本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Security Hub CSPM 中设置调查发现的工作流状态
<a name="findings-workflow-status"></a>

工作流状态跟踪对调查发现的调查进度。工作流状态特定于单个调查发现，不会影响新调查发现的生成。例如，如果将调查发现的工作流状态更改为 `SUPPRESSED` 或 `RESOLVED`，则您的更改不会阻止 Security Hub CSPM 针对同一问题生成新的调查发现。

调查发现的工作流状态可以是以下值之一。

**新**  
调查发现在被审查前的初始状态。  
从集成 AWS 服务（例如）中提取的发现以 AWS Config其初始状态`NEW`为初始状态。  
在以下情况下，Security Hub CSPM 还会将工作流状态从 `NOTIFIED` 或 `RESOLVED` 重置为 `NEW`：  
+ `RecordState` 从 `ARCHIVED` 变为 `ACTIVE`。
+ `Compliance.Status` 从 `PASSED` 变为 `FAILED`、`WARNING` 或 `NOT_AVAILABLE`。
这些变化表明需要进一步调查。

**NOTIFIED**  
表示您已将安全问题告知资源拥有者。如果您不是资源拥有者，并且需要资源拥有者的干预才能解决安全问题，则可以使用此状态。  
如果出现以下情况之一，则工作流状态将自动从 `NOTIFIED` 更改为 `NEW`：  
+ `RecordState` 从 `ARCHIVED` 变为 `ACTIVE`。
+ `Compliance.Status` 从 `PASSED` 变为 `FAILED`、`WARNING` 或 `NOT_AVAILABLE`。

**SUPPRESSED**  
表示您已查看调查发现，但认为不需要采取任何操作。  
如果 `RecordState` 从 `ARCHIVED` 变为 `ACTIVE`，则 `SUPPRESSED` 调查发现的工作流状态不会改变。

**RESOLVED**  
已对结果进行审查并采取了补救措施，现在被视为已解决。  
除非出现下列情况之一，否则调查发现将保持为 `RESOLVED`：  
+ `RecordState` 从 `ARCHIVED` 变为 `ACTIVE`。
+ `Compliance.Status` 从 `PASSED` 变为 `FAILED`、`WARNING` 或 `NOT_AVAILABLE`。
在这种情况下，工作流状态会自动重置为 `NEW`。  
对于来自控件的调查发现，如果 `Compliance.Status` 是 `PASSED`，则 Security Hub CSPM 会自动将工作流状态设置为 `RESOLVED`。

## 设置调查发现的工作流状态
<a name="setting-workflow-status"></a>

要更改一个或多个调查发现的工作流状态，您可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API。如果您更改了调查发现的工作流状态，请注意，Security Hub CSPM 可能需要几分钟时间来处理您的请求并更新调查发现。

**提示**  
您还可以使用自动化规则自动更改调查发现的工作流状态。通过自动化规则，您可以配置 Security Hub CSPM，使其根据您指定的条件自动更新调查发现的工作流状态。有关更多信息，请参阅 [了解 Security Hub CSPM 中的自动化规则](automation-rules.md)。

要更改一个或多个调查发现的工作流状态，请选择您喜欢的方法并按照步骤进行操作。

------
#### [ Security Hub CSPM console ]

**更改调查发现的工作流状态**

1. 打开 S AWS ecurity Hub CSPM 控制台，网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. 在导航窗格中，执行以下操作之一以显示调查发现表格：
   + 选择**调查发现**。
   + 选择 **Insights**。然后选择一个见解。在见解结果中，选择一个结果。
   + 选择**集成**。然后，在集成的部分中，选择**查看调查发现**。
   + 选择**安全标准**。然后，在标准的部分中，选择**查看结果**。在控件表格中，选择一个控件以显示控件的调查发现。

1. 在调查发现表格中，选中要更改工作流状态的每个调查发现对应的复选框。

1. 在页面顶部，选择**工作流状态**，然后为所选调查发现选择新的工作流状态。

1. 在**设置工作流状态**对话框中，选择输入注释，以详细说明更改工作流状态的原因。然后选择**设置状态**。

------
#### [ Security Hub CSPM API ]

使用 [BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) 操作。提供用于生成调查发现的产品调查发现 ID 和 ARN。您可以使用[GetFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindings.html)操作来获取这些详细信息。

------
#### [ AWS CLI ]

运行 [batch-update-findings](https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-findings.html) 命令。提供用于生成调查发现的产品调查发现 ID 和 ARN。您可以通过运行 [get-findings](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html) 命令来获取这些详细信息。

```
batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"
```

**示例**

```
aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"
```

------