本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Security Hub CSPM 中檢閱問題清單詳細資訊和歷史記錄
在 AWS Security Hub Cloud Security Posture Management (CSPM) 中,調查結果是安全檢查或安全相關偵測的可觀察記錄。Security Hub CSPM 會在完成控制項的安全性檢查,以及從整合 AWS 服務 或第三方產品擷取問題清單時產生問題清單。每個調查結果都包含變更和其他詳細資訊的歷史記錄,例如嚴重性評分和受影響資源的相關資訊。
您可以在 Security Hub CSPM 主控台或使用 Security Hub CSPM API 或 以程式設計方式檢閱個別調查結果的歷史記錄和其他詳細資訊 AWS CLI。
為了協助您簡化分析,當您選擇特定問題清單時,Security Hub CSPM 主控台會顯示問題清單面板。面板包含不同的功能表和索引標籤,用於檢閱問題清單的特定詳細資訊。
- 動作功能表
在此功能表中,您可以檢閱問題清單的完整 JSON 或新增備註。問題清單一次只能連接一個備註。此功能表也提供設定問題清單工作流程狀態的選項,或將問題清單傳送至 Amazon EventBridge 中的自訂動作。 EventBridge
- 調查選單
在此功能表中,您可以在 Amazon Detective 中調查問題清單。Detective 從調查結果中擷取實體,例如 IP 地址和 AWS 使用者,並視覺化其活動。您可以使用實體活動做為起點,以調查調查結果的原因和影響。
- 概觀標籤
此標籤提供調查結果的摘要。例如,您可以判斷問題清單的建立和上次更新時間、其存在的帳戶,以及問題清單的來源。對於控制項調查結果,此索引標籤也會顯示相關聯 AWS Config 規則的名稱,以及 Security Hub CSPM 文件中的修補指引連結。
在概觀索引標籤的資源快照中,您可以取得調查結果所涉及資源的簡短概觀。對於某些資源,這包含開啟資源選項,可直接連結到相關 AWS 服務 主控台上受影響的資源。歷史記錄快照最多可顯示追蹤歷史記錄最近日期對調查結果所做的兩個變更。例如,如果您昨天進行了一項變更,今天進行了另一項變更,快照會顯示今天的變更。若要檢閱先前的項目,請切換到歷史記錄索引標籤。
合規資料列會展開以顯示更多詳細資訊。例如,如果控制項包含參數,您可以檢閱 Security Hub CSPM 在執行控制項安全檢查時目前使用的參數值。
- 資源索引標籤
-
此標籤提供有關問題清單所涉及資源的詳細資訊。如果您已登入擁有資源的帳戶,您可以在適用的 AWS 服務 主控台中檢閱資源。如果您不是資源的擁有者,此標籤會顯示擁有者的 AWS 帳戶 ID。
詳細資訊列會顯示調查結果中的資源特定詳細資訊。它以 JSON 格式顯示調查結果的 ResourceDetails區段。
標籤列會顯示指派給問題清單所涉及資源的標籤索引鍵和值。 AWS Resource Groups 標記 API GetResources操作支援的資源可以加上標籤。Security Hub CSPM 會在處理新的或更新的調查結果時使用服務連結角色來呼叫此操作,並在 AWS Security Finding Format (ASFF)
Resource.Id
欄位填入資源的 ARN 時擷取資源標籤。Security Hub CSPM 會忽略無效的資源 IDs。如需在調查結果中包含資源標籤的詳細資訊,請參閱 標籤。 - 歷史記錄索引標籤
-
此索引標籤會追蹤問題清單的歷史記錄。問題清單歷史記錄可用於作用中和封存的問題清單。它提供隨時間對調查結果進行變更的不可變線索,包括 ASFF 欄位的變更、變更發生的時間,以及使用者。標籤上的每個頁面最多可顯示 20 個變更。首先顯示更多最近的變更。
對於作用中問題清單,問題清單歷史記錄最多可使用 90 天。對於封存的問題清單,問題清單歷史記錄最多可使用 30 天。調查結果歷史記錄包含由 Security Hub CSPM 自動化規則手動或自動所做的變更。它不包含對頂層時間戳記欄位的變更,例如
CreatedAt
和UpdatedAt
欄位。如果您已登入 Security Hub CSPM 管理員帳戶,問題清單歷史記錄適用於管理員帳戶和所有成員帳戶。
- 威脅索引標籤
-
此索引標籤包含來自 ASFF 的 Action、 Malware和 ProcessDetails 物件的資料,包括威脅類型,以及資源是目標還是演員。這些詳細資訊通常適用於源自 Amazon GuardDuty 的調查結果。
- 漏洞索引標籤
-
此標籤會顯示 ASFF Vulnerability 物件中的資料,包括是否有與調查結果相關聯的入侵或可用修正。這些詳細資訊通常適用於源自 Amazon Inspector 的調查結果。
每個索引標籤上的資料列都包含複製或篩選選項。例如,如果您針對工作流程狀態為 Notified 的調查結果開啟面板,您可以選擇工作流程狀態列旁的篩選條件選項。如果您選擇顯示具有此值的所有問題清單,Security Hub CSPM 會篩選問題清單表格,並僅顯示工作流程狀態相同的問題清單。
檢閱問題清單詳細資訊和歷史記錄
選擇您偏好的方法,並依照步驟檢閱 Security Hub CSPM 中的調查結果詳細資訊。
如果您啟用跨區域彙總並登入彙總區域,調查結果資料會包含來自彙總區域和連結區域的資料。在其他區域中,問題清單資料僅適用於該區域。如需跨區域彙總的詳細資訊,請參閱 了解 Security Hub CSPM 中的跨區域彙總。
注意
如果您依 CompanyName
或 篩選問題清單ProductName
,Security Hub CSPM 會使用 ProductFields
ASFF 物件一部分的值。Security Hub CSPM 不使用頂層 CompanyName
和 ProductName
欄位。