本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
定义安全发现的所有权
定义所有权模式来对安全发现进行分类可能具有挑战性,但事实并非如此。安全格局不断变化,从业人员必须灵活地适应这些变化。采用灵活的方法来开发安全发现的所有权模型。您的初始模型应使您的团队能够立即采取行动。我们建议从基本的所有权逻辑入手,并随着时间的推移完善该逻辑。如果您延迟定义完美的所有权标准,则安全发现的数量将继续增加。
为了便于将调查结果分配给适当的团队和资源,我们建议 AWS Security Hub 与您的团队用来管理其日常任务的任何现有系统集成。例如,您可以将 Security Hub 与安全信息和事件管理 (SIEM) 系统或产品待办事项和票务系统集成。有关更多信息,请参阅本指南中的准备分配安全调查结果。
以下是所有权模型的示例,您可以将其用作起点:
-
安全团队会审查潜在的活跃威胁,并帮助评估安全发现并确定其优先级。安全团队拥有正确评估背景的专业知识和工具。他们了解其他与安全相关的数据,这些数据可以帮助他们评估漏洞并确定其优先级,并调查威胁检测事件。如果需要查找严重性或进行其他调整,请参阅本指南中的评估安全发现并确定其优先级部分。有关示例,请参阅本指南安全团队示例中的。
-
在@@ 云和应用程序团队之间分发安全调查结果 — 如分配安全所有权本节所述,有权配置资源的团队负责其安全配置。应用程序团队负责与其构建和配置的资源相关的安全调查结果,而云团队则负责与广泛配置相关的安全调查结果。在大多数情况下,应用团队无权更改范围广泛的配置,例如 AWS Control Tower中的服务控制策略 (SCP) AWS 服务、与网络相关的 VPC 配置和 IAM Identity Center AWS 。 AWS Organizations
对于将应用程序分成专用账户的多账户环境,您通常可以将账户中与安全相关的调查结果集成到应用程序的待办事项或工单系统中。通过该系统,云团队或应用团队可以解决这一发现。有关示例,请参阅本指南应用程序团队示例中的云团队示例或。
-
将剩余的、未解决的发现分配给云团队 — 剩余的发现可能与默认设置或云团队可以解决的广泛配置有关。该团队可能拥有最多的历史知识和解决这一发现的机会。总体而言,这通常在总发现中所占的子集要小得多。
