정 ID가 표시됩니다.

세부 정보 행에는 조사 결과의 리소스별 세부 정보가 표시됩니다. 이 행은 조사 결과의 ResourceDetails 섹션을 JSON 형식으로 보여줍니다.

태그 행에는 조사 결과와 관련된 리소스에 할당된 태그 키 및 값이 표시됩니다. 태깅 API의 GetResources 작업에서 지원되는 리소스에 AWS Resource Groups 태그를 지정할 수 있습니다. Security Hub CSPM은 새로운 또는 업데이트된 조사 결과를 처리할 때 서비스 연결 역할을 통해 이 작업을 직접 호출하고, AWS Security Finding Format(ASFF) Resource.Id 필드에 리소스 ARN이 입력되어 있으면 리소스 태그를 검색합니다. Security Hub CSPM은 잘못된 리소스 ID를 무시합니다. 조사 결과에 리소스 태그를 포함하는 방법에 대한 자세한 내용은 Tags 섹션을 참조하세요.

기록 탭

이 탭은 조사 결과의 기록을 추적합니다. 조사 결과 기록은 활성 및 보관된 조사 결과 기록에 사용할 수 있습니다. 이는 ASFF 필드 변경 내용, 변경 시점, 해당 사용자를 포함하여 시간이 지남에 따라 조사 결과에 적용된 변경 사항에 대한 불변의 추적을 제공합니다. 이 탭의 각 페이지에는 최대 20개의 변경 사항이 표시됩니다. 최신 변경 사항이 먼저 표시됩니다.

활성 조사 결과의 경우 조사 결과 기록을 최대 90일 동안 사용할 수 있습니다. 보관된 조사 결과의 경우 조사 결과 기록을 최대 30일 동안 사용할 수 있습니다. 조사 결과 기록에는 수동으로 또는 Security Hub CSPM 자동화 규칙을 통해 자동으로 수행한 변경 사항이 포함됩니다. 여기에는 CreatedAtUpdatedAt와 같은 최상위 타임스탬프 필드에 대한 변경 사항은 포함되지 않습니다.

Security Hub CSPM 관리자 계정으로 로그인한 경우, 조사 결과 기록에는 관리자 계정 및 모든 멤버 계정이 포함됩니다.

위협 탭

이 탭에는 위협 유형 및 리소스가 대상인지 또는 공격자인지 여부를 포함하여 ASFF의 Action, MalwareProcessDetails 객체에서 얻은 데이터가 포함됩니다. 이러한 세부 정보는 일반적으로 Amazon GuardDuty에서 시작된 조사 결과에 적용됩니다.

취약성 탭

이 탭은 조사 결과와 관련된 악용 또는 사용 가능한 수정 사항이 있는지 여부를 포함하여 ASFF의 Vulnerability 객체의 데이터를 표시합니다. 이러한 세부 정보는 일반적으로 Amazon Inspector에서 시작된 조사 결과에 적용됩니다.

각 탭의 행에는 복사 또는 필터 옵션이 포함됩니다. 예를 들어, 워크플로 상태가 알림인 조사 결과의 패널을 여는 경우, 워크플로 상태 행 옆에 있는 필터 옵션을 선택할 수 있습니다. 이 값을 사용하여 모든 조사 결과 표시를 선택하면 Security Hub CSPM이 조사 결과 테이블을 필터링하여 워크플로 상태가 동일한 조사 결과만 표시합니다.

조사 결과 세부 정보 및 기록 검토

원하는 방법을 선택하고 단계에 따라 Security Hub CSPM의 조사 결과 세부 정보를 검토하세요.

교차 리전 집계를 활성화하고 집계 리전에 로그인하는 경우, 조사 결과에는 집계 리전 및 연결된 리전의 조사 결과 데이터가 포함됩니다. 다른 리전에서는 조사 결과 데이터가 해당 리전에만 적용됩니다. 교차 리전 집계 활성화에 대한 자세한 내용은 Security Hub CSPM의 교차 리전 집계 이해 섹션을 참조하세요.

Security Hub CSPM console
조사 결과 세부 정보 및 기록 검토

  1. https://console.aws.amazon.com/securityhub/ AWS Security Hub CSPM 콘솔을 엽니다.

  2. 조사 결과 목록을 표시하려면 다음 중 하나를 수행하세요.

    • 탐색 창에서 조사 결과를 선택합니다. 필요에 따라 검색 필터를 추가하여 조사 결과 목록의 범위를 좁힙니다.

    • 탐색 창에서 인사이트를 선택합니다. 인사이트를 선택합니다. 그런 다음 결과 목록에서 인사이트 결과를 선택합니다.

    • 탐색 창에서 통합을 선택합니다. 통합에 대해 조사 결과 보기를 선택합니다.

    • 탐색 창에서 제어를 선택합니다.

  3. 조사 결과를 선택합니다. 조사 결과 패널에 조사 결과의 세부 정보가 표시됩니다.

  4. 조사 결과 패널에서 다음 작업 중 하나를 수행합니다.

    • 조사 결과의 특정 세부 정보를 검토하려면 탭을 선택합니다.

    • 조사 결과에 대한 조치를 취하려면 작업 메뉴에서 옵션을 선택합니다.

    • Amazon Detective에서 조사 결과를 조사하려면 조사 옵션을 선택합니다.

참고

를와 통합 AWS Organizations 하고 멤버 계정에 로그인한 경우 결과 패널에 계정 이름이 포함됩니다. Organizations를 통하지 않고 수동으로 초대된 멤버 계정의 경우, 조사 결과 패널에 계정 ID만 포함됩니다.

Security Hub CSPM API

Security Hub CSPM API의 GetFindings 작업을 사용하거나를 사용하는 경우 get-findings 명령을 AWS CLI실행합니다. Filters 파라미터에 하나 이상의 값을 제공하여 검색할 조사 결과의 범위를 좁힐 수 있습니다.

결과의 양이 너무 많으면 MaxResults 파라미터를 사용하여 조사 결과를 지정된 수로 제한하고 NextToken 파라미터를 사용하여 조사 결과의 페이지를 매길 수 있습니다. SortCriteria 파라미터를 사용해 특정 필드를 기준으로 조사 결과를 정렬할 수 있습니다.

예를 들어 다음 AWS CLI 명령은 지정된 필터 기준과 일치하는 결과를 검색하고 LastObservedAt 필드를 기준으로 결과를 내림차순으로 정렬합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\) 줄 연속 문자를 사용합니다.

$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

조사 결과 기록을 검토하려면 GetFindingHistory 작업을 사용합니다. 를 사용하는 경우 get-finding-history 명령을 AWS CLI실행합니다. ProductArnId 필드를 사용하여 기록을 가져오려는 조사 결과를 식별합니다. 이러한 필드에 대한 자세한 내용은 AwsSecurityFindingIdentifier 섹션을 참조하세요. 각 요청은 하나의 조사 결과에 대한 기록만 검색할 수 있습니다.

예를 들어 다음 AWS CLI 명령은 지정된 결과에 대한 기록을 검색합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\) 줄 연속 문자를 사용합니다.

$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
PowerShell

Get-SHUBFinding cmdlet을 사용하세요. 선택적으로 Filter 파라미터를 채워 검색할 조사 결과의 범위를 좁힙니다.

예를 들어 다음 cmdlet은 지정된 필터와 일치하는 조사 결과를 검색합니다.

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
참고

CompanyName 또는 ProductName 기준으로 조사 결과를 필터링하면 Security Hub CSPM은 ProductFields ASFF 객체에 있는 값을 사용합니다. Security Hub CSPM은 최상위 CompanyNameProductName 필드를 사용하지 않습니다.