Principes de création et de mise à jour des résultats

Lorsque vous planifiez comment créer et mettre à jour les résultats dansAWS Security Hub, gardez à l'esprit les principes suivants.

Définissez des résultats spécifiques afin que les clients puissent facilement agir à cet égard.

Les clients souhaitent automatiser les actions de réponse et de correction et mettre en corrélation les résultats avec d'autres résultats. Pour étayer cela, les résultats doivent présenter les caractéristiques suivantes :

Ils doivent généralement s'occuper d'une ressource unique ou principale.
Ils devraient avoir un seul type de recherche.
Ils doivent faire face à un seul événement de sécurité.

Lorsqu'une recherche contient des données pour plusieurs événements de sécurité, il est plus difficile pour les clients d'agir sur la recherche.

Mappez tous vos champs de recherche à laAWSFormat ASFF (Security Finding Format). Permettez aux clients de se fier à Security Hub comme source de vérité.

Les clients s'attendent à ce que chaque champ de votre format de recherche natif soit également représenté dans le Security Hub ASFF.

Les clients souhaitent que toutes les données soient présentes dans la version Security Hub de la recherche. Les données manquantes font perdre confiance à Security Hub en tant que source centrale d'informations de sécurité.

Minimisez la redondance des résultats. Ne submergez pas les clients en trouvant des volumes.

Security Hub n'est pas un outil général de gestion des journaux. Vous devez envoyer des résultats à Security Hub qui sont hautement exploitables et que les clients peuvent directement répondre aux autres résultats, les corriger ou les corréler.

Lorsqu'il n'y a qu'une modification mineure apportée à la recherche, mettez-la à jour au lieu d'en créer une nouvelle.

Lorsqu'il y a un changement majeur dans la recherche, par exemple le score de gravité ou l'identificateur de ressource, créez une nouvelle recherche.

Par exemple, créer des résultats pour des analyses de ports individuels en temps réel n'est pas très exploitable. Étant donné que l'analyse des ports peut se faire en continu, elle produirait un volume important de résultats. Il est beaucoup plus convaincant et précis de simplement mettre à jour la dernière heure d'analyse et de compter le nombre d'analyses sur une seule recherche pour une analyse de port sur un port MongoDB à partir d'un nœud TOR.

Permettez aux clients de personnaliser leurs résultats pour les rendre plus significatifs.

Les clients souhaitent pouvoir ajuster certains champs de recherche pour les rendre plus pertinents à leur environnement ou à leurs exigences.

Par exemple, les clients souhaitent pouvoir ajouter des notes, des balises et ajuster les scores de gravité en fonction du type de compte ou du type de ressource auquel la recherche est associée.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Directives concernant le logo de la console

Consignes pour la cartographie ASFF