Visualizar detalhes de descobertas

Em uma lista de descobertas no console do Security Hub, é possível exibir um painel de detalhes para uma descoberta. O painel de detalhes inclui o histórico da descoberta nos últimos 90 dias. Você também pode obter detalhes da descoberta e o histórico de descobertas de forma programática.

Visualizar detalhes da descoberta (console)

Siga as etapas para ver os detalhes da descoberta no console do Security Hub.

Visualizar o painel de detalhes da descoberta (console)

1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

2. Para exibir uma lista de descobertas, execute um destes procedimentos:

   • No painel de navegação do Security Hub, selecione Descobertas.

   • No painel de navegação do Security Hub, selecione Insights. Escolha um insight. Em seguida, na lista de resultados, escolha um resultado de insight.

   • No painel de navegação do Security Hub, selecione Integrações. Escolha Ver descobertas para obter uma integração.

3. Selecione um título de descoberta.

A parte superior do painel de detalhes da descoberta contém informações gerais sobre a descoberta, incluindo a conta, a severidade, as datas e o status. Se você se integra AWS Organizations e a conta na qual está conectado for uma conta de membro da organização, o painel de detalhes incluirá o nome da conta. Para contas-membro que são convidados manualmente em vez de por meio da integração com o Organizations, o painel de detalhes inclui apenas o ID da conta. O painel de detalhes da descoberta também inclui as seguintes informações:

• Investigar no Detective contém um link para investigar melhor a descoberta no Detective. Isso está incluído apenas nas descobertas do Security Hub recebidas de outros Serviços da AWS.

• Detalhes da vulnerabilidade contêm informações sobre a origem de uma vulnerabilidade e os pacotes afetados. Esta é uma seção expansível para uma única vulnerabilidade e uma seção paginada para várias vulnerabilidades. Esta seção só se aplica às descobertas que o Amazon Inspector envia para o Security Hub.

• Tipos e descobertas relacionadas contém informações sobre o tipo de descoberta.

• Parâmetros exibe os valores dos parâmetros atuais para um controle de segurança. O Security Hub usa esses valores de parâmetros ao realizar verificações de segurança do controle.

• Recursos contém informações sobre o recurso envolvido na descoberta. Essa seção também inclui o nome e o nome do recurso da Amazon (ARN) da aplicação envolvida na descoberta. A descoberta só inclui metadados da aplicação se você tiver criado uma aplicação e adicionado tags de aplicação aos recursos envolvidos na descoberta. Recomendamos criar aplicações e adicionar tags no AWS Service Catalog AppRegistry.

• Correção é exibido para descobertas de controle. Ele fornece um link para as instruções para corrigir o problema que desencadeou a descoberta.

• Os Campos do provedor de descobertas exibem os valores do provedor de descoberta em termos de confiança, criticidade, descobertas relacionadas, gravidade e tipo de descoberta.

No painel de detalhes da descoberta, é possível visualizar mais detalhes e adicionar valores de campo ao filtro.

• Para exibir o JSON completo da descoberta, selecione o ID da descoberta. Em Finding JSON (JSON da descoberta), é possível fazer download do JSON da descoberta para um arquivo.

• Para adicionar um valor de campo ao filtro da lista de descobertas, selecione o ícone de busca ao lado do campo.

• Para descobertas baseadas em AWS Config regras, para exibir uma lista das regras aplicáveis, escolha Regras.

• Escolha o painel Histórico para ver até 90 dias do histórico de descobertas.

Recuperação de detalhes da descoberta (programática)

Escolha seu método preferido e siga as etapas para obter uma lista das descobertas do Security Hub de forma programática. É possível especificar filtros para restringir a coleção de descobertas no insight a um subconjunto específico.

As guias a seguir incluem instruções em alguns idiomas para recuperar as descobertas. Para obter suporte em outros idiomas, consulte Ferramentas para desenvolver em AWS.

nota

Quando você filtra por CompanyName ou ProductName, o Security Hub usa os valores que estão em ProductFields. Ele não usa os campos de nível superior CompanyName e ProductName.

Security Hub API

1. Executar GetFindings.

2. Opcionalmente, preencha o parâmetro Filters para restringir as descobertas que você deseja recuperar.

3. Opcionalmente, preencha o parâmetro MaxResults para limitar as descobertas a um número especificado e o parâmetro NextToken para paginar as descobertas.

4. Opcionalmente, preencha o parâmetro SortCriteria para classificar as descobertas por um campo específico.

Se você ativou a agregação entre regiões e chamou essa API a partir da região de agregação, os resultados incluem descobertas da agregação e regiões vinculadas.

AWS CLI

1. Na linha de comando, execute o comando get-findings.

2. Opcionalmente, preencha o parâmetro filters para restringir as descobertas que você deseja recuperar.

3. Opcionalmente, preencha o parâmetro max-items para limitar as descobertas a um número especificado e o parâmetro page-size para paginar as descobertas.

4. Opcionalmente, preencha o parâmetro sort-criteria para classificar as descobertas por um campo específico.

get-findings --filters <filter criteria JSON> --sort-criteria <sort criteria> --page-size <findings per page> --max-items <maximum number of results>

Exemplo

aws securityhub get-findings --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Se você ativou a agregação entre regiões e chamou essa API a partir da região de agregação, os resultados incluem descobertas da agregação e regiões vinculadas.

PowerShell

1. Use o cmdlet Get-SHUBFinding.

2. Opcionalmente, preencha o parâmetro Filter para restringir as descobertas que você deseja recuperar.

Exemplo

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}

Histórico de descobertas

O histórico de descobertas é um recurso do Security Hub que permite rastrear as alterações feitas em uma descoberta nos últimos 90 dias. Ele está disponível para descobertas ativas e arquivadas. O histórico de descobertas fornece uma trilha imutável das alterações feitas em uma descoberta ao longo do tempo, incluindo qual foi a alteração, quando ela ocorreu e por qual usuário.

Em particular, é possível acompanhar as alterações feitas nos campos no AWS Formato de descoberta de segurança (ASFF). O Security Hub rastreia as alterações que você faz manualmente e com regras de automação.

O histórico de localização está disponível no console do Security Hub, na API AWS CLI e.

Se você estiver conectado a uma conta de administrador do Security Hub, poderá obter o histórico de descobertas da conta do administrador e de todas as contas dos membros.

Escolha seu método preferido e siga as etapas para obter o histórico de descobertas.

Security Hub console

Visualizar o histórico de descobertas (console)

1. Abra o AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

2. No painel de navegação à esquerda, escolha Descobertas.

3. Selecione uma descoberta. No painel exibido, escolha a guia Histórico.

Security Hub API

1. Execute GetFindings, usando filtros apropriados conforme necessário, para identificar a descoberta da qual você deseja visualizar o histórico. A resposta da API fornecerá o ProductArn e Id para a descoberta. Você precisa dos valores desses campos na terceira etapa.

2. Executar GetFindingHistory.

3. Identifique a descoberta da qual você deseja obter o histórico com os campos Id e ProductArn. Para obter mais informações sobre esses campos, consulte AwsSecurityFindingIdentifier. Você só pode obter o histórico de uma descoberta por solicitação.

4. Forneça os valores de EndTime e StartTime para limitar o histórico de descobertas a um período de tempo específico.

5. Forneça um valor para MaxResults para limitar o histórico de descobertas a um número específico de resultados. Se não for fornecida, a resposta da API retornará os primeiros 100 resultados do histórico de descobertas.

6. Forneça um valor para NextToken para visualizar os próximos 100 resultados (se aplicável) de uma descoberta. Em sua solicitação inicial de API, o valor de NextToken deveria serNULL.

Exemplo de solicitação de API:

{
"FindingIdentifier": {
  "ProductArn": "arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default",
  "Id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"MaxResults": 2,
"StartTime": "2021-09-30T15:53:35.573Z",
"EndTime": "2021-09-31T15:53:35.573Z"
}

AWS CLI

1. Execute o comando get-findings, usando filtros apropriados conforme necessário, para identificar a descoberta da qual você deseja visualizar o histórico. A resposta fornecerá o ProductArn e Id para a descoberta. Você precisa dos valores desses campos na terceira etapa.

2. Execute o comando get-finding-history.

3. Identifique a descoberta da qual você deseja obter o histórico com os campos Id e ProductArn. Para obter mais informações sobre esses campos, consulte AwsSecurityFindingIdentifier. Você só pode obter o histórico de uma descoberta por solicitação.

4. Forneça os valores de end-time e start-time para limitar o histórico de descobertas a um período de tempo específico.

5. Forneça um valor para max-results para limitar o histórico de descobertas a um número específico de resultados. Se não for fornecido, o comando retornará os primeiros 100 resultados do histórico de descobertas.

6. Forneça um valor para next-token para visualizar os próximos 100 resultados (se aplicável) de uma descoberta. Em sua solicitação inicial, o valor de next-token deve ser NULL.

   Exemplo de comando:

   aws securityhub --region us-west-2 \
   get-finding-history
   --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
   --max-results 2 --start-time "2021-09-30T15:53:35.573Z" --end-time "2021-09-31T15:53:35.573Z"