本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
定義安全發現項目的擁有
定義擁有權模型以分類安全發現項目可能具有挑戰性,但並不一定如此。安全格局不斷變化,從業人員必須靈活適應這些變化。採用靈活的方法來開發您的擁有權模型以進行安全性發現。您的初始模型應該使您的團隊能夠立即採取行動。我們建議從基本擁有權邏輯開始,並隨著時間的推移改進該邏輯。如果您延遲定義完美的所有權標準,安全發現的數量將繼續增加。
為了協助將發現項目指派給適當的團隊和資源,我們建議您整 AWS Security Hub 合團隊用來管理其日常工作的任何現有系統。例如,您可以將 Security Hub 與安全性資訊和事件管理 (SIEM) 系統或產品待處理和票務系統整合。如需詳細資訊,請參閱本指南中的 準備指派安全發現項目。
以下是您可以用作起點的股權模型範例:
-
安全性團隊會檢閱潛在的作用中威脅,並協助評估安全發現項目並排定 安全團隊擁有適當評估上下文的專業知識和工具。他們瞭解其他安全性相關資料,協助他們評估弱點並排定優先順序,並調查威脅偵測事件。如果需要尋找嚴重性或其他調整,請參閱本指南中的評估安全發現項目並排定章節。如需範例,請參閱本指南安全團隊範例中的〈〉。
-
在雲端和應用程式團隊之間散佈安全性發現項目 — 如分配安全所有權本節所述,有權設定資源的團隊負責其安全配置。應用程式團隊負責與其建置和設定的資源相關的安全性發現項目,而雲端小組則負責處理與廣泛組態相關的安全性發現項目。在大多數情況下,應用程式團隊無法存取變更廣泛的組態 AWS 服務,例如中的服務控制政策 (SCP) AWS Control Tower、與網路相關的 VPC 組態 AWS Organizations,以及 IAM 身分中心。AWS
對於將應用程式分隔到專用帳戶的多帳戶環境中,您通常可以將帳戶的安全性相關發現項目整合到應用程式的待處理或票務系統中。從該系統中,雲團隊或應用程序團隊可以解決發現問題。如需範例,請參閱本指南應用團隊示例中的雲端團隊範例或。
-
將剩餘、未解決的發現項目指派給雲端團隊 — 剩餘發現項目可能與雲端團隊可以解決的預設設定或廣泛的組態有關。該團隊可能擁有最具歷史意義的知識和解決問題的機會。總體而言,這通常是發現項目總數的一個明顯較小的子集。