Security Hub CSPM에서 조사 결과 생성 및 업데이트

AWS Security Hub에서, 조사 결과는 보안 검사 또는 보안 관련 탐지의 관찰 가능한 레코드입니다. 조사 결과는 다음 소스 중 하나에서 시작될 수 있습니다.

Security Hub CSPM은 모든 소스로부터의 조사 결과를 AWS Security Finding Format(ASFF)이라고 하는 표준 구문 및 형식으로 정규화합니다. 개별 ASFF 필드에 대한 설명을 포함하여 이 형식에 대한 자세한 내용은 AWS Security Finding Format(ASFF) 섹션을 참조하세요. 교차 리전 집계를 활성화할 경우, Security Hub CSPM은 연결된 리전의 새로운 조사 결과 및 업데이트된 조사 결과를 집계 영역으로 자동 집계합니다. 자세한 내용은 Security Hub CSPM의 교차 리전 집계 이해 섹션을 참조하세요.

조사 결과가 생성된 후 다음과 같이 업데이트할 수 있습니다.

조사 결과 노이즈를 줄이고 개별 조사 결과의 추적 및 분석을 간소화하기 위해 Security Hub CSPM은 최근에 업데이트되지 않은 조사 결과를 자동으로 삭제합니다. Security Hub CSPM이 이 작업을 수행하는 시기는 조사 결과가 활성 상태인지 아니면 보관된 상태인지에 따라 달라집니다.

Security Hub CSPM이 제어에 대한 보안 검사에서 생성하는 조사 결과인 제어 조사 결과의 경우 Security Hub CSPM은 조사 결과의 UpdatedAt 필드 값을 기반으로 조사 결과가 만료되었는지 여부를 결정합니다. 활성 조사 결과에서 이 값이 90일을 초과하는 경우 Security Hub CSPM은 해당 조사 결과를 영구적으로 삭제합니다. 보관된 조사 결과에서 이 값이 30일을 초과하는 경우 Security Hub CSPM은 해당 조사 결과를 영구적으로 삭제합니다.

다른 모든 유형의 조사 결과의 경우 Security Hub CSPM은 조사 결과의 ProcessedAt 및 UpdatedAt 필드 값을 기반으로 조사 결과가 만료되었는지 여부를 결정합니다. Security Hub CSPM은 이러한 필드의 값을 비교하여 최신 필드를 결정합니다. 활성 조사 결과에서 최신 값이 90일을 초과하는 경우 Security Hub CSPM은 해당 조사 결과를 영구적으로 삭제합니다. 보관된 조사 결과에서 최신 값이 30일을 초과하는 경우 Security Hub CSPM은 해당 조사 결과를 영구적으로 삭제합니다. 조사 결과 공급자는 Security Hub CSPM API의 BatchImportFindings 작업을 사용하여 하나 이상의 조사 결과에서 UpdatedAt 필드 값을 변경할 수 있습니다.

조사 결과를 장기 보존하려면 조사 결과를 S3 버킷으로 내보낼 수 있습니다. 이 작업은 Amazon EventBridge 규칙과 함께 사용자 지정 작업을 사용하여 수행할 수 있습니다. 자세한 내용은 자동 응답 및 문제 해결을 위해 EventBridge 사용 섹션을 참조하세요.