Définition de l'état des résultats dans le flux de travail

Configuration de l'état du flux de travail en fonction des résultats du Security Hub

L'état du flux de travail permet de suivre la progression de votre enquête jusqu'à l'obtention d'un résultat. L'état du flux de travail est spécifique à une constatation individuelle. Cela n'affecte pas la génération de nouvelles découvertes. Par exemple, le fait de définir le statut du flux de travail d'un résultat sur SUPPRESSED ou non RESOLVED AWS Security Hub empêche de générer un nouveau résultat pour le même problème.

L'état du flux de travail peut prendre les valeurs suivantes :

NEW

État initial d'un résultat avant que vous ne l'examiniez.

Les résultats qui sont ingérés à partir d'un système intégré Services AWS AWS Config, par exemple, ont NEW pour statut initial.

Security Hub réinitialise également l'état du flux de travail à partir de NOTIFIED ou RESOLVED vers NEW dans les cas suivants :

RecordStatechange de ARCHIVED àACTIVE.
Compliance.Statuschange de PASSED à FAILEDWARNING, ouNOT_AVAILABLE.

Ces modifications impliquent qu'une enquête supplémentaire est requise.

NOTIFIED

Indique que vous avez informé le propriétaire de la ressource du problème de sécurité. Vous pouvez utiliser cet état lorsque vous n'êtes pas le propriétaire de la ressource et que vous avez besoin de son intervention pour résoudre un problème de sécurité.

Dans l'une des situations suivantes, le statut du flux de travail passe automatiquement de NOTIFIED à NEW :

RecordStatechange de ARCHIVED àACTIVE.
Compliance.Statuschange de PASSED à FAILEDWARNING, ouNOT_AVAILABLE.

SUPPRESSED

Indique que vous avez examiné le résultat et que vous pensez qu'aucune action n'est nécessaire.

L'état du flux de travail d'une SUPPRESSED recherche ne change pas si la RecordState valeur passe de ARCHIVED àACTIVE.

RESOLVED

Le résultat a été examiné et corrigé. Il est maintenant considéré comme résolu.

Le résultat est maintenu RESOLVED sauf si l'une des situations suivantes se produit :

RecordStatechange de ARCHIVED àACTIVE.
Compliance.Statuschange de PASSED à FAILEDWARNING, ouNOT_AVAILABLE.

Dans ces cas, le statut du flux de travail est automatiquement redéfini àNEW.

Si tel Compliance.Status est PASSED le cas, Security Hub définit automatiquement le statut du flux de travail surRESOLVED.

Définition de l'état des résultats dans le flux de travail

Choisissez votre méthode préférée et suivez les étapes pour définir le statut du flux de travail d'un ou de plusieurs résultats.

Pour mettre à jour automatiquement l'état du flux de travail en fonction de résultats spécifiques, voirComprendre les règles d'automatisation dans Security Hub.

Security Hub console

Pour définir le statut des résultats dans le flux de travail

Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.
Pour afficher une liste de recherche, effectuez l'une des opérations suivantes :
- Dans le volet de navigation du Security Hub, sélectionnez Findings.
- Dans le volet de navigation du Security Hub, sélectionnez Insights. Choisissez un aperçu. Ensuite, dans la liste des résultats, choisissez un résultat d'aperçu.
- Dans le volet de navigation de Security Hub, sélectionnez Integrations. Choisissez Voir les résultats pour une intégration.
- Dans le volet de navigation du Security Hub, sélectionnez Security standards. Choisissez Afficher les résultats pour afficher la liste des contrôles. Sélectionnez ensuite un contrôle pour voir la liste des résultats relatifs à ce contrôle.
Dans la liste des résultats, cochez la case correspondant à chaque résultat que vous souhaitez mettre à jour.
En haut de la liste, pour État du flux de travail, choisissez le statut.
Dans la boîte de dialogue Définir le statut du flux de travail, fournissez une note facultative détaillant la raison de la mise à jour de l'état du flux de travail. Choisissez Définir le statut.

Security Hub API

Invoquez le BatchUpdateFindingsAPI. Indiquez à la fois l'ID ARN de recherche et le produit qui a généré le résultat. Vous pouvez obtenir ces informations en invoquant le GetFindingsAPI.

AWS CLI

Exécutez la commande batch-update-findings. Indiquez à la fois l'ID ARN de recherche et le produit qui a généré le résultat. Vous pouvez obtenir ces informations en exécutant la get-findingscommande.


batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"

Exemple


aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Regroupement des résultats

Envoi de résultats à une action personnalisée