在 Security Hub 中檢閱問題清單詳細資訊和問題清單歷史記錄 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Security Hub 中檢閱問題清單詳細資訊和問題清單歷史記錄

在 中 AWS Security Hub,問題清單是安全檢查或安全相關偵測的可觀察記錄。Security Hub 在完成控制項的安全檢查時,以及從整合 AWS 服務 或第三方產品擷取問題清單時,會產生問題清單。每個調查結果都包含變更和其他詳細資訊的歷史記錄,例如嚴重性評分和受影響資源的相關資訊。

您可以在 Security Hub 主控台上檢閱問題清單歷史記錄和其他問題清單詳細資訊,並透過 Security Hub API 和 以程式設計方式進行檢閱 AWS CLI。

為了協助您簡化分析,Security Hub 主控台會在您選取特定問題清單時開啟問題清單面板。面板包含不同的功能表和索引標籤,用於檢視不同的調查結果詳細資訊。

動作功能表

在此功能表中,您可以檢閱問題清單的完整 JSON 或新增備註。問題清單一次只能連接一個備註。此功能表也提供設定問題清單工作流程狀態的選項,或將問題清單傳送至 Amazon EventBridge 中的自訂動作。 EventBridge

調查選單

在此功能表中,您可以在 Amazon Detective 中調查問題清單。Detective 從調查結果擷取實體,例如 IP 地址和 AWS 使用者,並視覺化其活動。您可以使用實體活動做為起點,以調查調查結果的原因和影響。

概觀標籤

此標籤提供調查結果的摘要。例如,您可以查看問題清單的建立和上次更新的時間、其存在的帳戶,以及問題清單的來源。如需控制問題清單,您也可以在 Security Hub 文件中查看相關 AWS Config 規則的名稱,以及修復說明的連結。

概觀索引標籤中的資源快照上,您可以取得調查結果所涉及資源的簡短概觀。對於某些資源,我們包含開啟資源並直接在相關 AWS 服務 主控台中檢視受影響資源的選項。歷史記錄快照最多可顯示追蹤歷史記錄最近日期對調查結果所做的兩個變更。日期必須在過去 90 天內。例如,如果您昨天和今天進行了一次變更,快照只會顯示今天的變更。若要檢視先前的項目,請切換到歷史記錄索引標籤。

合規資料列會展開以顯示更多詳細資訊。例如,對於包含參數的控制項,您可以查看 Security Hub 在執行安全檢查時使用的目前參數值。

資源索引標籤

此標籤提供有關問題清單所涉及資源的詳細資訊。如果您已登入擁有資源的帳戶,您可以在相關 AWS 服務 主控台中檢視資源。如果您不是資源的擁有者,主控台會顯示擁有者的 AWS 帳戶 ID。

詳細資訊列會顯示調查結果 JSON 的 ResourceDetails區段,藉此顯示有關調查結果的資源特定詳細資訊。

標籤列會顯示問題清單所涉及資源的標籤索引鍵和值資訊。 AWS Resource Groups 標記 API GetResources操作支援的資源可以加上標籤。Security Hub 在處理新的或更新的調查結果時,會透過服務連結角色呼叫此操作,並在 AWS Security Finding Format (ASFF) Resource.Id 欄位填入資源 ARN 時擷取 AWS 資源標籤。Security Hub 會忽略無效的資源 IDs。如需在調查結果中包含資源標籤的詳細資訊,請參閱 標籤

尋找歷史記錄索引標籤

此標籤會追蹤過去 90 天內的調查結果歷史記錄。問題清單歷史記錄可供作用中和封存的問題清單使用。它提供隨時間對問題清單所做的變更的不可變線索,包括變更 AWS 的安全問題清單格式 (ASFF) 欄位、變更發生的時間,以及使用者。首先顯示更多最近的變更。如果您已登入 Security Hub 管理員帳戶,則顯示的調查結果歷史記錄適用於管理員帳戶和所有成員帳戶。

調查結果歷史記錄包含使用者透過 Security Hub 自動化規則手動或自動進行的變更。不過,問題清單歷史記錄不包含最上層時間戳記欄位的變更,例如 CreatedAtUpdatedAt

威脅索引標籤

此索引標籤包含來自 ASFF 的 ActionMalwareProcessDetails 物件的資料,包括威脅類型,以及資源是否為目標或演員。此物件通常適用於源自 Amazon GuardDuty 的調查結果。

漏洞索引標籤

此標籤會顯示 ASFF Vulnerability 物件中的資料,包括是否存在與調查結果相關聯的漏洞或可用修正。此物件通常適用於源自 Amazon Inspector 的調查結果。

每個索引標籤中的資料列都包含複製或篩選選項。例如,如果您位於工作流程狀態為 Notified 的調查結果面板上,您可以選擇工作流程狀態列旁的篩選條件選項。如果您選擇顯示具有此值的所有問題清單會篩選問題清單,以便只顯示工作流程狀態相同的問題清單。

檢閱下列章節,了解如何存取問題清單的這些詳細資訊。

檢閱問題清單詳細資訊和歷史記錄的說明

選擇您偏好的方法,並依照步驟在 Security Hub 中檢視調查結果詳細資訊。

如果您啟用跨區域彙總並登入彙總區域,調查結果資料會包含來自彙總區域和連結區域的資料。在其他區域中,問題清單資料僅專屬於該區域。如需跨區域彙總的詳細資訊,請參閱了解安全中樞中的跨區域彙總

Security Hub console
檢閱問題清單詳細資訊和歷史記錄 (主控台)
  1. 在 https://https://console.aws.amazon.com/securityhub/ 開啟 AWS Security Hub 主控台。

  2. 若要顯示問題清單,請採取下列其中一個動作:

    • 在 Security Hub 導覽窗格中,選擇調查結果。視需要新增搜尋篩選條件,以縮小問題清單範圍。

    • 在 Security Hub 導覽窗格中,選擇 Insights。選擇洞見。然後在結果清單中,選擇洞見結果。

    • 在 Security Hub 導覽窗格中,選擇整合。選擇 查看整合的調查結果

    • 在 Security Hub 導覽窗格中,選擇控制

  3. 選取問題清單標題。

  4. 在問題清單面板上,執行下列其中一項:

    • 選擇動作功能表,對問題清單採取動作。

    • 選擇調查功能表,以調查 Amazon Detective 中的調查結果。

    • 選取標籤以檢視有關調查結果的更多詳細資訊。

注意

如果您與 整合, AWS Organizations 且您登入的帳戶是組織成員帳戶,則調查結果面板會包含帳戶名稱。對於手動邀請而不是透過 Organizations 邀請的成員帳戶,問題清單面板只會包含帳戶 ID。

Security Hub API

檢閱問題清單詳細資訊和歷史記錄 (API)

使用 Security Hub API GetFindings的操作,或者如果您使用的是 AWS CLI,請執行 get-findings命令。

您可以為 Filters 參數提供一或多個值,以縮小要擷取的調查結果。

如果結果量太大,您可以使用 MaxResults 參數將問題清單限制為指定的數字,並使用 NextToken 參數來分頁問題清單。使用 SortCriteria 參數依特定欄位排序問題清單。

如果您已啟用跨區域彙總並從彙總區域叫用此操作,則結果會包含來自彙總和連結區域的調查結果。

下列 CLI 命令會擷取符合所提供篩選條件的調查結果,並以LastObservedAt欄位的遞減順序排序。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

若要檢閱問題清單歷史記錄,請使用 GetFindingHistory操作。如果您使用的是 AWS CLI,請執行 get-finding-history命令。

使用 ProductArnId 欄位,識別您要取得 歷史記錄的調查結果。如需有關這些欄位的詳細資訊,請參閱 AwsSecurityFindingIdentifier。每個請求只能取得一個問題清單的歷史記錄。

下列 CLI 命令會擷取指定調查結果的歷史記錄。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws securityhub get-finding-history \ --region us-west-2 \ --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \ --max-results 2 \ --start-time "2021-09-30T15:53:35.573Z" \ --end-time "2021-09-31T15:53:35.573Z"
PowerShell

檢閱問題清單詳細資訊 (PowerShell)

使用 Get-SHUBFinding cmdlet。

或者,填入 Filter 參數以縮小您要擷取的調查結果。

下列 cmdlet 會擷取符合所提供篩選條件的調查結果

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
注意

當您依 CompanyName或 篩選問題清單時ProductName,Security Hub 會使用 ProductFields ASFF 物件一部分的值。Security Hub 不使用頂層CompanyNameProductName欄位。