Gestion et révision des informations et de l'historique des recherches - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion et révision des informations et de l'historique des recherches

Il existe plusieurs méthodes pour afficher les listes de recherche sur la AWS Security Hub console :

  • Page de résultats : affiche une liste complète des résultats issus de tous les contrôles activés et des intégrations de produits. Par défaut, les résultats actifs avec un statut NEW ou un NOTIFIED flux de travail sont affichés.

  • Page de détails du contrôle : affiche la liste des résultats générés au cours des dernières 24 heures pour un contrôle spécifique.

  • Page d'informations : affiche une liste de résultats pour obtenir un aperçu correspondant. Un aperçu est un résultat spécifique à une collection. Pour plus d’informations, consultez Affichage des résultats et actions à effectuer.

  • Page Intégrations : affiche la liste des résultats générés par un produit intégré Service AWS ou tiers.

Vous pouvez filtrer et regrouper les résultats dans ces listes pour vous concentrer sur des types de résultats spécifiques. Vous pouvez également sélectionner une constatation spécifique dans les pages précédentes pour en afficher les détails.

Pour afficher la liste des résultats par programmation, utilisez le GetFindingsfonctionnement de l'API Security Hub. Vous pouvez inclure des filtres pour récupérer des types spécifiques de résultats.

Si vous activez l'agrégation entre régions, vous pouvez récupérer les statuts de contrôle, les scores de sécurité, les informations et les conclusions provenant de différentes régions. Dans la région d'agrégation, la recherche de données inclut les données de la région d'agrégation et des régions liées. Dans d'autres régions, la recherche de données est spécifique à cette région uniquement. Pour plus d'informations sur la configuration de l'agrégation entre régions, consultezAgrégation entre régions.

Filtrer et regrouper les résultats (console)

Lorsque vous affichez une liste de résultats sur la page Résultats, la page Intégrations ou la page Insights de la console Security Hub, la liste est préfiltrée en fonction de l'état de l'enregistrement et du statut du flux de travail. Cela s'ajoute aux filtres pour un aperçu ou une intégration.

L'état de l'enregistrement indique si une découverte est active ou archivée. Par défaut, une liste de recherche affiche uniquement les résultats actifs. Le fournisseur de recherche peut archiver les résultats. AWS Security Hub archive également automatiquement les résultats des contrôles si la ressource associée est supprimée.

L'état du flux de travail indique l'état d'une enquête sur un résultat. Par défaut, une liste de résultats affiche uniquement ceux dont l’état du flux de travail est NEW ou NOTIFIED. Vous pouvez mettre à jour le statut du flux de travail d'une constatation.

Si vous avez activé l'agrégation de recherche et que vous êtes connecté à la région d'agrégation, vous pouvez filtrer les résultats par région sur les pages Résultats et Perspectives.

Pour plus d'informations sur l'utilisation des résultats des contrôles, consultezFiltrer, trier et télécharger les résultats des contrôles. Les informations de cette page s'appliquent aux listes de recherche sur les pages Résultats, Insights et Integrations.

Ajout de filtres

Pour modifier la portée de la liste, vous pouvez y ajouter des filtres.

Vous pouvez filtrer selon un maximum de 10 attributs. Pour chaque attribut, vous pouvez fournir jusqu'à 20 valeurs de filtre.

Lors du filtrage de la liste de recherche, Security Hub applique la logique AND à l'ensemble de filtres. En d'autres termes, un résultat ne coïncide que s'il correspond à tous les filtres fournis. Par exemple, si vous l'ajoutez GuardDuty en tant que filtre pour le nom du produit et AwsS3Bucket en tant que filtre pour le type de ressource, les résultats correspondants doivent correspondre à ces deux critères.

Security Hub applique toutefois la logique OR aux filtres qui utilisent le même attribut mais des valeurs différentes. Par exemple, vous ajoutez les deux GuardDuty et Amazon Inspector comme valeurs de filtre pour le nom du produit. Dans ce cas, un résultat correspond s'il a été généré par Amazon Inspector GuardDuty ou par Amazon Inspector.

Pour ajouter un filtre à la liste de résultats
  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Pour afficher une liste de recherche, effectuez l'une des opérations suivantes :

    • Dans le volet de navigation du Security Hub, sélectionnez Findings.

    • Dans le volet de navigation du Security Hub, sélectionnez Insights. Choisissez un aperçu. Ensuite, dans la liste des résultats, choisissez un résultat d'aperçu.

    • Dans le volet de navigation de Security Hub, sélectionnez Integrations. Choisissez Voir les résultats pour une intégration.

  3. Dans la zone Ajouter des filtres, pour Filtres, choisissez un filtre.

    Lorsque vous filtrez par nom de société ou par nom de produit, la console utilise le niveau supérieur CompanyName et ProductName les champs. L'API utilise les valeurs figurant dansProductFields.

  4. Choisissez le type de correspondance de filtre.

    Pour un filtre de chaîne, vous pouvez choisir l'une des options de comparaison suivantes :

    • is — Trouvez une valeur qui correspond exactement à la valeur du filtre.

    • commence par — Trouvez une valeur qui commence par la valeur du filtre.

    • n'est pas — Trouvez une valeur qui ne correspond pas à la valeur du filtre.

    • ne commence pas par — Trouvez une valeur qui ne commence pas par la valeur du filtre.

    Pour un filtre numérique, vous pouvez choisir de fournir un nombre unique (Simple) ou une plage de nombres (Range).

    Pour un filtre de date ou d'heure, vous pouvez choisir de fournir une durée à partir de la date et de l'heure actuelles (fenêtre mobile) ou d'une plage de dates spécifique (plage fixe).

    L'ajout de plusieurs filtres entraîne les interactions suivantes :

    • est et commence par : les filtres sont joints par OR. Une valeur correspond si elle contient l'une des valeurs du filtre. Par exemple, si vous spécifiez que l'étiquette de gravité est CRITIQUE et que l'étiquette de gravité est ÉLEVÉE, les résultats incluent à la fois des résultats critiques et des résultats de gravité élevée.

    • n'est pas et ne commence pas par les filtres joints par AND. Une valeur correspond uniquement si elle ne contient aucune de ces valeurs de filtre. Par exemple, si vous spécifiez que l'étiquette de gravité n'est pas FAIBLE et que l'étiquette de gravité n'est pas MOYENNE, les résultats n'incluent pas les résultats de gravité faible ou moyenne.

    Si vous avez un filtre « est » sur un champ, vous ne pouvez pas avoir de filtre « n'est pas » ou « ne commence pas par » sur le même champ.

  5. Spécifiez la valeur du filtre.

    Pour les filtres de chaîne, la valeur du filtre distingue les majuscules et minuscules.

    Par exemple, pour les résultats de Security Hub, le nom du produit est Security Hub. Si vous utilisez l'opérateur EQUALS pour consulter les résultats de Security Hub, vous devez saisir Security Hub la valeur du filtre. Si vous saisissez security hub, aucun résultat n'est affiché.

    De même, si vous utilisez l'opérateur PREFIX et que vous entrezSec, les résultats du Security Hub s'affichent. Si vous entrezsec, aucun résultat du Security Hub n'est affiché.

  6. Choisissez Appliquer.

Regroupement des résultats

Outre la modification des filtres, vous pouvez regrouper les résultats en fonction des valeurs d'un attribut sélectionné.

Lorsque vous regroupez les résultats, la liste des résultats est remplacée par une liste de valeurs pour l'attribut sélectionné dans les résultats correspondants. Pour chaque valeur, la liste affiche le nombre de résultats correspondant aux autres critères de filtre.

Par exemple, si vous regroupez les résultats par Compte AWS identifiant, vous verrez une liste d'identifiants de compte, avec le nombre de résultats correspondants pour chaque compte.

Notez que Security Hub ne peut afficher que 100 valeurs. S'il existe plus de 100 valeurs de regroupement, seules les 100 premières s'affichent.

Lorsque vous choisissez une valeur d'attribut, la liste des résultats correspondants pour cette valeur s'affiche.

Pour regrouper les résultats dans une liste de résultats
  1. Dans la liste de recherche, sélectionnez la case Ajouter des filtres.

  2. Pour Regrouper, choisissez Regrouper par.

  3. Dans la liste, choisissez l'attribut à utiliser pour le regroupement.

  4. Choisissez Appliquer.

Modification d'une valeur de filtre ou d'un attribut de regroupement

Vous pouvez modifier la valeur du filtre pour un filtre existant. Vous pouvez également modifier l'attribut de regroupement.

Par exemple, vous pouvez modifier le filtre Record state (État de l'enregistrement) pour rechercher les résultats ARCHIVED plutôt que ceux ACTIVE.

Pour modifier un attribut de filtre ou de regroupement
  1. Dans une liste de recherche filtrée, choisissez l'attribut de filtre ou de regroupement.

  2. Pour Regrouper par, choisissez le nouvel attribut, puis sélectionnez Appliquer.

  3. Pour un filtre, choisissez la nouvelle valeur, puis cliquez sur Appliquer.

Supprimer un filtre ou un attribut de regroupement

Pour supprimer un filtre ou un attribut de regroupement, cliquez sur l'icône X.

La liste est mise à jour automatiquement pour refléter le changement. Lorsque vous supprimez l'attribut de regroupement, la liste des valeurs des champs redevient une liste de résultats.

Informations de recherche disponibles

Vous pouvez obtenir divers détails sur les résultats sur la console Security Hub ou en appelant l'API Security Hub à des fins de GetFindingsfonctionnement. Voici une liste partielle des types de détails de recherche que vous pouvez obtenir.

  • Métadonnées de l'application : fournit le nom et le nom Amazon Resource Name (ARN) de l'application impliquée dans une recherche si vous avez créé une application et y avez ajouté la balise d' AWS application. Nous vous recommandons de créer des applications dans AWS Service Catalog AppRegistry.

  • Historique des recherches — Fournit l'historique des résultats des 90 derniers jours.

  • Recherche dans Detective (console uniquement) : fournit un lien permettant d'approfondir une recherche dans Detective à l'aide d'outils de collecte automatique de journaux, d'analyses de sécurité et d'exploration Service AWS des ressources. Ces informations ne sont incluses que pour les résultats de Security Hub reçus d'autres utilisateurs Services AWS si vous activez Detective.

  • Champs de recherche de fournisseur : affiche les valeurs du fournisseur de recherche en termes de confiance, de criticité, de résultats connexes, de gravité et de type de recherche.

  • Paramètres — Affiche les valeurs des paramètres actuels d'un contrôle de sécurité. Security Hub utilise ces valeurs de paramètres lors des contrôles de sécurité du contrôle.

  • Correction — Fournit un lien vers les instructions permettant de remédier aux défaillances constatées lors des contrôles.

  • Ressource — Fournit des informations sur la AWS ressource impliquée dans une recherche.

  • Balises de ressources : fournit des informations sur la clé et la valeur des balises pour les ressources impliquées dans une recherche. Vous pouvez baliser les ressources prises en charge par le GetResources fonctionnement de l'API de AWS Resource Groups balisage. Security Hub appelle cette opération via le rôle lié au service et récupère les balises de ressource si le Resource.Id champ AWS Security Finding Format (ASFF) est renseigné avec l'ARN de la ressource. AWS Les identifiants de ressource non valides sont ignorés. Pour plus d'informations sur l'inclusion de balises de ressources dans les résultats, consultezBalises.

  • Types et résultats associés : contient des informations sur le type de recherche.

  • Détails de la vulnérabilité : informations sur une vulnérabilité détectée lors d'une découverte et sur les packages concernés. Ces informations sont disponibles si vous activez Amazon Inspector pour les résultats qu'Amazon Inspector envoie à Security Hub.

Consultez les sections suivantes pour savoir comment accéder à ces informations pour effectuer une recherche.

Révision de l'historique des recherches

L'historique des recherches est une fonctionnalité du Security Hub qui vous permet de suivre les modifications apportées à une recherche au cours des 90 derniers jours. Il est disponible pour les résultats actifs et archivés. L'historique des recherches fournit une trace immuable des modifications apportées à une recherche au fil du temps, y compris leur nature, leur date et leur origine.

Vous pouvez notamment suivre les modifications apportées aux champs duAWS Format de recherche de sécurité (ASFF). Security Hub suit les modifications que vous apportez manuellement et à l'aide de règles d'automatisation.

La recherche de l'historique est disponible dans la console Security Hub, l'API et AWS CLI.

Si vous êtes connecté à un compte administrateur Security Hub, vous pouvez consulter l'historique du compte administrateur et de tous les comptes membres.

Choisissez votre méthode préférée et suivez les étapes pour consulter l'historique des recherches.

Security Hub console
Révision de l'historique des recherches
  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Dans le volet de navigation de gauche, sélectionnez Findings.

  3. Sélectionnez une constatation. Dans le panneau qui apparaît, choisissez l'onglet Historique.

Security Hub API
Révision de l'historique des recherches
  1. Exécutez ou GetFindings, si vous utilisez le AWS CLI, exécutez la get-findingscommande. en utilisant les filtres appropriés selon les besoins, pour identifier le résultat dont vous souhaitez consulter l'historique. La réponse de l'ProductArnAPI vous donnera Id le résultat. Vous aurez besoin des valeurs de ces champs à la troisième étape.

  2. Exécutez ou GetFindingHistory, si vous utilisez le AWS CLI, exécutez la get-finding-historycommande.

  3. Identifiez le résultat dont vous souhaitez obtenir un historique à l'aide des Id champs ProductArn et. Pour plus d’informations sur ces champs, consultez AwsSecurityFindingIdentifier. Vous ne pouvez obtenir l'historique que pour une seule recherche par demande.

  4. Fournissez des valeurs pourStartTime. et EndTime pour limiter l'historique des recherches à une période spécifique.

  5. Entrez une valeur pour MaxResults limiter l'historique des recherches à un nombre spécifique de résultats. Si elle n'est pas fournie, la réponse de l'API renvoie les 100 premiers résultats de l'historique des recherches.

  6. Entrez une valeur pour NextToken afficher les 100 résultats suivants (le cas échéant) d'une constatation. Dans votre demande d'API initiale, la valeur de NextToken doit êtreNULL.

La commande CLI suivante permet de récupérer l'historique du résultat spécifié. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securityhub get-finding-history \ --region us-west-2 \ --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \ --max-results 2 \ --start-time "2021-09-30T15:53:35.573Z" \ --end-time "2021-09-31T15:53:35.573Z"

Révision des informations de recherche

Choisissez votre méthode préférée et suivez les étapes pour afficher les informations de recherche dans Security Hub.

Security Hub console
Révision des informations de recherche
  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

  2. Pour afficher une liste de résultats, effectuez l'une des actions suivantes :

    • Dans le volet de navigation du Security Hub, sélectionnez Findings. Ajoutez des filtres de recherche si nécessaire pour affiner la liste des résultats.

    • Dans le volet de navigation du Security Hub, sélectionnez Insights. Choisissez un aperçu. Ensuite, dans la liste des résultats, choisissez un résultat d'aperçu.

    • Dans le volet de navigation de Security Hub, sélectionnez Integrations. Choisissez Voir les résultats pour une intégration.

  3. Sélectionnez un titre de recherche.

  4. Dans le panneau des détails de la recherche, vous pouvez effectuer les actions supplémentaires suivantes :

    • Pour afficher le JSON complet de la recherche, choisissez l'ID de la recherche. À partir de Finding JSON, téléchargez le JSON de recherche.

    • Pour les résultats basés sur AWS Config des règles, pour afficher la liste des règles applicables, sélectionnez Règles.

    • Choisissez Investiguer avec Macie pour examiner les données sensibles découvertes dans le résultat de la console Macie. Cette option n'est disponible que si vous activez Amazon Macie et sa fonctionnalité de découverte automatique des données sensibles.

    • Choisissez Ressources pour afficher les informations relatives à la ressource impliquée dans une recherche.

    • Choisissez Investigate dans Amazon Detective pour étudier le résultat dans la console Detective. Cette option n'est disponible que si vous activez Amazon Detective.

    • Cliquez sur l'onglet Historique pour afficher l'historique des recherches pendant 90 jours maximum.

Note

La partie supérieure du panneau des détails de la recherche contient des informations générales sur la recherche, notamment le compte, la gravité, les dates et le statut. Si vous effectuez l'intégration AWS Organizations et que le compte auquel vous êtes connecté est un compte membre de l'organisation, le panneau des détails inclut le nom du compte. Pour les comptes de membres invités manuellement plutôt que par le biais de l'intégration Organizations, le panneau de détails inclut uniquement l'identifiant du compte.

Security Hub API

Révision des informations de recherche

Utilisez le GetFindingsfonctionnement de l'API Security Hub ou, si vous utilisez le AWS CLI, exécutez la commande get-findings.

Vous pouvez fournir une ou plusieurs valeurs pour le Filters paramètre afin d'affiner les résultats que vous souhaitez récupérer.

Si le volume de résultats est trop important, vous pouvez utiliser le MaxResults paramètre pour limiter les résultats à un nombre spécifié et le NextToken paramètre pour paginer les résultats. Utilisez le SortCriteria paramètre pour trier les résultats selon un champ spécifique.

Si vous avez activé l'agrégation entre régions et invoquez cette opération depuis la région d'agrégation, les résultats incluent les résultats de l'agrégation et des régions liées.

La commande CLI suivante récupère les résultats correspondant aux filtres fournis et les trie par ordre décroissant du LastObservedAt champ. Cet exemple est formaté pour Linux, macOS ou Unix et utilise le caractère de continuation de ligne barre oblique inverse (\) pour améliorer la lisibilité.

$ aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100
PowerShell
Révision des informations de recherche
  1. Utilisez l'Get-SHUBFindingapplet de commande.

  2. Vous pouvez éventuellement renseigner le Filter paramètre pour affiner les résultats que vous souhaitez récupérer.

Exemple

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
Note

Lorsque vous filtrez les résultats par CompanyName ouProductName, Security Hub utilise les valeurs qui font partie de l'objet ProductFields ASFF. Security Hub n'utilise pas le niveau supérieur ni CompanyName les ProductName champs.