Esempio di team di sicurezza: creazione di una regola di automazione Security Hub - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempio di team di sicurezza: creazione di una regola di automazione Security Hub

Il team di sicurezza riceve i risultati relativi al rilevamento delle minacce, inclusi GuardDuty i risultati di Amazon. Per un elenco completo dei tipi di GuardDuty ricerca classificati per tipo di AWS risorsa, consulta Finding types nella GuardDuty documentazione. I team addetti alla sicurezza devono conoscere tutti questi tipi di risultati.

Per questo esempio, il team addetto alla sicurezza accetta il livello di rischio associato ai risultati di sicurezza in un documento Account AWS che viene utilizzato esclusivamente per scopi di apprendimento e non include dati importanti o sensibili. Il nome di questo account èsandbox, e l'ID dell'account è123456789012. Il team addetto alla sicurezza può creare una regola di AWS Security Hub automazione che sopprime tutti i GuardDuty risultati di questo account. Possono creare una regola da un modello, che copre molti casi d'uso comuni, oppure creare una regola personalizzata. In Security Hub, consigliamo di visualizzare in anteprima i risultati dei criteri per confermare che la regola restituisca i risultati previsti.

Nota

Questo esempio evidenzia la funzionalità delle regole di automazione. Non è consigliabile eliminare tutti i GuardDuty risultati relativi a un account. Il contesto è importante e ogni organizzazione deve scegliere quali risultati eliminare in base al tipo di dati, alla classificazione e ai controlli di mitigazione.

Di seguito sono riportati i parametri utilizzati per creare questa regola di automazione:

  • Regola:

    • Il nome della regola è Suppress findings from Sandbox account

    • La descrizione della regola è Date: 06/25/23 Authored by: John Doe Reason: Suppress GuardDuty findings from the sandbox account

  • Criteri:

    • AwsAccountId = 123456789012

    • ProductName = GuardDuty

    • WorkflowStatus = NEW

    • RecordState = ACTIVE

  • Azione automatizzata:

    • Workflow.status è SUPPRESSED

Per ulteriori informazioni, consulta Regole di automazione nella documentazione del Security Hub. I team di sicurezza hanno a disposizione molte opzioni per indagare e correggere i risultati delle minacce rilevate. Per una guida completa, consulta la AWS Security Incident Response Guide. Ti consigliamo di consultare questa guida per confermare di aver stabilito solidi processi di risposta agli incidenti.