本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建和更新调查结果的原则
在计划如何在中创建和更新结果时AWS Security Hub,请注意以下原则:
- 使结果具体化,以便客户可以轻松对其采取相应措施。
-
客户希望自动执行响应和补救措施,并将调查结果与其他发现相关联。为了支持这一点,结果应具有以下特征:
-
他们通常应该处理单个资源或主要资源。
-
他们应该有一种查找类型。
-
他们应该处理单个安全事件。
当调查结果包含多个安全事件的数据时,客户就更难对该调查结果采取行动。
-
- 将所有查找字段映射到AWSSecurity Found 格式 (ASFF)。允许客户依靠 Security Hub 作为真相的来源。
-
客户预计,Security Hub ASFF 中也会显示您原生查找格式的每个字段。
客户希望所有数据都出现在该调查结果的 Security Hub 版本中。缺少数据会导致他们对作为安全信息的核心来源的 Security Hub 失去信任。
- 尽量减少发现的冗余。不要因寻找数量而压倒客户。
-
Security Hub 不是一个通用的日志管理工具。您应该向 Security Hub 发送高度可操作的调查结果,客户可以直接响应、补救或与其他调查结果相关联。
当查找结果只有微小变化时,请更新查找结果,而不是创建新的查找结果。
当调查结果(例如严重性分数或资源标识符)发生重大变化时,请创建一个新的查找结果。
例如,实时为单个端口扫描创建查找结果并不具有高度可操作性。由于端口扫描可以持续进行,因此会产生大量的发现。更具吸引力和精确的做法是简单地更新上次扫描时间并在 TOR 节点上对 MongoDB 端口进行端口扫描的单个发现进行扫描。
- 允许客户自定义他们的发现,使其更有意义。
-
客户希望能够调整某些查找字段,使其与其环境或要求更相关。
例如,客户希望能够根据账户类型或查找结果关联的资源类型添加备注、标签和调整严重性分数。