Contoh tim keamanan: Membuat aturan otomatisasi Security Hub - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh tim keamanan: Membuat aturan otomatisasi Security Hub

Tim keamanan menerima temuan terkait deteksi ancaman, termasuk GuardDuty temuan Amazon. Untuk daftar lengkap jenis GuardDuty pencarian yang dikategorikan berdasarkan jenis AWS sumber daya, lihat Menemukan jenis dalam GuardDuty dokumentasi. Tim keamanan harus terbiasa dengan semua jenis temuan ini.

Untuk contoh ini, tim keamanan menerima tingkat risiko terkait untuk temuan keamanan Akun AWS yang digunakan secara ketat untuk tujuan pembelajaran dan tidak menyertakan data penting atau sensitif. Nama akun ini adalahsandbox, dan ID akun adalah123456789012. Tim keamanan dapat membuat aturan AWS Security Hub otomatisasi yang menekan semua GuardDuty temuan dari akun ini. Mereka dapat membuat aturan dari template, yang mencakup banyak kasus penggunaan umum, atau mereka dapat membuat aturan khusus. Di Security Hub, sebaiknya pratinjau hasil kriteria untuk mengonfirmasi bahwa aturan mengembalikan temuan yang dimaksud.

catatan

Contoh ini menyoroti fungsionalitas aturan otomatisasi. Kami tidak menyarankan untuk menekan semua GuardDuty temuan untuk sebuah akun. Konteks penting, dan setiap organisasi harus memilih temuan mana yang akan ditekan berdasarkan tipe data, klasifikasi, dan kontrol mitigasi.

Berikut ini adalah parameter yang digunakan untuk membuat aturan otomatisasi ini:

  • Aturan:

    • Nama aturan adalah Suppress findings from Sandbox account

    • Deskripsi aturan adalah Date: 06/25/23 Authored by: John Doe Reason: Suppress GuardDuty findings from the sandbox account

  • Kriteria:

    • AwsAccountId = 123456789012

    • ProductName = GuardDuty

    • WorkflowStatus = NEW

    • RecordState = ACTIVE

  • Tindakan otomatis:

    • Workflow.statusadalah SUPPRESSED

Untuk informasi selengkapnya, lihat Aturan otomatisasi di dokumentasi Security Hub. Tim keamanan memiliki banyak pilihan untuk menyelidiki dan memulihkan temuan untuk ancaman yang terdeteksi. Untuk panduan ekstensif, lihat Panduan Respons Insiden AWS Keamanan. Kami merekomendasikan untuk meninjau panduan ini untuk mengonfirmasi bahwa Anda telah menetapkan proses respons insiden yang kuat.