Visualizzazione e azioni su risultati e risultati di informazione dettagliata

Per ogni analisi, AWS Security Hub determina innanzitutto i risultati che corrispondono ai criteri di filtro, quindi utilizza l'attributo grouping per raggruppare i risultati corrispondenti.

Dalla pagina Insights sulla console, puoi visualizzare e agire in base ai risultati e ai risultati.

Se abiliti l'aggregazione tra aree geografiche, i risultati per gli approfondimenti gestiti (quando hai effettuato l'accesso alla regione di aggregazione) includono i risultati della regione di aggregazione e delle regioni collegate. I risultati degli approfondimenti personalizzati, se gli approfondimenti non vengono filtrati per regione, includono anche i risultati della regione di aggregazione e delle regioni collegate (se hai effettuato l'accesso alla regione di aggregazione). In altre regioni, i risultati degli approfondimenti si riferiscono solo a quella regione.

Per informazioni sulla configurazione dell'aggregazione tra regioni, vedere. Comprendere l'aggregazione interregionale in Security Hub

Visualizzazione e adozione di misure in base ai risultati delle analisi

I risultati di informazione dettagliata sono costituiti dall'elenco raggruppato dei risultati dell'informazione dettagliata. Ad esempio, se l'analisi è raggruppata per identificatori di risorse, i risultati dell'analisi sono l'elenco degli identificatori di risorse. Ogni voce nell'elenco dei risultati indica il numero di risultati corrispondenti per la voce.

Se i risultati sono raggruppati per identificatore di risorsa o tipo di risorsa, i risultati includono tutte le risorse nei risultati corrispondenti. Ciò include le risorse che hanno un tipo diverso dal tipo di risorsa specificato nei criteri di filtro. Ad esempio, un'analisi identifica i risultati associati ai bucket S3. Se un risultato corrispondente contiene sia una risorsa bucket S3 che una risorsa chiave di IAM accesso, i risultati dell'analisi includono entrambe le risorse.

Nella console Security Hub, l'elenco dei risultati viene ordinato dal maggior numero di risultati corrispondenti al minor numero di risultati corrispondenti. Security Hub può visualizzare solo 100 risultati. Se sono presenti più di 100 valori di raggruppamento, vengono visualizzati solo i primi 100.

Oltre all'elenco dei risultati, i risultati dell'informazione dettagliata visualizzano una serie di grafici riepilogativi con il numero di risultati corrispondenti per gli attributi seguenti.

• Etichetta di gravità: numero di risultati per ciascuna etichetta di gravità

• Account AWS ID: i primi cinque account IDs per i risultati corrispondenti

• Tipo di risorsa: i cinque principali tipi di risorse per i risultati corrispondenti

• ID risorsa: le cinque principali risorse IDs per i risultati corrispondenti

• Nome del prodotto: i cinque principali fornitori di risultati per la ricerca dei risultati corrispondenti

Se sono state configurate azioni personalizzate, puoi inviare i risultati selezionati a un'azione personalizzata. L'azione deve essere associata a una CloudWatch regola Amazon per il tipo di Security Hub Insight Results evento. Per ulteriori informazioni, consulta Utilizzo EventBridge per la risposta e la correzione automatizzate. Se non hai configurato azioni personalizzate, il menu Azioni è disabilitato.

Security Hub console

Per visualizzare e intervenire sui risultati degli approfondimenti (console)

1. Apri la console AWS Security Hub all'indirizzo https://console.aws.amazon.com/securityhub/.

2. Nel riquadro di navigazione, seleziona Informazioni dettagliate.

3. Per visualizzare l'elenco dei risultati di informazione dettagliata, scegliere il nome dell'informazione dettagliata.

4. Selezionare la casella di controllo per ogni risultato da inviare all'azione personalizzata.

5. Dal menu Actions (Azioni) scegliere l'azione personalizzata.

Security Hub API, AWS CLI

Per visualizzare e agire in base ai risultati delle analisi (API, AWS CLI)

Per visualizzare i risultati delle analisi, utilizza il >GetInsightResultsfunzionamento del Security HubAPI. Se usi il AWS CLI, esegui il get-insight-resultscomando.

Per identificare le informazioni da cui ottenere risultati, è necessario disporre delle informazioniARN. Per ottenere informazioni dettagliate ARNs personalizzate, usa l'GetInsightsAPIoperazione o il get-insight-resultscomando.

L'esempio seguente recupera i risultati per l'analisi specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\) per migliorare la leggibilità.

$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Per informazioni su come creare azioni personalizzate a livello di codice, vedere. Utilizzo di azioni personalizzate per inviare risultati e approfondimenti a EventBridge

Visualizzazione e adozione di misure in base ai risultati delle analisi (console)

Da un elenco dei risultati di analisi sulla console Security Hub, è possibile visualizzare l'elenco dei risultati per ogni risultato.

Per visualizzare e agire in base ai risultati degli approfondimenti (console)

1. Apri la console AWS Security Hub all'indirizzo https://console.aws.amazon.com/securityhub/.

2. Nel riquadro di navigazione, seleziona Informazioni dettagliate.

3. Per visualizzare l'elenco dei risultati di informazione dettagliata, scegliere il nome dell'informazione dettagliata.

4. Per visualizzare l'elenco dei risultati per un risultato di informazione dettagliata, scegliere la voce dall'elenco dei risultati. L'elenco dei risultati mostra i risultati attivi per il risultato di informazioni dettagliate selezionato che hanno uno stato del flusso di lavoro NEW o NOTIFIED.

Dall'elenco dei risultati, è possibile eseguire le seguenti azioni:

• Filtraggio e raggruppamento dei risultati in Security Hub

• Istruzioni per la revisione dei dettagli e della cronologia dei risultati

• Impostazione dello stato del flusso di lavoro dei risultati del Security Hub

• Invio dei risultati del Security Hub a un'azione personalizzata