Überprüfung der Funddetails und des Suchverlaufs in Security Hub - AWS Security Hub
Anweisungen zur Überprüfung der Funddetails und der Historie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überprüfung der Funddetails und des Suchverlaufs in Security Hub

Bei AWS Security Hub einem Ergebnis handelt es sich um eine beobachtbare Aufzeichnung einer Sicherheitsüberprüfung oder einer sicherheitsrelevanten Entdeckung. Security Hub generiert ein Ergebnis, wenn es eine Sicherheitsüberprüfung einer Kontrolle abschließt und wenn es ein Ergebnis aus einem integrierten Produkt AWS-Service oder einem Drittanbieterprodukt aufnimmt. Jedes Ergebnis enthält eine Historie der Änderungen und weitere Details, wie z. B. eine Bewertung des Schweregrads und Informationen zu den betroffenen Ressourcen.

Sie können den Suchverlauf und andere Funddetails auf der Security Hub-Konsole und programmgesteuert über den Security Hub API und überprüfen. AWS CLI

Um Ihnen bei der Optimierung Ihrer Analyse zu helfen, öffnet die Security Hub Hub-Konsole ein Ergebnisfenster, wenn Sie ein bestimmtes Ergebnis auswählen. Das Fenster enthält verschiedene Menüs und Registerkarten zur Anzeige verschiedener Ergebnisdetails.

Menü „Aktionen“

In diesem Menü können Sie den gesamten JSON Befund überprüfen oder Notizen hinzufügen. Einem Befund kann jeweils nicht mehr als eine Notiz angehängt werden. Dieses Menü bietet auch Optionen, um den Workflow-Status eines Ergebnisses festzulegen oder ein Ergebnis an eine benutzerdefinierte Aktion in Amazon zu senden EventBridge.

Menü „Untersuchen“

In diesem Menü können Sie einen Befund in Amazon Detective untersuchen. Detective extrahiert Entitäten wie IP-Adressen und AWS Benutzer aus einem Befund und visualisiert deren Aktivitäten. Sie können die Entitätsaktivität als Ausgangspunkt verwenden, um die Ursache und die Auswirkung eines Ergebnisses zu untersuchen.

Registerkarte Overview (Übersicht)

Diese Registerkarte enthält eine Zusammenfassung des Ergebnisses. Sie können beispielsweise sehen, wann das Ergebnis erstellt und zuletzt aktualisiert wurde, in welchem Konto es vorhanden ist, woher das Ergebnis stammt (z. B. durch eine Kontrollüberprüfung oder eine Integration) und einen Link zu Anweisungen zur Behebung in der Security Hub Hub-Dokumentation.

Im Ressourcen-Snapshot auf der Registerkarte Übersicht können Sie sich einen kurzen Überblick über die Ressourcen verschaffen, die an einem Befund beteiligt waren. Für einige Ressourcen bieten wir die Option „Ressource öffnen“ und eine betroffene Ressource direkt in der entsprechenden AWS-Service Konsole anzeigen zu lassen. Die Momentaufnahme des Verlaufs zeigt bis zu zwei Änderungen, die am letzten Tag, für den der Verlauf aufgezeichnet wird, an dem das Ergebnis vorgenommen wurde, vorgenommen wurden. Das Datum muss in die letzten 90 Tage fallen. Wenn Sie beispielsweise gestern und heute eine Änderung vorgenommen haben, zeigt der Snapshot nur die heutige Änderung. Um frühere Einträge anzuzeigen, wechseln Sie zur Registerkarte Verlauf.

Die Zeile Konformität wird erweitert, um weitere Details anzuzeigen. Für Steuerelemente, die Parameter enthalten, können Sie beispielsweise die aktuellen Parameterwerte sehen, die Security Hub bei der Durchführung von Sicherheitsüberprüfungen verwendet.

Registerkarte „Ressourcen“

Auf dieser Registerkarte finden Sie Einzelheiten zu den Ressourcen, die an einem Befund beteiligt waren. Wenn Sie bei dem Konto angemeldet sind, dem eine Ressource gehört, können Sie die Ressource in der entsprechenden AWS-Service Konsole anzeigen. Wenn Sie nicht der Besitzer einer Ressource sind, zeigt die Konsole die AWS-Konto ID des Besitzers an.

In der Zeile „Details“ werden ressourcenspezifische Details zu dem Ergebnis angezeigt, und zwar ResourceDetailsAbschnitt des Ergebnisses. JSON

In der Zeile „Tags“ werden Informationen zu Schlüsselwörtern und -werten für die Ressourcen angezeigt, die an einem Ergebnis beteiligt waren. Ressourcen, die unterstützt werden von GetResources Der Vorgang des AWS Resource Groups Taggings API kann mit Tags versehen werden. Security Hub ruft diesen Vorgang bei der Verarbeitung neuer oder aktualisierter Ergebnisse über die dienstverknüpfte Rolle auf und ruft die Ressourcen-Tags ab, wenn das Resource.Id Feld AWS Security Finding Format (ASFF) mit der AWS Ressource gefüllt ist. ARN Security Hub ignoriert ungültige RessourceIDs. Weitere Informationen zur Aufnahme von Ressourcen-Tags in Ergebnisse finden Sie unterTags.

Registerkarte „Suchverlauf“

Auf dieser Registerkarte wird der Verlauf eines Fundes in den letzten 90 Tagen nachverfolgt. Die Fundhistorie ist für aktive und archivierte Ergebnisse verfügbar. Es enthält eine unveränderliche Aufzeichnung der Änderungen, die im Laufe der Zeit an einem Ergebnis vorgenommen wurden, einschließlich der Änderung, welches Feld im Format der AWS Sicherheitssuche (ASFF) geändert wurde, wann die Änderung eingetreten ist und von welchem Benutzer. Neuere Änderungen werden zuerst angezeigt. Wenn Sie mit einem Security Hub-Administratorkonto angemeldet sind, bezieht sich der angezeigte Suchverlauf auf das Administratorkonto und alle Mitgliedskonten.

Der Suchverlauf umfasst Änderungen, die ein Benutzer manuell oder automatisch über die Security Hub Hub-Automatisierungsregeln vorgenommen hat. Der Suchverlauf beinhaltet jedoch keine Änderungen an Zeitstempelfeldern der obersten Ebene, wie CreatedAt z. B. und. UpdatedAt

Registerkarte „Bedrohung“

Diese Registerkarte enthält Daten aus Action, Malware, und ProcessDetailsObjekte vonASFF, einschließlich der Art der Bedrohung und ob es sich bei einer Ressource um das Ziel oder den Akteur handelt. Dieses Objekt bezieht sich in der Regel auf Ergebnisse, die ihren Ursprung in Amazon haben GuardDuty.

Registerkarte Sicherheitslücken

Auf dieser Registerkarte werden Daten aus dem angezeigt VulnerabilityObjekt vonASFF, einschließlich der Angabe, ob mit einem Ergebnis Exploits oder verfügbare Fixes verknüpft sind. Dieses Objekt bezieht sich in der Regel auf Ergebnisse, die ihren Ursprung in Amazon Inspector haben.

Die Zeilen in jeder Registerkarte enthalten eine Kopier- oder Filteroption. Wenn Sie sich beispielsweise im Fenster für ein Ergebnis befinden, das den Workflow-Status Benachrichtigt hat, können Sie die Filteroption neben der Zeile Workflow-Status auswählen. Wenn Sie Alle Ergebnisse mit diesem Wert anzeigen auswählen, wird die Ergebnisliste so gefiltert, dass nur Ergebnisse mit demselben Workflow-Status angezeigt werden.

Lesen Sie den folgenden Abschnitt, um zu erfahren, wie Sie auf diese Details für ein Ergebnis zugreifen können.

Anweisungen zur Überprüfung der Funddetails und der Historie

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die Suchdetails in Security Hub anzuzeigen.

Wenn Sie die regionsübergreifende Aggregation aktivieren und sich bei der Aggregationsregion anmelden, umfasst die Suche nach Daten auch Daten aus der Aggregationsregion und verknüpften Regionen. In anderen Regionen ist das Suchen von Daten nur für diese Region spezifisch. Weitere Informationen zur regionsübergreifenden Aggregation finden Sie unter. Grundlegendes zur regionsübergreifenden Aggregation in Security Hub

Security Hub console
Überprüfung der Funddetails und des Verlaufs (Konsole)

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

  2. Um eine Ergebnisliste anzuzeigen, führen Sie eine der folgenden Aktionen aus:

    • Wählen Sie im Security Hub-Navigationsbereich Findings aus. Fügen Sie nach Bedarf Suchfilter hinzu, um die Ergebnisliste einzugrenzen.

    • Wählen Sie im Security Hub-Navigationsbereich Insights aus. Wählen Sie einen Einblick aus. Wählen Sie dann in der Ergebnisliste ein Insight-Ergebnis aus.

    • Wählen Sie im Security Hub-Navigationsbereich Integrationen aus. Wählen Sie Ergebnisse für eine Integration anzeigen aus.

    • Wählen Sie im Security Hub-Navigationsbereich die Option Controls aus.

  3. Wählen Sie einen Titel für das Ergebnis aus.

  4. Führen Sie im Suchfenster einen der folgenden Schritte aus:

    • Wählen Sie das Menü „Aktionen“, um auf das Ergebnis zu reagieren.

    • Wählen Sie das Menü Untersuchen, um den Befund in Amazon Detective zu untersuchen.

    • Wählen Sie eine Registerkarte aus, um weitere Details zu dem Ergebnis anzuzeigen.

Anmerkung

Wenn Sie eine Integration durchführen AWS Organizations und es sich bei dem Konto, bei dem Sie angemeldet sind, um ein Mitgliedskonto einer Organisation handelt, enthält das Suchfeld den Kontonamen. Für Mitgliedskonten, die manuell und nicht über Organizations eingeladen werden, enthält das Suchfeld nur die Konto-ID.

Security Hub API

Details und Verlauf der Ergebnisse werden überprüft (API)

Verwenden der GetFindingsBetrieb des Security HubAPI, oder wenn Sie den verwenden AWS CLI, starten Sie den get-findingsBefehl.

Sie können einen oder mehrere Werte für den Filters Parameter angeben, um die Ergebnisse einzugrenzen, die Sie abrufen möchten.

Wenn das Volumen der Ergebnisse zu groß ist, können Sie den MaxResults Parameter verwenden, um die Ergebnisse auf eine bestimmte Anzahl zu beschränken, und den NextToken Parameter, um die Ergebnisse zu paginieren. Verwenden Sie den SortCriteria Parameter, um die Ergebnisse nach einem bestimmten Feld zu sortieren.

Wenn Sie die regionsübergreifende Aggregation aktiviert haben und diesen Vorgang von der Aggregationsregion aus aufrufen, enthalten die Ergebnisse Ergebnisse aus der Aggregation und verknüpften Regionen.

Mit dem folgenden CLI Befehl werden die Ergebnisse abgerufen, die den angegebenen Filtern entsprechen, und sie in absteigender Reihenfolge des Felds sortiert. LastObservedAt Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Um den Verlauf der Ergebnisse zu überprüfen, verwenden Sie den GetFindingHistoryOperation. Wenn Sie das verwenden AWS CLI, führen Sie das aus get-finding-historyBefehl.

Identifizieren Sie das Ergebnis, für das Sie den Verlauf abrufen möchten, mit den Id Feldern ProductArn und. Weitere Informationen zu diesen Feldern finden Sie unter AwsSecurityFindingIdentifier. Sie können pro Anfrage nur den Verlauf für einen Befund abrufen.

Mit dem folgenden CLI Befehl wird der Verlauf für das angegebene Ergebnis abgerufen. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
PowerShell

Details zu den Ergebnissen werden überprüft () PowerShell

Verwenden Sie das Get-SHUBFinding Cmdlet.

Füllen Sie optional den Filter Parameter aus, um die Ergebnisse einzugrenzen, die Sie abrufen möchten.

Das folgende Cmdlet ruft die Ergebnisse ab, die den angegebenen Filtern entsprechen

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
Anmerkung

Wenn Sie Ergebnisse nach CompanyName oder filternProductName, verwendet Security Hub die Werte, die Teil des ProductFields ASFF Objekts sind. Security Hub verwendet die ProductName Felder CompanyName und auf oberster Ebene nicht.