Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Überprüfung der Funddetails und des Suchverlaufs in Security Hub
Bei AWS Security Hub einem Ergebnis handelt es sich um eine beobachtbare Aufzeichnung einer Sicherheitsüberprüfung oder einer sicherheitsrelevanten Entdeckung. Security Hub generiert ein Ergebnis, wenn es eine Sicherheitsüberprüfung einer Kontrolle abschließt und wenn es ein Ergebnis aus einem integrierten Produkt AWS-Service oder einem Drittanbieterprodukt aufnimmt. Jedes Ergebnis enthält eine Historie der Änderungen und weitere Details, wie z. B. eine Bewertung des Schweregrads und Informationen zu den betroffenen Ressourcen.
Sie können den Suchverlauf und andere Funddetails in der Security Hub Hub-Konsole und programmgesteuert über die Security Hub Hub-API und überprüfen. AWS CLI
Um Ihnen bei der Optimierung Ihrer Analyse zu helfen, öffnet die Security Hub Hub-Konsole ein Ergebnisfenster, wenn Sie ein bestimmtes Ergebnis auswählen. Das Fenster enthält verschiedene Menüs und Registerkarten zur Anzeige verschiedener Ergebnisdetails.
- Menü „Aktionen“
In diesem Menü können Sie die vollständige JSON-Datei eines Befundes überprüfen oder Notizen hinzufügen. Einem Befund kann jeweils nicht mehr als eine Notiz angehängt werden. Dieses Menü bietet auch Optionen, um den Workflow-Status eines Ergebnisses festzulegen oder ein Ergebnis an eine benutzerdefinierte Aktion in Amazon zu senden EventBridge.
- Menü „Untersuchen“
In diesem Menü können Sie einen Befund in Amazon Detective untersuchen. Detective extrahiert Entitäten wie IP-Adressen und AWS Benutzer aus einem Befund und visualisiert deren Aktivitäten. Sie können die Entitätsaktivität als Ausgangspunkt verwenden, um die Ursache und die Auswirkung eines Ergebnisses zu untersuchen.
- Registerkarte Overview (Übersicht)
Diese Registerkarte enthält eine Zusammenfassung des Ergebnisses. Sie können beispielsweise sehen, wann das Ergebnis erstellt und zuletzt aktualisiert wurde, in welchem Konto es vorhanden ist und aus welcher Quelle das Ergebnis stammt. In der Security Hub Hub-Dokumentation finden Sie auch den Namen der zugehörigen AWS Config Regel und einen Link zu Anweisungen zur Problembehebung.
Im Ressourcen-Snapshot auf der Registerkarte Übersicht können Sie sich einen kurzen Überblick über die Ressourcen verschaffen, die an einem Befund beteiligt waren. Für einige Ressourcen bieten wir die Option „Ressource öffnen“ und eine betroffene Ressource direkt in der entsprechenden AWS-Service Konsole anzeigen zu lassen. Die Momentaufnahme des Verlaufs zeigt bis zu zwei Änderungen, die am letzten Tag, für den der Verlauf aufgezeichnet wird, an dem das Ergebnis vorgenommen wurde, vorgenommen wurden. Das Datum muss in die letzten 90 Tage fallen. Wenn Sie beispielsweise gestern und heute eine Änderung vorgenommen haben, zeigt der Snapshot nur die heutige Änderung. Um frühere Einträge anzuzeigen, wechseln Sie zur Registerkarte Verlauf.
Die Zeile Konformität wird erweitert, um weitere Details anzuzeigen. Für Steuerelemente, die Parameter enthalten, können Sie beispielsweise die aktuellen Parameterwerte sehen, die Security Hub bei der Durchführung von Sicherheitsüberprüfungen verwendet.
- Registerkarte „Ressourcen“
Auf dieser Registerkarte finden Sie Einzelheiten zu den Ressourcen, die an einem Befund beteiligt waren. Wenn Sie bei dem Konto angemeldet sind, dem eine Ressource gehört, können Sie die Ressource in der entsprechenden AWS-Service Konsole anzeigen. Wenn Sie nicht der Besitzer einer Ressource sind, zeigt die Konsole die AWS-Konto ID des Besitzers an.
In der Zeile „Details“ werden ressourcenspezifische Details zu dem Ergebnis angezeigt, indem die ResourceDetailsAbschnitt des Finding-JSONs.
In der Zeile „Tags“ werden die Schlüssel- und Wertinformationen der Tags für die Ressourcen angezeigt, die an einem Ergebnis beteiligt sind. Ressourcen, die unterstützt werden von GetResources Der Betrieb der AWS Resource Groups Tagging-API kann mit Tags versehen werden. Security Hub ruft diesen Vorgang bei der Verarbeitung neuer oder aktualisierter Ergebnisse über die dienstverknüpfte Rolle auf und ruft die Ressourcen-Tags ab, wenn das
Resource.Id
Feld AWS Security Finding Format (ASFF) mit dem AWS Ressourcen-ARN gefüllt ist. Security Hub ignoriert ungültige Ressource IDs. Weitere Informationen zur Aufnahme von Ressourcen-Tags in Ergebnisse finden Sie unterTags.- Registerkarte „Suchverlauf“
Auf dieser Registerkarte wird der Verlauf eines Fundes in den letzten 90 Tagen nachverfolgt. Die Fundhistorie ist für aktive und archivierte Ergebnisse verfügbar. Es enthält eine unveränderliche Aufzeichnung der Änderungen, die im Laufe der Zeit an einem Ergebnis vorgenommen wurden, einschließlich der Änderung, welches ASFF-Feld ( AWS Security Finding Format) geändert wurde, wann die Änderung vorgenommen wurde und von welchem Benutzer. Neuere Änderungen werden zuerst angezeigt. Wenn Sie mit einem Security Hub-Administratorkonto angemeldet sind, bezieht sich der angezeigte Suchverlauf auf das Administratorkonto und alle Mitgliedskonten.
Der Suchverlauf umfasst Änderungen, die ein Benutzer manuell oder automatisch über die Security Hub Hub-Automatisierungsregeln vorgenommen hat. Der Suchverlauf beinhaltet jedoch keine Änderungen an Zeitstempelfeldern der obersten Ebene, wie
CreatedAt
z. B. und.UpdatedAt
- Registerkarte „Bedrohung“
Diese Registerkarte enthält Daten aus Action, Malware, und ProcessDetailsObjekte der ASFF, einschließlich der Art der Bedrohung und der Angabe, ob es sich bei einer Ressource um das Ziel oder den Akteur handelt. Dieses Objekt bezieht sich in der Regel auf Ergebnisse, die ihren Ursprung in Amazon haben GuardDuty.
- Registerkarte Sicherheitslücken
Auf dieser Registerkarte werden Daten aus dem angezeigt VulnerabilityObjekt des ASFF, einschließlich der Angabe, ob es Exploits oder verfügbare Fixes im Zusammenhang mit einem Befund gibt. Dieses Objekt bezieht sich in der Regel auf Ergebnisse, die ihren Ursprung in Amazon Inspector haben.
Die Zeilen in jeder Registerkarte enthalten eine Kopier- oder Filteroption. Wenn Sie sich beispielsweise im Fenster für ein Ergebnis befinden, das den Workflow-Status Benachrichtigt hat, können Sie die Filteroption neben der Zeile Workflow-Status auswählen. Wenn Sie Alle Ergebnisse mit diesem Wert anzeigen auswählen, wird die Ergebnisliste so gefiltert, dass nur Ergebnisse mit demselben Workflow-Status angezeigt werden.
Lesen Sie den folgenden Abschnitt, um zu erfahren, wie Sie auf diese Details für ein Ergebnis zugreifen können.
Anweisungen zur Überprüfung der Funddetails und des Verlaufs
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die Suchdetails in Security Hub anzuzeigen.
Wenn Sie die regionsübergreifende Aggregation aktivieren und sich bei der Aggregationsregion anmelden, umfasst die Suche nach Daten auch Daten aus der Aggregationsregion und verknüpften Regionen. In anderen Regionen ist das Suchen von Daten nur für diese Region spezifisch. Weitere Informationen zur regionsübergreifenden Aggregation finden Sie unter. Grundlegendes zur regionsübergreifenden Aggregation in Security Hub
Anmerkung
Wenn Sie Ergebnisse nach CompanyName
oder filternProductName
, verwendet Security Hub die Werte, die Teil des ProductFields
ASFF-Objekts sind. Security Hub verwendet nicht die ProductName
Felder der obersten Ebene CompanyName
und.