Einstellung des Workflow-Status von Ergebnissen

Den Workflow-Status von Security Hub Hub-Ergebnissen festlegen

Der Workflow-Status verfolgt den Fortschritt Ihrer Untersuchung zu einem Ergebnis. Der Workflow-Status ist spezifisch für ein einzelnes Ergebnis. Er hat keinen Einfluss auf die Generierung neuer Erkenntnisse. Wenn Sie beispielsweise den Workflow-Status eines Ergebnisses auf SUPPRESSED oder festlegenRESOLVED, wird AWS Security Hub verhindert, dass für dasselbe Problem ein neues Ergebnis generiert wird.

Der Workflow-Status kann die folgenden Werte haben:

NEW

Der Ausgangsstatus eines Ergebnisses, bevor Sie es überprüfen.

Ergebnisse, die aus integrierten Quellen aufgenommen wurden AWS-Services AWS Config, haben z. NEW B. ihren ursprünglichen Status.

In den folgenden Fällen setzt Security Hub auch den Workflow-Status von entweder NOTIFIED oder RESOLVED NEW auf zurück:

RecordState ändert sich von ARCHIVED in ACTIVE.
Compliance.Statusändert sich von PASSED zu FAILEDWARNING, oderNOT_AVAILABLE.

Diese Änderungen bedeuten, dass zusätzliche Untersuchungen erforderlich sind.

NOTIFIED

Gibt an, dass Sie den Ressourceneigentümer über das Sicherheitsproblem informiert haben. Sie können diesen Status verwenden, wenn Sie nicht der Ressourceneigentümer sind und einen Eingriff von diesem benötigen, um ein Sicherheitsproblem zu beheben.

Wenn einer der folgenden Fälle eintritt, wird der Workflow-Status automatisch von NOTIFIED zu geändertNEW:

RecordState ändert sich von ARCHIVED in ACTIVE.
Compliance.Statusändert sich von PASSED zu FAILEDWARNING, oderNOT_AVAILABLE.

SUPPRESSED

Zeigt an, dass Sie das Ergebnis überprüft haben und nicht glauben, dass weitere Maßnahmen erforderlich sind.

Der Workflow-Status eines SUPPRESSED Ergebnisses RecordState ändert sich nicht, wenn er von ARCHIVED zu geändert wirdACTIVE.

RESOLVED

Das Ergebnis wurde überprüft und korrigiert und gilt nun als gelöst.

Das Ergebnis bleibt bestehen, RESOLVED es sei denn, einer der folgenden Fälle tritt ein:

RecordState ändert sich von ARCHIVED in ACTIVE.
Compliance.Statusändert sich von PASSED zu FAILEDWARNING, oderNOT_AVAILABLE.

In diesen Fällen wird der Workflow-Status automatisch auf zurückgesetztNEW.

Falls dies der Fall Compliance.Status istPASSED, setzt Security Hub den Workflow-Status automatisch aufRESOLVED.

Einstellung des Workflow-Status von Ergebnissen

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um den Workflow-Status eines oder mehrerer Ergebnisse festzulegen.

Informationen zur automatischen Aktualisierung des Workflow-Status bestimmter Ergebnisse finden Sie unterGrundlegendes zu den Automatisierungsregeln in Security Hub.

Security Hub console

So legen Sie den Workflow-Status von Ergebnissen fest

Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.
Gehen Sie wie folgt vor, um eine Ergebnisliste anzuzeigen:
- Wählen Sie im Security Hub-Navigationsbereich Findings aus.
- Wählen Sie im Security Hub-Navigationsbereich Insights aus. Wählen Sie einen Einblick aus. Wählen Sie dann in der Ergebnisliste ein Insight-Ergebnis aus.
- Wählen Sie im Security Hub-Navigationsbereich Integrationen aus. Wählen Sie Ergebnisse für eine Integration anzeigen aus.
- Wählen Sie im Security Hub-Navigationsbereich die Option Sicherheitsstandards aus. Wählen Sie Ergebnisse anzeigen, um eine Liste mit Kontrollen anzuzeigen. Wählen Sie dann eine Kontrolle aus, um eine Liste der Ergebnisse für diese Kontrolle anzuzeigen.
Aktivieren Sie in der Ergebnisliste das Kontrollkästchen für jedes Ergebnis, das Sie aktualisieren möchten.
Wählen Sie oben in der Liste unter Workflow-Status den Status aus.
Geben Sie im Dialogfeld Workflow-Status festlegen optional einen Hinweis ein, in dem der Grund für die Aktualisierung des Workflow-Status angegeben wird. Wählen Sie Status festlegen aus.

Security Hub API

Rufen Sie die auf BatchUpdateFindingsAPI. Geben Sie sowohl die Ergebnis-ID als auch die ARN des Produkts an, das den Befund generiert hat. Sie können diese Details abrufen, indem Sie die GetFindingsAPIaufrufen.

AWS CLI

Führen Sie den Befehl batch-update-findings aus. Geben Sie sowohl die Fund-ID als auch die ARN des Produkts an, das den Befund generiert hat. Sie können diese Details abrufen, indem Sie den get-findingsBefehl ausführen.


batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"

Beispiel


aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Gruppieren der Ergebnisse

Senden von Ergebnissen an eine benutzerdefinierte Aktion