Creazione e aggiornamento dei risultati in Security Hub - AWS Security Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione e aggiornamento dei risultati in Security Hub

In AWS Security Hub, un risultato è una registrazione osservabile di un controllo di sicurezza o di un rilevamento relativo alla sicurezza.

Un risultato può provenire da una delle seguenti fonti in Security Hub:

  • Controllo di sicurezza di un controllo abilitato in Security Hub

  • Un'integrazione abilitata con un altro Servizio AWS

  • Un'integrazione abilitata con un prodotto di terze parti

  • Un'integrazione personalizzata

Dopo aver creato un risultato, il provider di ricerca o un utente del Security Hub può aggiornarlo come segue:

  • Il provider di ricerca può utilizzare il BatchImportFindingsfunzionamento del Security Hub API per aggiornare le informazioni generali su un risultato. I provider di risultati possono aggiornare solo i risultati che hanno creato.

  • Il cliente può utilizzare il BatchUpdateFindingsfunzionamento del Security Hub API per aggiornare lo stato dell'indagine su un risultato. BatchUpdateFindingspuò essere utilizzato anche da uno strumento di ticketing, gestione degli incidenti, orchestrazione, correzione o SIEM strumento per conto del cliente.

    I clienti possono anche aggiornare i risultati sulla console Security Hub.

Security Hub normalizza i risultati provenienti da tutte le fonti in una sintassi e un formato standard chiamati AWS Security Finding Format ()ASFF. Per ulteriori informazioni suASFF, vedere. AWS Formato dei risultati di sicurezza (ASFF)

Security Hub elimina automaticamente i risultati che non sono stati aggiornati negli ultimi 90 giorni. In particolare, Security Hub conserva un risultato esistente in un account per 90 giorni dopo il valore più recente del UpdatedAt ASFF campo. I risultati vengono conservati per 90 giorni dopo questa data anche se Security Hub è disabilitato. Al termine di questo periodo di 90 giorni, Security Hub elimina definitivamente i risultati dall'account. I provider di ricerca possono modificare il valore del UpdatedAt campo utilizzando il BatchImportFindingsfunzionamento del Security Hub API per aggiornare un risultato.

Se abiliti l'aggregazione tra regioni, Security Hub aggrega automaticamente i risultati nuovi e aggiornati dalle regioni collegate alla regione di aggregazione. Per ulteriori informazioni, consulta Comprendere l'aggregazione interregionale in Security Hub.