Sugerencias para crear y actualizar los hallazgos

A medida que planifique cómo creará y actualizará los hallazgos enAWS Security Hub, tenga en cuenta los siguientes principios.

Haga que los hallazgos sean específicos para que los clientes puedan tomar medidas en relación con ellos fácilmente.

Los clientes desean automatizar las acciones de respuesta y corrección y correlacionar los hallazgos con otros hallazgos. Para respaldar esto, los hallazgos deben tener las características siguientes:

Por lo general, deben tratar un recurso único o principal.
Deberían tener un único tipo de hallazgo.
Deberían ocuparse de un único evento de seguridad.

Cuando una búsqueda contiene datos para varios eventos de seguridad, resulta más difícil para los clientes tomar medidas al respecto.

Asigne todos los campos de búsqueda a laAWSFormato de hallazgo de seguridad (ASFF) de. Permita que los clientes confíen en Security Hub como fuente de verdad.

Los clientes esperan que todos los campos que se encuentren en el formato de búsqueda nativo también estén representados en el ASFF de Security Hub.

Los clientes desean que todos los datos estén presentes en la versión de Security Hub del hallazgo. La falta de datos hace que pierdan la confianza en Security Hub como fuente central de información de seguridad.

Minimizar la redundancia en los hallazgos. No abrumes a los clientes con la búsqueda de volúmenes.

Security Hub no es una herramienta general de administración de registros. Debe enviar conclusiones a Security Hub que sean altamente procesables y que los clientes puedan responder directamente, corregir o correlacionar con otros hallazgos.

Cuando haya un cambio menor en la búsqueda, actualice la búsqueda en lugar de crear una nueva búsqueda.

Cuando se produzca un cambio importante en el hallazgo, como la puntuación de gravedad o el identificador de recursos, cree un nuevo hallazgo.

Por ejemplo, crear resultados para análisis de puertos individuales en tiempo real no es muy útil. Dado que el escaneo de puertos puede realizarse de forma continua, produciría un gran volumen de hallazgos. Es mucho más convincente y preciso simplemente actualizar el último tiempo de escaneo y contar con un único hallazgo para un escaneo de puertos en un puerto MongoDB desde un nodo TOR.

Permita a los clientes personalizar sus hallazgos para que sean más significativos.

Los clientes desean poder ajustar ciertos campos de búsqueda para que sean más relevantes para su entorno o requisitos.

Por ejemplo, los clientes desean poder agregar notas, etiquetas y ajustar las puntuaciones de gravedad en función del tipo de cuenta o del tipo de recurso al que está asociado la búsqueda.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Directrices para el logotipo de la consola

Directrices para el mapeo del ASFF