本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
自動修改 Security Hub 調查結果並對其採取行動
AWS Security Hub 具有 功能,可根據您的規格自動修改問題清單並對其採取行動。
Security Hub 目前支援兩種類型的自動化:
-
自動化規則 – 根據您定義的條件,以近乎即時的方式自動更新和隱藏問題清單。
-
自動化回應和修復 – 建立自訂 Amazon EventBridge 規則,以定義針對特定調查結果和洞見採取的自動動作。
當您想要自動更新 AWS 安全調查結果格式 (ASFF) 中的調查結果欄位時,自動化規則很有幫助。例如,您可以使用自動化規則來更新特定第三方整合中調查結果的嚴重性層級或工作流程狀態。使用自動化規則,不需要手動更新此第三方產品中每個調查結果的嚴重性層級或工作流程狀態。
當您想要在 Security Hub 外部針對特定調查結果採取動作,或將特定調查結果傳送至第三方工具以進行修復或其他調查時,EventBridge 規則很有用。這些規則可用來觸發支援的動作,例如叫用 AWS Lambda 函數或將特定問題清單通知 Amazon Simple Notification Service (Amazon SNS) 主題。
自動化規則會在套用 EventBridge 規則之前生效。也就是說,自動化規則會在 EventBridge 收到問題清單之前觸發並更新問題清單。然後,EventBridge 規則會套用至更新的調查結果。
為安全控制設定自動化時,我們建議根據控制 ID 進行篩選,而不是根據標題或描述進行篩選。雖然 Security Hub 偶爾會更新控制項標題和描述,但控制項 IDs保持不變。
