Modificar e agir automaticamente com base nas descobertas do Security Hub

AWS Security Hub tem recursos que modificam e agem automaticamente com base nas descobertas com base em suas especificações.

O Security Hub oferece suporte atualmente a dois tipos de automações:

As regras de automação são úteis quando você deseja atualizar automaticamente os campos de busca no Formato AWS de descoberta de segurança (ASFF). Por exemplo, você pode usar uma regra de automação para atualizar o nível de gravidade ou o status do fluxo de trabalho das descobertas de uma integração específica de terceiros. O uso da regra de automação elimina a necessidade de atualizar manualmente o nível de gravidade ou o status do fluxo de trabalho de cada descoberta desse produto de terceiros.

EventBridge as regras são úteis quando você deseja realizar ações fora do Security Hub com relação a descobertas específicas ou enviar descobertas específicas para ferramentas de terceiros para remediação ou investigação adicional. As regras podem ser usadas para acionar ações compatíveis, como invocar uma AWS Lambda função ou notificar um tópico do Amazon Simple Notification Service SNS (Amazon) sobre uma descoberta específica.

As regras de automação entram em vigor antes que EventBridge as regras sejam aplicadas. Ou seja, as regras de automação são acionadas e atualizam uma descoberta antes de EventBridge receber a descoberta. EventBridge as regras então se aplicam à descoberta atualizada.

Ao configurar automações para controles de segurança, recomendamos filtrar com base no ID do controle, e não no título ou na descrição. Enquanto o Security Hub atualiza ocasionalmente os títulos e as descrições dos controles, o controle IDs permanece o mesmo.