Ergebnisse in Security Hub erstellen und aktualisieren - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ergebnisse in Security Hub erstellen und aktualisieren

Bei AWS Security Hub einem Ergebnis handelt es sich um eine beobachtbare Aufzeichnung einer Sicherheitsüberprüfung oder einer sicherheitsrelevanten Entdeckung.

Ein Ergebnis kann aus einer der folgenden Quellen in Security Hub stammen:

  • Sicherheitsüberprüfung eines aktivierten Steuerelements in Security Hub

  • Eine aktivierte Integration mit einem anderen AWS-Service

  • Eine aktivierte Integration mit einem Drittanbieterprodukt

  • Eine benutzerdefinierte Integration

Nachdem ein Ergebnis erstellt wurde, kann der Findungsanbieter oder ein Security Hub Hub-Benutzer es wie folgt aktualisieren:

  • Der Findungsanbieter kann den verwenden BatchImportFindingsBetrieb des Security Hub API zur Aktualisierung der allgemeinen Informationen zu einem Befund. Ergebnisanbieter können nur Ergebnisse aktualisieren, die sie erstellt haben.

  • Der Kunde kann den BatchUpdateFindingsBetrieb des Security HubAPI, um den Stand der Untersuchung zu einem Ergebnis zu aktualisieren. BatchUpdateFindingskann auch von einem SIEM Tool für Ticketverkauf, Vorfallmanagement, Orchestrierung, Problembehebung oder im Auftrag des Kunden genutzt werden.

    Kunden können die Ergebnisse auch auf der Security Hub Hub-Konsole aktualisieren.

Security Hub normalisiert Ergebnisse aus allen Quellen in eine Standardsyntax und ein Standardformat, das als AWS Security Finding Format (ASFF) bezeichnet wird. Weitere Informationen zu finden Sie ASFF unterAWS Format für Sicherheitslücken (ASFF).

Security Hub löscht automatisch Ergebnisse, die in den letzten 90 Tagen nicht aktualisiert wurden. Insbesondere behält Security Hub einen vorhandenen Befund in einem Konto 90 Tage nach dem neuesten Wert des UpdatedAt ASFF Felds bei. Das Ergebnis wird für 90 Tage nach diesem Datum aufbewahrt, auch wenn Security Hub deaktiviert ist. Am Ende dieses Zeitraums von 90 Tagen löscht Security Hub den Befund dauerhaft aus dem Konto. Wenn Sie nach Anbietern suchen, können Sie den Wert des UpdatedAt Felds ändern, indem Sie BatchImportFindingsBetrieb des Security Hub API zur Aktualisierung eines Ergebnisses.

Wenn Sie die regionsübergreifende Aggregation aktivieren, aggregiert Security Hub automatisch neue und aktualisierte Ergebnisse aus den verknüpften Regionen in die Aggregationsregion. Weitere Informationen finden Sie unter Grundlegendes zur regionsübergreifenden Aggregation in Security Hub.