Security Hub에서 조사 결과 세부 정보 및 조사 결과 기록 검토 - AWS Security Hub
조사 결과 세부 정보 및 기록 검토 지침

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Hub에서 조사 결과 세부 정보 및 조사 결과 기록 검토

에서 AWS Security Hub조사 결과는 보안 검사 또는 보안 관련 탐지에 대한 관찰 가능한 레코드입니다. Security Hub는 제어의 보안 검사를 완료하고 통합 AWS 서비스 또는 타사 제품에서 결과를 수집할 때 결과를 생성합니다. 각 조사 결과에는 변경 기록과 심각도 등급 및 영향을 받는 리소스에 대한 정보와 같은 기타 세부 정보가 포함됩니다.

Security Hub API 및 AWS CLI을(를) 통해 Security Hub 콘솔 및 프로그래밍 방식으로 조사 결과 기록 및 기타 조사 결과 세부 정보를 검토할 수 있습니다.

분석을 간소화하는 데 도움이 되도록 Security Hub 콘솔은 특정 조사 결과를 선택할 때 조사 결과 패널을 엽니다. 패널에는 다양한 조사 결과 세부 정보를 볼 수 있는 다양한 메뉴와 탭이 포함되어 있습니다.

실행 메뉴

이 메뉴에서 조사 결과의 전체 JSON을 검토하거나 메모를 추가할 수 있습니다. 조사 결과에는 한 번에 하나 이상의 메모를 연결할 수 없습니다. 또한 이 메뉴는 조사 결과의 워크플로 상태를 설정하거나 Amazon EventBridge의 사용자 지정 작업에 조사 결과를 전송하는 옵션을 제공합니다.

메뉴 조사

이 메뉴에서 Amazon Detective의 조사 결과를 조사할 수 있습니다. Detective는 조사 결과에서 IP 주소 및 AWS 사용자와 같은 개체를 추출하고 활동을 시각화합니다. 엔티티 활동을 시작점으로 사용하여 조사 결과의 원인과 영향을 조사할 수 있습니다.

개요 탭

이 탭은 조사 결과에 대한 요약을 제공합니다. 예를 들어 조사 결과가 생성되고 마지막으로 업데이트된 시기, 조사 결과가 존재하는 계정 및 조사 결과의 소스를 확인할 수 있습니다. 제어 조사 결과는 Security Hub 설명서에서 관련 AWS Config 규칙의 이름과 문제 해결 지침에 대한 링크를 참조할 수도 있습니다.

개요 탭의 리소스 스냅샷에서 조사 결과에 관련된 리소스에 대한 간략한 개요를 확인할 수 있습니다. 일부 리소스의 경우 리소스를 열고 관련 AWS 서비스 콘솔에서 영향을 받는 리소스를 직접 볼 수 있는 옵션이 포함되어 있습니다. 기록 스냅샷은 기록이 추적되는 가장 최근 날짜에 조사 결과에 대한 최대 2개의 변경 사항을 표시합니다. 날짜는 지난 90일 이내여야 합니다. 예를 들어, 어제 한 번 변경하고 오늘 한 번 변경한 경우, 스냅샷에는 오늘의 변경만 표시됩니다. 이전 항목을 보려면 기록 탭으로 전환합니다.

규정 준수 행이 확장되면서 세부 정보가 표시됩니다. 예를 들어, 파라미터가 포함된 제어의 경우, Security Hub가 보안 검사를 수행할 때 사용하는 현재 파라미터 값을 볼 수 있습니다.

리소스 탭

이 탭은 조사 결과에 관련된 리소스에 대한 세부 정보를 제공합니다. 리소스를 소유한 계정에 로그인한 경우 관련 AWS 서비스 콘솔에서 리소스를 볼 수 있습니다. 리소스 소유자가 아닌 경우 콘솔에 소유자의 AWS 계정 ID가 표시됩니다.

세부 정보 행에는 조사 결과 JSON의 ResourceDetails 섹션을 표시하여 조사 결과에 대한 리소스별 세부 정보가 표시됩니다.

태그 행에는 조사 결과에 관련된 리소스의 태그 키 및 값 정보가 표시됩니다. 태깅 API의 GetResources 작업에서 지원하는 리소스에 AWS Resource Groups 태그를 지정할 수 있습니다. Security Hub는 새 결과 또는 업데이트된 결과를 처리할 때 서비스 연결 역할을 통해이 작업을 호출하고 AWS Security Finding Format(ASFF) Resource.Id 필드가 리소스 ARN으로 채워진 경우 AWS 리소스 태그를 검색합니다. Security Hub는 잘못된 리소스 ID를 무시합니다. 조사 결과에 리소스 태그를 포함하는 방법에 대한 자세한 내용은 Tags 섹션을 참조하세요.

조사 결과 기록 탭

이 탭은 지난 90일 동안의 조사 결과 기록을 추적합니다. 조사 결과 기록은 활성 및 보관된 조사 결과 기록에 사용할 수 있습니다. 이는 AWS Security Finding Format(ASFF) 필드 변경 내용, 발생 시기, 어떤 사용자에 의해 이루어졌는지를 포함하여 시간이 지남에 따라 조사 결과에 적용된 변경 사항에 대한 불변의 추적을 제공합니다. 최신 변경 사항이 먼저 표시됩니다. Security Hub 관리자 계정으로 로그인한 경우, 관리자 계정 및 모든 멤버 계정의 조사 결과 기록을 가져올 수 있습니다.

조사 결과 기록에는 사용자가 Security Hub 자동화 규칙을 통해 수동으로 또는 자동으로 수행한 변경 사항이 포함됩니다. 그러나 조사 결과 기록에는 CreatedAtUpdatedAt와 같은 최상위 타임스탬프 필드에 대한 변경 사항은 포함되지 않습니다.

위협 탭

이 탭에는 위협 유형 및 리소스가 대상인지 또는 공격자인지 여부를 포함하여 ASFF의Action, Malware, 및 ProcessDetails 객체에서 얻은 데이터가 포함됩니다. 이 객체는 일반적으로 Amazon GuardDuty에서 시작된 조사 결과에 적용됩니다.

취약성 탭

이 탭은 조사 결과와 관련된 악용 또는 사용 가능한 수정 사항이 있는지 여부를 포함하여 ASFF의 Vulnerability 객체의 데이터를 표시합니다. 이 객체는 일반적으로 Amazon Inspector에서 시작된 조사 결과에 적용됩니다.

각 탭의 행에는 복사 또는 필터 옵션이 포함됩니다. 예를 들어, 워크플로 상태가 알림인 조사 결과의 패널에 있는 경우, 워크플로 상태 행 옆에 있는 필터 옵션을 선택할 수 있습니다. 이 값을 사용하여 모든 조사 결과 표시를 선택하면 조사 결과 목록이 필터링되어 워크플로 상태가 동일한 조사 결과만 표시됩니다.

다음 섹션을 검토하여 조사 결과에 대한 이러한 세부 정보에 액세스하는 방법을 알아봅니다.

조사 결과 세부 정보 및 기록 검토 지침

원하는 방법을 선택하고 단계에 따라 Security Hub의 조사 결과 세부 정보를 보세요.

교차 리전 집계를 활성화하고 집계 리전에 로그인하는 경우, 조사 결과에는 집계 리전 및 연결된 리전의 조사 결과 데이터가 포함됩니다. 다른 리전에서는 조사 결과 데이터가 해당 리전에만 적용됩니다. 교차 리전 집계 활성화에 대한 자세한 내용은 Security Hub의 교차 리전 집계 이해 섹션을 참조하세요.

Security Hub console
조사 결과 세부 정보 및 기록 검토(콘솔)

  1. https://console.aws.amazon.com/securityhub/ AWS Security Hub 콘솔을 엽니다.

  2. 조사 결과 목록을 표시하려면 다음 중 하나를 수행하세요.

    • Security Hub 탐색 창에서 조사 결과를 선택합니다. 필요에 따라 검색 필터를 추가하여 조사 결과 목록을 좁힙니다.

    • Security Hub 탐색 창에서 인사이트를 선택합니다. 인사이트를 선택합니다. 그런 다음 결과 목록에서 인사이트 결과를 선택합니다.

    • Security Hub 탐색 창에서 통합을 선택합니다. 통합에 대해 조사 결과 보기를 선택합니다.

    • Security Hub 탐색 창에서 제어를 선택합니다.

  3. 조사 결과 제목을 선택합니다.

  4. 조사 결과 패널에서 다음 중 하나를 수행합니다.

    • 작업 메뉴를 선택하여 조사 결과에 대한 조치를 취합니다.

    • 조사 메뉴를 선택하여 Amazon Detective에서 조사 결과를 조사합니다.

    • 조사 결과에 대한 자세한 내용을 보려면 탭을 선택합니다.

참고

를와 통합 AWS Organizations 하고 로그인한 계정이 조직 멤버 계정인 경우 조사 결과 패널에 계정 이름이 포함됩니다. Organizations를 통하지 않고 수동으로 초대된 멤버 계정의 경우, 조사 결과 패널에 계정 ID만 포함됩니다.

Security Hub API

조사 결과 세부 정보 및 기록 검토(API)

Security Hub API의 GetFindings 작업을 사용하거나를 사용하는 경우 get-findings 명령을 AWS CLI실행합니다.

Filters 파라미터에 하나 이상의 값을 제공하여 검색하려는 조사 결과의 범위를 좁힐 수 있습니다.

결과의 양이 너무 많으면 MaxResults 파라미터를 사용하여 조사 결과를 지정된 수로 제한하고 NextToken 파라미터를 사용하여 조사 결과의 페이지를 매길 수 있습니다. SortCriteria 파라미터를 사용해 특정 필드를 기준으로 조사 결과를 정렬할 수 있습니다.

교차 리전 집계를 활성화하고 집계 리전에서 이 작업을 호출한 경우, 조사 결과에는 집계 및 연결된 리전의 조사 결과가 포함됩니다.

다음 CLI 명령은 제공된 필터와 일치하는 조사 결과를 검색하고 LastObservedAt 필드의 내림차순으로 정렬합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\) 줄 연속 문자를 사용합니다.

$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

조사 결과 기록을 검토하려면 GetFindingHistory 작업을 사용합니다. 를 사용하는 경우 get-finding-history 명령을 AWS CLI실행합니다.

ProductArnId 필드를 사용하여 기록을 가져오려는 조사 결과를 식별합니다. 필드에 대한 자세한 내용은 AwsSecurityFindingIdentifier 섹션을 참조하세요. 요청당 하나의 조사 결과에 대한 기록만 가져올 수 있습니다.

다음 CLI 명령은 지정된 조사 결과에 대한 기록을 검색합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\) 줄 연속 문자를 사용합니다.

$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
PowerShell

조사 결과 세부 정보 검토(PowerShell)

Get-SHUBFinding cmdlet을 사용하세요.

선택적으로 Filter 파라미터를 채워 검색하려는 조사 결과의 범위를 좁힙니다.

다음 cmdlet은 제공된 필터와 일치하는 조사 결과를 검색합니다.

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
참고

CompanyName 또는 ProductName 기준으로 조사 결과를 필터링하면 Security Hub는 ProductFields ASFF 객체에 있는 값을 사용합니다. Security Hub는 최상위 CompanyNameProductName 필드를 사용하지 않습니다.