在 Security Hub CSPM 中设置调查发现的工作流状态
工作流程状态跟踪对调查发现的调查进度。工作流状态特定于单个调查发现,不会影响新调查发现的生成。例如,如果将调查发现的工作流状态更改为 SUPPRESSED 或 RESOLVED,则您的更改不会阻止 Security Hub CSPM 针对同一问题生成新的调查发现。
调查发现的工作流状态可以是以下值之一。
- 新
-
调查发现在被审查前的初始状态。
从集成 AWS 服务(例如 AWS Config)中提取的调查发现采用
NEW作为初始状态。在以下情况下,Security Hub CSPM 还会将工作流状态从
NOTIFIED或RESOLVED重置为NEW:-
RecordState从ARCHIVED变为ACTIVE。 -
Compliance.Status从PASSED变为FAILED、WARNING或NOT_AVAILABLE。
这些变化表明需要进一步调查。
-
- NOTIFIED
-
表示您已将安全问题告知资源拥有者。如果您不是资源拥有者,并且需要资源拥有者的干预才能解决安全问题,则可以使用此状态。
如果出现以下情况之一,则工作流程状态将自动从
NOTIFIED更改为NEW:-
RecordState从ARCHIVED变为ACTIVE。 -
Compliance.Status从PASSED变为FAILED、WARNING或NOT_AVAILABLE。
-
- SUPPRESSED
-
表示您已查看调查发现,但认为不需要采取任何操作。
如果
RecordState从ARCHIVED变为ACTIVE,则SUPPRESSED调查发现的工作流程状态不会改变。 - RESOLVED
-
已对结果进行审查并采取了补救措施,现在被视为已解决。
除非出现下列情况之一,否则调查发现将保持为
RESOLVED:-
RecordState从ARCHIVED变为ACTIVE。 -
Compliance.Status从PASSED变为FAILED、WARNING或NOT_AVAILABLE。
在这种情况下,工作流程状态会自动重置为
NEW。对于来自控件的调查发现,如果
Compliance.Status是PASSED,则 Security Hub CSPM 会自动将工作流状态设置为RESOLVED。 -
设置调查发现的工作流程状态
要更改一个或多个调查发现的工作流状态,您可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API。如果您更改了调查发现的工作流状态,请注意,Security Hub CSPM 可能需要几分钟时间来处理您的请求并更新调查发现。
提示
您还可以使用自动化规则自动更改调查发现的工作流状态。通过自动化规则,您可以配置 Security Hub CSPM,使其根据您指定的条件自动更新调查发现的工作流状态。有关更多信息,请参阅 了解 Security Hub CSPM 中的自动化规则。
要更改一个或多个调查发现的工作流状态,请选择您喜欢的方法并按照步骤进行操作。
