Security Hub CSPM에서 조사 결과 세부 정보 및 기록 검토 - AWS Security Hub
조사 결과 세부 정보 및 기록 검토

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Hub CSPM에서 조사 결과 세부 정보 및 기록 검토

AWS Security Hub Cloud Security Posture Management(CSPM)에서 결과는 보안 검사 또는 보안 관련 탐지에 대한 관찰 가능한 레코드입니다. Security Hub CSPM은 제어의 보안 검사를 완료하고 통합 AWS 서비스 또는 타사 제품에서 결과를 수집할 때 결과를 생성합니다. 각 조사 결과에는 변경 기록과 심각도 등급 및 영향을 받는 리소스에 대한 정보와 같은 기타 세부 정보가 포함됩니다.

Security Hub CSPM 콘솔에서 또는 Security Hub CSPM API 또는를 사용하여 프로그래밍 방식으로 개별 조사 결과의 기록 및 기타 세부 정보를 검토할 수 있습니다 AWS CLI.

분석을 간소화하는 데 도움이 되도록 특정 결과를 선택하면 Security Hub CSPM 콘솔에 결과 패널이 표시됩니다. 패널에는 조사 결과의 특정 세부 정보를 검토하기 위한 다양한 메뉴와 탭이 포함되어 있습니다.

실행 메뉴

이 메뉴에서 조사 결과의 전체 JSON을 검토하거나 메모를 추가할 수 있습니다. 조사 결과에는 한 번에 하나의 메모만 연결할 수 있습니다. 또한 이 메뉴는 조사 결과의 워크플로 상태를 설정하거나 Amazon EventBridge의 사용자 지정 작업에 조사 결과를 전송하는 옵션을 제공합니다.

메뉴 조사

이 메뉴에서 Amazon Detective의 조사 결과를 조사할 수 있습니다. Detective는 조사 결과에서 IP 주소 및 AWS 사용자와 같은 개체를 추출하고 활동을 시각화합니다. 엔티티 활동을 시작점으로 사용하여 조사 결과의 원인과 영향을 조사할 수 있습니다.

개요 탭

이 탭은 결과에 대한 요약을 제공합니다. 예를 들어 조사 결과가 생성되고 마지막으로 업데이트된 시기, 조사 결과가 있는 계정 및 조사 결과의 소스를 확인할 수 있습니다. 제어 조사 결과의 경우이 탭에는 Security Hub CSPM 설명서의 관련 AWS Config 규칙 이름과 문제 해결 지침 링크도 표시됩니다.

개요 탭의 리소스 스냅샷에서 결과와 관련된 리소스에 대한 간략한 개요를 확인할 수 있습니다. 일부 리소스의 경우 관련 AWS 서비스 콘솔의 영향을 받는 리소스에 직접 연결되는 리소스 열기 옵션이 포함됩니다. 기록 스냅샷은 기록이 추적되는 가장 최근 날짜에 조사 결과에 대한 최대 2개의 변경 사항을 표시합니다. 예를 들어 어제 한 번 변경하고 오늘 한 번 변경한 경우 스냅샷에 오늘의 변경 사항이 표시됩니다. 이전 항목을 검토하려면 기록 탭으로 전환합니다.

규정 준수 행이 확장되면서 세부 정보가 표시됩니다. 예를 들어 제어에 파라미터가 포함된 경우 Security Hub CSPM이 제어에 대한 보안 검사를 수행할 때 현재 사용하는 파라미터 값을 검토할 수 있습니다.

리소스 탭

이 탭은 조사 결과에 관련된 리소스에 대한 세부 정보를 제공합니다. 리소스를 소유한 계정에 로그인한 경우 해당 AWS 서비스 콘솔에서 리소스를 검토할 수 있습니다. 리소스 소유자가 아닌 경우이 탭에는 소유자의 AWS 계정 ID가 표시됩니다.

세부 정보 행에는 조사 결과의 리소스별 세부 정보가 표시됩니다. 조사 결과의 ResourceDetails 섹션을 JSON 형식으로 보여줍니다.

태그 행에는 결과와 관련된 리소스에 할당된 태그 키와 값이 표시됩니다. 태깅 API의 GetResources 작업에서 지원되는 리소스에 AWS Resource Groups 태그를 지정할 수 있습니다. Security Hub CSPM은 새 결과 또는 업데이트된 결과를 처리할 때 서비스 연결 역할을 사용하여이 작업을 호출하고 AWS , Security Finding Format(ASFF) Resource.Id 필드가 리소스의 ARN으로 채워진 경우 리소스 태그를 검색합니다. Security Hub CSPM은 잘못된 리소스 IDs. 조사 결과에 리소스 태그를 포함하는 방법에 대한 자세한 내용은 Tags 섹션을 참조하세요.

기록 탭

이 탭은 조사 결과의 기록을 추적합니다. 조사 결과 기록은 활성 및 보관된 조사 결과 기록에 사용할 수 있습니다. 변경한 ASFF 필드, 변경 발생 시간, 사용자 등 시간 경과에 따른 결과에 대한 변경 불가능한 추적을 제공합니다. 탭의 각 페이지에는 최대 20개의 변경 사항이 표시됩니다. 최신 변경 사항이 먼저 표시됩니다.

활성 조사 결과의 경우 조사 결과 기록을 최대 90일 동안 사용할 수 있습니다. 보관된 조사 결과의 경우 조사 결과 기록을 최대 30일 동안 사용할 수 있습니다. 조사 결과 기록에는 Security Hub CSPM 자동화 규칙에 의해 수동으로 또는 자동으로 수행된 변경 사항이 포함됩니다. CreatedAt 및 필드와 같은 최상위 타임스탬프 UpdatedAt 필드에 대한 변경 사항은 포함되지 않습니다.

Security Hub CSPM 관리자 계정에 로그인한 경우 조사 결과 기록은 관리자 계정과 모든 멤버 계정에 대한 것입니다.

위협 탭

이 탭에는 위협 유형 및 리소스가 대상인지 또는 공격자인지 여부를 포함하여 ASFF의Action, Malware, 및 ProcessDetails 객체에서 얻은 데이터가 포함됩니다. 이러한 세부 정보는 일반적으로 Amazon GuardDuty에서 시작된 결과에 적용됩니다.

취약성 탭

이 탭은 조사 결과와 관련된 악용 또는 사용 가능한 수정 사항이 있는지 여부를 포함하여 ASFF의 Vulnerability 객체의 데이터를 표시합니다. 이러한 세부 정보는 일반적으로 Amazon Inspector에서 시작된 결과에 적용됩니다.

각 탭의 행에는 복사 또는 필터 옵션이 포함됩니다. 예를 들어 워크플로 상태가 알림인 결과의 패널을 여는 경우 워크플로 상태 행 옆에 있는 필터 옵션을 선택할 수 있습니다. 이 값으로 모든 조사 결과 표시를 선택하면 Security Hub CSPM은 조사 결과 테이블을 필터링하고 워크플로 상태가 동일한 조사 결과만 표시합니다.

조사 결과 세부 정보 및 기록 검토

원하는 방법을 선택하고 단계에 따라 Security Hub CSPM에서 조사 결과 세부 정보를 검토합니다.

교차 리전 집계를 활성화하고 집계 리전에 로그인하는 경우, 조사 결과에는 집계 리전 및 연결된 리전의 조사 결과 데이터가 포함됩니다. 다른 리전에서는 조사 결과 데이터가 해당 리전에만 적용됩니다. 교차 리전 집계 활성화에 대한 자세한 내용은 Security Hub CSPM의 교차 리전 집계 이해 섹션을 참조하세요.

Security Hub CSPM console
조사 결과 세부 정보 및 기록 검토

  1. https://console.aws.amazon.com/securityhub/ AWS Security Hub Cloud Security Posture Management(CSPM) 콘솔을 엽니다.

  2. 조사 결과 목록을 표시하려면 다음 중 하나를 수행하세요.

    • 탐색 창에서 결과를 선택합니다. 필요에 따라 검색 필터를 추가하여 결과 목록의 범위를 좁힙니다.

    • 탐색 창에서 인사이트를 선택합니다. 인사이트를 선택합니다. 그런 다음 결과 목록에서 인사이트 결과를 선택합니다.

    • 탐색 창에서 통합을 선택합니다. 통합에 대해 조사 결과 보기를 선택합니다.

    • 탐색 창에서 제어를 선택합니다.

  3. 결과를 선택합니다. 조사 결과 패널에는 조사 결과의 세부 정보가 표시됩니다.

  4. 결과 패널에서 다음 중 하나를 수행합니다.

    • 결과에 대한 특정 세부 정보를 검토하려면 탭을 선택합니다.

    • 결과에 대한 조치를 취하려면 작업 메뉴에서 옵션을 선택합니다.

    • Amazon Detective에서 조사 결과를 조사하려면 조사 옵션을 선택합니다.

참고

를와 통합 AWS Organizations 하고 멤버 계정에 로그인한 경우 조사 결과 패널에 계정 이름이 포함됩니다. Organizations 대신 수동으로 초대된 멤버 계정의 경우 결과 패널에는 계정 ID만 포함됩니다.

Security Hub CSPM API

Security Hub CSPM API의 GetFindings 작업을 사용하거나를 사용하는 경우 get-findings 명령을 AWS CLI실행합니다. Filters 파라미터에 하나 이상의 값을 제공하여 검색할 조사 결과의 범위를 좁힐 수 있습니다.

결과의 양이 너무 많으면 MaxResults 파라미터를 사용하여 조사 결과를 지정된 수로 제한하고 NextToken 파라미터를 사용하여 조사 결과의 페이지를 매길 수 있습니다. SortCriteria 파라미터를 사용해 특정 필드를 기준으로 조사 결과를 정렬할 수 있습니다.

예를 들어 다음 AWS CLI 명령은 지정된 필터 기준과 일치하는 결과를 검색하고 LastObservedAt 필드를 기준으로 결과를 내림차순으로 정렬합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\) 줄 연속 문자를 사용합니다.

$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

조사 결과 기록을 검토하려면 GetFindingHistory 작업을 사용합니다. 를 사용하는 경우 get-finding-history 명령을 AWS CLI실행합니다. ProductArnId 필드를 사용하여 기록을 가져오려는 조사 결과를 식별합니다. 이러한 필드에 대한 자세한 내용은 AwsSecurityFindingIdentifier 단원을 참조하십시오. 각 요청은 하나의 결과에 대한 기록만 검색할 수 있습니다.

예를 들어 다음 AWS CLI 명령은 지정된 결과에 대한 기록을 검색합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\) 줄 연속 문자를 사용합니다.

$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
PowerShell

Get-SHUBFinding cmdlet을 사용하세요. 선택적으로 Filter 파라미터를 채워 검색할 조사 결과의 범위를 좁힐 수 있습니다.

예를 들어 다음 cmdlet은 지정된 필터와 일치하는 결과를 검색합니다.

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
참고

CompanyName 또는를 기준으로 결과를 필터링하면 ProductNameSecurity Hub CSPM은 ProductFields ASFF 객체의 일부인 값을 사용합니다. Security Hub CSPM은 최상위 CompanyNameProductName 필드를 사용하지 않습니다.