Analisando os detalhes e o histórico da descoberta no Security Hub CSPM - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Analisando os detalhes e o histórico da descoberta no Security Hub CSPM

No AWS Security Hub Cloud Security Posture Management (CSPM), uma descoberta é um registro observável de uma verificação de segurança ou detecção relacionada à segurança. O Security Hub CSPM gera uma descoberta ao concluir uma verificação de segurança de um controle e ao ingerir uma descoberta de um produto integrado AWS service (Serviço da AWS) ou de terceiros. Cada descoberta inclui um histórico de alterações e outros detalhes, como uma classificação de gravidade e informações sobre os recursos afetados.

Você pode revisar o histórico e outros detalhes de descobertas individuais no console CSPM do Security Hub ou programaticamente com a API CSPM do Security Hub ou o. AWS CLI

Para ajudá-lo a simplificar sua análise, o console CSPM do Security Hub exibe um painel de descoberta quando você escolhe uma descoberta específica. O painel inclui diferentes menus e guias para revisar detalhes específicos de uma descoberta.

Menu Ações

Nesse menu, você pode revisar o JSON completo de uma descoberta ou adicionar observações. Uma descoberta só pode ter uma nota anexada a ela por vez. Esse menu também fornece opções para definir o status do fluxo de trabalho de uma descoberta ou enviar uma descoberta para uma ação personalizada na Amazon EventBridge.

Menu Investigar

Nesse menu, é possível investigar uma descoberta no Amazon Detective. Detective extrai entidades, como endereços IP e AWS usuários, de uma descoberta e visualiza suas atividades. Você pode usar a atividade da entidade como ponto de partida para investigar a causa e o impacto de uma descoberta.

Guia visão geral

Essa guia fornece um resumo de uma descoberta. Por exemplo, você pode determinar quando uma descoberta foi criada e atualizada pela última vez, em qual conta ela existe e a origem da descoberta. Para descobertas de controle, essa guia também mostra o nome da AWS Config regra associada e um link para a orientação de remediação na documentação do CSPM do Security Hub.

No instantâneo de recursos na guia Visão geral, você pode obter uma breve visão geral dos recursos envolvidos em uma descoberta. Para alguns recursos, isso inclui uma opção de recurso aberto, vinculada diretamente a um recurso afetado no AWS service (Serviço da AWS) console relevante. O snapshot Histórico mostra até duas alterações feitas na descoberta na data mais recente de acompanhamento do histórico. Por exemplo, se você fez uma alteração ontem e outra hoje, o instantâneo mostra a alteração de hoje. Para revisar as entradas anteriores, vá para a guia Histórico.

A linha Conformidade se expande para mostrar mais detalhes. Por exemplo, se um controle incluir parâmetros, você poderá revisar os valores dos parâmetros que o Security Hub CSPM usa atualmente ao realizar verificações de segurança para o controle.

Guia Recursos

Essa guia fornece detalhes sobre os recursos envolvidos em uma descoberta. Se você estiver conectado à conta proprietária de um recurso, poderá revisar o recurso no AWS service (Serviço da AWS) console aplicável. Se você não for o proprietário de um recurso, essa guia exibirá o Conta da AWS ID do proprietário.

A linha Detalhes mostra detalhes específicos do recurso em uma descoberta. Ela mostra a ResourceDetailsseção da descoberta no formato JSON.

A linha Tags mostra as chaves e os valores das tags que são atribuídos aos recursos envolvidos em uma descoberta. Os recursos compatíveis com a operação GetResources da AWS Resource Groups Tagging API podem ser marcados. O Security Hub CSPM chama essa operação usando uma função vinculada ao serviço ao processar descobertas novas ou atualizadas e recupera as tags de recursos se o campo AWS Security Finding Format (ASFF) Resource.Id for preenchido com o ARN de um recurso. O CSPM do Security Hub ignora o recurso inválido. IDs Para obter mais informações sobre a inclusão de tags de recursos nas descobertas, consulte Tags.

Aba Histórico

Essa guia rastreia o histórico de uma descoberta. O histórico da descoberta está disponível para descobertas ativas e arquivadas. Ele fornece uma trilha imutável das alterações feitas em uma descoberta ao longo do tempo, incluindo qual campo ASFF foi alterado, quando a alteração ocorreu e por qual usuário. Cada página na guia exibe até 20 alterações. As alterações mais recentes são exibidas primeiro.

Para descobertas ativas, o histórico de descobertas está disponível por até 90 dias. Para descobertas arquivadas, o histórico de descobertas está disponível por até 30 dias. O histórico de localização inclui alterações que foram feitas manualmente ou automaticamente pelas regras de automação CSPM do Security Hub. Ela não inclui alterações nos campos de carimbo de data/hora de nível superior, como os CreatedAt campos e. UpdatedAt

Se você estiver conectado a uma conta de administrador do CSPM do Security Hub, o histórico de localização é para a conta do administrador e para todas as contas dos membros.

Guia Ameaça

Essa guia inclui dados dos objetos Action, Malware e ProcessDetails do ASFF, incluindo o tipo de ameaça e se um recurso é o alvo ou o agente. Esses detalhes geralmente se aplicam às descobertas originadas na Amazon GuardDuty.

Guia Vulnerabilidades

Essa guia exibe dados do objeto Vulnerability do ASFF, incluindo se há explorações ou correções disponíveis associadas a uma descoberta. Esses detalhes normalmente se aplicam às descobertas originadas no Amazon Inspector.

As linhas em cada guia incluem uma opção de cópia ou filtro. Por exemplo, se você abrir o painel para uma descoberta que tem um status de fluxo de trabalho de Notificado, você pode escolher a opção de filtro ao lado da linha de status do fluxo de trabalho. Se você escolher Mostrar todas as descobertas com esse valor, o Security Hub CSPM filtra a tabela de descobertas e exibe somente as descobertas com o mesmo status de fluxo de trabalho.

Revisar os detalhes e o histórico das descobertas

Escolha seu método preferido e siga as etapas para verificar a localização de detalhes no CSPM do Security Hub.

Se você habilitar a agregação entre regiões e fizer login na região de agregação, os dados da descoberta incluirão os dados da região de agregação e das regiões vinculadas. Em outras regiões, os dados da descoberta são específicos apenas daquela região. Para obter mais informações sobre agregação entre regiões, consulte Compreendendo a agregação entre regiões no Security Hub CSPM.

Security Hub CSPM console
Revisar os detalhes e o histórico das descobertas
  1. Abra o console do AWS Security Hub Cloud Security Posture Management (CSPM) em. https://console.aws.amazon.com/securityhub/

  2. Para exibir uma lista de descobertas, execute um destes procedimentos:

    • No painel de navegação, selecione Descobertas. Adicione filtros de pesquisa conforme necessário para restringir a lista de descobertas.

    • No painel de navegação, escolha Insights. Escolha um insight. Em seguida, na lista de resultados, escolha um resultado de insight.

    • No painel de navegação, selecione Integrações. Escolha Ver descobertas para obter uma integração.

    • No painel de navegação, escolha Controles.

  3. Escolha uma descoberta. O painel de descoberta exibe os detalhes da descoberta.

  4. No painel de localização, faça o seguinte:

    • Para revisar detalhes específicos da descoberta, escolha uma guia.

    • Para agir sobre a descoberta, escolha uma opção no menu Ações.

    • Para investigar a descoberta no Amazon Detective, escolha uma opção Investigar.

nota

Se você se integrar AWS Organizations e estiver conectado a uma conta de membro, o painel de localização incluirá o nome da conta. Para contas de membros que são convidadas manualmente, em vez de por meio de Organizations, o painel de descoberta inclui apenas o ID da conta.

Security Hub CSPM API

Use a GetFindingsoperação da API CSPM do Security Hub ou, se estiver usando a AWS CLI, execute o get-findingscomando. Você pode fornecer um ou mais valores para o Filters parâmetro para restringir as descobertas a serem recuperadas.

Se o volume de resultados for muito grande, poderá usar o parâmetro MaxResults para limitar as descobertas a um determinado número e o parâmetro NextToken para paginar as descobertas. Use o parâmetro SortCriteria para classificar as descobertas por um campo específico.

Por exemplo, o AWS CLI comando a seguir recupera as descobertas que correspondem aos critérios de filtro especificados e classifica os resultados em ordem decrescente pelo LastObservedAt campo. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Para revisar o histórico da descoberta, use a operação GetFindingHistory. Se você estiver usando o AWS CLI, execute o get-finding-historycomando. Identifique a descoberta da qual você deseja obter o histórico com os campos Id e ProductArn. Para obter informações sobre esses campos, consulte AwsSecurityFindingIdentifier. Cada solicitação pode recuperar o histórico de apenas uma descoberta.

Por exemplo, o AWS CLI comando a seguir recupera o histórico da descoberta especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub get-finding-history \ --region us-west-2 \ --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \ --max-results 2 \ --start-time "2021-09-30T15:53:35.573Z" \ --end-time "2021-09-31T15:53:35.573Z"
PowerShell

Use o cmdlet Get-SHUBFinding. Opcionalmente, preencha o Filter parâmetro para restringir as descobertas a serem recuperadas.

Por exemplo, o cmdlet a seguir recupera as descobertas que correspondem aos filtros especificados.

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
nota

Se você filtrar as descobertas por CompanyName ouProductName, o Security Hub CSPM usará os valores que fazem parte do objeto ProductFields ASFF. O Security Hub CSPM não usa o nível superior e os camposCompanyName. ProductName