セキュリティチームの例: Security Hub 自動化ルールの作成

セキュリティチームは、Amazon の検出結果など、脅威検出に関連する GuardDuty 検出結果を受け取ります。 AWS リソースタイプ別に分類された GuardDuty 検出結果タイプの詳細なリストについては、 GuardDuty ドキュメントの「検出結果タイプ」を参照してください。セキュリティチームは、これらのすべての検出結果タイプに精通している必要があります。

この例では、セキュリティチームは、学習目的でのみ AWS アカウント 使用され、重要データや機密データを含まない のセキュリティ検出結果に関連するリスクのレベルを受け入れています。このアカウントの名前は でsandbox、アカウント ID は です123456789012。セキュリティチームは、このアカウントのすべての GuardDuty検出結果を抑制するための AWS Security Hub 自動化ルールを作成できます。多くの一般的なユースケースをカバーするテンプレートからルールを作成することも、カスタムルールを作成することもできます。Security Hub では、ルールが意図した結果を返すことを確認するために、基準の結果をプレビューすることをお勧めします。

注記

この例では、自動化ルールの機能に焦点を当てています。アカウントのすべての GuardDuty 検出結果を抑制することはお勧めしません。コンテキストは重要であり、各組織はデータ型、分類、緩和コントロールに基づいて抑制する結果を選択する必要があります。

この自動化ルールの作成に使用されるパラメータは次のとおりです。

• ルール：

  • ルール名は です Suppress findings from Sandbox account

  • ルールの説明は Date: 06/25/23 Authored by: John Doe Reason: Suppress GuardDuty findings from the sandbox account

• 基準：

  • AwsAccountId = 123456789012

  • ProductName = GuardDuty

  • WorkflowStatus = NEW

  • RecordState = ACTIVE

• 自動アクション：

  • Workflow.status は SUPPRESSED

詳細については、Security Hub ドキュメントの「オートメーションルール」を参照してください。セキュリティチームには、検出された脅威の検出結果を調査および修正するための多くのオプションがあります。詳細なガイダンスについては、AWS 「セキュリティインシデント対応ガイド」を参照してください。このガイドを確認して、強力なインシデント対応プロセスが確立されていることを確認することをお勧めします。