Fundamentos para crear y actualizar los resultados

Al planificar la forma en que va a crear y actualizar los hallazgos AWS Security Hub, tenga en cuenta los siguientes principios.

Los resultados deber ser tan específicos como sea posible para que los clientes puedan tomar las medidas apropiadas con facilidad.

Los clientes prefieren las acciones de respuesta y corrección automatizadas y correlacionar los resultados con otros resultados. Para ello, los resultados deben tener las siguientes características:

Por lo general, deben referirse a un recurso único o primario.
Deben tener un único tipo de resultados.
Deben referirse a un único evento de seguridad.

Si un resultado contiene datos de varios eventos de seguridad, a los clientes les resultará más difícil tomar medidas al respecto.

Asigne todos los campos de búsqueda al formato de búsqueda AWS de seguridad (ASFF). Permita que los clientes puedan confiar en Security Hub como una fuente de información fiable.

Los clientes esperan que todos los campos que tengan su formato de resultados nativo también estén representados en el ASFF de Security Hub.

Los clientes desean que todos los datos estén presentes en la versión de Security Hub del resultado. La falta de datos provoca una pérdida de confianza en Security Hub como fuente central de información de seguridad.

Minimice la redundancia en los resultados. No abrume a los clientes con grandes cantidades de resultados.

Security Hub no es una herramienta general de administración de registros. Debe enviar a Security Hub resultados que sean fáciles de procesar y a los que los clientes puedan dar una respuesta directamente, corregir o correlacionar con otros resultados.

Si solo se produce un cambio menor en el resultado, actualícelo en lugar de crear uno nuevo.

Si el cambio producido en el resultado es importante, por ejemplo, se da en la puntuación de gravedad o en el identificador del recurso, cree un resultado nuevo.

Por ejemplo, crear resultados para los escaneos de puertos individuales en tiempo real no es muy práctico. Dado que el escaneo de puertos puede realizarse de forma continua, generaría una gran cantidad de resultados. Resulta mucho más convincente y preciso sencillamente actualizar la hora del último escaneo y el recuento de escaneos con un solo resultado para el escaneo de un puerto de MongoDB desde un nodo de TOR.

Permita que los clientes personalicen sus resultados para que sean más significativos.

Los clientes desean poder ajustar ciertos campos de resultados de forma que sean más relevantes para su entorno o sus requisitos.

Por ejemplo, los clientes desean poder añadir notas y etiquetas y ajustar las puntuaciones de gravedad en función del tipo de cuenta o el tipo de recurso al que esté asociado el resultado.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Directrices para el logotipo de la consola

Directrices para la asignación de ASFF