Révision des informations de recherche et de l'historique des recherches dans Security Hub - AWS Security Hub
Instructions pour consulter les détails et l'historique des recherches

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Révision des informations de recherche et de l'historique des recherches dans Security Hub

Dans AWS Security Hub, une constatation est un enregistrement observable d'un contrôle de sécurité ou d'une détection liée à la sécurité. Security Hub génère un résultat lorsqu'il effectue un contrôle de sécurité d'un contrôle et lorsqu'il ingère un résultat provenant d'un produit intégré Service AWS ou tiers. Chaque constatation inclut un historique des modifications et d'autres détails, tels qu'une note de gravité et des informations sur les ressources concernées.

Vous pouvez consulter l'historique des recherches et d'autres informations sur les recherches sur la console Security Hub et par programmation via Security Hub API et. AWS CLI

Pour vous aider à rationaliser votre analyse, la console Security Hub ouvre un panneau de recherche lorsque vous sélectionnez un résultat spécifique. Le panneau comprend différents menus et onglets permettant d'afficher les différents détails des recherches.

Menu d'actions

Dans ce menu, vous pouvez consulter l'intégralité JSON d'une recherche ou ajouter des notes. Une constatation ne peut pas être associée à plus d'une note à la fois. Ce menu propose également des options permettant de définir le statut du flux de travail d'une recherche ou d'envoyer une constatation à une action personnalisée sur Amazon EventBridge.

Menu Enquêter

Dans ce menu, vous pouvez rechercher une découverte dans Amazon Detective. Detective extrait des entités, telles que les adresses IP et AWS les utilisateurs, d'une découverte et visualise leur activité. Vous pouvez utiliser l'activité de l'entité comme point de départ pour étudier la cause et l'impact d'un résultat.

Onglet Overview (Présentation)

Cet onglet fournit un résumé des résultats. Par exemple, vous pouvez voir quand le résultat a été créé et mis à jour pour la dernière fois, dans quel compte il existe, la source du résultat (par exemple, à partir d'un contrôle ou d'une intégration) et un lien vers les instructions de correction dans la documentation de Security Hub.

Dans l'instantané des ressources de l'onglet Vue d'ensemble, vous pouvez obtenir un bref aperçu des ressources impliquées dans une recherche. Pour certaines ressources, nous incluons une option permettant d'ouvrir la ressource et d'afficher directement une ressource affectée dans la Service AWS console correspondante. L'instantané de l'historique affiche jusqu'à deux modifications apportées au résultat à la date la plus récente pour laquelle l'historique est suivi. La date doit se situer dans les 90 derniers jours. Par exemple, si vous avez apporté une modification hier et une modification aujourd'hui, l'instantané ne montre que la modification d'aujourd'hui. Pour consulter les entrées précédentes, passez à l'onglet Historique.

La ligne Conformité s'agrandit pour afficher plus de détails. Par exemple, pour les contrôles qui incluent des paramètres, vous pouvez voir les valeurs de paramètres actuelles utilisées par Security Hub lors des contrôles de sécurité.

Onglet Ressources

Cet onglet fournit des détails sur les ressources impliquées dans une recherche. Si vous êtes connecté au compte propriétaire d'une ressource, vous pouvez consulter la ressource dans la Service AWS console correspondante. Si vous n'êtes pas propriétaire d'une ressource, la console affiche l' Compte AWS identifiant du propriétaire.

La ligne Détails affiche des détails spécifiques à la ressource concernant la découverte en affichant le ResourceDetailssection de la constatationJSON.

La ligne Tags affiche les informations relatives à la clé et à la valeur des balises pour les ressources impliquées dans une recherche. Ressources soutenues par le GetResources le fonctionnement du AWS Resource Groups balisage API peut être étiqueté. Security Hub appelle cette opération via le rôle lié au service lors du traitement de résultats nouveaux ou mis à jour et récupère les balises de ressource si le Resource.Id champ AWS Security Finding Format (ASFF) est renseigné avec la ressource. AWS ARN Security Hub ignore les ressources IDs non valides. Pour plus d'informations sur l'inclusion de balises de ressources dans les résultats, consultezBalises.

onglet Rechercher l'historique

Cet onglet permet de suivre l'historique d'une découverte au cours des 90 derniers jours. L'historique des recherches est disponible pour les résultats actifs et archivés. Il fournit une trace immuable des modifications apportées à un résultat au fil du temps, y compris le champ AWS Security Finding Format (ASFF) modifié, le moment où le changement s'est produit et par quel utilisateur. Les modifications les plus récentes sont affichées en premier. Si vous êtes connecté à un compte administrateur Security Hub, l'historique des recherches affiché concerne le compte administrateur et tous les comptes membres.

La recherche de l'historique inclut les modifications effectuées manuellement ou automatiquement par un utilisateur via les règles d'automatisation du Security Hub. Cependant, la recherche de l'historique n'inclut pas les modifications apportées aux champs d'horodatage de haut niveau, tels que et. CreatedAt UpdatedAt

Onglet Menace

Cet onglet inclut les données du Action, Malware, et ProcessDetailsles objets duASFF, y compris le type de menace et si une ressource est la cible ou l'acteur. Cet objet s'applique généralement aux résultats provenant d'Amazon GuardDuty.

onglet Vulnérabilités

Cet onglet affiche les données du Vulnerabilityobjet duASFF, notamment s'il existe des exploits ou des correctifs disponibles associés à une découverte. Cet objet s'applique généralement aux résultats provenant d'Amazon Inspector.

Les lignes de chaque onglet incluent une option de copie ou de filtre. Par exemple, si vous êtes sur le panneau d'une découverte dont le statut du flux de travail est Notifié, vous pouvez choisir l'option de filtre à côté de la ligne d'état du flux de travail. Si vous choisissez Afficher tous les résultats avec cette valeur, la liste des résultats est filtrée afin qu'elle n'affiche que les résultats ayant le même statut de flux de travail.

Consultez la section suivante pour savoir comment accéder à ces informations pour effectuer une recherche.

Instructions pour consulter les détails et l'historique des recherches

Choisissez votre méthode préférée et suivez les étapes pour afficher les informations de recherche dans Security Hub.

Si vous activez l'agrégation entre régions et que vous vous connectez à la région d'agrégation, la recherche de données inclut les données provenant de la région d'agrégation et des régions liées. Dans d'autres régions, la recherche de données est spécifique à cette région uniquement. Pour plus d'informations sur l'agrégation entre régions, consultezComprendre l'agrégation entre régions dans Security Hub.

Security Hub console
Révision des détails des recherches et de l'historique (console)

  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Pour afficher une liste de résultats, effectuez l'une des actions suivantes :

    • Dans le volet de navigation du Security Hub, sélectionnez Findings. Ajoutez des filtres de recherche si nécessaire pour affiner la liste des résultats.

    • Dans le volet de navigation du Security Hub, sélectionnez Insights. Choisissez un aperçu. Ensuite, dans la liste des résultats, choisissez un résultat d'aperçu.

    • Dans le volet de navigation de Security Hub, sélectionnez Integrations. Choisissez Voir les résultats pour une intégration.

    • Dans le volet de navigation du Security Hub, sélectionnez Controls.

  3. Sélectionnez un titre de recherche.

  4. Dans le panneau de recherche, effectuez l'une des opérations suivantes :

    • Choisissez le menu Actions pour agir sur la base du résultat.

    • Choisissez le menu Investiguer pour étudier le résultat dans Amazon Detective.

    • Sélectionnez un onglet pour afficher plus de détails sur le résultat.

Note

Si vous effectuez l'intégration AWS Organizations et que le compte auquel vous êtes connecté est un compte membre de l'organisation, le panneau de recherche inclut le nom du compte. Pour les comptes de membres invités manuellement plutôt que par le biais d'Organizations, le panneau de recherche inclut uniquement l'identifiant du compte.

Security Hub API

Révision des détails des recherches et de l'historique (API)

Utilisation de la GetFindingsfonctionnement du Security HubAPI, ou si vous utilisez le AWS CLI, exécutez le get-findingscommande.

Vous pouvez fournir une ou plusieurs valeurs pour le Filters paramètre afin de limiter les résultats que vous souhaitez récupérer.

Si le volume de résultats est trop important, vous pouvez utiliser le MaxResults paramètre pour limiter les résultats à un nombre spécifié et le NextToken paramètre pour paginer les résultats. Utilisez le SortCriteria paramètre pour trier les résultats selon un champ spécifique.

Si vous avez activé l'agrégation entre régions et que vous invoquez cette opération depuis la région d'agrégation, les résultats incluent les résultats de l'agrégation et des régions liées.

La CLI commande suivante récupère les résultats correspondant aux filtres fournis et les trie par ordre décroissant du LastObservedAt champ. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Pour consulter l'historique des recherches, utilisez le GetFindingHistoryopération. Si vous utilisez le AWS CLI, exécutez get-finding-historycommande.

Identifiez le résultat dont vous souhaitez obtenir un historique à l'aide des Id champs ProductArn et. Pour plus d'informations sur ces champs, voir AwsSecurityFindingIdentifier. Vous ne pouvez obtenir l'historique que pour une seule recherche par demande.

La CLI commande suivante permet de récupérer l'historique du résultat spécifié. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
PowerShell

Révision des informations de recherche (PowerShell)

Utilisez l'Get-SHUBFindingapplet de commande.

Vous pouvez éventuellement renseigner le Filter paramètre pour affiner les résultats que vous souhaitez récupérer.

L'applet de commande suivante récupère les résultats correspondant aux filtres fournis.

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
Note

Lorsque vous filtrez les résultats par CompanyName ouProductName, Security Hub utilise les valeurs qui font partie de l'ProductFieldsASFFobjet. Security Hub n'utilise pas le niveau supérieur ni CompanyName les ProductName champs.