在 Security Hub CSPM 中创建和更新调查发现
在 AWS Security Hub CSPM 中,调查发现是安全检查或安全相关检测的可观测记录。调查发现可能来自以下来源之一:
-
Security Hub CSPM 中控件的安全检查。
-
与其他 AWS 服务的集成。
-
与第三方产品的集成。
-
自定义集成。
Security Hub CSPM 将所有来源中的调查发现标准化为一种标准语法和格式,称为 AWS 安全调查发现格式 (ASFF)。有关此格式的详细信息,包括各个 ASFF 字段的描述,请参阅 AWS安全调查发现格式 (ASFF)。如果启用跨区域聚合,Security Hub CSPM 还会自动将所有关联区域中新增和更新的调查发现聚合到您指定的聚合区域中。有关更多信息,请参阅 了解 Security Hub CSPM 中的跨区域聚合。
创建调查发现后,可以按如下方式进行更新:
-
调查发现提供者可以使用 Security Hub CSPM API 的 BatchImportFindings 操作更新有关调查发现的一般信息。结果提供商只能更新他们创建的结果。
-
客户可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API 的 BatchUpdateFindings 操作来更新对调查发现的调查状态。SIEM、票证、事件管理、SOAR 或其他类型的工具也可以代表客户使用
BatchUpdateFindings操作。
为了减少调查发现噪音并简化对单个调查发现的跟踪和分析,Security Hub CSPM 会自动删除最近未更新的调查发现。Security Hub CSPM 执行此操作的时间取决于调查发现是处于活跃状态还是已存档:
-
活跃调查发现是指其记录状态 (
RecordState) 为ACTIVE的调查发现。Security Hub CSPM 会将活跃调查发现存储 90 天。如果某活跃调查发现已 90 天未更新,则其将过期,并且 Security Hub CSPM 会将其永久删除。 -
存档的调查发现是指其记录状态 (
RecordState) 为ARCHIVED的调查发现。Security Hub CSPM 会将存档的调查发现存储 30 天。如果某存档的调查发现已 30 天未更新,则其将过期,并且 Security Hub CSPM 会将其永久删除。
对于控件调查发现(即 Security Hub CSPM 从控件的安全检查生成的调查发现),Security Hub CSPM 会根据调查发现的 UpdatedAt 字段的值来确定调查发现是否已过期。如果活跃调查发现的此值已超过 90 天,则 Security Hub CSPM 将永久删除该调查发现。如果存档的调查发现的此值已超过 30 天,则 Security Hub CSPM 将永久删除该调查发现。
对于所有其他类型的调查发现,Security Hub CSPM 会根据调查发现的 ProcessedAt 和 UpdatedAt 字段的值来确定调查发现是否已过期。Security Hub CSPM 会比较这些字段的值,并确定哪个值是最新的。如果活跃调查发现的最新值已超过 90 天,则 Security Hub CSPM 将永久删除该调查发现。如果存档的调查发现的最新值已超过 30 天,则 Security Hub CSPM 将永久删除该调查发现。调查发现提供者可以使用 Security Hub CSPM API 的 BatchImportFindings 操作来更改一个或多个调查发现的 UpdatedAt 字段的值。
为了长期保留调查发现,您可以将调查发现导出到 S3 存储桶。您可以使用带有 Amazon EventBridge 规则的自定义操作来实现此目的。有关更多信息,请参阅 使用 EventBridge 进行自动响应和补救。
主题
