Definir o status do fluxo de trabalho das descobertas

Definindo o status do fluxo de trabalho das descobertas no Security Hub CSPM

O status do fluxo de trabalho rastreia o progresso da investigação sobre uma descoberta. O status do fluxo de trabalho é específico para uma descoberta individual e não afeta a geração de novas descobertas. Por exemplo, se você alterar o status do fluxo de trabalho de uma descoberta para SUPPRESSED ouRESOLVED, sua alteração não impede que o Security Hub CSPM gere uma nova descoberta para o mesmo problema.

O status do fluxo de trabalho de uma descoberta pode ser um dos seguintes valores.

NOVO

O estado inicial de uma descoberta, antes de ser revisada.

As descobertas que são ingeridas de forma integrada Serviços da AWS, como AWS Config, têm NEW como status inicial.

O Security Hub CSPM também redefine o status do fluxo de trabalho de um NOTIFIED ou RESOLVED para NEW nos seguintes casos:

RecordState é alterado de ARCHIVED para ACTIVE.
Compliance.Status é alterado de PASSED para FAILED, WARNING, ou NOT_AVAILABLE.

Essas alterações implicam que uma investigação adicional é necessária.

NOTIFICADO

Indica que você notificou o proprietário do recurso sobre o problema de segurança. É possível usar esse status quando você não é o proprietário do recurso e precisa de intervenção do proprietário do recurso para resolver um problema de segurança.

Se uma das situações a seguir ocorrer, o status do fluxo de trabalho será alterado automaticamente de NOTIFIED para NEW:

RecordState é alterado de ARCHIVED para ACTIVE.
Compliance.Status é alterado de PASSED para FAILED, WARNING, ou NOT_AVAILABLE.

SUPRIMIDO

Indica que você revisou a descoberta e não acredita que nenhuma ação seja necessária.

O status do fluxo de trabalho de uma descoberta SUPPRESSED não muda se RecordState mudar de ARCHIVED para ACTIVE.

RESOLVIDO

A descoberta foi revisada e corrigida e agora é considerada resolvida.

A descoberta permanece RESOLVED, a menos que uma das seguintes condições ocorra:

RecordState é alterado de ARCHIVED para ACTIVE.
Compliance.Status é alterado de PASSED para FAILED, WARNING, ou NOT_AVAILABLE.

Nesses casos, o status do fluxo de trabalho é automaticamente redefinido para NEW.

Para descobertas de controles, em caso afirmativoPASSED, Compliance.Status o Security Hub CSPM define automaticamente o status do fluxo de trabalho como. RESOLVED

Definir o status do fluxo de trabalho das descobertas

Para alterar o status do fluxo de trabalho de uma ou mais descobertas, você pode usar o console CSPM do Security Hub ou a API CSPM do Security Hub. Se você alterar o status do fluxo de trabalho de uma descoberta, observe que pode levar alguns minutos para o Security Hub CSPM processar sua solicitação e atualizar a descoberta.

dica

Você também pode alterar o status do fluxo de trabalho das descobertas automaticamente usando regras de automação. Com as regras de automação, você configura o CSPM do Security Hub para atualizar automaticamente o status do fluxo de trabalho das descobertas com base nos critérios que você especifica. Para obter mais informações, consulte Entendendo as regras de automação no Security Hub CSPM.

Para alterar o status do fluxo de trabalho de uma ou mais descobertas, escolha seu método preferido e siga as etapas.

Security Hub CSPM console

Para alterar o status do fluxo de trabalho das descobertas

Abra o console do AWS Security Hub Cloud Security Posture Management (CSPM) em. https://console.aws.amazon.com/securityhub/
No painel de navegação, siga um destes procedimentos para exibir uma tabela de descobertas:
- Escolha Descobertas.
- Escolha Insights. Em seguida, escolha um insight. Nos resultados do insight, escolha um resultado.
- Escolha Integrations (Integrações). Em seguida, na seção da integração, escolha Ver descobertas.
- Escolha padrões de segurança. Em seguida, na seção do padrão, escolha Exibir resultados. Na tabela de controles, escolha um controle para exibir as descobertas do controle.
Na tabela de descobertas, marque a caixa de seleção para cada descoberta cujo status do fluxo de trabalho você deseja alterar.
Na parte superior da página, escolha Status do fluxo de trabalho e, em seguida, escolha o novo status do fluxo de trabalho para as descobertas selecionadas.
Na caixa de diálogo Definir status do fluxo de trabalho, opcionalmente, insira uma nota que detalha o motivo da alteração do status do fluxo de trabalho. Em seguida, escolha Definir status.

Security Hub CSPM API

Use a operação BatchUpdateFindings. Forneça o ID da descoberta e o ARN do produto que gerou a descoberta. Você pode obter esses detalhes usando a GetFindingsoperação.

AWS CLI

Execute o comando batch-update-findings. Forneça o ID da descoberta e o ARN do produto que gerou a descoberta. Você pode obter esses detalhes executando o comando get-findings.


batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"

Exemplo


aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Agrupar descobertas

Enviar descobertas para uma ação personalizada