Überprüfung der Funddetails und des Suchverlaufs in Security Hub - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überprüfung der Funddetails und des Suchverlaufs in Security Hub

Bei AWS Security Hub einem Ergebnis handelt es sich um eine beobachtbare Aufzeichnung einer Sicherheitsüberprüfung oder einer sicherheitsrelevanten Entdeckung. Security Hub generiert ein Ergebnis, wenn es eine Sicherheitsüberprüfung einer Kontrolle abschließt und wenn es ein Ergebnis aus einem integrierten Produkt AWS-Service oder einem Drittanbieterprodukt aufnimmt. Jedes Ergebnis enthält eine Historie der Änderungen und weitere Details, wie z. B. eine Bewertung des Schweregrads und Informationen zu den betroffenen Ressourcen.

Sie können den Suchverlauf und andere Funddetails in der Security Hub Hub-Konsole und programmgesteuert über die Security Hub Hub-API und überprüfen. AWS CLI

Um Ihnen bei der Optimierung Ihrer Analyse zu helfen, öffnet die Security Hub Hub-Konsole ein Ergebnisfenster, wenn Sie ein bestimmtes Ergebnis auswählen. Das Fenster enthält verschiedene Menüs und Registerkarten zur Anzeige verschiedener Ergebnisdetails.

Menü „Aktionen“

In diesem Menü können Sie die vollständige JSON-Datei eines Befundes überprüfen oder Notizen hinzufügen. Einem Befund kann jeweils nicht mehr als eine Notiz angehängt werden. Dieses Menü bietet auch Optionen, um den Workflow-Status eines Ergebnisses festzulegen oder ein Ergebnis an eine benutzerdefinierte Aktion in Amazon zu senden EventBridge.

Menü „Untersuchen“

In diesem Menü können Sie einen Befund in Amazon Detective untersuchen. Detective extrahiert Entitäten wie IP-Adressen und AWS Benutzer aus einem Befund und visualisiert deren Aktivitäten. Sie können die Entitätsaktivität als Ausgangspunkt verwenden, um die Ursache und die Auswirkung eines Ergebnisses zu untersuchen.

Registerkarte Overview (Übersicht)

Diese Registerkarte enthält eine Zusammenfassung des Ergebnisses. Sie können beispielsweise sehen, wann das Ergebnis erstellt und zuletzt aktualisiert wurde, in welchem Konto es vorhanden ist und aus welcher Quelle das Ergebnis stammt. In der Security Hub Hub-Dokumentation finden Sie auch den Namen der zugehörigen AWS Config Regel und einen Link zu Anweisungen zur Problembehebung.

Im Ressourcen-Snapshot auf der Registerkarte Übersicht können Sie sich einen kurzen Überblick über die Ressourcen verschaffen, die an einem Befund beteiligt waren. Für einige Ressourcen bieten wir die Option „Ressource öffnen“ und eine betroffene Ressource direkt in der entsprechenden AWS-Service Konsole anzeigen zu lassen. Die Momentaufnahme des Verlaufs zeigt bis zu zwei Änderungen, die am letzten Tag, für den der Verlauf aufgezeichnet wird, an dem das Ergebnis vorgenommen wurde, vorgenommen wurden. Das Datum muss in die letzten 90 Tage fallen. Wenn Sie beispielsweise gestern und heute eine Änderung vorgenommen haben, zeigt der Snapshot nur die heutige Änderung. Um frühere Einträge anzuzeigen, wechseln Sie zur Registerkarte Verlauf.

Die Zeile Konformität wird erweitert, um weitere Details anzuzeigen. Für Steuerelemente, die Parameter enthalten, können Sie beispielsweise die aktuellen Parameterwerte sehen, die Security Hub bei der Durchführung von Sicherheitsüberprüfungen verwendet.

Registerkarte „Ressourcen“

Auf dieser Registerkarte finden Sie Einzelheiten zu den Ressourcen, die an einem Befund beteiligt waren. Wenn Sie bei dem Konto angemeldet sind, dem eine Ressource gehört, können Sie die Ressource in der entsprechenden AWS-Service Konsole anzeigen. Wenn Sie nicht der Besitzer einer Ressource sind, zeigt die Konsole die AWS-Konto ID des Besitzers an.

In der Zeile „Details“ werden ressourcenspezifische Details zu dem Ergebnis angezeigt, indem die ResourceDetailsAbschnitt des Finding-JSONs.

In der Zeile „Tags“ werden die Schlüssel- und Wertinformationen der Tags für die Ressourcen angezeigt, die an einem Ergebnis beteiligt sind. Ressourcen, die unterstützt werden von GetResources Der Betrieb der AWS Resource Groups Tagging-API kann mit Tags versehen werden. Security Hub ruft diesen Vorgang bei der Verarbeitung neuer oder aktualisierter Ergebnisse über die dienstverknüpfte Rolle auf und ruft die Ressourcen-Tags ab, wenn das Resource.Id Feld AWS Security Finding Format (ASFF) mit dem AWS Ressourcen-ARN gefüllt ist. Security Hub ignoriert ungültige Ressource IDs. Weitere Informationen zur Aufnahme von Ressourcen-Tags in Ergebnisse finden Sie unterTags.

Registerkarte „Suchverlauf“

Auf dieser Registerkarte wird der Verlauf eines Fundes in den letzten 90 Tagen nachverfolgt. Die Fundhistorie ist für aktive und archivierte Ergebnisse verfügbar. Es enthält eine unveränderliche Aufzeichnung der Änderungen, die im Laufe der Zeit an einem Ergebnis vorgenommen wurden, einschließlich der Änderung, welches ASFF-Feld ( AWS Security Finding Format) geändert wurde, wann die Änderung vorgenommen wurde und von welchem Benutzer. Neuere Änderungen werden zuerst angezeigt. Wenn Sie mit einem Security Hub-Administratorkonto angemeldet sind, bezieht sich der angezeigte Suchverlauf auf das Administratorkonto und alle Mitgliedskonten.

Der Suchverlauf umfasst Änderungen, die ein Benutzer manuell oder automatisch über die Security Hub Hub-Automatisierungsregeln vorgenommen hat. Der Suchverlauf beinhaltet jedoch keine Änderungen an Zeitstempelfeldern der obersten Ebene, wie CreatedAt z. B. und. UpdatedAt

Registerkarte „Bedrohung“

Diese Registerkarte enthält Daten aus Action, Malware, und ProcessDetailsObjekte der ASFF, einschließlich der Art der Bedrohung und der Angabe, ob es sich bei einer Ressource um das Ziel oder den Akteur handelt. Dieses Objekt bezieht sich in der Regel auf Ergebnisse, die ihren Ursprung in Amazon haben GuardDuty.

Registerkarte Sicherheitslücken

Auf dieser Registerkarte werden Daten aus dem angezeigt VulnerabilityObjekt des ASFF, einschließlich der Angabe, ob es Exploits oder verfügbare Fixes im Zusammenhang mit einem Befund gibt. Dieses Objekt bezieht sich in der Regel auf Ergebnisse, die ihren Ursprung in Amazon Inspector haben.

Die Zeilen in jeder Registerkarte enthalten eine Kopier- oder Filteroption. Wenn Sie sich beispielsweise im Fenster für ein Ergebnis befinden, das den Workflow-Status Benachrichtigt hat, können Sie die Filteroption neben der Zeile Workflow-Status auswählen. Wenn Sie Alle Ergebnisse mit diesem Wert anzeigen auswählen, wird die Ergebnisliste so gefiltert, dass nur Ergebnisse mit demselben Workflow-Status angezeigt werden.

Lesen Sie den folgenden Abschnitt, um zu erfahren, wie Sie auf diese Details für ein Ergebnis zugreifen können.

Anweisungen zur Überprüfung der Funddetails und des Verlaufs

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die Suchdetails in Security Hub anzuzeigen.

Wenn Sie die regionsübergreifende Aggregation aktivieren und sich bei der Aggregationsregion anmelden, umfasst die Suche nach Daten auch Daten aus der Aggregationsregion und verknüpften Regionen. In anderen Regionen ist das Suchen von Daten nur für diese Region spezifisch. Weitere Informationen zur regionsübergreifenden Aggregation finden Sie unter. Grundlegendes zur regionsübergreifenden Aggregation in Security Hub

Security Hub console
Überprüfung der Funddetails und des Verlaufs (Konsole)
  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

  2. Um eine Ergebnisliste anzuzeigen, führen Sie eine der folgenden Aktionen aus:

    • Wählen Sie im Security Hub-Navigationsbereich Findings aus. Fügen Sie nach Bedarf Suchfilter hinzu, um die Ergebnisliste einzugrenzen.

    • Wählen Sie im Security Hub-Navigationsbereich Insights aus. Wählen Sie einen Einblick aus. Wählen Sie dann in der Ergebnisliste ein Insight-Ergebnis aus.

    • Wählen Sie im Security Hub-Navigationsbereich Integrationen aus. Wählen Sie Ergebnisse für eine Integration anzeigen aus.

    • Wählen Sie im Security Hub-Navigationsbereich die Option Controls aus.

  3. Wählen Sie einen Titel für das Ergebnis aus.

  4. Führen Sie im Suchfenster einen der folgenden Schritte aus:

    • Wählen Sie das Menü „Aktionen“, um auf das Ergebnis zu reagieren.

    • Wählen Sie das Menü Untersuchen, um den Befund in Amazon Detective zu untersuchen.

    • Wählen Sie eine Registerkarte aus, um weitere Details zu dem Ergebnis anzuzeigen.

Anmerkung

Wenn Sie eine Integration durchführen AWS Organizations und es sich bei dem Konto, bei dem Sie angemeldet sind, um ein Mitgliedskonto einer Organisation handelt, enthält das Suchfeld den Kontonamen. Für Mitgliedskonten, die manuell und nicht über Organizations eingeladen werden, enthält das Suchfeld nur die Konto-ID.

Security Hub API

Überprüfung der Funddetails und des Verlaufs (API)

Verwenden der GetFindingsBetrieb der Security Hub Hub-API, oder wenn Sie die verwenden AWS CLI, führen Sie get-findingsBefehl.

Sie können einen oder mehrere Werte für den Filters Parameter angeben, um die Ergebnisse einzugrenzen, die Sie abrufen möchten.

Wenn das Volumen der Ergebnisse zu groß ist, können Sie den MaxResults Parameter verwenden, um die Ergebnisse auf eine bestimmte Anzahl zu beschränken, und den NextToken Parameter, um die Ergebnisse zu paginieren. Verwenden Sie den SortCriteria Parameter, um die Ergebnisse nach einem bestimmten Feld zu sortieren.

Wenn Sie die regionsübergreifende Aggregation aktiviert haben und diesen Vorgang von der Aggregationsregion aus aufrufen, enthalten die Ergebnisse Ergebnisse aus der Aggregation und verknüpften Regionen.

Der folgende CLI-Befehl ruft die Ergebnisse ab, die den bereitgestellten Filtern entsprechen, und sortiert sie in absteigender Reihenfolge des LastObservedAt Felds. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Um den Verlauf der Ergebnisse zu überprüfen, verwenden Sie GetFindingHistoryOperation. Wenn Sie das verwenden AWS CLI, führen Sie das aus get-finding-historyBefehl.

Identifizieren Sie das Ergebnis, für das Sie den Verlauf abrufen möchten, mit den Id Feldern ProductArn und. Weitere Informationen zu diesen Feldern finden Sie unter AwsSecurityFindingIdentifier. Sie können pro Anfrage nur den Verlauf für einen Befund abrufen.

Der folgende CLI-Befehl ruft den Verlauf für den angegebenen Befund ab. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securityhub get-finding-history \ --region us-west-2 \ --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \ --max-results 2 \ --start-time "2021-09-30T15:53:35.573Z" \ --end-time "2021-09-31T15:53:35.573Z"
PowerShell

Details zu den Ergebnissen werden überprüft () PowerShell

Verwenden Sie das Get-SHUBFinding Cmdlet.

Füllen Sie optional den Filter Parameter aus, um die Ergebnisse einzugrenzen, die Sie abrufen möchten.

Das folgende Cmdlet ruft die Ergebnisse ab, die den angegebenen Filtern entsprechen

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
Anmerkung

Wenn Sie Ergebnisse nach CompanyName oder filternProductName, verwendet Security Hub die Werte, die Teil des ProductFields ASFF-Objekts sind. Security Hub verwendet nicht die ProductName Felder der obersten Ebene CompanyName und.