Grundsätze zur Erstellung und Aktualisierung von Erkenntnissen - AWS Security Hub

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundsätze zur Erstellung und Aktualisierung von Erkenntnissen

Wie Sie planen, wie Sie Ergebnisse in erstellen und aktualisieren.AWS Security HubBeachten Sie die folgenden Grundsätze.

Machen Sie Ergebnisse spezifisch, damit Kunden leicht Maßnahmen ergreifen können.

Kunden möchten Reaktions- und Behebungsmaßnahmen automatisieren und Ergebnisse mit anderen Ergebnissen korrelieren. Um dies zu unterstützen, sollten Ergebnisse folgende Merkmale aufweisen:

  • Sie sollten sich im Allgemeinen mit einer einzelnen oder primären Ressource befassen.

  • Sie sollten einen einzigen Findetyp haben.

  • Sie sollten sich mit einem einzigen Sicherheitsereignis befassen.

Wenn ein Befund Daten für mehrere Sicherheitsereignisse enthält, ist es für Kunden schwieriger, Maßnahmen bei der Suche zu ergreifen.

Ordnen Sie alle Ihre Suchfelder demAWSSecurity Finding Format (ASFF) Erlauben Sie Kunden, sich auf Security Hub als Quelle der Wahrheit zu verlassen.

Kunden erwarten, dass jedes Feld, das in Ihrem nativen Suchformat vorliegt, auch im Security Hub ASFF dargestellt wird.

Kunden möchten, dass alle Daten in der Security Hub Hub-Version des Ergebnisses vorhanden sind. Fehlende Daten führen dazu, dass sie das Vertrauen in Security Hub als zentrale Quelle für Sicherheitsinformationen verlieren.

Minimieren Sie Redundanz bei Ergebnissen. Überwältigen Sie Kunden nicht damit, Volumen zu finden.

Security Hub ist kein allgemeines Tool zur Protokollverwaltung. Sie sollten Erkenntnisse an Security Hub senden, die sehr umsetzbar sind und dass Kunden direkt auf andere Ergebnisse reagieren, beheben oder mit ihnen korrelieren können.

Wenn die Suche nur geringfügig geändert wird, aktualisieren Sie die Suche, anstatt eine neue Erkenntnis zu erstellen.

Wenn es eine größere Änderung des Ergebnisses gibt, z. B. am Schweregrad oder der Ressourcenkennung, erstellen Sie eine neue Erkenntnis.

Beispielsweise ist es nicht sehr umsetzbar, Erkenntnisse für einzelne Portscans in Echtzeit zu erstellen. Da das Scannen von Ports kontinuierlich erfolgen kann, würde es zu einer großen Menge an Erkenntnissen führen. Es ist weitaus überzeugender und präziser, einfach die letzte Scanzeit zu aktualisieren und die Scan-Zählung auf einen einzigen Befund für einen Port-Scan an einem MongoDB-Port von einem TOR-Knoten aus zu zählen.

Ermöglichen Sie Kunden, ihre Ergebnisse anzupassen, um sie aussagekräftiger zu machen.

Kunden möchten in der Lage sein, bestimmte Suchfelder anzupassen, um sie für ihre Umgebung oder Anforderungen relevanter zu machen.

Kunden möchten z. B. in der Lage sein, Notizen und Tags hinzuzufügen und Schweregradwerte basierend auf dem Kontotyp oder dem Typ der Ressource, mit der die Suche verknüpft ist, anzupassen.