Criação e atualização de descobertas no CSPM do Security Hub - AWS Security Hub

Criação e atualização de descobertas no CSPM do Security Hub

No CSPM do AWS Security Hub, uma descoberta é um registro observável de uma verificação de segurança ou uma detecção relacionada à segurança. Uma descoberta pode se originar de uma das origens a seguir:

  • Uma verificação de segurança de um controle no CSPM do Security Hub.

  • Uma integração com outro AWS service (Serviço da AWS).

  • Uma integração com um produto de terceiros.

  • Uma integração personalizada.

O Security Hub normaliza as descobertas de todas as origens em uma sintaxe e um formato de um padrão denominado Formato de descoberta de segurança da AWS (ASFF). Para obter informações detalhadas sobre esse formato, incluindo descrições de campos individuais do ASFF, consulteFormato de descoberta de segurança da AWS (ASFF). Se você habilitar a agregação entre regiões, o CSPM do Security Hub também agregará automaticamente as descobertas novas e atualizadas de todas as regiões vinculadas à uma região de agregação especificada por você. Para obter mais informações, consulte Noções básicas sobre a agregação entre regiões no CSPM do Security Hub.

Depois que uma descoberta for criada, ela poderá ser atualizada da maneira a seguir:

  • Um provedor de descobertas pode usar a operação BatchImportFindings da API do CSPM do Security Hub para atualizar as informações gerais sobre a descoberta. Os provedores de descoberta só podem atualizar as descobertas que eles criaram.

  • Um cliente pode usar o console do CSPM do Security Hub ou a operação BatchUpdateFindings da API do CSPM do Security Hub para atualizar o status da investigação sobre a descoberta. A operação BatchUpdateFindings também pode ser usada por um SIEM, emissão de tíquetes, gerenciamento de incidentes, SOAR ou outro tipo de ferramenta em nome de um cliente.

Para reduzir o ruído de busca e agilizar o rastreamento e a análise das descobertas individuais, o CSPM do Security Hub excluirá automaticamente as descobertas que não forem atualizadas recentemente. O tempo em que o CSPM do Security Hub faz isso depende se a descoberta está ativa ou arquivada:

  • Uma descoberta ativa é uma descoberta cujo estado de registro (RecordState) é ACTIVE. O CSPM do Security Hub armazena as descobertas ativas por 90 dias. Se uma descoberta ativa não for atualizada por 90 dias, ela expirará e o CSPM do Security Hub a excluirá permanentemente.

  • Uma descoberta arquivada é uma descoberta cujo estado de registro (RecordState) é ARCHIVED. O CSPM do Security Hub armazena as descobertas arquivadas por 30 dias. Se uma descoberta arquivada não for atualizada por 30 dias, ela expirará e o CSPM do Security Hub a excluirá permanentemente.

Para as descobertas de controle, que são descobertas que o CSPM do Security Hub gera a partir de verificações de segurança para controles, o CSPM do Security Hub determina se a descoberta expirou com base no valor do campo UpdatedAt da descoberta. Se esse valor for de mais de 90 dias atrás para uma descoberta ativa, o CSPM do Security Hub exclui permanentemente a descoberta. Se esse valor for de mais de 30 dias atrás para uma descoberta arquivada, o CSPM do Security Hub exclui permanentemente a descoberta.

Para todos os outros tipos de descobertas, o CSPM do Security Hub determina se uma descoberta expirou com base nos valores dos campos ProcessedAt e UpdatedAt da descoberta. O CSPM do Security Hub compara os valores desses campos e determina qual é o mais recente. Se o valor mais recente for de mais de 90 dias atrás para uma descoberta ativa, o CSPM do Security Hub exclui permanentemente a descoberta. Se o valor mais recente for de mais de 30 dias atrás para uma descoberta arquivada, o CSPM do Security Hub exclui permanentemente a descoberta. Os provedores de descobertas podem alterar o valor do campo UpdatedAt de uma ou mais descobertas usando a operação BatchImportFindings da API do CSPM do Security Hub.

Para uma retenção de longo prazo de descobertas, é possível exportar as descobertas para um bucket do S3. É possível fazer isso usando uma ação personalizada com uma regra do Amazon EventBridge. Para obter mais informações, consulte Usar o EventBridge para resposta e correção automatizada.

Tópicos