本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 在 Security Hub CSPM 中创建和更新调查发现 在 Sec AWS urity Hub CSPM 中,*发现*是安全检查或安全相关检测的可观察记录。调查发现可能来自以下来源之一: + Security Hub CSPM 中控件的安全检查。 + 与他人的集成 AWS 服务。 + 与第三方产品的集成。 + 自定义集成。 Security Hub CSPM 将所有来源中的调查发现标准化为一种标准语法和格式,称为 *AWS 安全调查发现格式(ASFF)*。有关此格式的详细信息,包括各个 ASFF 字段的描述,请参阅 [AWS 安全调查结果格式 (ASFF)](securityhub-findings-format.md)。如果启用跨区域聚合,Security Hub CSPM 还会自动将所有关联区域中新增和更新的调查发现聚合到您指定的聚合区域中。有关更多信息,请参阅 [了解 Security Hub CSPM 中的跨区域聚合](finding-aggregation.md)。 创建调查发现后,可以按如下方式进行更新: + 调查发现提供者可以使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) 操作更新有关调查发现的一般信息。结果提供商只能更新他们创建的结果。 + 客户可以使用 Security Hub CSPM 控制台或 Security Hub CSPM API 的 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) 操作来更新对调查发现的调查状态。SIEM、票证、事件管理、SOAR 或其他类型的工具也可以代表客户使用 `BatchUpdateFindings` 操作。 为了减少调查发现噪音并简化对单个调查发现的跟踪和分析,Security Hub CSPM 会自动删除最近未更新的调查发现。Security Hub CSPM 执行此操作的时间取决于调查发现是处于活跃状态还是已存档: + *活跃调查发现*是指其记录状态(`RecordState`)为 `ACTIVE` 的调查发现。Security Hub CSPM 会将活跃调查发现存储 90 天。如果某活跃调查发现已 90 天未更新,则其将过期,并且 Security Hub CSPM 会将其永久删除。 + *存档的调查发现*是指其记录状态(`RecordState`)为 `ARCHIVED` 的调查发现。Security Hub CSPM 会将存档的调查发现存储 30 天。如果某存档的调查发现已 30 天未更新,则其将过期,并且 Security Hub CSPM 会将其永久删除。 对于控件调查发现(即 Security Hub CSPM 从控件的安全检查生成的调查发现),Security Hub CSPM 会根据调查发现的 `UpdatedAt` 字段的值来确定调查发现是否已过期。如果活跃调查发现的此值已超过 90 天,则 Security Hub CSPM 将永久删除该调查发现。如果存档的调查发现的此值已超过 30 天,则 Security Hub CSPM 将永久删除该调查发现。 对于所有其他类型的调查发现,Security Hub CSPM 会根据调查发现的 `ProcessedAt` 和 `UpdatedAt` 字段的值来确定调查发现是否已过期。Security Hub CSPM 会比较这些字段的值,并确定哪个值是最新的。如果活跃调查发现的最新值已超过 90 天,则 Security Hub CSPM 将永久删除该调查发现。如果存档的调查发现的最新值已超过 30 天,则 Security Hub CSPM 将永久删除该调查发现。调查发现提供者可以使用 Security Hub CSPM API 的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) 操作来更改一个或多个调查发现的 `UpdatedAt` 字段的值。 为了长期保留调查发现,您可以将调查发现导出到 S3 存储桶。您可以通过使用带有 Amazon EventBridge 规则的自定义操作来实现此目的。有关更多信息,请参阅 [EventBridge 用于自动响应和补救](securityhub-cloudwatch-events.md)。 **Topics** + [BatchImportFindings 用于寻找提供者](finding-update-batchimportfindings.md) + [BatchUpdateFindings 为顾客服务](finding-update-batchupdatefindings.md) + [在 Security Hub CSPM 中查看调查发现详细信息和历史记录](securityhub-findings-viewing.md) + [在 Security Hub CSPM 中筛选调查发现](securityhub-findings-manage.md) + [在 Security Hub CSPM 中对调查发现进行分组](finding-list-grouping.md) + [在 Security Hub CSPM 中设置调查发现的工作流状态](findings-workflow-status.md) + [将调查发现发送到自定义 Security Hub CSPM 操作](findings-custom-action.md) + [AWS 安全调查结果格式 (ASFF)](securityhub-findings-format.md)