Beispiel für ein Sicherheitsteam: Erstellen einer Security Hub Hub-Automatisierungsregel - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiel für ein Sicherheitsteam: Erstellen einer Security Hub Hub-Automatisierungsregel

Das Sicherheitsteam erhält Erkenntnisse im Zusammenhang mit der Erkennung von Bedrohungen, einschließlich der GuardDuty Ergebnisse von Amazon. Eine vollständige Liste der GuardDuty Findetypen, die nach AWS Ressourcentyp kategorisiert sind, finden Sie in der GuardDuty Dokumentation unter Finding types. Sicherheitsteams müssen mit all diesen Befundtypen vertraut sein.

In diesem Beispiel akzeptiert das Sicherheitsteam die Höhe des damit verbundenen Risikos für Sicherheitslücken in einer Anlage AWS-Konto , die ausschließlich zu Lernzwecken verwendet wird und keine wichtigen oder sensiblen Daten enthält. Der Name dieses Kontos istsandbox, und die Konto-ID ist123456789012. Das Sicherheitsteam kann eine AWS Security Hub Automatisierungsregel erstellen, die alle GuardDuty Ergebnisse dieses Kontos unterdrückt. Sie können entweder eine Regel anhand einer Vorlage erstellen, die viele gängige Anwendungsfälle abdeckt, oder sie können eine benutzerdefinierte Regel erstellen. In Security Hub empfehlen wir, eine Vorschau der Ergebnisse der Kriterien anzuzeigen, um sicherzustellen, dass die Regel die beabsichtigten Ergebnisse zurückgibt.

Anmerkung

In diesem Beispiel wird die Funktionalität von Automatisierungsregeln verdeutlicht. Wir empfehlen nicht, alle GuardDuty Ergebnisse für ein Konto zu unterdrücken. Der Kontext ist wichtig, und jedes Unternehmen muss anhand von Datentyp, Klassifizierung und Schutzmaßnahmen entscheiden, welche Ergebnisse unterdrückt werden sollen.

Die folgenden Parameter wurden verwendet, um diese Automatisierungsregel zu erstellen:

  • Regel:

    • Der Name der Regel ist Suppress findings from Sandbox account

    • Die Beschreibung der Regel ist Date: 06/25/23 Authored by: John Doe Reason: Suppress GuardDuty findings from the sandbox account

  • Kriterien:

    • AwsAccountId = 123456789012

    • ProductName = GuardDuty

    • WorkflowStatus = NEW

    • RecordState = ACTIVE

  • Automatisierte Aktion:

    • Workflow.status ist SUPPRESSED

Weitere Informationen finden Sie unter Automatisierungsregeln in der Security Hub Hub-Dokumentation. Sicherheitsteams haben viele Möglichkeiten, die Ergebnisse erkannter Bedrohungen zu untersuchen und zu korrigieren. Umfassende Anleitungen finden Sie im Leitfaden zur Reaktion auf AWS Sicherheitsvorfälle. Wir empfehlen, diesen Leitfaden zu lesen, um sicherzustellen, dass Sie über solide Verfahren zur Reaktion auf Vorfälle verfügen.