Definir o status do fluxo de trabalho das descobertas

Definição do status do fluxo de trabalho das descobertas no CSPM do Security Hub

O status do fluxo de trabalho rastreia o andamento da investigação sobre uma descoberta. O status do fluxo de trabalho é específico para uma descoberta individual e não afeta a geração de novas descobertas. Por exemplo, se você alterar o status do fluxo de trabalho de uma descoberta para SUPPRESSED ou RESOLVED, sua descoberta não impede o CSPM do Security Hub de gerar uma nova descoberta para o mesmo problema.

O status do fluxo de trabalho de uma descoberta pode ser um dos valores a seguir.

NOVO

O estado inicial de uma descoberta, antes de ser revisada.

O status inicial das descobertas ingeridas dos Serviços da AWS integrados, como o AWS Config, é NEW.

O CSPM do Security Hub também redefine o status do fluxo de trabalho de NOTIFIED ou RESOLVED para NEW nos casos a seguir:

RecordState é alterado de ARCHIVED para ACTIVE.
Compliance.Status é alterado de PASSED para FAILED, WARNING, ou NOT_AVAILABLE.

Essas alterações implicam que uma investigação adicional é necessária.

NOTIFICADO

Indica que você notificou o proprietário do recurso sobre o problema de segurança. É possível usar esse status quando você não é o proprietário do recurso e precisa de intervenção do proprietário do recurso para resolver um problema de segurança.

Se uma das situações a seguir ocorrer, o status do fluxo de trabalho será alterado automaticamente de NOTIFIED para NEW:

RecordState é alterado de ARCHIVED para ACTIVE.
Compliance.Status é alterado de PASSED para FAILED, WARNING, ou NOT_AVAILABLE.

SUPRIMIDO

Indica que você revisou a descoberta e não acredita que nenhuma ação seja necessária.

O status do fluxo de trabalho de uma descoberta SUPPRESSED não muda se RecordState mudar de ARCHIVED para ACTIVE.

RESOLVIDO

A descoberta foi revisada e corrigida e agora é considerada resolvida.

A descoberta permanece RESOLVED, a menos que uma das seguintes condições ocorra:

RecordState é alterado de ARCHIVED para ACTIVE.
Compliance.Status é alterado de PASSED para FAILED, WARNING, ou NOT_AVAILABLE.

Nesses casos, o status do fluxo de trabalho é automaticamente redefinido para NEW.

Para descobertas de controles, se Compliance.Status for PASSED, o CSPM do Security Hub definirá automaticamente o status do fluxo de trabalho como RESOLVED.

Definir o status do fluxo de trabalho das descobertas

Para alterar o status do fluxo de trabalho de uma ou mais descobertas, é possível usar o console ou a API do CSPM do Security Hub. Se você alterar o status do fluxo de trabalho de uma descoberta, observe que pode levar alguns minutos para o CSPM do Security Hub processar sua solicitação e atualizar a descoberta.

dica

Também é possível alterar o status do fluxo de trabalho das descobertas automaticamente usando regras de automação. Com as regras de automação, você configura o CSPM do Security Hub para atualizar automaticamente o status do fluxo de trabalho das descobertas com base nos critérios especificados. Para obter mais informações, consulte Noções básicas sobre as regras de automação do CSPM do Security Hub.

Para alterar o status do fluxo de trabalho de uma ou mais descobertas, escolha seu método preferido e siga as etapas.

Security Hub CSPM console

Para alterar o status do fluxo de trabalho das descobertas

Abra o console do CSPM do AWS Security Hub em https://console.aws.amazon.com/securityhub/.
No painel de navegação, execute um dos procedimentos a seguir para exibir uma tabela de descobertas:
- Escolha Descobertas.
- Escolha Insights. Em seguida, escolha um insight. Nos resultados do insight, escolha um resultado.
- Escolha Integrations (Integrações). Em seguida, na seção da integração, escolha Ver descobertas.
- Escolha padrões de segurança. Em seguida, na seção do padrão, escolha Exibir resultados. Na tabela de controles, escolha um controle para exibir descobertas para o controle.
Na tabela descobertas, marque a caixa de seleção para cada descoberta cujo status de fluxo de trabalho você deseja alterar.
Na parte superior da página, escolha Status do fluxo de trabalho e, em seguida, escolha o novo status do fluxo de trabalho para as descobertas selecionadas.
Na caixa de diálogo Definir status do fluxo de trabalho, insir. opcionalmente, uma observação que detalhe o motivo da atualização do status do fluxo de trabalho. Escolha Definir status.

Security Hub CSPM API

Use a operação BatchUpdateFindings. Forneça o ID da descoberta e o ARN do produto que gerou a descoberta. É possível obter esses detalhes usando a operação GetFindings.

AWS CLI

Execute o comando batch-update-findings. Forneça o ID da descoberta e o ARN do produto que gerou a descoberta. É possível obter esses detalhes executando o comando get-findings.


batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"

Exemplo


aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Agrupar descobertas

Enviar descobertas para uma ação personalizada