Revisar os detalhes de descobertas e o histórico de descobertas no Security Hub - Security Hub da AWS

Revisar os detalhes de descobertas e o histórico de descobertas no Security Hub

No AWS Security Hub, uma descoberta é um registro observável de uma verificação de segurança ou uma detecção relacionada à segurança. O Security Hub gera uma descoberta quando conclui uma verificação de segurança de um controle e quando ingerir uma descoberta de um AWS service (Serviço da AWS) ou um produto de terceiros integrado. Cada descoberta inclui um histórico de alterações e outros detalhes, como uma classificação de gravidade e informações sobre os recursos afetados.

Você pode revisar o histórico de descobertas e outros detalhes das descobertas no console do Security Hub e ,programaticamente, pela API e a AWS CLI do Security Hub.

Para ajudar você a simplificar sua análise, quando você seleciona uma determinada descoberta, o console do Security Hub abre um painel da descoberta. O painel inclui diversos menus e guias para visualização dos diferentes detalhes da descoberta.

Menu Ações

Nesse menu, você pode revisar o JSON completo de uma descoberta ou adicionar observações. Uma descoberta só pode ter uma observação anexada a ela por vez. Esse menu também fornece opções para definir o status do fluxo de trabalho de uma descoberta ou enviar uma descoberta para uma ação personalizada no Amazon EventBridge.

Menu Investigar

Nesse menu, você pode investigar uma descoberta no Amazon Detective. O Detective extrai entidades, como endereços IP e usuários da AWS, de uma descoberta e visualiza suas atividades. Você pode usar a atividade da entidade como ponto de partida para investigar a causa e o impacto de uma descoberta.

Guia visão geral

Essa guia fornece um resumo da descoberta. Por exemplo, você pode ver quando a descoberta foi criada e atualizada pela última vez, em qual conta ela existe, a origem da descoberta (por exemplo, de uma verificação de controle ou de uma integração) e um link para instruções de remediação na documentação do Security Hub.

No snapshot Recursos na guia Visão geral, você pode obter uma breve visão geral dos recursos envolvidos em uma descoberta. Para alguns recursos, incluímos a opção Abrir recurso e visualizar diretamente um recurso afetado no console do AWS service (Serviço da AWS) relevante. O snapshot Histórico mostra até duas alterações feitas na descoberta na data mais recente de acompanhamento do histórico. A data deve ser nos últimos 90 dias. Por exemplo, se você fez uma alteração ontem e outra hoje, o snapshot só mostra a alteração de hoje. Para visualizar as entradas anteriores, alterne para a guia Histórico.

A linha Conformidade se expande para mostrar mais detalhes. Por exemplo, em controles que incluem parâmetros, você pode ver os valores dos parâmetros atuais que o Security Hub usa ao realizar verificações de segurança.

Guia Recursos

Essa guia fornece detalhes sobre os recursos envolvidos em uma descoberta. Se você fez login na conta que é a proprietária de um recurso, você pode visualizar o recurso no console do AWS service (Serviço da AWS) relevante. Se você não for o proprietário de um recurso, o console exibirá o ID da Conta da AWS do proprietário.

A linha Detalhes mostra detalhes específicos do recurso sobre a descoberta, exibindo a seção ResourceDetails do JSON da descoberta.

A linha Tags mostra informações sobre a chave e o valor de tag dos recursos envolvidos em uma descoberta. Os recursos que são compatíveis com a operação GetResources da AWS Resource Groups Tagging API podem ser marcados. O Security Hub chama essa operação por meio do perfil vinculado ao serviço ao processar descobertas novas ou atualizadas e recupera as tags dos recursos se o campo Resource.Id do AWS Security Finding Format (ASFF) for preenchido com o ARN do recurso da AWS. O Security Hub ignora os IDs dos recursos inválidos. Para obter mais informações sobre a inclusão de tags de recursos nas descobertas, consulte Tags.

Guia Histórico da descoberta

Essa guia rastreia o histórico de uma descoberta nos últimos 90 dias. O histórico da descoberta está disponível para descobertas ativas e arquivadas. Ele fornece uma trilha das alterações feitas em uma descoberta ao longo do tempo, incluindo qual campo do AWS Security Finding Format (ASFF) foi alterado, quando a alteração ocorreu e qual usuário fez a alteração. As alterações mais recentes são exibidas primeiro. Se você estiver conectado a uma conta de administrador do Security Hub, o histórico da descoberta mostrado é para a conta do administrador e todas as contas-membro.

O histórico da descoberta inclui as alterações que um usuário fez manual ou feitas automaticamente por meio das regras de automação do Security Hub. Porém, o histórico da descoberta não inclui as alterações feitas nos campos de timestamp de nível superior, como CreatedAt e UpdatedAt.

Guia Ameaça

Essa guia inclui dados dos objetos Action, Malware e ProcessDetails do ASFF, incluindo o tipo de ameaça e se um recurso é o alvo ou o agente. Esse objeto normalmente se aplica às descobertas originadas no Amazon GuardDuty.

Guia Vulnerabilidades

Essa guia exibe dados do objeto Vulnerability do ASFF, incluindo se há explorações ou correções disponíveis associadas a uma descoberta. Esse objeto normalmente se aplica às descobertas originadas no Amazon Inspector.

As linhas em cada guia incluem uma opção de cópia ou de filtro. Por exemplo, se você estiver no painel de uma descoberta que tem um status de fluxo de trabalho de Notificado, poderá escolher a opção de filtro ao lado da linha Status do fluxo de trabalho. Se você escolher, Mostrar todas as descobertas com esse valor filtra a lista de descobertas para exibir apenas as descobertas que têm o mesmo status de fluxo de trabalho.

Revise a seção a seguir para entender como acessar esses detalhes de uma descoberta.

Instruções para revisar os detalhes e o histórico das descobertas

Escolha seu método preferido e siga as etapas para visualizar detalhes das descobertas no Security Hub.

Se você habilitar a agregação entre regiões e fizer login na região de agregação, os dados da descoberta incluirão os dados da região de agregação e das regiões vinculadas. Em outras regiões, os dados da descoberta são específicos apenas daquela região. Para obter mais informações sobre agregação entre regiões, consulte Compreender a agregação entre regiões do Security Hub.

Security Hub console
Revisar os detalhes e o histórico das descobertas (console)
  1. Abra o console do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. Para exibir uma lista das descobertas, faça uma das seguintes alternativas:

    • No painel de navegação do Security Hub, selecione Descobertas. Adicione filtros de pesquisa conforme necessário para restringir a lista de descobertas.

    • No painel de navegação do Security Hub, selecione Insights. Escolha um insight. Em seguida, na lista de resultados, escolha um resultado de insight.

    • No painel de navegação do Security Hub, selecione Integrações. Escolha Ver descobertas para obter uma integração.

    • No painel de navegação do Security Hub, escolha Controles.

  3. Selecione um título de descoberta.

  4. No painel da descoberta, faça uma das seguintes alternativas:

    • Escolha o menu Ações para agir em relação à descoberta.

    • Escolha o menu Investigar para investigar a descoberta no Amazon Detective.

    • Selecione uma guia para visualizar mais detalhes sobre a descoberta.

nota

Se estiver integrado com o AWS Organizations e a conta em que você fez login for uma conta-membro da organização, o painel da descoberta incluirá o nome da conta. Para contas-membro que são convidados manualmente, em vez de por meio da integração com o Organizations, o painel da descoberta inclui apenas o ID da conta.

Security Hub API

Revisar os detalhes e o histórico das descobertas (API)

Use a operação GetFindings da API do Security Hub ou, se estiver usando a AWS CLI, execute o comando get-findings.

É possível fornecer um ou mais valores para o parâmetro Filters para restringir as descobertas que você deseja recuperar.

Se o volume de resultados for muito grande, poderá usar o parâmetro MaxResults para limitar as descobertas a um determinado número e o parâmetro NextToken para paginar as descobertas. Use o parâmetro SortCriteria para classificar as descobertas por um campo específico.

Se você habilitou a agregação entre regiões e invocou essa operação na região de agregação, os resultados incluem descobertas da região de agregação e das regiões vinculadas.

O comando CLI a seguir recupera as descobertas que correspondem aos filtros fornecidos e as classifica na ordem decrescente do campo LastObservedAt. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Para revisar o histórico da descoberta, use a operação GetFindingHistory. Se você estiver usando a AWS CLI, execute o comando get-finding-history.

Identifique a descoberta da qual você deseja obter o histórico com os campos Id e ProductArn. Consulte mais informações sobre esses campos em AwsSecurityFindingIdentifier. Você só pode obter o histórico de uma descoberta por solicitação.

O seguinte comando da CLI recupera o histórico da descoberta especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub get-finding-history \ --region us-west-2 \ --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \ --max-results 2 \ --start-time "2021-09-30T15:53:35.573Z" \ --end-time "2021-09-31T15:53:35.573Z"
PowerShell

Revisar os detalhes das descobertas (PowerShell)

Use o cmdlet Get-SHUBFinding.

Opcionalmente, preencha o parâmetro Filter para restringir as descobertas que você deseja recuperar.

O cmdlet a seguir recupera as descobertas que correspondem aos filtros fornecidos

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
nota

Quando você filtra as descobertas por CompanyName ou ProductName, o Security Hub usa os valores que fazem parte do objeto ProductFields do ASFF. O Security Hub não usa os campos de nível superior CompanyName e ProductName.