本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Security Hub CSPM 中檢閱問題清單詳細資訊和歷史記錄
<a name="securityhub-findings-viewing"></a>

在 AWS Security Hub CSPM 中，*問題清單*是安全檢查或安全相關偵測的可觀察記錄。Security Hub CSPM 會在完成控制項的安全性檢查，以及從整合 AWS 服務 或第三方產品擷取問題清單時產生問題清單。每個調查結果都包含變更和其他詳細資訊的歷史記錄，例如嚴重性評分和受影響資源的相關資訊。

您可以在 Security Hub CSPM 主控台或使用 Security Hub CSPM API 或 以程式設計方式檢閱個別問題清單的歷史記錄和其他詳細資訊 AWS CLI。

為了協助您簡化分析，當您選擇特定問題清單時，Security Hub CSPM 主控台會顯示問題清單面板。面板包含不同的功能表和索引標籤，用於檢閱問題清單的特定詳細資訊。

**動作功能表**  
在此功能表中，您可以檢閱問題清單的完整 JSON 或新增備註。問題清單一次只能連接一個備註。此功能表也提供[設定問題清單工作流程狀態](findings-workflow-status.md)的選項[，或將問題清單傳送至 Amazon EventBridge 中的自訂動作](findings-custom-action.md)。 EventBridge

**調查功能表**  
在此功能表中，您可以在 Amazon Detective 中調查問題清單。Detective 從調查結果中擷取實體，例如 IP 地址和 AWS 使用者，並視覺化其活動。您可以使用實體活動做為起點，以調查調查結果的原因和影響。

**概觀標籤**  
此標籤提供調查結果的摘要。例如，您可以判斷問題清單的建立和上次更新時間、其存在的帳戶，以及問題清單的來源。對於控制項調查結果，此索引標籤也會在 Security Hub CSPM 文件中顯示相關 AWS Config 規則的名稱，以及修補指引的連結。  
在**概觀**索引標籤的資源****快照中，您可以取得調查結果所涉及資源的簡短概觀。對於某些資源，這包含**開啟資源**選項，可直接連結到相關 AWS 服務 主控台上受影響的資源。**歷史記錄**快照最多可顯示追蹤歷史記錄最近日期對調查結果所做的兩項變更。例如，如果您昨天進行了一項變更，今天進行了另一項變更，快照會顯示今天的變更。若要檢閱先前的項目，請切換到**歷史記錄**索引標籤。  
**合規**資料列會展開以顯示更多詳細資訊。例如，如果控制項包含參數，您可以檢閱 Security Hub CSPM 在執行控制項安全檢查時目前使用的參數值。

**資源索引標籤**  
此標籤提供有關問題清單所涉及資源的詳細資訊。如果您已登入擁有資源的帳戶，您可以在適用的 AWS 服務 主控台中檢閱資源。如果您不是資源的擁有者，此標籤會顯示擁有者的 AWS 帳戶 ID。  
**詳細資訊**列會顯示調查結果中的資源特定詳細資訊。它以 JSON 格式顯示調查結果的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ResourceDetails.html)區段。  
**標籤**列會顯示指派給問題清單所涉及資源的標籤索引鍵和值。 AWS Resource Groups 標記 API [GetResources操作支援](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html)的資源可以加上標籤。Security Hub CSPM 會在處理新的或更新的問題清單時使用[服務連結角色](using-service-linked-roles.md)來呼叫此操作，並在 AWS Security Finding Format (ASFF) `Resource.Id` 欄位填入資源的 ARN 時擷取資源標籤。Security Hub CSPM 會忽略無效的資源 IDs。如需在調查結果中包含資源標籤的詳細資訊，請參閱 [Tags (標籤)](asff-resources-attributes.md#asff-resources-tags)。

**歷史記錄索引標籤**  
此標籤會追蹤問題清單的歷史記錄。問題清單歷史記錄可用於作用中和封存的問題清單。它提供隨時間對調查結果所做的變更的不可變線索，包括 ASFF 欄位的變更、變更發生的時間以及使用者。標籤上的每個頁面最多可顯示 20 個變更。首先顯示更多最近的變更。  
對於作用中的問題清單，問題清單歷史記錄最多可使用 90 天。對於封存的問題清單，問題清單歷史記錄最多可使用 30 天。調查結果歷史記錄包含由 [Security Hub CSPM 自動化規則](automation-rules.md)手動或自動所做的變更。它不包含對頂層時間戳記欄位的變更，例如 `CreatedAt`和 `UpdatedAt` 欄位。  
如果您已登入 Security Hub CSPM 管理員帳戶，問題清單歷史記錄適用於管理員帳戶和所有成員帳戶。

**威脅索引標籤**  
此索引標籤包含來自 ASFF 的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Action.html)、 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Malware.html)和 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Process.html) 物件的資料，包括威脅類型，以及資源是目標還是演員。這些詳細資訊通常適用於源自 Amazon GuardDuty 的調查結果。

**漏洞索引標籤**  
此標籤會顯示 ASFF [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_Vulnerability.html) 物件中的資料，包括是否存在與調查結果相關聯的入侵或可用修正。這些詳細資訊通常適用於源自 Amazon Inspector 的調查結果。

每個索引標籤上的資料列都包含複製或篩選選項。例如，如果您為工作流程狀態為 **Notified** 的調查結果開啟面板，您可以選擇**工作流程狀態**列旁的篩選條件選項。如果您選擇**顯示具有此值的所有調查結果**，Security Hub CSPM 會篩選調查結果表，並僅顯示工作流程狀態相同的調查結果。

## 檢閱問題清單詳細資訊和歷史記錄
<a name="finding-view-details-console"></a>

選擇您偏好的方法，並依照步驟檢閱 Security Hub CSPM 中的調查結果詳細資訊。

如果您啟用跨區域彙總並登入彙總區域，調查結果資料會包含來自彙總區域和連結區域的資料。在其他區域中，問題清單資料僅適用於該區域。如需跨區域彙總的詳細資訊，請參閱 [了解 Security Hub CSPM 中的跨區域彙總](finding-aggregation.md)。

------
#### [ Security Hub CSPM console ]

**檢閱問題清單詳細資訊和歷史記錄**

1. 在 https：//[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 開啟 AWS Security Hub CSPM 主控台。

1. 若要顯示問題清單，請執行下列其中一項操作：
   + 在導覽窗格中，選擇**調查結果**。視需要新增搜尋篩選條件，以縮小問題清單範圍。
   + 在導覽窗格中，選擇 ** Insights**。選擇洞見。然後，在結果清單中，選擇洞見結果。
   + 在導覽窗格中選擇**整合**。選擇 **查看整合**的問題清單。
   + 在導覽窗格中，選擇**控制項**。

1. 選擇問題清單。問題清單面板會顯示問題清單的詳細資訊。

1. 在問題清單面板中，執行下列任一動作：
   + 若要檢閱問題清單的特定詳細資訊，請選擇索引標籤。
   + 若要對問題清單採取動作，請從**動作**功能表中選擇一個選項。
   + 若要在 Amazon Detective 中調查調查結果，請選擇**調查**選項。

**注意**  
如果您與 整合， AWS Organizations 且已登入成員帳戶，則調查結果面板會包含帳戶名稱。對於手動邀請的成員帳戶，而不是透過 Organizations，問題清單面板只會包含帳戶 ID。

------
#### [ Security Hub CSPM API ]

使用 Security Hub CSPM API [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)的操作，或者如果您使用的是 AWS CLI，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html)命令。您可以為 `Filters` 參數提供一或多個值，以縮小要擷取的問題清單範圍。

如果結果量太大，您可以使用 `MaxResults` 參數將問題清單限制為指定的數字，並使用 `NextToken` 參數將問題清單分頁。使用 `SortCriteria` 參數依特定欄位排序問題清單。

例如，下列 AWS CLI 命令會擷取符合指定篩選條件的問題清單，並依 `LastObservedAt` 欄位以遞減順序排序結果。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100
```

若要檢閱問題清單歷史記錄，請使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetFindingHistory.html)操作。如果您使用的是 AWS CLI，請執行 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-finding-history.html)命令。使用 `ProductArn`和 `Id` 欄位識別您要取得 歷史記錄的問題清單。如需這些欄位的相關資訊，請參閱「[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFindingIdentifier.html)」。每個請求只能擷取一個調查結果的歷史記錄。

例如，下列 AWS CLI 命令會擷取指定調查結果的歷史記錄。此範例已針對 Linux、macOS 或 Unix 格式化，並使用反斜線 (\$1) 行接續字元來改善可讀性。

```
$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
```

------
#### [ PowerShell ]

使用 `Get-SHUBFinding` cmdlet。選擇性地填入 `Filter` 參數，以縮小要擷取的問題清單範圍。

例如，下列 cmdlet 會擷取符合指定篩選條件的問題清單。

```
Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
```

------

**注意**  
如果您依 `CompanyName`或 篩選問題清單`ProductName`，Security Hub CSPM 會使用 `ProductFields` ASFF 物件一部分的值。Security Hub CSPM 不使用最上層`CompanyName`和`ProductName`欄位。