Security Hub CSPM에서 조사 결과 생성 및 업데이트

AWS Security Hub Cloud Security Posture Management(CSPM)에서 결과는 보안 검사 또는 보안 관련 탐지에 대한 관찰 가능한 레코드입니다. 결과는 다음 소스 중 하나에서 비롯될 수 있습니다.

Security Hub CSPM은 모든 소스의 결과를 AWS Security Finding Format(ASFF)이라는 표준 구문 및 형식으로 정규화합니다. 개별 ASFF 필드에 대한 설명을 포함하여이 형식에 대한 자세한 내용은 섹션을 참조하세요AWS Security Finding 형식(ASFF). 교차 리전 집계를 활성화하면 Security Hub CSPM은 연결된 모든 리전에서 지정한 집계 리전으로 새 결과 및 업데이트된 결과도 자동으로 집계합니다. 자세한 내용은 Security Hub CSPM의 교차 리전 집계 이해 단원을 참조하십시오.

결과가 생성된 후 다음과 같이 업데이트할 수 있습니다.

결과 노이즈를 줄이고 개별 결과의 추적 및 분석을 간소화하기 위해 Security Hub CSPM은 최근에 업데이트되지 않은 결과를 자동으로 삭제합니다. Security Hub CSPM이 이를 수행하는 시기는 조사 결과가 활성 상태인지 아니면 보관되었는지에 따라 달라집니다.

Security Hub CSPM이 제어에 대한 보안 검사에서 생성하는 조사 결과인 제어 조사 결과의 경우 Security Hub CSPM은 조사 결과의 UpdatedAt 필드 값을 기반으로 조사 결과가 만료되었는지 여부를 결정합니다. 활성 결과에 대해이 값이 90일 이상 전인 경우 Security Hub CSPM은 결과를 영구적으로 삭제합니다. 보관된 조사 결과에 대해이 값이 30일 이상 전인 경우 Security Hub CSPM은 조사 결과를 영구적으로 삭제합니다.

다른 모든 유형의 조사 결과에 대해 Security Hub CSPM은 조사 결과의 ProcessedAt 및 UpdatedAt 필드에 대한 값을 기반으로 조사 결과가 만료되었는지 여부를 결정합니다. Security Hub CSPM은 이러한 필드의 값을 비교하여 최신 필드를 결정합니다. 활성 결과에 대한 최신 값이 90일 이상 전인 경우 Security Hub CSPM은 결과를 영구적으로 삭제합니다. 보관된 조사 결과의 최신 값이 30일 이상 지난 경우 Security Hub CSPM은 조사 결과를 영구적으로 삭제합니다. 결과 공급자는 Security Hub CSPM API의 BatchImportFindings 작업을 사용하여 하나 이상의 결과 UpdatedAt 필드에 대한 값을 변경할 수 있습니다.

결과의 장기 보존을 위해 결과를 S3 버킷으로 내보낼 수 있습니다. Amazon EventBridge 규칙과 함께 사용자 지정 작업을 사용하여이 작업을 수행할 수 있습니다. 자세한 내용은 자동 응답 및 문제 해결을 위해 EventBridge 사용 단원을 참조하십시오.