Verwaltung und Überprüfung von Funddetails und Verlauf - AWS Security Hub
Ergebnisse filtern und gruppieren (Konsole)Verfügbare SuchinformationenDen Verlauf der Ergebnisse überprüfenDetails zu den Ergebnissen werden überprüft

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung und Überprüfung von Funddetails und Verlauf

Es gibt mehrere Möglichkeiten, Suchlisten auf der AWS Security Hub Konsole anzuzeigen:

  • Ergebnisseite — Zeigt eine umfassende Liste der Ergebnisse aller aktivierten Steuerungen und Produktintegrationen an. Standardmäßig werden aktive Ergebnisse mit dem NOTIFIED Workflow-Status NEW oder angezeigt.

  • Seite mit Kontrolldetails — Zeigt eine Liste der Ergebnisse an, die in den letzten 24 Stunden für eine bestimmte Kontrolle generiert wurden.

  • Seite „Einblicke“ — Zeigt eine Liste mit Ergebnissen für einen passenden Einblick an. Bei einem Einblick handelt es sich um sammlungsspezifische Ergebnisse. Weitere Informationen finden Sie unter Anzeigen von Insight-Ergebnissen und -Resultaten und Ergreifen geeigneter Maßnahmen.

  • Seite „Integrationen“ — Zeigt eine Liste der Ergebnisse an, die von einem integrierten Produkt AWS -Service oder einem Drittanbieterprodukt generiert wurden.

Sie können die Ergebnisse in diesen Listen filtern und gruppieren, um sich auf bestimmte Arten von Ergebnissen zu konzentrieren. Sie können auch ein bestimmtes Ergebnis auf den vorherigen Seiten auswählen, um Details zu diesem Ergebnis anzuzeigen.

Um eine Liste der Ergebnisse programmgesteuert anzuzeigen, verwenden Sie den GetFindingsBetrieb des Security Hub. API Sie können Filter einbeziehen, um bestimmte Arten von Ergebnissen abzurufen.

Wenn Sie die regionsübergreifende Aggregation aktivieren, können Sie Kontrollstatus, Sicherheitswerte, Erkenntnisse und Ergebnisse aus verschiedenen Regionen abrufen. In der Aggregationsregion umfasst das Auffinden von Daten Daten aus der Aggregationsregion und den verknüpften Regionen. In anderen Regionen ist das Auffinden von Daten nur für diese Region spezifisch. Hinweise zur Konfiguration der regionsübergreifenden Aggregation finden Sie unter. Regionsübergreifende Aggregation

Ergebnisse filtern und gruppieren (Konsole)

Wenn Sie eine Ergebnisliste auf der Seite Ergebnisse, Integrationen oder Einblicke der Security Hub Hub-Konsole anzeigen, wird die Liste anhand des Datensatzstatus und des Workflow-Status vorgefiltert. Dies gilt zusätzlich zu den Filtern für einen Einblick oder eine Integration.

Der Datensatzstatus gibt an, ob ein Ergebnis aktiv oder archiviert ist. Standardmäßig werden in einer Ergebnisliste nur aktive Ergebnisse angezeigt. Ein Befund kann vom Befundanbieter archiviert werden. AWS Security Hub archiviert auch automatisch Kontrollergebnisse, wenn die zugehörige Ressource gelöscht wird.

Der Workflow-Status gibt den Status einer Untersuchung eines Ergebnisses an. Standardmäßig werden in einer Ergebnisliste nur Ergebnisse mit dem Workflow-Status NEW oder NOTIFIED angezeigt. Sie können den Workflow-Status eines Ergebnisses aktualisieren.

Wenn Sie die Aggregation von Ergebnissen aktiviert haben und in der Aggregationsregion angemeldet sind, können Sie die Ergebnisse auf den Seiten Ergebnisse und Einblicke nach Regionen filtern.

Informationen zum Arbeiten mit Kontrollergebnissen finden Sie unter. Filtern, Sortieren und Herunterladen von Kontrollbefunden Die Informationen auf dieser Seite beziehen sich auf Ergebnislisten auf den Seiten Ergebnisse, Einblicke und Integrationen.

Hinzufügen von Filtern

Um den Bereich der Liste zu ändern, können Sie Filter hinzufügen.

Sie können nach bis zu 10 Attributen filtern. Für jedes Attribut können Sie bis zu 20 Filterwerte angeben.

Beim Filtern der Ergebnisliste wendet Security Hub AND Logik auf den Filtersatz an. Mit anderen Worten: Eine Suche stimmt nur dann überein, wenn sie mit allen bereitgestellten Filtern übereinstimmt. Wenn Sie beispielsweise einen Filter für den Produktnamen und AwsS3Bucket als Filter für den Ressourcentyp hinzufügen GuardDuty , müssen die übereinstimmenden Ergebnisse diesen beiden Kriterien entsprechen.

Security Hub wendet jedoch die OR-Logik auf Filter an, die dasselbe Attribut, aber unterschiedliche Werte verwenden. Sie fügen beispielsweise GuardDuty sowohl als auch Amazon Inspector als Filterwerte für den Produktnamen hinzu. In diesem Fall stimmt ein Ergebnis überein, wenn es entweder von Amazon Inspector GuardDuty oder von Amazon Inspector generiert wurde.

So fügen Sie der Ergebnisliste einen Filter hinzu

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

  2. Gehen Sie wie folgt vor, um eine Ergebnisliste anzuzeigen:

    • Wählen Sie im Security Hub-Navigationsbereich Findings aus.

    • Wählen Sie im Security Hub-Navigationsbereich Insights aus. Wählen Sie einen Einblick aus. Wählen Sie dann in der Ergebnisliste ein Insight-Ergebnis aus.

    • Wählen Sie im Security Hub-Navigationsbereich Integrationen aus. Wählen Sie Ergebnisse für eine Integration anzeigen aus.

  3. Wählen Sie im Feld Filter hinzufügen für Filter einen Filter aus.

    Wenn Sie nach Firmenname oder Produktname filtern, verwendet die Konsole die ProductName Felder CompanyName und auf oberster Ebene. Das API verwendet die Werte, die sich in ProductFields befinden.

  4. Wählen Sie den Filterübereinstimmungstyp aus.

    Für einen Zeichenkettenfilter können Sie aus den folgenden Vergleichsoptionen wählen:

    • ist — Findet einen Wert, der genau dem Filterwert entspricht.

    • beginnt mit — Findet einen Wert, der mit dem Filterwert beginnt.

    • ist nicht — Findet einen Wert, der nicht mit dem Filterwert übereinstimmt.

    • beginnt nicht mit — Findet einen Wert, der nicht mit dem Filterwert beginnt.

    Bei einem numerischen Filter können Sie wählen, ob Sie eine einzelne Zahl (Einfach) oder einen Zahlenbereich (Bereich) angeben möchten.

    Für einen Datums- oder Uhrzeitfilter können Sie wählen, ob Sie eine Zeitspanne vom aktuellen Datum und der aktuellen Uhrzeit (Rollendes Fenster) oder einen bestimmten Datumsbereich (fester Bereich) angeben möchten.

    Das Hinzufügen mehrerer Filter hat die folgenden Interaktionen:

    • ist und beginnt mit Filtern werden durch OR verknüpft. Ein Wert stimmt überein, wenn er einen der Filterwerte enthält. Wenn Sie beispielsweise die Bezeichnung Schweregrad ist CRITICAL und die Bezeichnung Schweregrad ist angebenHIGH, enthalten die Ergebnisse sowohl kritische Ergebnisse als auch Ergebnisse mit hohem Schweregrad.

    • ist nicht und beginnt nicht damit, dass Filter miteinander verknüpft werdenAND. Ein Wert stimmt nur überein, wenn er keinen dieser Filterwerte enthält. Wenn Sie beispielsweise die Bezeichnung Schweregrad nicht LOW und die Bezeichnung Schweregrad nicht angebenMEDIUM, enthalten die Ergebnisse keine Ergebnisse mit niedrigem oder mittlerem Schweregrad.

    Wenn Sie einen Is-Filter für ein Feld verwenden, können Sie den Filter Ist nicht oder A fängt nicht mit an für dasselbe Feld verwenden.

  5. Geben Sie den Filterwert an.

    Bei Zeichenkettenfiltern unterscheidet der Filterwert zwischen Groß- und Kleinschreibung.

    Für Ergebnisse aus Security Hub lautet der Produktname beispielsweise Security Hub. Wenn Sie den EQUALSOperator verwenden, um Ergebnisse von Security Hub anzuzeigen, müssen Sie Security Hub als Filterwert eingeben. Wenn Sie security hub eingeben, werden keine Ergebnisse angezeigt.

    Wenn Sie den PREFIXOperator verwenden und eingebenSec, werden die Security Hub Hub-Ergebnisse ebenfalls angezeigt. Wenn Sie eingebensec, werden keine Security Hub Hub-Ergebnisse angezeigt.

  6. Wählen Sie Apply (Anwenden) aus.

Gruppieren der Ergebnisse

Sie können nicht nur die Filter ändern, sondern auch die Ergebnisse anhand der Werte eines ausgewählten Attributs gruppieren.

Wenn Sie die Ergebnisse gruppieren, wird die Ergebnisliste durch eine Werteliste für das ausgewählte Attribut in den entsprechenden Ergebnissen ersetzt. Für jeden Wert zeigt die Liste die Anzahl der Ergebnisse an, die den anderen Filterkriterien entsprechen.

Wenn Sie die Ergebnisse beispielsweise nach AWS-Konto ID gruppieren, wird eine Liste von Konto-IDs mit der Anzahl der übereinstimmenden Ergebnisse für jedes Konto angezeigt.

Beachten Sie, dass Security Hub nur 100 Werte anzeigen kann. Wenn es mehr als 100 Gruppierungswerte gibt, werden nur die ersten 100 angezeigt.

Wenn Sie einen Attributwert auswählen, wird die Liste der passenden Ergebnisse für diesen Wert angezeigt.

So gruppieren Sie die Ergebnisse in einer Ergebnisliste

  1. Wählen Sie in der Ergebnisliste das Feld Filter hinzufügen aus.

  2. Wählen Sie für Gruppierung die Option Gruppieren nach aus.

  3. Wählen Sie in der Liste das Attribut aus, das für die Gruppierung verwendet werden soll.

  4. Wählen Sie Apply (Anwenden) aus.

Ändern eines Filterwerts oder eines Gruppierungsattributs

Bei einem vorhandenen Filter können Sie den Filterwert ändern. Sie können das Gruppierungsattribut auch ändern.

Beispielsweise können Sie den Filter Record state (Datensatzstatus) so ändern, dass er nach ARCHIVED-Ergebnissen anstelle von ACTIVE-Ergebnissen sucht.

Um ein Filter- oder Gruppierungsattribut zu bearbeiten

  1. Wählen Sie in einer gefilterten Ergebnisliste das Filter- oder Gruppierungsattribut aus.

  2. Wählen Sie für Gruppieren nach das neue Attribut aus und klicken Sie dann auf Anwenden.

  3. Wählen Sie für einen Filter den neuen Wert aus und klicken Sie dann auf Anwenden.

Löschen eines Filter- oder Gruppierungsattributs

Um ein Filter- oder Gruppierungsattribut zu löschen, wählen Sie das X-Symbol.

Die Liste wird automatisch aktualisiert, um die Änderung widerzuspiegeln. Wenn Sie das Gruppierungsattribut entfernen, ändert sich die Liste von der Liste der Feldwerte wieder in eine Ergebnisliste.

Verfügbare Suchinformationen

Sie können eine Vielzahl von Informationen zu den Ergebnissen auf der Security Hub Hub-Konsole oder telefonisch beim Security Hub GetFindingsHub-Betrieb abrufenAPI. Im Folgenden finden Sie eine unvollständige Liste der Arten von Funddetails, die Sie erhalten können.

  • Anwendungsmetadaten — Geben den Namen und den Amazon-Ressourcennamen (ARN) der Anwendung an, die an einer Suche beteiligt war, falls Sie eine Anwendung erstellt und ihr das AWS Anwendungs-Tag hinzugefügt haben. Wir empfehlen, Anwendungen in AWS Service Catalog AppRegistryzu erstellen.

  • Fundverlauf — Zeigt den Verlauf des Fundes in den letzten 90 Tagen an.

  • Finding Investigation in Detective (nur Konsole) — Stellt einen Link zur Verfügung, um ein Ergebnis in Detective mithilfe automatisierter Tools zur Protokollerfassung, Sicherheitsanalyse und AWS -Service Ressourcenerkundung weiter zu untersuchen. Diese Informationen sind nur für Security Hub Hub-Ergebnisse enthalten, die von anderen erhalten wurden AWS -Services , wenn Sie Detective aktivieren.

  • Felder für die Suche nach Anbietern — Zeigt die Werte des Suchproviders für Zuverlässigkeit, Kritikalität, verwandte Ergebnisse, Schweregrad und Art des Ergebnisses an.

  • Parameter — Zeigt die aktuellen Parameterwerte für eine Sicherheitskontrolle an. Security Hub verwendet diese Parameterwerte bei der Durchführung von Sicherheitsprüfungen der Steuerung.

  • Behebung — Stellt einen Link zu den Anweisungen zur Behebung fehlgeschlagener Kontrollergebnisse bereit.

  • Ressource — Stellt Informationen über die AWS Ressource bereit, die an einem Befund beteiligt war.

  • Ressourcen-Tags — Stellt Informationen zu Tag-Schlüsseln und -Werten für die Ressourcen bereit, die an einem Ergebnis beteiligt sind. Sie können Ressourcen kennzeichnen, die von der GetResourcesAWS Resource Groups API Tagging-Operation unterstützt werden. Security Hub ruft diesen Vorgang über die dienstverknüpfte Rolle auf und ruft die Ressourcen-Tags ab, wenn das Resource.Id Feld AWS Security Finding Format (ASFF) mit der AWS Ressource gefüllt ist. ARN Ungültige Ressourcen IDs werden ignoriert. Weitere Informationen zur Aufnahme von Ressourcen-Tags in Ergebnisse finden Sie unterTags.

  • Typen und zugehörige Ergebnisse — Enthält Informationen zum Befundtyp.

  • Details zur Sicherheitslücke — Informationen zu einer Sicherheitslücke, die in einem Befund entdeckt wurde, und zu den betroffenen Paketen. Diese Details sind verfügbar, wenn Sie Amazon Inspector für Ergebnisse aktivieren, die Amazon Inspector an Security Hub sendet.

Lesen Sie die folgenden Abschnitte, um zu erfahren, wie Sie auf diese Details zugreifen können, um ein Ergebnis zu ermitteln.

Den Verlauf der Ergebnisse überprüfen

Der Suchverlauf ist eine Security Hub Hub-Funktion, mit der Sie Änderungen verfolgen können, die in den letzten 90 Tagen an einem Ergebnis vorgenommen wurden. Sie ist für aktive und archivierte Ergebnisse verfügbar. Die Fundhistorie bietet eine unveränderliche Aufzeichnung der Änderungen, die im Laufe der Zeit an einem Ergebnis vorgenommen wurden, einschließlich der Art der Änderung, des Zeitpunkts und des Benutzers.

Insbesondere können Sie Änderungen nachverfolgen, die an Feldern in der AWS Format für Sicherheitslücken (ASFF) vorgenommen wurden. Security Hub verfolgt Änderungen, die Sie manuell und mit Automatisierungsregeln vornehmen.

Der Suchverlauf ist in der Security Hub Hub-Konsole verfügbarAPI, und AWS CLI.

Wenn Sie mit einem Security Hub-Administratorkonto angemeldet sind, können Sie den Suchverlauf für das Administratorkonto und alle Mitgliedskonten abrufen.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um den Suchverlauf zu überprüfen.

Security Hub console
Den Suchverlauf überprüfen

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

  2. Wählen Sie im linken Navigationsbereich Findings aus.

  3. Wählen Sie ein Ergebnis aus. Wählen Sie im daraufhin angezeigten Fenster die Registerkarte Verlauf aus.

Security Hub API
Den Suchverlauf überprüfen

  1. Führen Sie den Befehl aus GetFindings, oder wenn Sie den verwenden AWS CLI, führen Sie den get-findingsBefehl aus. Verwenden Sie bei Bedarf die entsprechenden Filter, um das Ergebnis zu identifizieren, für das Sie den Verlauf anzeigen möchten. In der API Antwort erhalten Sie das ProductArn und Id für das Ergebnis. Sie benötigen die Werte für diese Felder im dritten Schritt.

  2. Führen Sie den Befehl aus GetFindingHistory, oder wenn Sie den verwenden AWS CLI, führen Sie den get-finding-historyBefehl aus.

  3. Identifizieren Sie das Ergebnis, für das Sie den Verlauf abrufen möchten, mit den Id Feldern ProductArn und. Weitere Informationen zu diesen Feldern finden Sie unter AwsSecurityFindingIdentifier. Sie können pro Anfrage nur den Verlauf für ein Ergebnis abrufen.

  4. Geben Sie Werte fürStartTime... EndTime an und beschränken Sie den Suchverlauf auf einen bestimmten Zeitraum.

  5. Geben Sie einen Wert MaxResults an, um den Suchverlauf auf eine bestimmte Anzahl von Ergebnissen zu beschränken. Falls nicht angegeben, gibt die API Antwort die ersten 100 Ergebnisse der Suchhistorie zurück.

  6. Geben Sie einen Wert für einNextToken, um die nächsten 100 Ergebnisse (falls zutreffend) für einen Befund anzuzeigen. In Ihrer ersten API Anfrage NextToken sollte der Wert von seinNULL.

Mit dem folgenden CLI Befehl wird der Verlauf für das angegebene Ergebnis abgerufen. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"

Details zu den Ergebnissen werden überprüft

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die Suchdetails in Security Hub anzuzeigen.

Security Hub console
Einzelheiten zu den Ergebnissen überprüfen

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

  2. Um eine Ergebnisliste anzuzeigen, führen Sie eine der folgenden Aktionen aus:

    • Wählen Sie im Security Hub-Navigationsbereich Findings aus. Fügen Sie nach Bedarf Suchfilter hinzu, um die Ergebnisliste einzugrenzen.

    • Wählen Sie im Security Hub-Navigationsbereich Insights aus. Wählen Sie einen Einblick aus. Wählen Sie dann in der Ergebnisliste ein Insight-Ergebnis aus.

    • Wählen Sie im Security Hub-Navigationsbereich Integrationen aus. Wählen Sie Ergebnisse für eine Integration anzeigen aus.

  3. Wählen Sie einen Titel für das Ergebnis aus.

  4. Im Bereich mit den Details zu den Ergebnissen können Sie wie folgt weitere Aktionen ausführen:

    • Um den vollständigen JSON Befund anzuzeigen, wählen Sie die Ergebnis-ID aus. Laden Sie das Ergebnis JSON unter Finding herunterJSON.

    • Für Ergebnisse, die auf AWS Config Regeln basieren, wählen Sie Regeln aus, um eine Liste der geltenden Regeln anzuzeigen.

    • Wählen Sie Investigate with Macie aus, um sensible Daten zu untersuchen, die bei den Ergebnissen in der Macie-Konsole entdeckt wurden. Diese Option ist nur verfügbar, wenn Sie Amazon Macie und seine automatische Erkennungsfunktion für sensible Daten aktivieren.

    • Wählen Sie Ressourcen, um Informationen über die Ressource anzuzeigen, die an einem Befund beteiligt war.

    • Wählen Sie Investigate in Amazon Detective, um das Ergebnis in der Detective-Konsole zu untersuchen. Diese Option ist nur verfügbar, wenn Sie Amazon Detective aktivieren.

    • Wählen Sie die Registerkarte Verlauf, um den Suchverlauf von bis zu 90 Tagen anzuzeigen.

Anmerkung

Oben im Bereich mit den Befunddetails finden Sie Übersichtsinformationen über das Ergebnis, einschließlich Konto, Schweregrad, Datum und Status. Wenn Sie eine Integration durchführen AWS Organizations und es sich bei dem Konto, bei dem Sie angemeldet sind, um ein Mitgliedskonto der Organisation handelt, enthält der Detailbereich den Kontonamen. Für Mitgliedskonten, die manuell und nicht über die Organisationsintegration eingeladen werden, enthält der Detailbereich nur die Konto-ID.

Security Hub API

Die Details zu den Ergebnissen werden überprüft

Verwenden Sie den GetFindingsBetrieb des Security HubAPI, oder wenn Sie den verwenden AWS CLI, führen Sie den Befehl get-findings aus.

Sie können einen oder mehrere Werte für den Filters Parameter angeben, um die Ergebnisse einzugrenzen, die Sie abrufen möchten.

Wenn das Volumen der Ergebnisse zu groß ist, können Sie den MaxResults Parameter verwenden, um die Ergebnisse auf eine bestimmte Anzahl zu beschränken, und den NextToken Parameter, um die Ergebnisse zu paginieren. Verwenden Sie den SortCriteria Parameter, um die Ergebnisse nach einem bestimmten Feld zu sortieren.

Wenn Sie die regionsübergreifende Aggregation aktiviert haben und diesen Vorgang von der Aggregationsregion aus aufrufen, enthalten die Ergebnisse Ergebnisse aus der Aggregation und verknüpften Regionen.

Mit dem folgenden CLI Befehl werden die Ergebnisse abgerufen, die den angegebenen Filtern entsprechen, und sie in absteigender Reihenfolge des Felds sortiert. LastObservedAt Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\) zur Verbesserung der Lesbarkeit.

$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100
PowerShell
Details zu den Ergebnissen werden überprüft

  1. Verwenden Sie das Get-SHUBFinding Cmdlet.

  2. Füllen Sie optional den Filter Parameter aus, um die Ergebnisse einzugrenzen, die Sie abrufen möchten.

Beispiel

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
Anmerkung

Wenn Sie Ergebnisse nach CompanyName oder filternProductName, verwendet Security Hub die Werte, die Teil des ProductFields ASFF Objekts sind. Security Hub verwendet nicht die ProductName Felder der obersten Ebene CompanyName und.