Análise de detalhes e históricos de descobertas no CSPM do Security Hub - AWSSecurity Hub
Revisar os detalhes e o histórico das descobertas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Análise de detalhes e históricos de descobertas no CSPM do Security Hub

No AWS Security Hub CSPM, uma descoberta é um registro observável de uma verificação de segurança ou detecção relacionada à segurança. O CSPM do Security Hub gera uma descoberta quando conclui uma verificação de segurança de um controle e quando ingere uma descoberta de um AWS service (Serviço da AWS) ou de um produto de terceiros integrado. Cada descoberta inclui um histórico de alterações e outros detalhes, como uma classificação de gravidade e informações sobre os recursos afetados.

É possível analisar o histórico e outros detalhes das descobertas individuais no console do CSPM do Security Hub, ou programaticamente, com a API do CSPM do Security Hub ou a AWS CLI.

Para ajudar a simplificar sua análise, quando você escolhe uma determinada descoberta, o console do CSPM do Security Hub exibe um painel da descoberta. O painel inclui diversos menus e guias para a análise de diferentes detalhes de uma descoberta.

Menu Ações

Nesse menu, você pode revisar o JSON completo de uma descoberta ou adicionar observações. Uma descoberta pode ter somente uma observação anexada a ela por vez. Esse menu também fornece opções para definir o status do fluxo de trabalho de uma descoberta ou enviar uma descoberta para uma ação personalizada na Amazon EventBridge.

Menu Investigar

Nesse menu, é possível investigar uma descoberta no Amazon Detective. Detective extrai entidades, como endereços IP e AWS usuários, de uma descoberta e visualiza suas atividades. É possível usar a atividade da entidade como ponto de partida para investigar a causa e o impacto de uma descoberta.

Guia visão geral

Essa guia fornece um resumo de uma descoberta. Por exemplo, é possível determinar quando uma descoberta foi criada e atualizada pela última vez, em qual conta ela existe e a origem da descoberta. Para descobertas de controle, essa guia também mostra o nome da regra do AWS Config associada e um link para a orientação de correção na documentação do CSPM do Security Hub.

No snapshot Recursos na guia Visão geral, é possível obter uma breve visão geral dos recursos envolvidos em uma descoberta. Para alguns recursos, isso inclui uma opção de recurso aberto, vinculada diretamente a um recurso afetado no AWS service (Serviço da AWS) console relevante. O snapshot Histórico mostra até duas alterações feitas na descoberta na data mais recente de acompanhamento do histórico. Por exemplo, se você fez uma alteração ontem e outra hoje, o snapshot mostrará a alteração de hoje. Para analisar as entradas anteriores, alterne para a guia Histórico.

A linha Conformidade se expande para mostrar mais detalhes. Por exemplo, se um controle incluir parâmetros, é possível analisar os valores dos parâmetros que o CSPM do Security Hub usa no momento ao realizar verificações de segurança para o controle.

Guia Recursos

Essa guia fornece detalhes sobre os recursos envolvidos em uma descoberta. Se você estiver conectado à conta proprietária de um recurso, poderá revisar o recurso no AWS service (Serviço da AWS) console aplicável. Se você não for o proprietário de um recurso, essa guia exibirá o Conta da AWS ID do proprietário.

A linha Detalhes mostra detalhes específicos do recurso em uma descoberta. Ela mostra a seção ResourceDetails da descoberta no formato JSON.

A linha Tags mostra as chaves e os valores de tag atribuídos aos recursos envolvidos em uma descoberta. Os recursos compatíveis com a operação GetResources da AWS Resource Groups Tagging API podem ser marcados. O CSPM do Security Hub chama essa operação usando um perfil vinculado ao serviço ao processar descobertas novas ou atualizadas, e recupera as tags dos recursos se o campo Resource.Id do Formato de descoberta de segurança da AWS (ASFF) estiver preenchido com o ARN de um recurso. O CSPM do Security Hub ignora o recurso inválido. IDs Para obter mais informações sobre a inclusão de tags de recursos nas descobertas, consulte Tags.

Guia Histórico

Essa guia rastreia o histórico de uma descoberta. O histórico da descoberta está disponível para descobertas ativas e arquivadas. Ele fornece uma trilha das alterações feitas em uma descoberta ao longo do tempo, incluindo qual campo do ASFF foi alterado, quando a alteração ocorreu e qual usuário fez a alteração. Cada página na guia exibe até 20 alterações. As alterações mais recentes são exibidas primeiro.

Para descobertas ativas, o histórico de descobertas está disponível por até 90 dias. Para descobertas arquivadas, o histórico de descobertas está disponível por até 30 dias. O histórico da descoberta inclui as alterações que foram feitas manual ou automaticamente pelas regras de automação do CSPM do Security Hub. Ele não inclui as alterações feitas nos campos de timestamp de nível superior, como os campos CreatedAt e UpdatedAt.

Se você estiver conectado a uma conta de administrador do CSPM do Security Hub, o histórico da descoberta será para a conta do administrador e todas as contas de membro.

Guia Ameaça

Essa guia inclui dados dos objetos Action, Malware e ProcessDetails do ASFF, incluindo o tipo de ameaça e se um recurso é o alvo ou o agente. Esses detalhes geralmente se aplicam às descobertas originadas na Amazon GuardDuty.

Guia Vulnerabilidades

Essa guia exibe dados do objeto Vulnerability do ASFF, incluindo se há explorações ou correções disponíveis associadas a uma descoberta. Esses detalhes normalmente se aplicam às descobertas originadas no Amazon Inspector.

As linhas em cada guia incluem uma opção de cópia ou de filtro. Por exemplo, se você abrir o painel de uma descoberta que tenha um status de fluxo de trabalho de Notificado, poderá escolher a opção de filtro ao lado da linha Status do fluxo de trabalho. Se você escolher Exibir todas as descobertas com esse valor, o CSPM do Security Hub filtra a tabela de descobertas para exibir apenas as descobertas com o mesmo status de fluxo de trabalho.

Revisar os detalhes e o histórico das descobertas

Escolha seu método preferido e siga as etapas para analisar os detalhes das descobertas no CSPM do Security Hub.

Se você habilitar a agregação entre regiões e fizer login na região de agregação, os dados da descoberta incluirão os dados da região de agregação e das regiões vinculadas. Em outras regiões, os dados da descoberta são específicos apenas daquela região. Para obter mais informações sobre agregação entre regiões, consulte Noções básicas sobre a agregação entre regiões no CSPM do Security Hub.

Security Hub CSPM console
Revisar os detalhes e o histórico das descobertas

  1. Abra o console CSPM do AWS Security Hub em. https://console.aws.amazon.com/securityhub/

  2. Para exibir uma lista de descobertas, execute um destes procedimentos:

    • No painel de navegação, selecione Descobertas. Adicione filtros de pesquisa conforme necessário para restringir a lista de descobertas.

    • No painel de navegação, escolha Insights. Escolha um insight. Em seguida, na lista de resultados, escolha um resultado de insight.

    • No painel de navegação, selecione Integrações. Escolha Ver descobertas para obter uma integração.

    • No painel de navegação, escolha Controles.

  3. Escolha uma descoberta. O painel de descobertas exibirá os detalhes da descoberta.

  4. Na página de descobertas, siga um destes procedimentos:

    • Para analisar detalhes específicos de uma descoberta, escolha uma guia.

    • Para tomar uma medida em relação à descoberta, escolha uma opção no menu Ações.

    • Para investigar a descoberta no Amazon Detective, escolha uma opção Investigar.

nota

Se você se integrar AWS Organizations e estiver conectado a uma conta de membro, o painel de localização incluirá o nome da conta. Para contas de membro que são convidadas manualmente, em vez de por meio da integração com o Organizations, o painel da descoberta inclui apenas o ID da conta.

Security Hub CSPM API

Use a GetFindingsoperação da API CSPM do Security Hub ou, se estiver usando aAWS CLI, execute o get-findingscomando. É possível fornecer um ou mais valores para o parâmetro Filters para restringir as descobertas a recuperar.

Se o volume de resultados for muito grande, poderá usar o parâmetro MaxResults para limitar as descobertas a um determinado número e o parâmetro NextToken para paginar as descobertas. Use o parâmetro SortCriteria para classificar as descobertas por um campo específico.

Por exemplo, o AWS CLI comando a seguir recupera as descobertas que correspondem aos critérios de filtro especificados e classifica os resultados em ordem decrescente pelo LastObservedAt campo. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Para revisar o histórico da descoberta, use a operação GetFindingHistory. Se você estiver usando oAWS CLI, execute o get-finding-historycomando. Identifique a descoberta da qual você deseja obter o histórico com os campos Id e ProductArn. Para obter informações sobre esses campos, consulte AwsSecurityFindingIdentifier. Cada solicitação pode recuperar o histórico de apenas uma descoberta.

Por exemplo, o AWS CLI comando a seguir recupera o histórico da descoberta especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
PowerShell

Use o cmdlet Get-SHUBFinding. Opcionalmente, preencha o parâmetro Filter para restringir as descobertas a recuperar.

Por exemplo, o cmdlet a seguir recupera as descobertas que correspondam aos filtros fornecidos.

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
nota

Se você filtrar as descobertas por CompanyName ou ProductName, o CSPM do Security Hub usará os valores que fazem parte do objeto ProductFields do ASFF. O CSPM do Security Hub não usa os campos de nível superior CompanyName e ProductName.