在 Security Hub CSPM 中檢閱問題清單詳細資訊和歷史記錄 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Security Hub CSPM 中檢閱問題清單詳細資訊和歷史記錄

在 AWS Security Hub Cloud Security Posture Management (CSPM) 中,調查結果是安全檢查或安全相關偵測的可觀察記錄。Security Hub CSPM 會在完成控制項的安全性檢查,以及從整合 AWS 服務 或第三方產品擷取問題清單時產生問題清單。每個調查結果都包含變更和其他詳細資訊的歷史記錄,例如嚴重性評分和受影響資源的相關資訊。

您可以在 Security Hub CSPM 主控台或使用 Security Hub CSPM API 或 以程式設計方式檢閱個別調查結果的歷史記錄和其他詳細資訊 AWS CLI。

為了協助您簡化分析,當您選擇特定問題清單時,Security Hub CSPM 主控台會顯示問題清單面板。面板包含不同的功能表和索引標籤,用於檢閱問題清單的特定詳細資訊。

動作功能表

在此功能表中,您可以檢閱問題清單的完整 JSON 或新增備註。問題清單一次只能連接一個備註。此功能表也提供設定問題清單工作流程狀態的選項,或將問題清單傳送至 Amazon EventBridge 中的自訂動作。 EventBridge

調查選單

在此功能表中,您可以在 Amazon Detective 中調查問題清單。Detective 從調查結果中擷取實體,例如 IP 地址和 AWS 使用者,並視覺化其活動。您可以使用實體活動做為起點,以調查調查結果的原因和影響。

概觀標籤

此標籤提供調查結果的摘要。例如,您可以判斷問題清單的建立和上次更新時間、其存在的帳戶,以及問題清單的來源。對於控制項調查結果,此索引標籤也會顯示相關聯 AWS Config 規則的名稱,以及 Security Hub CSPM 文件中的修補指引連結。

概觀索引標籤的資源快照中,您可以取得調查結果所涉及資源的簡短概觀。對於某些資源,這包含開啟資源選項,可直接連結到相關 AWS 服務 主控台上受影響的資源。歷史記錄快照最多可顯示追蹤歷史記錄最近日期對調查結果所做的兩個變更。例如,如果您昨天進行了一項變更,今天進行了另一項變更,快照會顯示今天的變更。若要檢閱先前的項目,請切換到歷史記錄索引標籤。

合規資料列會展開以顯示更多詳細資訊。例如,如果控制項包含參數,您可以檢閱 Security Hub CSPM 在執行控制項安全檢查時目前使用的參數值。

資源索引標籤

此標籤提供有關問題清單所涉及資源的詳細資訊。如果您已登入擁有資源的帳戶,您可以在適用的 AWS 服務 主控台中檢閱資源。如果您不是資源的擁有者,此標籤會顯示擁有者的 AWS 帳戶 ID。

詳細資訊列會顯示調查結果中的資源特定詳細資訊。它以 JSON 格式顯示調查結果的 ResourceDetails區段。

標籤列會顯示指派給問題清單所涉及資源的標籤索引鍵和值。 AWS Resource Groups 標記 API GetResources操作支援的資源可以加上標籤。Security Hub CSPM 會在處理新的或更新的調查結果時使用服務連結角色來呼叫此操作,並在 AWS Security Finding Format (ASFF) Resource.Id 欄位填入資源的 ARN 時擷取資源標籤。Security Hub CSPM 會忽略無效的資源 IDs。如需在調查結果中包含資源標籤的詳細資訊,請參閱 標籤

歷史記錄索引標籤

此索引標籤會追蹤問題清單的歷史記錄。問題清單歷史記錄可用於作用中和封存的問題清單。它提供隨時間對調查結果進行變更的不可變線索,包括 ASFF 欄位的變更、變更發生的時間,以及使用者。標籤上的每個頁面最多可顯示 20 個變更。首先顯示更多最近的變更。

對於作用中問題清單,問題清單歷史記錄最多可使用 90 天。對於封存的問題清單,問題清單歷史記錄最多可使用 30 天。調查結果歷史記錄包含由 Security Hub CSPM 自動化規則手動或自動所做的變更。它不包含對頂層時間戳記欄位的變更,例如 CreatedAtUpdatedAt 欄位。

如果您已登入 Security Hub CSPM 管理員帳戶,問題清單歷史記錄適用於管理員帳戶和所有成員帳戶。

威脅索引標籤

此索引標籤包含來自 ASFF 的 ActionMalwareProcessDetails 物件的資料,包括威脅類型,以及資源是目標還是演員。這些詳細資訊通常適用於源自 Amazon GuardDuty 的調查結果。

漏洞索引標籤

此標籤會顯示 ASFF Vulnerability 物件中的資料,包括是否有與調查結果相關聯的入侵或可用修正。這些詳細資訊通常適用於源自 Amazon Inspector 的調查結果。

每個索引標籤上的資料列都包含複製或篩選選項。例如,如果您針對工作流程狀態為 Notified 的調查結果開啟面板,您可以選擇工作流程狀態列旁的篩選條件選項。如果您選擇顯示具有此值的所有問題清單,Security Hub CSPM 會篩選問題清單表格,並僅顯示工作流程狀態相同的問題清單。

檢閱問題清單詳細資訊和歷史記錄

選擇您偏好的方法,並依照步驟檢閱 Security Hub CSPM 中的調查結果詳細資訊。

如果您啟用跨區域彙總並登入彙總區域,調查結果資料會包含來自彙總區域和連結區域的資料。在其他區域中,問題清單資料僅適用於該區域。如需跨區域彙總的詳細資訊,請參閱 了解 Security Hub CSPM 中的跨區域彙總

Security Hub CSPM console
檢閱問題清單詳細資訊和歷史記錄
  1. 在 https://https://console.aws.amazon.com/securityhub/ 開啟 AWS Security Hub Cloud Security Posture Management (CSPM) 主控台。

  2. 若要顯示問題清單,請執行下列其中一項操作:

    • 在導覽窗格中,選擇調查結果。視需要新增搜尋篩選條件,以縮小問題清單範圍。

    • 在導覽窗格中,選擇 Insights。選擇洞見。然後,在結果清單中,選擇洞見結果。

    • 在導覽窗格中選擇整合。選擇 查看整合的問題清單。

    • 在導覽窗格中,選擇控制項

  3. 選擇問題清單。問題清單面板會顯示問題清單的詳細資訊。

  4. 在問題清單面板中,執行下列任一動作:

    • 若要檢閱問題清單的特定詳細資訊,請選擇索引標籤。

    • 若要對調查結果採取動作,請從動作功能表中選擇一個選項。

    • 若要在 Amazon Detective 中調查調查結果,請選擇調查選項。

注意

如果您與 整合, AWS Organizations 且已登入成員帳戶,則調查結果面板會包含帳戶名稱。對於手動邀請的成員帳戶,而不是透過 Organizations,問題清單面板只會包含帳戶 ID。

Security Hub CSPM API

使用 Security Hub CSPM API GetFindings的操作,或者如果您使用的是 AWS CLI,請執行 get-findings命令。您可以為 Filters 參數提供一或多個值,以縮小要擷取的問題清單範圍。

如果結果量太大,您可以使用 MaxResults 參數將問題清單限制為指定的數字,並使用 NextToken 參數將問題清單分頁。使用 SortCriteria 參數依特定欄位排序問題清單。

例如,下列 AWS CLI 命令會擷取符合指定篩選條件的問題清單,並依 LastObservedAt 欄位以遞減順序排序結果。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

若要檢閱問題清單歷史記錄,請使用 GetFindingHistory操作。如果您使用的是 AWS CLI,請執行 get-finding-history命令。使用 ProductArnId 欄位識別您要取得 歷史記錄的問題清單。如需這些欄位的相關資訊,請參閱「AwsSecurityFindingIdentifier」。每個請求只能擷取一個調查結果的歷史記錄。

例如,下列 AWS CLI 命令會擷取指定調查結果的歷史記錄。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws securityhub get-finding-history \ --region us-west-2 \ --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \ --max-results 2 \ --start-time "2021-09-30T15:53:35.573Z" \ --end-time "2021-09-31T15:53:35.573Z"
PowerShell

使用 Get-SHUBFinding cmdlet。選擇性地填入 Filter 參數,以縮小要擷取的問題清單範圍。

例如,下列 cmdlet 會擷取符合指定篩選條件的問題清單。

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
注意

如果您依 CompanyName或 篩選問題清單ProductName,Security Hub CSPM 會使用 ProductFields ASFF 物件一部分的值。Security Hub CSPM 不使用頂層 CompanyNameProductName 欄位。