As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Análise de detalhes e históricos de descobertas no CSPM do Security Hub
<a name="securityhub-findings-viewing"></a>

No AWS Security Hub CSPM, uma *descoberta* é um registro observável de uma verificação de segurança ou detecção relacionada à segurança. O CSPM do Security Hub gera uma descoberta quando conclui uma verificação de segurança de um controle e quando ingere uma descoberta de um AWS service (Serviço da AWS) ou de um produto de terceiros integrado. Cada descoberta inclui um histórico de alterações e outros detalhes, como uma classificação de gravidade e informações sobre os recursos afetados.

É possível analisar o histórico e outros detalhes das descobertas individuais no console do CSPM do Security Hub, ou programaticamente, com a API do CSPM do Security Hub ou a AWS CLI.

Para ajudar a simplificar sua análise, quando você escolhe uma determinada descoberta, o console do CSPM do Security Hub exibe um painel da descoberta. O painel inclui diversos menus e guias para a análise de diferentes detalhes de uma descoberta.

**Menu Ações**  
Nesse menu, você pode revisar o JSON completo de uma descoberta ou adicionar observações. Uma descoberta pode ter somente uma observação anexada a ela por vez. Esse menu também fornece opções para [definir o status do fluxo de trabalho de uma descoberta](findings-workflow-status.md) ou [enviar uma descoberta para uma ação personalizada](findings-custom-action.md) na Amazon EventBridge.

**Menu Investigar**  
Nesse menu, é possível investigar uma descoberta no Amazon Detective. Detective extrai entidades, como endereços IP e AWS usuários, de uma descoberta e visualiza suas atividades. É possível usar a atividade da entidade como ponto de partida para investigar a causa e o impacto de uma descoberta.

**Guia visão geral**  
Essa guia fornece um resumo de uma descoberta. Por exemplo, é possível determinar quando uma descoberta foi criada e atualizada pela última vez, em qual conta ela existe e a origem da descoberta. Para descobertas de controle, essa guia também mostra o nome da regra do AWS Config associada e um link para a orientação de correção na documentação do CSPM do Security Hub.  
No snapshot **Recursos** na guia **Visão geral**, é possível obter uma breve visão geral dos recursos envolvidos em uma descoberta. Para alguns recursos, isso inclui uma opção de **recurso aberto**, vinculada diretamente a um recurso afetado no AWS service (Serviço da AWS) console relevante. O snapshot **Histórico** mostra até duas alterações feitas na descoberta na data mais recente de acompanhamento do histórico. Por exemplo, se você fez uma alteração ontem e outra hoje, o snapshot mostrará a alteração de hoje. Para analisar as entradas anteriores, alterne para a guia **Histórico**.  
A linha **Conformidade** se expande para mostrar mais detalhes. Por exemplo, se um controle incluir parâmetros, é possível analisar os valores dos parâmetros que o CSPM do Security Hub usa no momento ao realizar verificações de segurança para o controle.

**Guia Recursos**  
Essa guia fornece detalhes sobre os recursos envolvidos em uma descoberta. Se você estiver conectado à conta proprietária de um recurso, poderá revisar o recurso no AWS service (Serviço da AWS) console aplicável. Se você não for o proprietário de um recurso, essa guia exibirá o Conta da AWS ID do proprietário.  
A linha **Detalhes** mostra detalhes específicos do recurso em uma descoberta. Ela mostra a seção [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html) da descoberta no formato JSON.  
A linha **Tags** mostra as chaves e os valores de tag atribuídos aos recursos envolvidos em uma descoberta. Os recursos [compatíveis com a operação GetResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html) da AWS Resource Groups Tagging API podem ser marcados. O CSPM do Security Hub chama essa operação usando um [perfil vinculado ao serviço](using-service-linked-roles.md) ao processar descobertas novas ou atualizadas, e recupera as tags dos recursos se o campo `Resource.Id` do Formato de descoberta de segurança da AWS (ASFF) estiver preenchido com o ARN de um recurso. O CSPM do Security Hub ignora o recurso inválido. IDs Para obter mais informações sobre a inclusão de tags de recursos nas descobertas, consulte [Tags](asff-resources-attributes.md#asff-resources-tags).

**Guia Histórico**  
Essa guia rastreia o histórico de uma descoberta. O histórico da descoberta está disponível para descobertas ativas e arquivadas. Ele fornece uma trilha das alterações feitas em uma descoberta ao longo do tempo, incluindo qual campo do ASFF foi alterado, quando a alteração ocorreu e qual usuário fez a alteração. Cada página na guia exibe até 20 alterações. As alterações mais recentes são exibidas primeiro.  
Para descobertas ativas, o histórico de descobertas está disponível por até 90 dias. Para descobertas arquivadas, o histórico de descobertas está disponível por até 30 dias. O histórico da descoberta inclui as alterações que foram feitas manual ou automaticamente pelas [regras de automação do CSPM do Security Hub](automation-rules.md). Ele não inclui as alterações feitas nos campos de timestamp de nível superior, como os campos `CreatedAt` e `UpdatedAt`.  
Se você estiver conectado a uma conta de administrador do CSPM do Security Hub, o histórico da descoberta será para a conta do administrador e todas as contas de membro.

**Guia Ameaça**  
Essa guia inclui dados dos objetos [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html), [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html) e [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html) do ASFF, incluindo o tipo de ameaça e se um recurso é o alvo ou o agente. Esses detalhes geralmente se aplicam às descobertas originadas na Amazon GuardDuty.

**Guia Vulnerabilidades**  
Essa guia exibe dados do objeto [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html) do ASFF, incluindo se há explorações ou correções disponíveis associadas a uma descoberta. Esses detalhes normalmente se aplicam às descobertas originadas no Amazon Inspector.

As linhas em cada guia incluem uma opção de cópia ou de filtro. Por exemplo, se você abrir o painel de uma descoberta que tenha um status de fluxo de trabalho de **Notificado**, poderá escolher a opção de filtro ao lado da linha **Status do fluxo de trabalho**. Se você escolher **Exibir todas as descobertas com esse valor**, o CSPM do Security Hub filtra a tabela de descobertas para exibir apenas as descobertas com o mesmo status de fluxo de trabalho.

## Revisar os detalhes e o histórico das descobertas
<a name="finding-view-details-console"></a>

Escolha seu método preferido e siga as etapas para analisar os detalhes das descobertas no CSPM do Security Hub.

Se você habilitar a agregação entre regiões e fizer login na região de agregação, os dados da descoberta incluirão os dados da região de agregação e das regiões vinculadas. Em outras regiões, os dados da descoberta são específicos apenas daquela região. Para obter mais informações sobre agregação entre regiões, consulte [Noções básicas sobre a agregação entre regiões no CSPM do Security Hub](finding-aggregation.md).

------
#### [ Security Hub CSPM console ]

**Revisar os detalhes e o histórico das descobertas**

1. Abra o console CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. Para exibir uma lista de descobertas, execute um destes procedimentos:
   + No painel de navegação, selecione **Descobertas**. Adicione filtros de pesquisa conforme necessário para restringir a lista de descobertas.
   + No painel de navegação, escolha **Insights**. Escolha um insight. Em seguida, na lista de resultados, escolha um resultado de insight.
   + No painel de navegação, selecione **Integrações**. Escolha **Ver descobertas** para obter uma integração.
   + No painel de navegação, escolha **Controles**.

1. Escolha uma descoberta. O painel de descobertas exibirá os detalhes da descoberta.

1. Na página de descobertas, siga um destes procedimentos:
   + Para analisar detalhes específicos de uma descoberta, escolha uma guia.
   + Para tomar uma medida em relação à descoberta, escolha uma opção no menu **Ações**.
   + Para investigar a descoberta no Amazon Detective, escolha uma opção **Investigar**.

**nota**  
Se você se integrar AWS Organizations e estiver conectado a uma conta de membro, o painel de localização incluirá o nome da conta. Para contas de membro que são convidadas manualmente, em vez de por meio da integração com o Organizations, o painel da descoberta inclui apenas o ID da conta.

------
#### [ Security Hub CSPM API ]

Use a [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)operação da API CSPM do Security Hub ou, se estiver usando a AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html)comando. É possível fornecer um ou mais valores para o parâmetro `Filters` para restringir as descobertas a recuperar.

Se o volume de resultados for muito grande, poderá usar o parâmetro `MaxResults` para limitar as descobertas a um determinado número e o parâmetro `NextToken` para paginar as descobertas. Use o parâmetro `SortCriteria` para classificar as descobertas por um campo específico.

Por exemplo, o AWS CLI comando a seguir recupera as descobertas que correspondem aos critérios de filtro especificados e classifica os resultados em ordem decrescente pelo `LastObservedAt` campo. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100
```

Para revisar o histórico da descoberta, use a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html). Se você estiver usando o AWS CLI, execute o [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html)comando. Identifique a descoberta da qual você deseja obter o histórico com os campos `Id` e `ProductArn`. Para obter informações sobre esses campos, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html). Cada solicitação pode recuperar o histórico de apenas uma descoberta.

Por exemplo, o AWS CLI comando a seguir recupera o histórico da descoberta especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.

```
$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
```

------
#### [ PowerShell ]

Use o cmdlet `Get-SHUBFinding`. Opcionalmente, preencha o parâmetro `Filter` para restringir as descobertas a recuperar.

Por exemplo, o cmdlet a seguir recupera as descobertas que correspondam aos filtros fornecidos.

```
Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
```

------

**nota**  
Se você filtrar as descobertas por `CompanyName` ou `ProductName`, o CSPM do Security Hub usará os valores que fazem parte do objeto `ProductFields` do ASFF. O CSPM do Security Hub não usa os campos de nível superior `CompanyName` e `ProductName`.