Analisando detalhes e histórico de descobertas no Security Hub

Em AWS Security Hub, uma descoberta é um registro observável de uma verificação de segurança ou detecção relacionada à segurança. O Security Hub gera uma descoberta ao concluir uma verificação de segurança de um controle e ao ingerir uma descoberta de um controle integrado AWS service (Serviço da AWS) ou produto de terceiros. Cada descoberta inclui um histórico de alterações e outros detalhes, como uma classificação de gravidade e informações sobre os recursos afetados.

Você pode revisar o histórico de descobertas e outros detalhes de descobertas no console do Security Hub e programaticamente por meio do Security Hub e API AWS CLI.

Para ajudá-lo a simplificar sua análise, o console do Security Hub abre um painel de descoberta quando você seleciona uma descoberta específica. O painel inclui menus e guias diferentes para visualizar diferentes detalhes da descoberta.

Menu de ações

Nesse menu, você pode revisar a conclusão JSON de uma descoberta ou adicionar notas. Uma descoberta não pode ter mais do que uma nota anexada por vez. Esse menu também fornece opções para definir o status do fluxo de trabalho de uma descoberta ou enviar uma descoberta para uma ação personalizada na Amazon EventBridge.

Menu de investigação

Nesse menu, você pode investigar uma descoberta no Amazon Detective. Detective extrai entidades, como endereços IP e AWS usuários, a partir de uma descoberta e visualiza suas atividades. Você pode usar a atividade da entidade como ponto de partida para investigar a causa e o impacto de uma descoberta.

Guia visão geral

Essa guia fornece um resumo da descoberta. Por exemplo, você pode ver quando a descoberta foi criada e atualizada pela última vez, em qual conta ela existe, a origem da descoberta (por exemplo, de uma verificação de controle ou de uma integração) e um link para instruções de remediação na documentação do Security Hub.

No instantâneo de recursos na guia Visão geral, você pode obter uma breve visão geral dos recursos envolvidos em uma descoberta. Para alguns recursos, incluímos a opção de abrir recursos e visualizar diretamente um recurso afetado no contexto relevante AWS service (Serviço da AWS) console. O instantâneo do histórico mostra até duas alterações feitas na descoberta na data mais recente para a qual o histórico está sendo rastreado. A data deve estar nos últimos 90 dias. Por exemplo, se você fez uma alteração ontem e outra hoje, o instantâneo mostra somente a alteração de hoje. Para ver as entradas anteriores, alterne para a guia Histórico.

A linha Conformidade se expande para mostrar mais detalhes. Por exemplo, para controles que incluem parâmetros, você pode ver os valores dos parâmetros atuais que o Security Hub usa ao realizar verificações de segurança.

Aba Recursos

Essa guia fornece detalhes sobre os recursos envolvidos em uma descoberta. Se você estiver conectado à conta que possui um recurso, você pode ver o recurso na seção relevante AWS service (Serviço da AWS) console. Se você não for o proprietário de um recurso, o console exibirá o Conta da AWS ID do proprietário.

A linha Detalhes mostra detalhes específicos do recurso sobre a descoberta, exibindo a ResourceDetailsseção da descobertaJSON.

A linha Tags mostra informações sobre a chave e o valor da tag para os recursos envolvidos em uma descoberta. Recursos que são apoiados pelo GetResources operação do AWS Resource Groups A marcação API pode ser marcada. O Security Hub chama essa operação por meio da função vinculada ao serviço ao processar descobertas novas ou atualizadas e recupera as tags de recursos se o AWS O Resource.Id campo Formato de descoberta de segurança (ASFF) é preenchido com o AWS recursoARN. O Security Hub ignora o recurso inválido. IDs Para obter mais informações sobre a inclusão de tags de recursos nas descobertas, consulteTags.

Guia de busca do histórico

Essa guia rastreia o histórico de uma descoberta nos últimos 90 dias. O histórico de descobertas está disponível para descobertas ativas e arquivadas. Ele fornece uma trilha imutável de alterações feitas em uma descoberta ao longo do tempo, incluindo o que AWS O campo Formato de descoberta de segurança (ASFF) foi alterado, quando a alteração ocorreu e por qual usuário. As alterações mais recentes são exibidas primeiro. As alterações incluem aquelas que um usuário fez manual e automaticamente por meio das regras de automação do Security Hub. Se você estiver conectado a uma conta de administrador do Security Hub, o histórico de descobertas mostrado é para a conta do administrador e para todas as contas dos membros.

Aba Ameaça

Essa guia inclui dados do Action, Malware, e ProcessDetailsobjetos doASFF, incluindo o tipo de ameaça e se um recurso é o alvo ou o ator. Esse objeto normalmente se aplica a descobertas originadas na Amazon GuardDuty.

Aba Vulnerabilidades

Essa guia exibe dados do Vulnerabilityobjeto doASFF, incluindo se há exploits ou correções disponíveis associadas a uma descoberta. Esse objeto normalmente se aplica a descobertas originadas no Amazon Inspector.

As linhas em cada guia incluem uma opção de cópia ou filtro. Por exemplo, se você estiver no painel de uma descoberta que tem um status de fluxo de trabalho de Notificado, você pode escolher a opção de filtro ao lado da linha de status do fluxo de trabalho. Se você escolher Mostrar todas as descobertas com esse valor, filtra a lista de descobertas para que ela exiba somente as descobertas com o mesmo status de fluxo de trabalho.

Revise a seção a seguir para entender como acessar esses detalhes para uma descoberta.

Instruções para revisar os detalhes e o histórico da descoberta

Escolha seu método preferido e siga as etapas para ver os detalhes de busca no Security Hub.

Se você ativar a agregação entre regiões e entrar na região de agregação, a localização de dados incluirá dados da região de agregação e regiões vinculadas. Em outras regiões, a localização de dados é específica somente para aquela região. Para obter mais informações sobre agregação entre regiões, consulte Entendendo a agregação entre regiões no Security Hub.

Security Hub console

Analisando os detalhes e o histórico da descoberta (console)

1. Abra as AWS Security Hub console em https://console.aws.amazon.com/securityhub/.

2. Para exibir uma lista de descobertas, execute uma das seguintes ações:

   • No painel de navegação do Security Hub, selecione Descobertas. Adicione filtros de pesquisa conforme necessário para restringir a lista de descobertas.

   • No painel de navegação do Security Hub, selecione Insights. Escolha um insight. Em seguida, na lista de resultados, escolha um resultado de insight.

   • No painel de navegação do Security Hub, selecione Integrações. Escolha Ver descobertas para obter uma integração.

   • No painel de navegação do Security Hub, escolha Controles.

3. Selecione um título de descoberta.

4. No painel de localização, faça o seguinte:

   • Escolha o menu Ações para agir sobre a descoberta.

   • Escolha o menu Investigar para investigar a descoberta no Amazon Detective.

   • Selecione uma guia para ver mais detalhes sobre a descoberta.

nota

Se você se integrar com AWS Organizations e a conta na qual você está conectado é uma conta de membro da organização, o painel de descoberta inclui o nome da conta. Para contas de membros que são convidadas manualmente em vez de por meio de Organizations, o painel de descoberta inclui apenas o ID da conta.

Security Hub API

Analisando os detalhes e o histórico da descoberta () API

Usar a GetFindingsoperação do Security HubAPI, ou se você estiver usando o AWS CLI, execute o get-findingscomando.

Você pode fornecer um ou mais valores para o Filters parâmetro para restringir as descobertas que você deseja recuperar.

Se o volume de resultados for muito grande, você poderá usar o MaxResults parâmetro para limitar as descobertas a um número especificado e o NextToken parâmetro para paginar as descobertas. Use o SortCriteria parâmetro para classificar as descobertas por um campo específico.

Se você habilitou a agregação entre regiões e invocou essa operação a partir da região de agregação, os resultados incluem descobertas da agregação e regiões vinculadas.

O CLI comando a seguir recupera as descobertas que correspondem aos filtros fornecidos e as classifica em ordem decrescente do LastObservedAt campo. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Para revisar o histórico de descobertas, use o GetFindingHistoryoperação. Se você estiver usando o AWS CLI, execute o get-finding-historycomando.

Identifique a descoberta da qual você deseja obter o histórico com os campos Id e ProductArn. Para obter mais informações sobre esses campos, consulte AwsSecurityFindingIdentifier. Você só pode obter o histórico de uma descoberta por solicitação.

O CLI comando a seguir recupera o histórico da descoberta especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\)” para melhorar a legibilidade.

$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"

PowerShell

Revisando os detalhes da descoberta () PowerShell

Use o cmdlet Get-SHUBFinding.

Opcionalmente, preencha o parâmetro Filter para restringir as descobertas que você deseja recuperar.

O cmdlet a seguir recupera as descobertas que correspondem aos filtros fornecidos.

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}

nota

Quando você filtra as descobertas por CompanyName ouProductName, o Security Hub usa os valores que fazem parte do ProductFields ASFF objeto. O Security Hub não usa o nível superior CompanyName e ProductName os campos.