As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Analisando detalhes e histórico de descobertas no Security Hub
Em AWS Security Hub, uma descoberta é um registro observável de uma verificação de segurança ou detecção relacionada à segurança. O Security Hub gera uma descoberta ao concluir uma verificação de segurança de um controle e ao ingerir uma descoberta de um controle integrado AWS service (Serviço da AWS) ou produto de terceiros. Cada descoberta inclui um histórico de alterações e outros detalhes, como uma classificação de gravidade e informações sobre os recursos afetados.
Você pode revisar o histórico de descobertas e outros detalhes de descobertas no console do Security Hub e programaticamente por meio do Security Hub e API AWS CLI.
Para ajudá-lo a simplificar sua análise, o console do Security Hub abre um painel de descoberta quando você seleciona uma descoberta específica. O painel inclui menus e guias diferentes para visualizar diferentes detalhes da descoberta.
- Menu de ações
Nesse menu, você pode revisar a conclusão JSON de uma descoberta ou adicionar notas. Uma descoberta não pode ter mais do que uma nota anexada por vez. Esse menu também fornece opções para definir o status do fluxo de trabalho de uma descoberta ou enviar uma descoberta para uma ação personalizada na Amazon EventBridge.
- Menu de investigação
Nesse menu, você pode investigar uma descoberta no Amazon Detective. Detective extrai entidades, como endereços IP e AWS usuários, a partir de uma descoberta e visualiza suas atividades. Você pode usar a atividade da entidade como ponto de partida para investigar a causa e o impacto de uma descoberta.
- Guia visão geral
Essa guia fornece um resumo da descoberta. Por exemplo, você pode ver quando a descoberta foi criada e atualizada pela última vez, em qual conta ela existe, a origem da descoberta (por exemplo, de uma verificação de controle ou de uma integração) e um link para instruções de remediação na documentação do Security Hub.
No instantâneo de recursos na guia Visão geral, você pode obter uma breve visão geral dos recursos envolvidos em uma descoberta. Para alguns recursos, incluímos a opção de abrir recursos e visualizar diretamente um recurso afetado no contexto relevante AWS service (Serviço da AWS) console. O instantâneo do histórico mostra até duas alterações feitas na descoberta na data mais recente para a qual o histórico está sendo rastreado. A data deve estar nos últimos 90 dias. Por exemplo, se você fez uma alteração ontem e outra hoje, o instantâneo mostra somente a alteração de hoje. Para ver as entradas anteriores, alterne para a guia Histórico.
A linha Conformidade se expande para mostrar mais detalhes. Por exemplo, para controles que incluem parâmetros, você pode ver os valores dos parâmetros atuais que o Security Hub usa ao realizar verificações de segurança.
- Aba Recursos
Essa guia fornece detalhes sobre os recursos envolvidos em uma descoberta. Se você estiver conectado à conta que possui um recurso, você pode ver o recurso na seção relevante AWS service (Serviço da AWS) console. Se você não for o proprietário de um recurso, o console exibirá o Conta da AWS ID do proprietário.
A linha Detalhes mostra detalhes específicos do recurso sobre a descoberta, exibindo a ResourceDetailsseção da descobertaJSON.
A linha Tags mostra informações sobre a chave e o valor da tag para os recursos envolvidos em uma descoberta. Recursos que são apoiados pelo GetResources operação do AWS Resource Groups A marcação API pode ser marcada. O Security Hub chama essa operação por meio da função vinculada ao serviço ao processar descobertas novas ou atualizadas e recupera as tags de recursos se o AWS O
Resource.Id
campo Formato de descoberta de segurança (ASFF) é preenchido com o AWS recursoARN. O Security Hub ignora o recurso inválido. IDs Para obter mais informações sobre a inclusão de tags de recursos nas descobertas, consulteTags.- Guia de busca do histórico
Essa guia rastreia o histórico de uma descoberta nos últimos 90 dias. O histórico de descobertas está disponível para descobertas ativas e arquivadas. Ele fornece uma trilha imutável de alterações feitas em uma descoberta ao longo do tempo, incluindo o que AWS O campo Formato de descoberta de segurança (ASFF) foi alterado, quando a alteração ocorreu e por qual usuário. As alterações mais recentes são exibidas primeiro. As alterações incluem aquelas que um usuário fez manual e automaticamente por meio das regras de automação do Security Hub. Se você estiver conectado a uma conta de administrador do Security Hub, o histórico de descobertas mostrado é para a conta do administrador e para todas as contas dos membros.
- Aba Ameaça
Essa guia inclui dados do Action, Malware, e ProcessDetailsobjetos doASFF, incluindo o tipo de ameaça e se um recurso é o alvo ou o ator. Esse objeto normalmente se aplica a descobertas originadas na Amazon GuardDuty.
- Aba Vulnerabilidades
Essa guia exibe dados do Vulnerabilityobjeto doASFF, incluindo se há exploits ou correções disponíveis associadas a uma descoberta. Esse objeto normalmente se aplica a descobertas originadas no Amazon Inspector.
As linhas em cada guia incluem uma opção de cópia ou filtro. Por exemplo, se você estiver no painel de uma descoberta que tem um status de fluxo de trabalho de Notificado, você pode escolher a opção de filtro ao lado da linha de status do fluxo de trabalho. Se você escolher Mostrar todas as descobertas com esse valor, filtra a lista de descobertas para que ela exiba somente as descobertas com o mesmo status de fluxo de trabalho.
Revise a seção a seguir para entender como acessar esses detalhes para uma descoberta.
Instruções para revisar os detalhes e o histórico da descoberta
Escolha seu método preferido e siga as etapas para ver os detalhes de busca no Security Hub.
Se você ativar a agregação entre regiões e entrar na região de agregação, a localização de dados incluirá dados da região de agregação e regiões vinculadas. Em outras regiões, a localização de dados é específica somente para aquela região. Para obter mais informações sobre agregação entre regiões, consulte Entendendo a agregação entre regiões no Security Hub.
nota
Quando você filtra as descobertas por CompanyName
ouProductName
, o Security Hub usa os valores que fazem parte do ProductFields
ASFF objeto. O Security Hub não usa o nível superior CompanyName
e ProductName
os campos.