As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criando e atualizando descobertas no Security Hub CSPM
No AWS Security Hub Cloud Security Posture Management (CSPM), uma descoberta é um registro observável de uma verificação de segurança ou detecção relacionada à segurança. Uma descoberta pode se originar de uma das seguintes fontes:
-
Uma verificação de segurança para um controle no Security Hub CSPM.
-
Uma integração com outra AWS service (Serviço da AWS).
-
Uma integração com um produto de terceiros.
-
Uma integração personalizada.
O Security Hub CSPM normaliza as descobertas de todas as fontes em uma sintaxe e formato padrão chamados AWS Security Finding Format (ASFF). Para obter informações detalhadas sobre esse formato, incluindo descrições de campos individuais do ASFF, consulteAWS Formato de descoberta de segurança (ASFF). Se você habilitar a agregação entre regiões, o Security Hub CSPM também agregará automaticamente descobertas novas e atualizadas de todas as regiões vinculadas a uma região de agregação especificada por você. Para obter mais informações, consulte Compreendendo a agregação entre regiões no Security Hub CSPM.
Depois que uma descoberta é criada, ela pode ser atualizada da seguinte forma:
-
Um provedor de busca pode usar a BatchImportFindingsoperação da API CSPM do Security Hub para atualizar informações gerais sobre a descoberta. Os provedores de descoberta só podem atualizar as descobertas que eles criaram.
-
Um cliente pode usar o console CSPM do Security Hub ou a BatchUpdateFindingsoperação da API CSPM do Security Hub para atualizar o status da investigação sobre a descoberta. A
BatchUpdateFindingsoperação também pode ser usada por um SIEM, emissão de bilhetes, gerenciamento de incidentes, SOAR ou outro tipo de ferramenta em nome de um cliente.
Para reduzir o ruído de busca e agilizar o rastreamento e a análise de descobertas individuais, o Security Hub CSPM exclui automaticamente as descobertas que não foram atualizadas recentemente. O tempo em que o Security Hub CSPM faz isso depende se a descoberta está ativa ou arquivada:
-
Uma descoberta ativa é uma descoberta cujo estado de registro (
RecordState) éACTIVE. O Security Hub CSPM armazena descobertas ativas por 90 dias. Se uma descoberta ativa não for atualizada por 90 dias, ela expirará e o Security Hub CSPM a excluirá permanentemente. -
Uma descoberta arquivada é uma descoberta cujo estado de registro (
RecordState) éARCHIVED. O Security Hub CSPM armazena as descobertas arquivadas por 30 dias. Se uma descoberta arquivada não for atualizada por 30 dias, ela expirará e o Security Hub CSPM a excluirá permanentemente.
Para descobertas de controle, que são descobertas que o Security Hub CSPM gera a partir de verificações de segurança para controles, o Security Hub CSPM determina se uma descoberta expirou com base no valor do campo da UpdatedAt descoberta. Se esse valor foi há mais de 90 dias para uma descoberta ativa, o Security Hub CSPM exclui permanentemente a descoberta. Se esse valor foi há mais de 30 dias para uma descoberta arquivada, o Security Hub CSPM exclui permanentemente a descoberta.
Para todos os outros tipos de descobertas, o Security Hub CSPM determina se uma descoberta expirou com base nos valores dos UpdatedAt campos ProcessedAt e da descoberta. O Security Hub CSPM compara os valores desses campos e determina qual é o mais recente. Se o valor mais recente foi há mais de 90 dias para uma descoberta ativa, o Security Hub CSPM exclui permanentemente a descoberta. Se o valor mais recente foi há mais de 30 dias para uma descoberta arquivada, o Security Hub CSPM exclui permanentemente a descoberta. A localização de provedores pode alterar o valor do UpdatedAt campo de uma ou mais descobertas usando a BatchImportFindingsoperação da API CSPM do Security Hub.
Para retenção de resultados a longo prazo, você pode exportar descobertas para um bucket do S3. Você pode fazer isso usando uma ação personalizada com uma EventBridge regra da Amazon. Para obter mais informações, consulte Usando EventBridge para resposta e remediação automatizadas.
Tópicos
