기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Security Hub CSPM에서 조사 결과 세부 정보 및 기록 검토
<a name="securityhub-findings-viewing"></a>

 AWS Security Hub CSPM에서 *결과는* 보안 검사 또는 보안 관련 탐지에 대한 관찰 가능한 레코드입니다. Security Hub CSPM은 제어의 보안 검사를 완료하고 통합 AWS 서비스 또는 서드 파티 제품에서 조사 결과를 수집할 때 조사 결과를 생성합니다. 각 조사 결과에는 변경 기록과 심각도 등급 및 영향을 받는 리소스에 대한 정보와 같은 기타 세부 정보가 포함됩니다.

Security Hub CSPM 콘솔에서 또는 Security Hub CSPM API 및 AWS CLI를 통해 프로그래밍 방식으로 개별 조사 결과의 기록 및 기타 세부 정보를 검토할 수 있습니다.

분석을 간소화하는 데 도움이 되도록 Security Hub CSPM 콘솔은 특정 조사 결과를 선택할 때 조사 결과 패널을 표시합니다. 이 패널에는 다양한 조사 결과의 세부 정보를 볼 수 있는 다양한 메뉴 및 탭이 포함되어 있습니다.

**실행 메뉴**  
이 메뉴에서 조사 결과의 전체 JSON을 검토하거나 메모를 추가할 수 있습니다. 조사 결과에는 한 번에 하나의 메모만 연결할 수 없습니다. 또한 이 메뉴는 [조사 결과의 워크플로 상태를 설정](findings-workflow-status.md)하거나 Amazon EventBridge의 [사용자 지정 작업에 조사 결과를 전송](findings-custom-action.md)하는 옵션을 제공합니다.

**메뉴 조사**  
이 메뉴에서 Amazon Detective의 조사 결과를 조사할 수 있습니다. Detective는 조사 결과에서 IP 주소 및 AWS 사용자와 같은 개체를 추출하고 활동을 시각화합니다. 엔티티 활동을 시작점으로 사용하여 조사 결과의 원인과 영향을 조사할 수 있습니다.

**개요 탭**  
이 탭은 조사 결과에 대한 요약을 제공합니다. 예를 들어 조사 결과가 생성 및 마지막으로 업데이트된 시점, 조사 결과가 있는 계정 및 조사 결과의 소스를 확인할 수 있습니다. 제어 조사 결과의 경우 이 탭에는 연결된 AWS Config 규칙 이름과 Security Hub CSPM 설명서의 문제 해결 지침에 대한 링크도 표시됩니다.  
**개요** 탭의 **리소스** 스냅샷에서 조사 결과에 관련된 리소스에 대한 간략한 개요를 확인할 수 있습니다. 일부 리소스의 경우 여기에는 관련 AWS 서비스 콘솔의 영향을 받는 리소스에 직접 연결되는 **리소스 열기** 옵션이 포함됩니다. **기록** 스냅샷은 기록이 추적되는 가장 최근 날짜에 조사 결과에 대한 최대 2개의 변경 사항을 표시합니다. 예를 들어, 어제 한 번 변경하고 오늘 다시 한 번 변경한 경우, 스냅샷에는 오늘의 변경 사항만 표시됩니다. 이전 항목을 보려면 **기록** 탭으로 전환합니다.  
**규정 준수** 행이 확장되면서 세부 정보가 표시됩니다. 예를 들어, 제어에 파라미터가 포함된 경우, Security Hub CSPM이 보안 검사를 실행할 때 현재 사용하는 파라미터 값을 검토할 수 있습니다.

**리소스 탭**  
이 탭은 조사 결과에 관련된 리소스에 대한 세부 정보를 제공합니다. 리소스를 소유한 계정에 로그인한 경우 해당 AWS 서비스 콘솔에서 리소스를 검토할 수 있습니다. 리소스 소유자가 아닌 경우이 탭에는 소유자의 AWS 계정 ID가 표시됩니다.  
**세부 정보** 행에는 조사 결과의 리소스별 세부 정보가 표시됩니다. 이 행은 조사 결과의 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html) 섹션을 JSON 형식으로 보여줍니다.  
**태그** 행에는 조사 결과와 관련된 리소스에 할당된 태그 키 및 값이 표시됩니다. 태깅 API[의 GetResources 작업](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html)에서 지원되는 리소스에 AWS Resource Groups 태그를 지정할 수 있습니다. Security Hub CSPM은 새로운 또는 업데이트된 조사 결과를 처리할 때 [서비스 연결 역할](using-service-linked-roles.md)을 통해 이 작업을 직접 호출하고, AWS Security Finding Format(ASFF) `Resource.Id` 필드에 리소스 ARN이 입력되어 있으면 리소스 태그를 검색합니다. Security Hub CSPM은 잘못된 리소스 ID를 무시합니다. 조사 결과에 리소스 태그를 포함하는 방법에 대한 자세한 내용은 [Tags](asff-resources-attributes.md#asff-resources-tags) 섹션을 참조하세요.

**기록 탭**  
이 탭은 조사 결과의 기록을 추적합니다. 조사 결과 기록은 활성 및 보관된 조사 결과 기록에 사용할 수 있습니다. 이는 ASFF 필드 변경 내용, 변경 시점, 해당 사용자를 포함하여 시간이 지남에 따라 조사 결과에 적용된 변경 사항에 대한 불변의 추적을 제공합니다. 이 탭의 각 페이지에는 최대 20개의 변경 사항이 표시됩니다. 최신 변경 사항이 먼저 표시됩니다.  
활성 조사 결과의 경우 조사 결과 기록을 최대 90일 동안 사용할 수 있습니다. 보관된 조사 결과의 경우 조사 결과 기록을 최대 30일 동안 사용할 수 있습니다. 조사 결과 기록에는 수동으로 또는 [Security Hub CSPM 자동화 규칙](automation-rules.md)을 통해 자동으로 수행한 변경 사항이 포함됩니다. 여기에는 `CreatedAt` 및 `UpdatedAt`와 같은 최상위 타임스탬프 필드에 대한 변경 사항은 포함되지 않습니다.  
Security Hub CSPM 관리자 계정으로 로그인한 경우, 조사 결과 기록에는 관리자 계정 및 모든 멤버 계정이 포함됩니다.

**위협 탭**  
이 탭에는 위협 유형 및 리소스가 대상인지 또는 공격자인지 여부를 포함하여 ASFF의 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html), [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html) 및 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html) 객체에서 얻은 데이터가 포함됩니다. 이러한 세부 정보는 일반적으로 Amazon GuardDuty에서 시작된 조사 결과에 적용됩니다.

**취약성 탭**  
이 탭은 조사 결과와 관련된 악용 또는 사용 가능한 수정 사항이 있는지 여부를 포함하여 ASFF의 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html) 객체의 데이터를 표시합니다. 이러한 세부 정보는 일반적으로 Amazon Inspector에서 시작된 조사 결과에 적용됩니다.

각 탭의 행에는 복사 또는 필터 옵션이 포함됩니다. 예를 들어, 워크플로 상태가 **알림**인 조사 결과의 패널을 여는 경우, **워크플로 상태** 행 옆에 있는 필터 옵션을 선택할 수 있습니다. **이 값을 사용하여 모든 조사 결과 표시**를 선택하면 Security Hub CSPM이 조사 결과 테이블을 필터링하여 워크플로 상태가 동일한 조사 결과만 표시합니다.

## 조사 결과 세부 정보 및 기록 검토
<a name="finding-view-details-console"></a>

원하는 방법을 선택하고 단계에 따라 Security Hub CSPM의 조사 결과 세부 정보를 검토하세요.

교차 리전 집계를 활성화하고 집계 리전에 로그인하는 경우, 조사 결과에는 집계 리전 및 연결된 리전의 조사 결과 데이터가 포함됩니다. 다른 리전에서는 조사 결과 데이터가 해당 리전에만 적용됩니다. 교차 리전 집계 활성화에 대한 자세한 내용은 [Security Hub CSPM의 교차 리전 집계 이해](finding-aggregation.md) 섹션을 참조하세요.

------
#### [ Security Hub CSPM console ]

**조사 결과 세부 정보 및 기록 검토**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

1. 조사 결과 목록을 표시하려면 다음 중 하나를 수행하세요.
   + 탐색 창에서 **조사 결과**를 선택합니다. 필요에 따라 검색 필터를 추가하여 조사 결과 목록의 범위를 좁힙니다.
   + 탐색 창에서 **인사이트**를 선택합니다. 인사이트를 선택합니다. 그런 다음 결과 목록에서 인사이트 결과를 선택합니다.
   + 탐색 창에서 **통합**을 선택합니다. 통합에 대해 **조사 결과 보기**를 선택합니다.
   + 탐색 창에서 **제어**를 선택합니다.

1. 조사 결과를 선택합니다. 조사 결과 패널에 조사 결과의 세부 정보가 표시됩니다.

1. 조사 결과 패널에서 다음 작업 중 하나를 수행합니다.
   + 조사 결과의 특정 세부 정보를 검토하려면 탭을 선택합니다.
   + 조사 결과에 대한 조치를 취하려면 **작업** 메뉴에서 옵션을 선택합니다.
   + Amazon Detective에서 조사 결과를 조사하려면 **조사** 옵션을 선택합니다.

**참고**  
를와 통합 AWS Organizations 하고 멤버 계정에 로그인한 경우 결과 패널에 계정 이름이 포함됩니다. Organizations를 통하지 않고 수동으로 초대된 멤버 계정의 경우, 조사 결과 패널에 계정 ID만 포함됩니다.

------
#### [ Security Hub CSPM API ]

Security Hub CSPM API의 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) 작업을 사용하거나를 사용하는 경우 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html) 명령을 AWS CLI실행합니다. `Filters` 파라미터에 하나 이상의 값을 제공하여 검색할 조사 결과의 범위를 좁힐 수 있습니다.

결과의 양이 너무 많으면 `MaxResults` 파라미터를 사용하여 조사 결과를 지정된 수로 제한하고 `NextToken` 파라미터를 사용하여 조사 결과의 페이지를 매길 수 있습니다. `SortCriteria` 파라미터를 사용해 특정 필드를 기준으로 조사 결과를 정렬할 수 있습니다.

예를 들어 다음 AWS CLI 명령은 지정된 필터 기준과 일치하는 결과를 검색하고 `LastObservedAt` 필드를 기준으로 결과를 내림차순으로 정렬합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.

```
$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100
```

조사 결과 기록을 검토하려면 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html) 작업을 사용합니다. 를 사용하는 경우 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html) 명령을 AWS CLI실행합니다. `ProductArn` 및 `Id` 필드를 사용하여 기록을 가져오려는 조사 결과를 식별합니다. 이러한 필드에 대한 자세한 내용은 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html) 섹션을 참조하세요. 각 요청은 하나의 조사 결과에 대한 기록만 검색할 수 있습니다.

예를 들어 다음 AWS CLI 명령은 지정된 결과에 대한 기록을 검색합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.

```
$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
```

------
#### [ PowerShell ]

`Get-SHUBFinding` cmdlet을 사용하세요. 선택적으로 `Filter` 파라미터를 채워 검색할 조사 결과의 범위를 좁힙니다.

예를 들어 다음 cmdlet은 지정된 필터와 일치하는 조사 결과를 검색합니다.

```
Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
```

------

**참고**  
`CompanyName` 또는 `ProductName` 기준으로 조사 결과를 필터링하면 Security Hub CSPM은 `ProductFields` ASFF 객체에 있는 값을 사용합니다. Security Hub CSPM은 최상위 `CompanyName` 및 `ProductName` 필드를 사용하지 않습니다.