Meninjau detail penemuan dan menemukan riwayat di Security Hub - AWS Security Hub

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Meninjau detail penemuan dan menemukan riwayat di Security Hub

Dalam AWS Security Hub, temuan adalah catatan yang dapat diamati dari pemeriksaan keamanan atau deteksi terkait keamanan. Security Hub menghasilkan temuan ketika menyelesaikan pemeriksaan keamanan kontrol dan ketika menyerap temuan dari produk terintegrasi Layanan AWS atau pihak ketiga. Setiap temuan mencakup riwayat perubahan dan detail lainnya, seperti peringkat keparahan dan informasi tentang sumber daya yang terpengaruh.

Anda dapat meninjau riwayat pencarian dan detail temuan lainnya di konsol Security Hub dan secara terprogram melalui Security Hub API dan. AWS CLI

Untuk membantu Anda merampingkan analisis, konsol Security Hub membuka panel pencarian saat Anda memilih temuan tertentu. Panel mencakup berbagai menu dan tab untuk melihat detail temuan yang berbeda.

Menu tindakan

Dari menu ini, Anda dapat meninjau JSON lengkap temuan atau menambahkan catatan. Sebuah temuan dapat memiliki tidak lebih dari satu catatan yang melekat padanya pada suatu waktu. Menu ini juga menyediakan opsi untuk mengatur status alur kerja temuan atau mengirim temuan ke tindakan khusus di Amazon EventBridge.

Selidiki menu

Dari menu ini, Anda dapat menyelidiki temuan di Amazon Detective. Detective mengekstrak entitas, seperti alamat IP dan AWS pengguna, dari temuan dan memvisualisasikan aktivitas mereka. Anda dapat menggunakan aktivitas entitas sebagai titik awal untuk menyelidiki penyebab dan dampak temuan.

Tab Ikhtisar

Tab ini memberikan ringkasan temuan. Misalnya, Anda dapat melihat kapan temuan dibuat dan terakhir diperbarui, di akun mana itu ada, sumber temuan (misalnya, dari pemeriksaan kontrol atau integrasi), dan tautan ke instruksi perbaikan dalam dokumentasi Security Hub.

Pada snapshot Sumber Daya dalam tab Ikhtisar, Anda bisa mendapatkan gambaran singkat tentang sumber daya yang terlibat dalam temuan. Untuk beberapa sumber daya, kami menyertakan opsi untuk Membuka sumber daya dan langsung melihat sumber daya yang terkena dampak di Layanan AWS konsol yang relevan. Snapshot Sejarah menunjukkan hingga dua perubahan yang dibuat pada temuan pada tanggal terbaru di mana sejarah sedang dilacak. Tanggal harus jatuh dalam 90 hari terakhir. Sebagai contoh, jika Anda membuat satu perubahan kemarin dan satu hari ini, snapshot hanya menunjukkan perubahan hari ini. Untuk melihat entri sebelumnya, beralih ke tab History.

Baris Kepatuhan diperluas untuk menampilkan detail selengkapnya. Misalnya, untuk kontrol yang menyertakan parameter, Anda dapat melihat nilai parameter saat ini yang digunakan Security Hub saat melakukan pemeriksaan keamanan.

Tab sumber daya

Tab ini memberikan rincian tentang sumber daya yang terlibat dalam temuan. Jika Anda masuk ke akun yang memiliki sumber daya, Anda dapat melihat sumber daya di Layanan AWS konsol yang relevan. Jika Anda bukan pemilik sumber daya, konsol akan menampilkan Akun AWS ID pemilik.

Baris Detail menunjukkan detail spesifik sumber daya tentang temuan dengan menampilkan ResourceDetailsbagian dari temuanJSON.

Baris Tag menunjukkan kunci tag dan informasi nilai untuk sumber daya yang terlibat dalam temuan. Sumber daya yang didukung oleh GetResourcespengoperasian AWS Resource Groups Tagging API dapat ditandai. Security Hub memanggil operasi ini melalui peran terkait layanan saat memproses temuan baru atau yang diperbarui dan mengambil tag sumber daya jika Resource.Id bidang AWS Security Finding Format (ASFF) diisi dengan sumber daya. AWS ARN Security Hub mengabaikan sumber daya yang tidak valid. IDs Untuk informasi lebih lanjut tentang penyertaan tag sumber daya dalam temuan, lihatTanda.

Menemukan tab riwayat

Tab ini melacak riwayat temuan dalam 90 hari terakhir. Menemukan riwayat tersedia untuk temuan aktif dan diarsipkan. Ini memberikan jejak perubahan yang tidak dapat diubah yang dibuat pada temuan dari waktu ke waktu, termasuk bidang AWS Security Finding Format (ASFF) yang diubah, kapan perubahan terjadi, dan oleh pengguna mana. Perubahan yang lebih baru ditampilkan terlebih dahulu. Jika Anda masuk ke akun administrator Security Hub, riwayat pencarian yang ditampilkan adalah untuk akun administrator dan semua akun anggota.

Menemukan riwayat mencakup perubahan yang dilakukan pengguna secara manual atau otomatis melalui aturan otomatisasi Security Hub. Namun, menemukan riwayat tidak menyertakan perubahan pada bidang stempel waktu tingkat atas, seperti dan. CreatedAt UpdatedAt

Tab ancaman

Tab ini mencakup data dari Action, Malware, dan ProcessDetailsobjekASFF, termasuk jenis ancaman dan apakah sumber daya adalah target atau aktor. Objek ini biasanya berlaku untuk temuan yang berasal dari Amazon GuardDuty.

Tab Kerentanan

Tab ini menampilkan data dari VulnerabilityobjekASFF, termasuk apakah ada eksploitasi atau perbaikan yang tersedia terkait dengan temuan. Objek ini biasanya berlaku untuk temuan yang berasal dari Amazon Inspector.

Baris di setiap tab menyertakan opsi salin atau filter. Misalnya, jika Anda berada di panel untuk menemukan yang memiliki status alur kerja Notified, Anda dapat memilih opsi filter di sebelah baris status Alur Kerja. Jika Anda memilih Tampilkan semua temuan dengan nilai ini, filter daftar temuan sehingga hanya menampilkan temuan dengan status alur kerja yang sama.

Tinjau bagian berikut untuk memahami cara mengakses detail ini untuk sebuah temuan.

Petunjuk untuk meninjau detail dan riwayat temuan

Pilih metode yang Anda inginkan, dan ikuti langkah-langkah untuk melihat detail pencarian di Security Hub.

Jika Anda mengaktifkan agregasi lintas wilayah dan masuk ke Wilayah agregasi, menemukan data mencakup data dari Wilayah agregasi dan Wilayah tertaut. Di Wilayah lain, menemukan data khusus untuk Wilayah itu saja. Untuk informasi selengkapnya tentang agregasi lintas wilayah, lihat. Memahami agregasi lintas wilayah di Security Hub

Security Hub console
Meninjau detail dan riwayat penemuan (konsol)
  1. Buka AWS Security Hub konsol di https://console.aws.amazon.com/securityhub/.

  2. Untuk menampilkan daftar temuan, lakukan salah satu tindakan berikut:

    • Di panel navigasi Security Hub, pilih Temuan. Tambahkan filter pencarian seperlunya untuk mempersempit daftar temuan.

    • Di panel navigasi Security Hub, pilih Wawasan. Pilih wawasan. Kemudian pada daftar hasil, pilih hasil wawasan.

    • Di panel navigasi Security Hub, pilih Integrasi. Pilih Lihat temuan untuk integrasi.

    • Di panel navigasi Security Hub, pilih Kontrol.

  3. Pilih judul temuan.

  4. Pada panel pencarian, lakukan salah satu hal berikut:

    • Pilih menu Tindakan untuk mengambil tindakan pada temuan.

    • Pilih menu Selidiki untuk menyelidiki temuan di Amazon Detective.

    • Pilih tab untuk melihat detail lebih lanjut tentang temuan.

catatan

Jika Anda mengintegrasikan AWS Organizations dan akun yang Anda masuki adalah akun anggota organisasi, panel pencarian menyertakan nama akun. Untuk akun anggota yang diundang secara manual dan bukan melalui Organizations, panel pencarian hanya menyertakan ID akun.

Security Hub API

Meninjau rincian temuan dan riwayat () API

Gunakan GetFindingspengoperasian Security HubAPI, atau jika Anda menggunakan AWS CLI, jalankan get-findingsperintah.

Anda dapat memberikan satu atau lebih nilai untuk Filters parameter untuk mempersempit temuan yang ingin Anda ambil.

Jika volume hasil terlalu besar, Anda dapat menggunakan MaxResults parameter untuk membatasi temuan ke angka tertentu dan NextToken parameter untuk membuat halaman temuan. Gunakan SortCriteria parameter untuk mengurutkan temuan berdasarkan bidang tertentu.

Jika Anda telah mengaktifkan agregasi lintas wilayah dan menjalankan operasi ini dari Wilayah agregasi, hasilnya menyertakan temuan dari agregasi dan Wilayah tertaut.

CLIPerintah berikut mengambil temuan yang cocok dengan filter yang disediakan dan mengurutkannya dalam urutan bidang yang menurun. LastObservedAt Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

$ aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Untuk meninjau riwayat penemuan, gunakan GetFindingHistoryoperasi. Jika Anda menggunakan AWS CLI, jalankan get-finding-historyperintah.

Identifikasi temuan yang ingin Anda dapatkan riwayat dengan Id bidang ProductArn dan. Untuk informasi selengkapnya tentang bidang ini, lihat AwsSecurityFindingIdentifier. Anda hanya bisa mendapatkan riwayat untuk satu temuan per permintaan.

CLIPerintah berikut mengambil riwayat untuk temuan yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\) untuk meningkatkan keterbacaan.

$ aws securityhub get-finding-history \ --region us-west-2 \ --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \ --max-results 2 \ --start-time "2021-09-30T15:53:35.573Z" \ --end-time "2021-09-31T15:53:35.573Z"
PowerShell

Meninjau rincian temuan () PowerShell

Gunakan Get-SHUBFinding cmdlet.

Secara opsional, isi Filter parameter untuk mempersempit temuan yang ingin Anda ambil.

Cmdlet berikut mengambil temuan yang cocok dengan filter yang disediakan

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
catatan

Saat Anda memfilter temuan berdasarkan CompanyName atauProductName, Security Hub menggunakan nilai yang merupakan bagian dari ProductFields ASFF objek. Security Hub tidak menggunakan top-level CompanyName dan ProductName field.