本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
自动修改 Security Hub 发现的结果并对其采取行动
AWS Security Hub 具有根据您的规格自动修改发现结果并对其采取措施的功能。
Security Hub 目前支持两种类型的自动化:
-
自动化规则 - 根据您定义的标准,近乎实时地自动更新和隐藏结果。
-
自动响应和补救 — 创建自定义 Amazon EventBridge 规则,定义针对特定发现和见解采取的自动操作。
当您想要自动更新 AWS 安全查找结果格式(ASFF)中的查找字段时,自动化规则会很有用。例如,您可以使用自动化规则来更新来自特定第三方集成的发现的严重性级别或工作流程状态。使用自动化规则,无需手动更新该第三方产品中每个发现的严重性级别或工作流程状态。
EventBridge 当您想在 Security Hub 之外就特定发现采取措施或将特定发现发送给第三方工具进行补救或进行额外调查时,规则会很有用。这些规则可用于触发支持的操作,例如调用 AWS Lambda 函数或将特定发现通知亚马逊简单通知服务 (AmazonSNS) 主题。
自动化规则在应用 EventBridge 规则之前生效。也就是说,在EventBridge 收到查找结果之前,会触发自动化规则并更新结果。 EventBridge 然后,规则适用于更新的调查结果。
在为安全控件设置自动化时,我们建议根据控件 ID 而不是标题或描述进行筛选。虽然 Security Hub 偶尔会更新控件标题和描述,但控制IDs保持不变。
