Revisar os detalhes de descobertas e o histórico de descobertas no Security Hub
No AWS Security Hub, uma descoberta é um registro observável de uma verificação de segurança ou uma detecção relacionada à segurança. O Security Hub gera uma descoberta quando conclui uma verificação de segurança de um controle e quando ingerir uma descoberta de um AWS service (Serviço da AWS) ou um produto de terceiros integrado. Cada descoberta inclui um histórico de alterações e outros detalhes, como uma classificação de gravidade e informações sobre os recursos afetados.
Você pode revisar o histórico de descobertas e outros detalhes das descobertas no console do Security Hub e ,programaticamente, pela API e a AWS CLI do Security Hub.
Para ajudar você a simplificar sua análise, quando você seleciona uma determinada descoberta, o console do Security Hub abre um painel da descoberta. O painel inclui diversos menus e guias para visualização dos diferentes detalhes da descoberta.
- Menu Ações
Nesse menu, você pode revisar o JSON completo de uma descoberta ou adicionar observações. Uma descoberta só pode ter uma observação anexada a ela por vez. Esse menu também fornece opções para definir o status do fluxo de trabalho de uma descoberta ou enviar uma descoberta para uma ação personalizada no Amazon EventBridge.
- Menu Investigar
Nesse menu, você pode investigar uma descoberta no Amazon Detective. O Detective extrai entidades, como endereços IP e usuários da AWS, de uma descoberta e visualiza suas atividades. Você pode usar a atividade da entidade como ponto de partida para investigar a causa e o impacto de uma descoberta.
- Guia visão geral
Essa guia fornece um resumo da descoberta. Por exemplo, você pode ver quando a descoberta foi criada e atualizada pela última vez, em qual conta ela existe, a origem da descoberta (por exemplo, de uma verificação de controle ou de uma integração) e um link para instruções de remediação na documentação do Security Hub.
No snapshot Recursos na guia Visão geral, você pode obter uma breve visão geral dos recursos envolvidos em uma descoberta. Para alguns recursos, incluímos a opção Abrir recurso e visualizar diretamente um recurso afetado no console do AWS service (Serviço da AWS) relevante. O snapshot Histórico mostra até duas alterações feitas na descoberta na data mais recente de acompanhamento do histórico. A data deve ser nos últimos 90 dias. Por exemplo, se você fez uma alteração ontem e outra hoje, o snapshot só mostra a alteração de hoje. Para visualizar as entradas anteriores, alterne para a guia Histórico.
A linha Conformidade se expande para mostrar mais detalhes. Por exemplo, em controles que incluem parâmetros, você pode ver os valores dos parâmetros atuais que o Security Hub usa ao realizar verificações de segurança.
- Guia Recursos
Essa guia fornece detalhes sobre os recursos envolvidos em uma descoberta. Se você fez login na conta que é a proprietária de um recurso, você pode visualizar o recurso no console do AWS service (Serviço da AWS) relevante. Se você não for o proprietário de um recurso, o console exibirá o ID da Conta da AWS do proprietário.
A linha Detalhes mostra detalhes específicos do recurso sobre a descoberta, exibindo a seção ResourceDetails do JSON da descoberta.
A linha Tags mostra informações sobre a chave e o valor de tag dos recursos envolvidos em uma descoberta. Os recursos que são compatíveis com a operação GetResources da AWS Resource Groups Tagging API podem ser marcados. O Security Hub chama essa operação por meio do perfil vinculado ao serviço ao processar descobertas novas ou atualizadas e recupera as tags dos recursos se o campo
Resource.Id
do AWS Security Finding Format (ASFF) for preenchido com o ARN do recurso da AWS. O Security Hub ignora os IDs dos recursos inválidos. Para obter mais informações sobre a inclusão de tags de recursos nas descobertas, consulte Tags.- Guia Histórico da descoberta
Essa guia rastreia o histórico de uma descoberta nos últimos 90 dias. O histórico da descoberta está disponível para descobertas ativas e arquivadas. Ele fornece uma trilha das alterações feitas em uma descoberta ao longo do tempo, incluindo qual campo do AWS Security Finding Format (ASFF) foi alterado, quando a alteração ocorreu e qual usuário fez a alteração. As alterações mais recentes são exibidas primeiro. Se você estiver conectado a uma conta de administrador do Security Hub, o histórico da descoberta mostrado é para a conta do administrador e todas as contas-membro.
O histórico da descoberta inclui as alterações que um usuário fez manual ou feitas automaticamente por meio das regras de automação do Security Hub. Porém, o histórico da descoberta não inclui as alterações feitas nos campos de timestamp de nível superior, como
CreatedAt
eUpdatedAt
.- Guia Ameaça
Essa guia inclui dados dos objetos Action, Malware e ProcessDetails do ASFF, incluindo o tipo de ameaça e se um recurso é o alvo ou o agente. Esse objeto normalmente se aplica às descobertas originadas no Amazon GuardDuty.
- Guia Vulnerabilidades
Essa guia exibe dados do objeto Vulnerability do ASFF, incluindo se há explorações ou correções disponíveis associadas a uma descoberta. Esse objeto normalmente se aplica às descobertas originadas no Amazon Inspector.
As linhas em cada guia incluem uma opção de cópia ou de filtro. Por exemplo, se você estiver no painel de uma descoberta que tem um status de fluxo de trabalho de Notificado, poderá escolher a opção de filtro ao lado da linha Status do fluxo de trabalho. Se você escolher, Mostrar todas as descobertas com esse valor filtra a lista de descobertas para exibir apenas as descobertas que têm o mesmo status de fluxo de trabalho.
Revise a seção a seguir para entender como acessar esses detalhes de uma descoberta.
Instruções para revisar os detalhes e o histórico das descobertas
Escolha seu método preferido e siga as etapas para visualizar detalhes das descobertas no Security Hub.
Se você habilitar a agregação entre regiões e fizer login na região de agregação, os dados da descoberta incluirão os dados da região de agregação e das regiões vinculadas. Em outras regiões, os dados da descoberta são específicos apenas daquela região. Para obter mais informações sobre agregação entre regiões, consulte Compreender a agregação entre regiões do Security Hub.
nota
Quando você filtra as descobertas por CompanyName
ou ProductName
, o Security Hub usa os valores que fazem parte do objeto ProductFields
do ASFF. O Security Hub não usa os campos de nível superior CompanyName
e ProductName
.