As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Analisando os detalhes e o histórico da descoberta no Security Hub CSPM
No AWS Security Hub Cloud Security Posture Management (CSPM), uma descoberta é um registro observável de uma verificação de segurança ou detecção relacionada à segurança. O Security Hub CSPM gera uma descoberta ao concluir uma verificação de segurança de um controle e ao ingerir uma descoberta de um produto integrado AWS service (Serviço da AWS) ou de terceiros. Cada descoberta inclui um histórico de alterações e outros detalhes, como uma classificação de gravidade e informações sobre os recursos afetados.
Você pode revisar o histórico e outros detalhes de descobertas individuais no console CSPM do Security Hub ou programaticamente com a API CSPM do Security Hub ou o. AWS CLI
Para ajudá-lo a simplificar sua análise, o console CSPM do Security Hub exibe um painel de descoberta quando você escolhe uma descoberta específica. O painel inclui diferentes menus e guias para revisar detalhes específicos de uma descoberta.
- Menu Ações
Nesse menu, você pode revisar o JSON completo de uma descoberta ou adicionar observações. Uma descoberta só pode ter uma nota anexada a ela por vez. Esse menu também fornece opções para definir o status do fluxo de trabalho de uma descoberta ou enviar uma descoberta para uma ação personalizada na Amazon EventBridge.
- Menu Investigar
Nesse menu, é possível investigar uma descoberta no Amazon Detective. Detective extrai entidades, como endereços IP e AWS usuários, de uma descoberta e visualiza suas atividades. Você pode usar a atividade da entidade como ponto de partida para investigar a causa e o impacto de uma descoberta.
- Guia visão geral
Essa guia fornece um resumo de uma descoberta. Por exemplo, você pode determinar quando uma descoberta foi criada e atualizada pela última vez, em qual conta ela existe e a origem da descoberta. Para descobertas de controle, essa guia também mostra o nome da AWS Config regra associada e um link para a orientação de remediação na documentação do CSPM do Security Hub.
No instantâneo de recursos na guia Visão geral, você pode obter uma breve visão geral dos recursos envolvidos em uma descoberta. Para alguns recursos, isso inclui uma opção de recurso aberto, vinculada diretamente a um recurso afetado no AWS service (Serviço da AWS) console relevante. O snapshot Histórico mostra até duas alterações feitas na descoberta na data mais recente de acompanhamento do histórico. Por exemplo, se você fez uma alteração ontem e outra hoje, o instantâneo mostra a alteração de hoje. Para revisar as entradas anteriores, vá para a guia Histórico.
A linha Conformidade se expande para mostrar mais detalhes. Por exemplo, se um controle incluir parâmetros, você poderá revisar os valores dos parâmetros que o Security Hub CSPM usa atualmente ao realizar verificações de segurança para o controle.
- Guia Recursos
-
Essa guia fornece detalhes sobre os recursos envolvidos em uma descoberta. Se você estiver conectado à conta proprietária de um recurso, poderá revisar o recurso no AWS service (Serviço da AWS) console aplicável. Se você não for o proprietário de um recurso, essa guia exibirá o Conta da AWS ID do proprietário.
A linha Detalhes mostra detalhes específicos do recurso em uma descoberta. Ela mostra a ResourceDetailsseção da descoberta no formato JSON.
A linha Tags mostra as chaves e os valores das tags que são atribuídos aos recursos envolvidos em uma descoberta. Os recursos compatíveis com a operação GetResources da AWS Resource Groups Tagging API podem ser marcados. O Security Hub CSPM chama essa operação usando uma função vinculada ao serviço ao processar descobertas novas ou atualizadas e recupera as tags de recursos se o campo AWS Security Finding Format (ASFF)
Resource.Id
for preenchido com o ARN de um recurso. O CSPM do Security Hub ignora o recurso inválido. IDs Para obter mais informações sobre a inclusão de tags de recursos nas descobertas, consulte Tags. - Aba Histórico
-
Essa guia rastreia o histórico de uma descoberta. O histórico da descoberta está disponível para descobertas ativas e arquivadas. Ele fornece uma trilha imutável das alterações feitas em uma descoberta ao longo do tempo, incluindo qual campo ASFF foi alterado, quando a alteração ocorreu e por qual usuário. Cada página na guia exibe até 20 alterações. As alterações mais recentes são exibidas primeiro.
Para descobertas ativas, o histórico de descobertas está disponível por até 90 dias. Para descobertas arquivadas, o histórico de descobertas está disponível por até 30 dias. O histórico de localização inclui alterações que foram feitas manualmente ou automaticamente pelas regras de automação CSPM do Security Hub. Ela não inclui alterações nos campos de carimbo de data/hora de nível superior, como os
CreatedAt
campos e.UpdatedAt
Se você estiver conectado a uma conta de administrador do CSPM do Security Hub, o histórico de localização é para a conta do administrador e para todas as contas dos membros.
- Guia Ameaça
-
Essa guia inclui dados dos objetos Action, Malware e ProcessDetails do ASFF, incluindo o tipo de ameaça e se um recurso é o alvo ou o agente. Esses detalhes geralmente se aplicam às descobertas originadas na Amazon GuardDuty.
- Guia Vulnerabilidades
-
Essa guia exibe dados do objeto Vulnerability do ASFF, incluindo se há explorações ou correções disponíveis associadas a uma descoberta. Esses detalhes normalmente se aplicam às descobertas originadas no Amazon Inspector.
As linhas em cada guia incluem uma opção de cópia ou filtro. Por exemplo, se você abrir o painel para uma descoberta que tem um status de fluxo de trabalho de Notificado, você pode escolher a opção de filtro ao lado da linha de status do fluxo de trabalho. Se você escolher Mostrar todas as descobertas com esse valor, o Security Hub CSPM filtra a tabela de descobertas e exibe somente as descobertas com o mesmo status de fluxo de trabalho.
Revisar os detalhes e o histórico das descobertas
Escolha seu método preferido e siga as etapas para verificar a localização de detalhes no CSPM do Security Hub.
Se você habilitar a agregação entre regiões e fizer login na região de agregação, os dados da descoberta incluirão os dados da região de agregação e das regiões vinculadas. Em outras regiões, os dados da descoberta são específicos apenas daquela região. Para obter mais informações sobre agregação entre regiões, consulte Compreendendo a agregação entre regiões no Security Hub CSPM.
nota
Se você filtrar as descobertas por CompanyName
ouProductName
, o Security Hub CSPM usará os valores que fazem parte do objeto ProductFields
ASFF. O Security Hub CSPM não usa o nível superior e os camposCompanyName
. ProductName