本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
評估安全發現項目並排定
有效的弱點管理計畫的重要元件之一,就是能夠評估安全性發現項目並排定優先順序。這就是拉入上下文,組織歷史和調整檢測系統的地方。安全性發現的優先順序有助於建立適當的回應等級速度。
對於 Amazon Inspector 和 Amazon AWS Security Hub GuardDuty,發現結果包含嚴重性標籤或分數。我們建議您優先調查 Security Hub 中的所有關鍵和高嚴重性發現項目,包括與基礎安全最佳實務 (FSBP) 標準、Amazon Inspector 和. GuardDuty 尋找嚴重性標籤的分數決定如下:
-
Amazon Inspector 分數是每個發現項目的高度情境化分數。計算方式是將通用弱點評分系統 (CVSS) 基本分數資訊與網路連接性結果和可利用性資料建立關聯。使用此分數,您可以將發現項目的優先順序集中在最重要的發現項目和易受攻擊的資源上 除了分數之外,Amazon Inspector 還提供有關常見弱點和入侵程式 (CVE
) 的增強型弱點情報。這是 Amazon CVE 的可用情報摘要,以及業界標準的安全情報來源,例如「記錄的未來」和「網路安全與基礎設施安全機構」(CISA)。例如,Amazon Inspector 可以提供用於惡意利用弱點的已知惡意軟體套件名稱。如需詳細資訊,請參閱弱點情報。 -
每個 GuardDuty 發現項目都有指派的嚴重性層級和值,以反映發現項目對您環境的潛在風險。此等級和值由 AWS 安全工程師決定。例如,
High嚴重性等級表示資源已遭到入侵,並且正在主動用於未經授權的目的。我們建議您將High嚴重性 GuardDuty 發現視為優先順序,並立即進行補救,以防止進一步未經授權的使用。 -
Security Hub 控制項發現的嚴重性取決於遭到惡意利用的難度和入侵的可能性。難度取決於使用弱點執行威脅案例所需的複雜程度或複雜性。入侵的可能性表示威脅案例會導致您的或資源中斷或破壞的 AWS 服務 可能性。
為了調整發現項目,您可以直接在相應的服務主控台中或使用服務的 API 來隱藏或封存特定發現項目。此外,您可以使用自動化規則對 Security Hub 中的發現項目進行變更。 GuardDuty 和 Amazon Inspector 的發現會自動發送到 Security Hub。您可以使用自動化規則,根據您定義的條件,以近乎即時的方式自動更新 (例如變更嚴重性) 或隱藏發現項目。建立自動化規則時,我們建議您將前後關聯新增至規則描述,例如建立或修改日期、建立者,以及需要規則的原因。此資訊通常有助於 future 參考。
