本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Security Hub 中檢閱問題清單詳細資訊和問題清單歷史記錄
在 中 AWS Security Hub,問題清單是安全檢查或安全相關偵測的可觀察記錄。Security Hub 在完成控制項的安全檢查時,以及從整合 AWS 服務 或第三方產品擷取問題清單時,會產生問題清單。每個調查結果都包含變更和其他詳細資訊的歷史記錄,例如嚴重性評分和受影響資源的相關資訊。
您可以在 Security Hub 主控台上檢閱問題清單歷史記錄和其他問題清單詳細資訊,並透過 Security Hub API 和 以程式設計方式進行檢閱 AWS CLI。
為了協助您簡化分析,Security Hub 主控台會在您選取特定問題清單時開啟問題清單面板。面板包含不同的功能表和索引標籤,用於檢視不同的調查結果詳細資訊。
- 動作功能表
在此功能表中,您可以檢閱問題清單的完整 JSON 或新增備註。問題清單一次只能連接一個備註。此功能表也提供設定問題清單工作流程狀態的選項,或將問題清單傳送至 Amazon EventBridge 中的自訂動作。 EventBridge
- 調查選單
在此功能表中,您可以在 Amazon Detective 中調查問題清單。Detective 從調查結果擷取實體,例如 IP 地址和 AWS 使用者,並視覺化其活動。您可以使用實體活動做為起點,以調查調查結果的原因和影響。
- 概觀標籤
此標籤提供調查結果的摘要。例如,您可以查看問題清單的建立和上次更新的時間、其存在的帳戶,以及問題清單的來源。如需控制問題清單,您也可以在 Security Hub 文件中查看相關 AWS Config 規則的名稱,以及修復說明的連結。
在概觀索引標籤中的資源快照上,您可以取得調查結果所涉及資源的簡短概觀。對於某些資源,我們包含開啟資源並直接在相關 AWS 服務 主控台中檢視受影響資源的選項。歷史記錄快照最多可顯示追蹤歷史記錄最近日期對調查結果所做的兩個變更。日期必須在過去 90 天內。例如,如果您昨天和今天進行了一次變更,快照只會顯示今天的變更。若要檢視先前的項目,請切換到歷史記錄索引標籤。
合規資料列會展開以顯示更多詳細資訊。例如,對於包含參數的控制項,您可以查看 Security Hub 在執行安全檢查時使用的目前參數值。
- 資源索引標籤
此標籤提供有關問題清單所涉及資源的詳細資訊。如果您已登入擁有資源的帳戶,您可以在相關 AWS 服務 主控台中檢視資源。如果您不是資源的擁有者,主控台會顯示擁有者的 AWS 帳戶 ID。
詳細資訊列會顯示調查結果 JSON 的 ResourceDetails區段,藉此顯示有關調查結果的資源特定詳細資訊。
標籤列會顯示問題清單所涉及資源的標籤索引鍵和值資訊。 AWS Resource Groups 標記 API GetResources操作支援的資源可以加上標籤。Security Hub 在處理新的或更新的調查結果時,會透過服務連結角色呼叫此操作,並在 AWS Security Finding Format (ASFF)
Resource.Id
欄位填入資源 ARN 時擷取 AWS 資源標籤。Security Hub 會忽略無效的資源 IDs。如需在調查結果中包含資源標籤的詳細資訊,請參閱 標籤。- 尋找歷史記錄索引標籤
此標籤會追蹤過去 90 天內的調查結果歷史記錄。問題清單歷史記錄可供作用中和封存的問題清單使用。它提供隨時間對問題清單所做的變更的不可變線索,包括變更 AWS 的安全問題清單格式 (ASFF) 欄位、變更發生的時間,以及使用者。首先顯示更多最近的變更。如果您已登入 Security Hub 管理員帳戶,則顯示的調查結果歷史記錄適用於管理員帳戶和所有成員帳戶。
調查結果歷史記錄包含使用者透過 Security Hub 自動化規則手動或自動進行的變更。不過,問題清單歷史記錄不包含最上層時間戳記欄位的變更,例如
CreatedAt
和UpdatedAt
。- 威脅索引標籤
此索引標籤包含來自 ASFF 的 Action、 Malware和 ProcessDetails 物件的資料,包括威脅類型,以及資源是否為目標或演員。此物件通常適用於源自 Amazon GuardDuty 的調查結果。
- 漏洞索引標籤
此標籤會顯示 ASFF Vulnerability 物件中的資料,包括是否存在與調查結果相關聯的漏洞或可用修正。此物件通常適用於源自 Amazon Inspector 的調查結果。
每個索引標籤中的資料列都包含複製或篩選選項。例如,如果您位於工作流程狀態為 Notified 的調查結果面板上,您可以選擇工作流程狀態列旁的篩選條件選項。如果您選擇顯示具有此值的所有問題清單會篩選問題清單,以便只顯示工作流程狀態相同的問題清單。
檢閱下列章節,了解如何存取問題清單的這些詳細資訊。
檢閱問題清單詳細資訊和歷史記錄的說明
選擇您偏好的方法,並依照步驟在 Security Hub 中檢視調查結果詳細資訊。
如果您啟用跨區域彙總並登入彙總區域,調查結果資料會包含來自彙總區域和連結區域的資料。在其他區域中,問題清單資料僅專屬於該區域。如需跨區域彙總的詳細資訊,請參閱了解安全中樞中的跨區域彙總。
注意
當您依 CompanyName
或 篩選問題清單時ProductName
,Security Hub 會使用 ProductFields
ASFF 物件一部分的值。Security Hub 不使用頂層CompanyName
和ProductName
欄位。