本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
自動修改 Security Hub 發現項目並採取處理行動
AWS Security Hub 具有根據您的規格自動修改和對發現結果採取行動的功能。
Security Hub 目前支援兩種類型的自動化:
-
自動化規則 — 根據您定義的條件,以近乎即時的方式自動更新和隱藏發現項目。
-
自動化回應和修復 — 建立自訂 Amazon EventBridge 規則,以定義針對特定發現項目和見解採取的自動動作。
當您想要自動更新「 AWS 安全性搜尋結果格式」(ASFF) 中的搜尋結果欄位時,自動化規則很有用。例如,您可以使用自動化規則來更新特定第三方整合中發現項目的嚴重性層級或工作流程狀態。使用自動化規則,無需手動更新此協力廠商產品中每個發現項目的嚴重性等級或工作流程狀態。
EventBridge 當您想要針對特定發現項目採取動作,或將特定發現項目傳送至協力廠商工具以進行補救或進行其他調查時,規則會很有幫助。這些規則可用來觸發支援的動作,例如叫用 AWS Lambda 函數或通知 Amazon 簡單通知服務 (AmazonSNS) 主題,以瞭解特定發現項目。
自動化規則會在套用 EventBridge 規則之前生效。也就是說,會觸發自動化規則,並在EventBridge 接收發現項目之前更新搜尋結果。 EventBridge 然後規則會套用至更新的發現項目。
為安全性控制設定自動化時,我們建議您根據控制項 ID 進行篩選,而非標題或說明。而 Security Hub 偶爾更新控制標題和描述,控制項保IDs持不變。
