Prinsip untuk membuat dan memperbarui temuan - AWS Security Hub

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Prinsip untuk membuat dan memperbarui temuan

Saat Anda merencanakan bagaimana Anda akan membuat dan memperbarui temuan diAWS Security Hub, ingatlah prinsip berikut.

Membuat temuan spesifik sehingga pelanggan dapat dengan mudah mengambil tindakan pada mereka.

Pelanggan ingin mengotomatisasi tindakan respons dan remediasi dan mengkorelasikan temuan dengan temuan lain. Untuk mendukung hal ini, temuan harus memiliki karakteristik sebagai berikut:

  • Mereka umumnya harus berurusan dengan sumber daya tunggal atau primer.

  • Mereka harus memiliki tipe temuan tunggal.

  • Mereka harus berurusan dengan satu peristiwa keamanan.

Ketika temuan berisi data untuk beberapa peristiwa keamanan, lebih sulit bagi pelanggan untuk mengambil tindakan pada temuan.

Memetakan semua bidang temuan Anda keAWSFormat Pencarian Keamanan (ASFF). Memungkinkan pelanggan untuk mengandalkan Security Hub sebagai sumber kebenaran.

Pelanggan berharap bahwa setiap bidang yang ada dalam format pencarian asli Anda juga diwakili dalam Security Hub ASFF.

Pelanggan ingin semua data hadir dalam versi Security Hub temuan tersebut. Data yang hilang menyebabkan mereka kehilangan kepercayaan di Security Hub sebagai sumber pusat informasi keamanan.

Minimalkan redundansi dalam temuan. Jangan membanjiri pelanggan dengan menemukan volume.

Security Hub bukan alat manajemen log umum. Anda harus mengirimkan temuan ke Security Hub yang sangat dapat ditindaklanjuti, dan bahwa pelanggan dapat langsung menanggapi, memulihkan, atau berkorelasi dengan temuan lain.

Ketika hanya ada sedikit perubahan pada temuan, perbarui temuan alih-alih membuat temuan baru.

Ketika ada perubahan besar untuk temuan, seperti untuk skor keparahan atau pengenal sumber daya, membuat temuan baru.

Misalnya, untuk membuat temuan untuk pemindaian port individual secara real time tidak dapat ditindaklanjuti. Karena pemindaian port dapat terjadi terus menerus, itu akan menghasilkan sejumlah besar temuan. Hal ini jauh lebih menarik dan tepat untuk hanya memperbarui waktu pemindaian terakhir dan menghitung scan pada satu temuan untuk port scan pada port MongoDB dari node TOR.

Memungkinkan pelanggan untuk menyesuaikan temuan mereka untuk membuat mereka lebih bermakna.

Pelanggan ingin dapat menyesuaikan bidang temuan tertentu untuk membuat mereka lebih relevan dengan lingkungan atau persyaratan mereka.

Misalnya, pelanggan ingin dapat menambahkan catatan, tag, dan menyesuaikan skor keparahan berdasarkan jenis akun atau jenis sumber daya yang terkait dengan temuan tersebut.