Analisi dei dettagli dei risultati e della cronologia delle ricerche in Security Hub

In AWS Security Hub, un risultato è una registrazione osservabile di un controllo di sicurezza o di un rilevamento relativo alla sicurezza. Security Hub genera un risultato quando completa un controllo di sicurezza e quando inserisce un risultato da un sistema integrato Servizio AWS o prodotto di terze parti. Ogni risultato include una cronologia delle modifiche e altri dettagli, come un indice di gravità e informazioni sulle risorse interessate.

È possibile rivedere la cronologia dei risultati e altri dettagli delle scoperte sulla console di Security Hub e programmaticamente tramite Security Hub e API AWS CLI.

Per semplificare l'analisi, la console Security Hub apre un pannello di ricerca quando si seleziona un risultato specifico. Il pannello include diversi menu e schede per visualizzare i diversi dettagli dei risultati.

Menu Azioni

Da questo menu è possibile rivedere il risultato completo JSON o aggiungere note. A un risultato non può essere allegata più di una nota alla volta. Questo menu fornisce anche opzioni per impostare lo stato del flusso di lavoro di un risultato o inviare un risultato a un'azione personalizzata in Amazon EventBridge.

Esplora il menu

Da questo menu, puoi esaminare una scoperta in Amazon Detective. Detective estrae entità, come indirizzi IP e AWS gli utenti, partendo da una scoperta e visualizza la loro attività. È possibile utilizzare l'attività dell'entità come punto di partenza per studiare la causa e l'impatto di una scoperta.

Scheda Overview (Panoramica)

Questa scheda fornisce un riepilogo del risultato. Ad esempio, puoi vedere quando il risultato è stato creato e aggiornato l'ultima volta, in quale account esiste, l'origine del risultato (ad esempio, da un controllo di controllo o da un'integrazione) e un collegamento alle istruzioni di correzione nella documentazione del Security Hub.

Nell'istantanea delle risorse all'interno della scheda Panoramica, è possibile ottenere una breve panoramica delle risorse coinvolte in un risultato. Per alcune risorse, includiamo l'opzione Apri risorsa e visualizza direttamente una risorsa interessata nella sezione pertinente Servizio AWS console. L'istantanea della cronologia mostra fino a due modifiche apportate al risultato nella data più recente per la quale viene tracciata la cronologia. La data deve rientrare negli ultimi 90 giorni. Ad esempio, se hai apportato una modifica ieri e una oggi, l'istantanea mostra solo la modifica odierna. Per visualizzare le voci precedenti, passa alla scheda Cronologia.

La riga Conformità si espande per mostrare ulteriori dettagli. Ad esempio, per i controlli che includono parametri, è possibile visualizzare i valori dei parametri correnti utilizzati da Security Hub per eseguire i controlli di sicurezza.

Scheda Risorse

Questa scheda fornisce dettagli sulle risorse coinvolte in un risultato. Se hai effettuato l'accesso all'account proprietario di una risorsa, puoi visualizzare la risorsa nella sezione pertinente Servizio AWS console. Se non sei il proprietario di una risorsa, la console visualizza il Account AWS ID del proprietario.

La riga Dettagli mostra i dettagli specifici della risorsa sul risultato visualizzando ResourceDetailssezione del risultato. JSON

La riga Tag mostra le informazioni sulla chiave e sul valore dei tag per le risorse coinvolte in un risultato. Risorse supportate da GetResources funzionamento di AWS Resource Groups L'etichettatura API può essere etichettata. Security Hub richiama questa operazione tramite il ruolo collegato al servizio durante l'elaborazione di risultati nuovi o aggiornati e recupera i tag delle risorse se AWS Il Resource.Id campo Security Finding Format (ASFF) è compilato con AWS risorsaARN. Security Hub ignora la risorsa non valida. IDs Per ulteriori informazioni sull'inclusione dei tag delle risorse nei risultati, vedere. Tag

Scheda Cronologia delle ricerche

Questa scheda tiene traccia della cronologia di una ricerca negli ultimi 90 giorni. La cronologia dei risultati è disponibile per i risultati attivi e archiviati. Fornisce una traccia immutabile delle modifiche apportate a un risultato nel tempo, tra cui AWS Il campo Security Finding Format (ASFF) è stato modificato, quando è avvenuta la modifica e da quale utente. Le modifiche più recenti vengono visualizzate per prime. Le modifiche includono quelle che un utente ha apportato manualmente e automaticamente tramite le regole di automazione di Security Hub. Se hai effettuato l'accesso a un account amministratore di Security Hub, la cronologia dei risultati mostrata riguarda l'account amministratore e tutti gli account dei membri.

Scheda Minacce

Questa scheda include i dati di Action, Malwaree ProcessDetailsoggetti diASFF, incluso il tipo di minaccia e se una risorsa è l'obiettivo o l'attore. Questo oggetto si applica in genere ai risultati che hanno origine in Amazon GuardDuty.

Scheda Vulnerabilità

Questa scheda mostra i dati provenienti da Vulnerabilityoggetto diASFF, indicando se vi sono exploit o correzioni disponibili associati a un risultato. Questo oggetto si applica in genere ai risultati che provengono da Amazon Inspector.

Le righe di ogni scheda includono un'opzione di copia o filtro. Ad esempio, se stai visualizzando un risultato con lo stato del flusso di lavoro Notificato, puoi scegliere l'opzione di filtro accanto alla riga Stato del flusso di lavoro. Se scegli Mostra tutti i risultati con questo valore, filtra l'elenco dei risultati in modo che mostri solo i risultati con lo stesso stato del flusso di lavoro.

Consulta la sezione seguente per capire come accedere a questi dettagli per un risultato.

Istruzioni per la revisione dei dettagli e della cronologia dei risultati

Scegli il metodo che preferisci e segui i passaggi per visualizzare i dettagli della ricerca in Security Hub.

Se abiliti l'aggregazione tra regioni e accedi alla regione di aggregazione, la ricerca dei dati include i dati della regione di aggregazione e delle regioni collegate. In altre regioni, la ricerca di dati è specifica solo per quella regione. Per ulteriori informazioni sull'aggregazione tra regioni, vedere. Comprendere l'aggregazione interregionale in Security Hub

Security Hub console

Analisi dei dettagli e della cronologia dei risultati (console)

1. Aprire il AWS Security Hub console presso https://console.aws.amazon.com/securityhub/.

2. Per visualizzare un elenco di risultati, esegui una delle seguenti azioni:

   • Nel riquadro di navigazione di Security Hub, scegli Findings. Aggiungi i filtri di ricerca necessari per restringere l'elenco dei risultati.

   • Nel riquadro di navigazione Security Hub, scegli Insights. Scegli un approfondimento. Quindi, nell'elenco dei risultati, scegli un risultato approfondito.

   • Nel riquadro di navigazione Security Hub, scegli Integrazioni. Scegli Vedi i risultati per un'integrazione.

   • Nel riquadro di navigazione Security Hub, scegli Controlli.

3. Seleziona un titolo di ricerca.

4. Nel pannello di ricerca, effettuate una delle seguenti operazioni:

   • Scegliete il menu Azioni per intervenire sulla scoperta.

   • Scegli il menu Indagine per esaminare la scoperta in Amazon Detective.

   • Seleziona una scheda per visualizzare ulteriori dettagli sulla scoperta.

Nota

Se ti integri con AWS Organizations e l'account a cui hai effettuato l'accesso è un account di membro dell'organizzazione, il pannello di ricerca include il nome dell'account. Per gli account membro che vengono invitati manualmente anziché tramite Organizations, il pannello di ricerca include solo l'ID dell'account.

Security Hub API

Analisi dei dettagli e della cronologia dei risultati (API)

Utilizzo dell'GetFindingsfunzionamento del Security HubAPI, o se si utilizza il AWS CLI, esegui il get-findingscomando.

È possibile fornire uno o più valori per il Filters parametro per restringere i risultati che si desidera recuperare.

Se il volume dei risultati è troppo grande, è possibile utilizzare il MaxResults parametro per limitare i risultati a un numero specifico e il NextToken parametro per impaginare i risultati. Utilizzate il SortCriteria parametro per ordinare i risultati in base a un campo specifico.

Se hai abilitato l'aggregazione tra regioni e richiami questa operazione dalla regione di aggregazione, i risultati includono i risultati dell'aggregazione e delle regioni collegate.

Il CLI comando seguente recupera i risultati che corrispondono ai filtri forniti e li ordina in ordine decrescente del campo. LastObservedAt Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Per rivedere la cronologia dei risultati, usa il GetFindingHistoryoperazione. Se stai usando il AWS CLI, esegui il get-finding-historycomando.

Identifica il risultato di cui vuoi ottenere la cronologia con i Id campi ProductArn and. Per ulteriori informazioni su questi campi, vedi AwsSecurityFindingIdentifier. È possibile ottenere la cronologia di una sola ricerca per richiesta.

Il CLI comando seguente recupera la cronologia del risultato specificato. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"

PowerShell

Revisione dei dettagli del risultato () PowerShell

Utilizzare il Get-SHUBFinding cmdlet.

Facoltativamente, compila il Filter parametro per restringere i risultati che desideri recuperare.

Il seguente cmdlet recupera i risultati che corrispondono ai filtri forniti

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}

Nota

Quando si filtrano i risultati per CompanyName oProductName, Security Hub utilizza i valori che fanno parte dell'ProductFieldsASFFoggetto. Security Hub non utilizza il livello CompanyName e ProductName i campi principali.