查看 Security Hub 中的调查发现的详细信息和历史记录 - AWS Security Hub

查看 Security Hub 中的调查发现的详细信息和历史记录

在 AWS Security Hub 中,调查发现是安全检查或安全相关检测的可观察记录。在完成对控件的安全检查以及从集成 AWS 服务 或第三方产品中提取调查发现时,Security Hub 会生成调查发现。每项调查发现都包括更改历史记录和其他详细信息,例如严重性评级和有关受影响资源的信息。

您可以在 Security Hub 控制台上查看调查发现的历史记录和其他详细信息,也可以通过 Security Hub API 和 AWS CLI 以编程方式实现此目的。

为了帮助您简化分析,Security Hub 控制台会在您选择特定调查发现时打开调查发现面板。该面板包含不同的菜单和选项卡,供您查看调查发现的各种详细信息。

操作菜单

在此菜单中,您可以查看调查发现的完整 JSON 或添加注释。一项调查发现一次只能附上一个注释。此菜单还提供用于在 Amazon EventBridge 中设置调查发现的工作流状态将调查发现发送到自定义操作的选项。

调查菜单

在这个菜单中,您可以在 Amazon Detective 中对调查发现进行调查。Detective 会从调查发现中提取实体(例如 IP 地址和 AWS 用户),并可视化其活动。您可以使用实体活动作为起点对调查发现的原因和影响进行调查。

“Overview”(概述) 选项卡

此选项卡提供了调查发现的摘要。例如,您可以在 Security Hub 文档中查看调查发现的创建时间和上次更新时间、存在于哪个账户、其来源(例如,来自控件检查或集成)以及补救说明的链接。

概述选项卡的资源快照中,您可以获得调查发现中涉及的资源的简要概述。对于某些资源,我们提供了打开资源选项,可用于在相关 AWS 服务 控制台中直接查看受影响的资源。历史记录快照最多会显示在所跟踪历史记录的最近日期对调查发现所做的两次更改。该日期必须在过去 90 天内。例如,如果您昨天进行了更改,今天又进行了更改,则快照只会显示今天的更改。要查看之前的条目,请切换到历史记录选项卡。

展开合规行将显示更多详细信息。例如,对于包含参数的控件,您可以查看 Security Hub 在执行安全检查时使用的当前参数值。

“资源”选项卡

此选项卡提供有关调查发现中涉及的资源的详细信息。如果您登录的是拥有资源的账户,则可以在相关 AWS 服务 控制台中查看该资源。如果您不是资源的所有者,则控制台会显示所有者的 AWS 账户 ID。

详细信息行通过显示调查发现 JSON 的 ResourceDetails 部分,以显示有关调查发现的特定于资源的详细信息。

标签行会显示调查发现中涉及的资源的标签的键值信息。可以标记 AWS Resource Groups 标记 API 的 GetResources 操作支持的资源。如果 AWS 安全调查发现格式(ASFF)Resource.Id 字段填充了 AWS 资源 ARN,Security Hub 会在处理新的或更新的调查发现时,通过服务相关角色调用此操作并检索资源标签。Security Hub 会忽略无效的资源 ID。有关在调查发现中包含资源标签的更多信息,请参阅标签

“调查发现的历史记录”选项卡

此选项卡跟踪过去 90 天内调查发现的历史记录。调查发现的历史记录适用于活动和已归档的调查发现。它提供了随着时间的推移对调查发现所做的更改的不可改变的跟踪,包括 AWS 安全调查发现格式(ASFF)字段更改的内容、更改发生的时间以及由哪个用户所做的更改。最近的更改优先显示。如果您登录了 Security Hub 管理员账户,则显示该管理员账户和所有成员账户的调查发现历史记录。

调查发现历史记录包括用户手动进行的更改或通过 Security Hub 自动化规则自动进行的更改。但是,调查发现历史记录不包括对顶级时间戳字段的更改,例如 CreatedAtUpdatedAt

“威胁”选项卡

此选项卡包含 ASFF 的 ActionMalwareProcessDetails 对象的数据,包括威胁类型以及资源是目标还是角色。此对象通常适用于源自 Amazon GuardDuty 的调查发现。

“漏洞”选项卡

此选项卡显示 ASFF 的 Vulnerability 对象的数据,包括是否存在与调查发现关联的漏洞或可用的修复程序。此对象通常适用于源自 Amazon Inspector 的调查发现。

每个选项卡中的行都包含一个复制或筛选选项。例如,如果您在查看工作流状态为已通知的调查发现的面板,则可以选择工作流状态行旁边的筛选选项。如果选择显示包含此值的所有调查发现,则会筛选调查发现列表,使其仅显示具有相同工作流状态的调查发现。

请查看下一节了解如何访问调查发现的这些详细信息。

查看调查发现的详细信息和历史记录的说明

选择您首选的方法,然后按照以下步骤在 Security Hub 中查看调查发现的详细信息。

如果您启用了跨区域聚合并登录了聚合区域,则调查发现将包括来自聚合区域和关联区域的数据。在其他区域,调查发现数据仅特定于当前区域。有关跨区域聚合的更多信息,请参阅 了解 Security Hub 中的跨区域聚合

Security Hub console
查看调查发现的详细信息和历史记录(控制台)
  1. 通过以下网址打开 AWS Security Hub 控制台:https://console.aws.amazon.com/securityhub/

  2. 要显示调查发现列表,请执行以下操作之一:

    • 在 Security Hub 导航窗格中,选择调查发现。根据需要添加搜索筛选条件以缩小调查发现列表的范围。

    • 在 Security Hub 导航窗格中,选择见解。选择见解。然后在结果列表上,选择一个见解结果。

    • 在 Security Hub 导航窗格中,选择集成。选择查看集成的调查发现

    • 在 Security Hub 导航窗格中,选择控件

  3. 选择调查发现标题。

  4. 在调查发现面板上,执行以下操作之一:

    • 选择操作菜单,对调查发现采取行动。

    • 选择调查菜单,在 Amazon Detective 中对调查发现进行调查。

    • 选择一个选项卡可查看有关调查发现的更多详细信息。

注意

如果您与 AWS Organizations 集成,而且登录的账户是组织成员账户,则调查发现面板中会包含账户名称。对于手动邀请而非通过 Organizations 邀请的成员账户,调查发现面板仅会包含账户 ID。

Security Hub API

查看调查发现的详细信息和历史记录(API)

使用 Security Hub API 的 GetFindings 操作,或者如果您使用的是 AWS CLI,则运行 get-findings 命令。

您可以为 Filters 参数提供一个或多个值,以缩小要检索的调查发现的范围。

如果调查发现的数量过大,则可以使用 MaxResults 参数将调查发现限制为指定数量,并使用 NextToken 参数对调查发现进行分页。使用 SortCriteria 参数以按特定字段对调查发现进行排序。

如果您启用了跨区域聚合并从聚合区域调用此操作,则结果将包括来自聚合区域和关联区域的调查发现。

以下 CLI 命令会检索与提供的筛选条件匹配的调查发现,并按 LastObservedAt 字段的降序对其进行排序。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

要查看调查发现的历史记录,请使用 GetFindingHistory 操作。如果您使用的是 AWS CLI,请运行 get-finding-history 命令。

使用 ProductArnId 字段确定要获取历史记录的调查发现。有关这些字段的更多信息,请参阅AwsSecurityFindingIdentifier。每个请求只能获取一个调查发现的历史记录。

以下 CLI 命令将检索指定调查发现的历史记录。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securityhub get-finding-history \ --region us-west-2 \ --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \ --max-results 2 \ --start-time "2021-09-30T15:53:35.573Z" \ --end-time "2021-09-31T15:53:35.573Z"
PowerShell

查看调查发现的详细信息(PowerShell)

使用 Get-SHUBFinding cmdlet。

或者,填充 Filter 参数以缩小要检索的调查发现范围。

以下 cmdlet 将检索与提供的筛选条件匹配的调查发现

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
注意

当您按 CompanyNameProductName 筛选调查发现时,Security Hub 会使用 ProductFields ASFF 对象的一部分的值。Security Hub 不使用顶级 CompanyNameProductName 字段。