在 Security Hub 中檢閱調查結果詳細資訊和調查結果歷史記錄 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Security Hub 中檢閱調查結果詳細資訊和調查結果歷史記錄

在 中 AWS Security Hub,調查結果是安全檢查或安全相關偵測的可觀察記錄。Security Hub 會在完成控制項的安全性檢查,以及從整合 AWS 服務 或第三方產品擷取調查結果時產生調查結果。每個調查結果都包含變更和其他詳細資訊的歷史記錄,例如嚴重性評分和受影響資源的相關資訊。

您可以在 Security Hub 主控台上以程式設計方式透過 Security Hub 和 API 檢閱調查結果歷史記錄和其他調查結果詳細資訊 AWS CLI。

為了協助您簡化分析,Security Hub 主控台會在您選取特定調查結果時開啟調查結果面板。面板包含不同的功能表和索引標籤,用於檢視不同的調查結果詳細資訊。

動作選單

在此功能表中,您可以檢閱調查結果JSON的完成或新增備註。調查結果一次只能連接一個備註。此選單也提供設定調查結果工作流程狀態的選項,或將調查結果傳送至 Amazon 中的自訂動作 EventBridge。

調查選單

在此功能表中,您可以在 Amazon Detective 中調查調查結果。Detective 從調查結果中擷取實體,例如 IP 地址和 AWS 使用者,並視覺化其活動。您可以使用實體活動作為起點,以調查調查結果的原因和影響。

概觀標籤

此標籤提供調查結果的摘要。例如,您可以在 Security Hub 文件中查看調查結果的建立和上次更新的時間、其中的帳戶、調查結果的來源 (例如,從控制檢查或整合),以及修復指示的連結。

概觀索引標籤中的資源快照上,您可以取得調查結果所涉及資源的簡短概觀。對於某些資源,我們包含開啟資源並直接在相關 AWS 服務 主控台中檢視受影響資源的選項。歷史記錄快照最多可顯示追蹤歷史記錄最近日期對調查結果所做的兩個變更。日期必須在過去 90 天內。例如,如果您昨天和今天進行了一次變更,則快照只會顯示今天的變更。若要檢視先前的項目,請切換至歷史記錄索引標籤。

合規資料列會展開以顯示更多詳細資訊。例如,對於包含參數的控制項,您可以查看 Security Hub 在執行安全檢查時使用的目前參數值。

資源索引標籤

此標籤提供有關調查結果所涉及資源的詳細資訊。如果您已登入擁有資源的帳戶,您可以在相關 AWS 服務 主控台中檢視資源。如果您不是資源的擁有者,主控台會顯示擁有者的 AWS 帳戶 ID。

詳細資訊列會顯示 ResourceDetails 調查結果 的 區段JSON。

標籤列顯示調查結果所涉及資源的標籤索引鍵和值資訊。支援的資源 GetResourcesAWS Resource Groups 標記的操作API可以加上標籤。Security Hub 在處理新的或更新的調查結果時,會透過服務連結角色呼叫此操作,並在 AWS Security Finding Format (ASFF) Resource.Id 欄位填入資源 時擷取 AWS 資源標籤ARN。Security Hub 會忽略無效的資源 IDs。如需在調查結果中包含資源標籤的詳細資訊,請參閱 標籤

尋找歷史記錄索引標籤

此索引標籤會追蹤過去 90 天內的調查結果歷史記錄。調查結果歷史記錄可用於作用中和封存的調查結果。它提供隨時間對調查結果進行變更的不可變追蹤,包括哪些 AWS 安全調查結果格式 (ASFF) 欄位變更、變更何時發生,以及由哪些使用者變更。首先顯示更多最近的變更。如果您已登入 Security Hub 管理員帳戶,則顯示的調查結果歷史記錄適用於管理員帳戶和所有成員帳戶。

尋找歷史記錄包括使用者手動或透過 Security Hub 自動化規則 自動進行的變更。不過,調查結果歷史記錄不包含對頂層時間戳記欄位的變更,例如 CreatedAtUpdatedAt

威脅索引標籤

此索引標籤包含來自 的資料 Action, Malware、 和 ProcessDetails 的物件ASFF,包括威脅類型,以及資源是否為目標或發動者。此物件通常適用於源自 Amazon 的調查結果 GuardDuty。

Vulnerabilities 索引標籤

此索引標籤會顯示來自 的資料 Vulnerability 物件ASFF,包括是否存在與調查結果相關聯的漏洞或可用修正。此物件通常適用於源自 Amazon Inspector 的調查結果。

每個索引標籤中的資料列都包含複製或篩選選項。例如,如果您在面板上尋找工作流程狀態為 的調查結果,您可以選擇工作流程狀態列旁的篩選條件選項。如果您選擇顯示具有此值的所有調查結果會篩選調查結果清單,以便只顯示具有相同工作流程狀態的調查結果。

檢閱下列章節,了解如何存取調查結果的這些詳細資訊。

檢閱調查結果詳細資訊和歷史記錄的說明

選擇您偏好的方法,然後依照步驟在 Security Hub 中檢視調查結果詳細資訊。

如果您啟用跨區域彙總並登入彙總區域,調查結果資料會包含來自彙總區域和連結區域的資料。在其他 區域中,調查結果資料僅適用於該 區域。如需跨區域彙總的詳細資訊,請參閱 了解安全中樞中的跨區域彙總

Security Hub console
檢閱調查結果詳細資訊和歷史記錄 (主控台)
  1. 在 開啟 AWS Security Hub 主控台https://console.aws.amazon.com/securityhub/

  2. 若要顯示調查結果清單,請採取下列其中一個動作:

    • 在 Security Hub 導覽窗格中,選擇調查結果 。視需要新增搜尋篩選條件,以縮小調查結果清單範圍。

    • 在 Security Hub 導覽窗格中,選擇 Insights 。選擇洞見。然後在結果清單中,選擇洞察結果。

    • 在 Security Hub 導覽窗格中,選擇整合 。選擇查看整合的調查結果

    • 在 Security Hub 導覽窗格中,選擇控制

  3. 選取調查結果標題。

  4. 在調查結果面板上,執行下列其中一項操作:

    • 選擇動作功能表,對調查結果採取動作。

    • 選擇調查選單,以調查 Amazon Detective 中的調查結果。

    • 選取標籤以檢視有關調查結果的更多詳細資訊。

注意

如果您與 整合, AWS Organizations 且您登入的帳戶是組織成員帳戶,則調查結果面板會包含帳戶名稱。對於手動邀請而不是透過 Organizations 邀請的成員帳戶,調查結果面板只會包含帳戶 ID。

Security Hub API

檢視調查結果詳細資訊和歷史記錄 (API)

使用 GetFindings Security Hub 的操作API,或者如果您正在使用 AWS CLI,請執行 get-findings 命令。

您可以為 Filters 參數提供一或多個值,以縮小要擷取的調查結果。

如果結果的磁碟區太大,您可以使用 MaxResults 參數將調查結果限制為指定的數字,並使用 NextToken 參數分頁調查結果。使用 SortCriteria 參數依特定欄位排序調查結果。

如果您已啟用跨區域彙總並從彙總區域叫用此操作,則結果會包含來自彙總和連結區域的調查結果。

下列CLI命令會擷取符合所提供篩選條件的調查結果,並以LastObservedAt欄位的遞減順序排序。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

若要檢閱調查結果歷史記錄,請使用 GetFindingHistory 操作。如果您使用的是 AWS CLI,請執行 get-finding-history 命令。

使用 ProductArnId 欄位識別您要取得歷史記錄的調查結果。如需這些欄位的詳細資訊,請參閱 AwsSecurityFindingIdentifier。 每個請求只能取得一個調查結果的歷史記錄。

下列CLI命令會擷取指定調查結果的歷史記錄。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\) 行接續字元來改善可讀性。

$ aws securityhub get-finding-history \ --region us-west-2 \ --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \ --max-results 2 \ --start-time "2021-09-30T15:53:35.573Z" \ --end-time "2021-09-31T15:53:35.573Z"
PowerShell

檢閱調查結果詳細資訊 (PowerShell)

使用 Get-SHUBFinding cmdlet。

或者,填入 Filter 參數以縮小您要擷取的調查結果。

下列 cmdlet 會擷取符合所提供篩選條件的調查結果

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
注意

當您依 CompanyName或 篩選調查結果時ProductName,Security Hub 會使用屬於ProductFieldsASFF物件一部分的值。Security Hub 不使用頂層CompanyNameProductName欄位。