결과 세부 정보 보기 - AWS Security Hub
결과 세부 정보 보기(콘솔)결과 세부 정보 검색(프로그래밍 방식)결과 기록

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

결과 세부 정보 보기

Security Hub 콘솔의 결과 목록에서 결과에 대한 세부 정보 패널을 표시할 수 있습니다. 세부 정보 패널에는 지난 90일 동안의 결과 기록이 포함됩니다. 프로그래밍 방식으로 세부 정보를 찾고 기록을 찾을 수도 있습니다.

결과 세부 정보 보기(콘솔)

단계에 따라 Security Hub 콘솔에서 결과 세부 정보를 확인하십시오.

결과 세부 정보 패널 보기(콘솔)

  1. https://console.aws.amazon.com/securityhub/ 에서 AWS Security Hub 콘솔을 엽니다.

  2. 결과 목록을 표시하려면 다음 중 하나를 수행하십시오.

    • Security Hub 탐색 창에서 조사 결과를 선택합니다.

    • Security Hub 탐색 창에서 인사이트를 선택합니다. 인사이트를 선택합니다. 그런 다음 결과 목록에서 인사이트 결과를 선택합니다.

    • Security Hub 탐색 창에서 통합을 선택합니다. 통합에 대해 조사 결과 보기를 선택합니다.

  3. 결과 제목을 선택합니다.

결과 세부 정보 패널 상단에는 계정, 심각도, 날짜, 상태 등 결과에 대한 개요 정보가 표시됩니다. AWS Organizations 통합하고 로그인한 계정이 기관 구성원 계정인 경우 세부 정보 패널에 계정 이름이 포함됩니다. Organizations 통합을 통하지 않고 수동으로 초대된 구성원 계정의 경우 세부 정보 패널에 계정 ID만 포함됩니다. 결과 세부 정보 패널에는 다음 정보도 포함됩니다.

  • 디텍티브에서 조사에는 디텍티브의 결과를 더 자세히 조사할 수 있는 링크가 있습니다. 이는 다른 AWS 서비스로부터 받은 Security Hub 조사 결과에만 포함됩니다.

  • 취약성 세부 정보에는 취약성의 출처 및 영향을 받는 패키지에 대한 정보가 포함됩니다. 이 섹션은 단일 취약성에 대한 확장 가능한 섹션이고 여러 취약성에 대해서는 페이지로 구분된 섹션입니다. 이 섹션은 Amazon Inspector가 Security Hub로 보내는 조사 결과에만 적용됩니다.

  • 유형 및 관련 결과에는 결과 유형에 대한 정보가 들어 있습니다.

  • 파라미터는 보안 제어의 현재 파라미터 값을 보여줍니다. Security Hub는 제어 기능의 보안 검사를 수행할 때 이러한 파라미터 값을 사용합니다.

  • 리소스에는 결과에 관련된 리소스에 대한 정보가 포함됩니다. 이 섹션에는 결과 관련 애플리케이션의 이름 및 Amazon 리소스 이름(ARN)도 포함됩니다. 애플리케이션을 생성하고 결과와 관련된 리소스에 애플리케이션 태그를 추가한 경우에만 결과에 애플리케이션 메타데이터가 포함됩니다. AWS Service Catalog AppRegistry에서 애플리케이션을 만들고 태그를 추가하는 것이 좋습니다.

  • 제어 조사 결과에 대한 수정이 표시됩니다. 이는 결과를 촉발한 문제를 해결하기 위한 지침에 대한 링크를 제공합니다.

  • 조사 결과 공급자 필드에는 신뢰도, 중요도, 관련 결과, 심각도, 결과 유형에 대한 결과 공급자의 값이 표시됩니다.

결과 세부 정보 패널에서 자세한 내용을 보고 필터에 필드 값을 추가할 수 있습니다.

  • 결과에 대한 전체 JSON을 표시하려면 결과 ID를 선택합니다. 결과 JSON에서 결과 JSON을 파일로 다운로드 할 수 있습니다.

  • 결과 목록 필터에 필드 값을 추가하려면 필드 옆에 있는 검색 아이콘을 선택합니다.

  • AWS Config 규칙을 기반으로 한 결과를 보려면 해당 규칙 목록을 표시하려면 규칙을 선택합니다.

  • 기록 패널을 선택하면 최대 90일간의 결과 기록을 볼 수 있습니다.

결과 세부 정보 검색(프로그래밍 방식)

원하는 방법을 선택하고 단계에 따라 프로그래밍 방식으로 Security Hub 조사 결과 목록을 가져오십시오. 조사 결과 목록을 특정 하위 집합으로 좁히기 위해 필터를 지정할 수 있습니다.

다음 탭에는 조사 결과를 검색하기 위한 몇 가지 언어의 지침이 포함되어 있습니다. 추가 언어에 대한 지원이 필요하면 AWS에서의 빌드 도구를 참조하십시오.

참고

CompanyName 또는 ProductName 기준으로 필터링하면 Security Hub는 ProductFields에 있는 값을 사용합니다. 최상위 CompanyNameProductName 필드는 사용하지 않습니다.

Security Hub API

  1. GetFindings를 실행합니다.

  2. 선택적으로 Filters 파라미터를 채워 검색하려는 조사 결과의 범위를 좁힙니다.

  3. 선택적으로 조사 결과를 지정된 수로 제한하려면 MaxResults 파라미터를 채우고 조사 결과 페이지를 매기려면 NextToken 파라미터를 채웁니다.

  4. 선택적으로 SortCriteria 파라미터를 채워 특정 필드를 기준으로 조사 결과를 정렬할 수 있습니다.

크로스 리전 집계를 활성화하고 집계 영역에서 이 API를 호출한 경우 결과에는 집계 및 연결된 리전의 조사 결과가 포함됩니다.

AWS CLI

  1. 명령줄에서 get-findings 명령을 실행합니다.

  2. 선택적으로 filters 파라미터를 채워 검색하려는 조사 결과의 범위를 좁힙니다.

  3. 선택적으로 조사 결과를 지정된 수로 제한하려면 max-items 파라미터를 채우고 조사 결과 페이지를 매기려면 page-size 파라미터를 채웁니다.

  4. 선택적으로 sort-criteria 파라미터를 채워 특정 필드를 기준으로 조사 결과를 정렬할 수 있습니다.

get-findings --filters <filter criteria JSON> --sort-criteria <sort criteria> --page-size <findings per page> --max-items <maximum number of results>

aws securityhub get-findings --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

크로스 리전 집계를 활성화하고 집계 영역에서 이 API를 호출한 경우 결과에는 집계 및 연결된 리전의 조사 결과가 포함됩니다.

PowerShell

  1. Get-SHUBFinding cmdlet을 사용하십시오.

  2. 선택적으로 Filter 파라미터를 채워 검색하려는 조사 결과의 범위를 좁힙니다.

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}

결과 기록

결과 기록은 지난 90일 동안 결과에 대한 변경 사항을 추적할 수 있는 Security Hub 기능입니다. 이는 활성 및 보관된 조사 결과에 사용할 수 있습니다. 결과 기록은 변경 내용, 발생 시기, 어떤 사용자에 의해 이루어졌는지를 포함하여 시간이 지남에 따라 결과에 적용된 변경 사항에 대한 불변의 추적을 제공합니다.

특히, AWS 보안 검색 형식 (ASFF) 필드의 변경 사항을 추적할 수 있습니다. Security Hub는 자동화 규칙을 사용하여 수동으로 수행한 변경 사항을 추적합니다.

검색 기록은 Security Hub 콘솔, API 및 에서 사용할 수 AWS CLI있습니다.

Security Hub 관리자 계정으로 로그인한 경우 관리자 계정 및 모든 구성원 계정의 검색 기록을 가져올 수 있습니다.

원하는 방법을 선택하고 단계에 따라 검색 기록을 가져오십시오.

Security Hub console
결과 기록 보기(콘솔)

  1. https://console.aws.amazon.com/securityhub/ 에서 AWS Security Hub 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 조사 결과를 선택합니다.

  3. 결과를 선택합니다. 표시되는 패널에서 기록 탭을 선택합니다.

Security Hub API

  1. 필요에 따라 적절한 필터를 사용해 GetFindings을 실행하여 기록을 보려는 결과를 식별하십시오. API 응답은 결과에 대한 ProductArnId를 제공합니다. 세 번째 단계에서 이러한 필드의 값이 필요합니다.

  2. GetFindingHistory를 실행합니다.

  3. ProductArnId 필드를 사용하여 기록을 가져오려는 결과를 식별합니다. 이러한 필드에 대한 자세한 내용은 을 참조하십시오 AwsSecurityFindingIdentifier. 요청당 하나의 결과에 대한 기록만 가져올 수 있습니다.

  4. 결과 기록을 특정 기간으로 제한하려면 StartTimeEndTime에 값을 입력하십시오.

  5. 결과 기록을 특정 수의 결과로 제한하려면 MaxResults에 값을 입력하십시오. 입력하지 않을 경우 API 응답은 검색 기록의 첫 100개 결과를 반환합니다.

  6. 결과에 대한 다음 100개의 결과(해당하는 경우)를 보려면 NextToken에 값을 입력하십시오. 초기 API 요청에서 NextToken의 값은 NULL여야 합니다.

API 요청 예:

{
"FindingIdentifier": {
  "ProductArn": "arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default",
  "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"MaxResults": 2,
"StartTime": "2021-09-30T15:53:35.573Z",
"EndTime": "2021-09-31T15:53:35.573Z"
}
AWS CLI

  1. 필요에 따라 적절한 필터를 사용하여 get-findings 명령을 실행하여 기록을 보려는 결과를 식별합니다. 응답은 결과에 대해 ProductArnId를 제공합니다. 세 번째 단계에서 이러한 필드의 값이 필요합니다.

  2. get-finding-history 명령을 실행합니다.

  3. ProductArnId 필드를 사용하여 기록을 가져오려는 결과를 식별합니다. 이러한 필드에 대한 자세한 내용은 을 참조하십시오 AwsSecurityFindingIdentifier. 요청당 하나의 결과에 대한 기록만 가져올 수 있습니다.

  4. 결과 기록을 특정 기간으로 제한하려면 start-timeend-time에 값을 입력하십시오.

  5. 결과 기록을 특정 수의 결과로 제한하려면 max-results에 값을 입력하십시오. 입력되지 않은 경우 명령은 결과 기록의 처음 100개 결과를 반환합니다.

  6. 결과에 대한 다음 100개의 결과(해당하는 경우)를 보려면 next-token에 값을 입력하십시오. 최초 요청 시 next-token의 값은 NULL여야 합니다.

    명령 예:

    aws securityhub --region us-west-2 \
get-finding-history
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 --start-time "2021-09-30T15:53:35.573Z" --end-time "2021-09-31T15:53:35.573Z"