本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Security Hub CSPM 中建立和更新問題清單
在 AWS Security Hub Cloud Security Posture Management (CSPM) 中,調查結果是安全檢查或安全相關偵測的可觀察記錄。問題清單可能來自下列其中一個來源:
-
Security Hub CSPM 中控制項的安全檢查。
-
與另一個 的整合 AWS 服務。
-
與第三方產品的整合。
-
自訂整合。
Security Hub CSPM 會將所有來源的問題清單標準化為稱為AWS 安全問題清單格式 (ASFF) 的標準語法和格式。如需此格式的詳細資訊,包括個別 ASFF 欄位的說明,請參閱 AWS 安全調查結果格式 (ASFF)。如果您啟用跨區域彙總,Security Hub CSPM 也會自動將新的和更新的調查結果從所有連結的區域彙總到您指定的彙總區域。如需詳細資訊,請參閱了解 Security Hub CSPM 中的跨區域彙總。
建立問題清單之後,可以更新,如下所示:
-
問題清單提供者可以使用 Security Hub CSPM API BatchImportFindings的操作來更新問題清單的一般資訊。問題清單提供者只能更新其建立的問題清單。
-
客戶可以使用 Security Hub CSPM 主控台或 Security Hub CSPM API BatchUpdateFindings的操作來更新調查結果調查的狀態。SIEM、票證、事件管理、SOAR 或其他類型的工具也可以代表客戶使用
BatchUpdateFindings此操作。
為了減少調查結果噪音並簡化個別調查結果的追蹤和分析,Security Hub CSPM 會自動刪除最近尚未更新的調查結果。Security Hub CSPM 執行此作業的時間取決於問題清單是作用中還是封存:
-
作用中問題清單是記錄狀態 (
RecordState) 為 的問題清單ACTIVE。Security Hub CSPM 會存放作用中的問題清單 90 天。如果作用中的問題清單已有 90 天未更新,則會過期,且 Security Hub CSPM 會將其永久刪除。 -
封存的問題清單是記錄狀態 (
RecordState) 為 的問題清單ARCHIVED。Security Hub CSPM 會將封存的問題清單存放 30 天。如果封存的問題清單已有 30 天未更新,則會過期,且 Security Hub CSPM 會將其永久刪除。
對於控制項調查結果,也就是 Security Hub CSPM 從控制項安全檢查產生的調查結果,Security Hub CSPM 會根據調查結果UpdatedAt欄位的值來判斷調查結果是否已過期。如果作用中問題清單的這個值超過 90 天,Security Hub CSPM 會永久刪除問題清單。如果封存的問題清單超過 30 天,Security Hub CSPM 會永久刪除問題清單。
對於所有其他類型的問題清單,Security Hub CSPM 會根據問題清單的 ProcessedAt和 UpdatedAt 欄位的值來判斷問題清單是否已過期。Security Hub CSPM 會比較這些欄位的值,並判斷哪個欄位較新。如果作用中問題清單的最近值超過 90 天,Security Hub CSPM 會永久刪除問題清單。如果封存問題清單的最近值超過 30 天,Security Hub CSPM 會永久刪除問題清單。問題清單提供者可以使用 Security Hub CSPM API BatchImportFindings的操作,變更一或多個問題清單UpdatedAt欄位的值。
如需長期保留問題清單,您可以將問題清單匯出至 S3 儲存貯體。您可以搭配 Amazon EventBridge 規則使用自訂動作來執行此操作。如需詳細資訊,請參閱使用 EventBridge 進行自動回應和修復。
主題
