在 Security Hub 中创建和更新调查结果

In AWS Security Hub，发现是安全检查或安全相关检测的可观察记录。

调查结果可能来自 Security Hub 中的以下来源之一：

• 在 Security Hub 中对已启用的控件进行安全检查

• 已启用与其他集成 AWS 服务

• 支持与第三方产品的集成

• 自定义集成

创建查找结果后，查找结果提供者或 Security Hub 用户可以按如下方式对其进行更新：

• 寻找提供者可以使用 BatchImportFindings运行 Security Hub API 以更新有关发现的一般信息。结果提供商只能更新他们创建的结果。

• 客户可以使用 BatchUpdateFindingsSecurity Hub 的运营，API以更新调查结果的调查状态。 BatchUpdateFindings也可以由代表客户的工单、事件管理、编排、补救或SIEM工具使用。

  客户还可以在 Security Hub 控制台上更新调查结果。

Security Hub 将所有来源的发现标准化为标准语法和格式，称为 AWS 安全调查结果格式 (ASFF)。有关的更多信息ASFF，请参阅AWS 安全调查结果格式 (ASFF)。

Security Hub 会自动删除过去 90 天内未更新的搜索结果。具体而言，Security Hub 会在账户中保留该UpdatedAtASFF字段的最新值之后的 90 天。即使 Security Hub 处于禁用状态，该发现也会在此日期之后保留 90 天。在这90天期限结束时，Security Hub将从账户中永久删除该发现。查找提供者可以通过使用来更改UpdatedAt字段的值 BatchImportFindings运行 Security Hub API 以更新调查结果。

如果您启用跨区域聚合，则 Security Hub 会自动将关联区域的新发现和更新的发现汇总到聚合区域。有关更多信息，请参阅 了解 Security Hub 中的跨区域聚合。