安全團隊範例:建立 Security Hub 自動化規則 - AWS 規範性指導

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

安全團隊範例:建立 Security Hub 自動化規則

安全團隊會收到與威脅偵測相關的調查結果,包括 Amazon GuardDuty 調查結果。如需依 AWS 資源類型分類的 GuardDuty 問題清單類型的完整清單,請參閱 GuardDuty 文件中的問題清單類型。安全團隊必須熟悉所有這些調查結果類型。

在此範例中,安全團隊接受 中安全調查結果的關聯風險層級 AWS 帳戶 ,這些調查結果嚴格用於學習目的,不包含重要或敏感資料。此帳戶的名稱為 sandbox,而帳戶 ID 為 123456789012。安全團隊可以建立 AWS Security Hub 自動化規則,以隱藏此帳戶的所有 GuardDuty 調查結果。他們可以從範本建立規則,涵蓋許多常見的使用案例,也可以建立自訂規則。在 Security Hub 中,我們建議預覽條件的結果,以確認規則傳回預期的調查結果。

注意

此範例重點介紹自動化規則的功能。我們不建議隱藏帳戶的所有 GuardDuty 調查結果。內容很重要,每個組織都必須根據資料類型、分類和緩解控制選擇要隱藏的調查結果。

以下是用來建立此自動化規則的參數:

  • 規則:

    • 規則名稱Suppress findings from Sandbox account

    • 規則描述Date: 06/25/23 Authored by: John Doe Reason: Suppress GuardDuty findings from the sandbox account

  • 條件:

    • AwsAccountId = 123456789012

    • ProductName = GuardDuty

    • WorkflowStatus = NEW

    • RecordState = ACTIVE

  • 自動化動作:

    • Workflow.statusSUPPRESSED

如需詳細資訊,請參閱 Security Hub 文件中的自動化規則。安全團隊有許多選項可以調查和修復偵測到的威脅問題清單。如需廣泛的指引,請參閱AWS 安全事件回應指南。我們建議您檢閱本指南,以確認您已建立強大的事件回應程序。