調査結果の作成と更新に関する教訓

で結果を作成および更新する方法について説明します。AWS Security Hubでは、以下の教義を念頭に置いてください。

顧客が簡単にアクションを実行できるように、結果を特定します。

お客様は、対応と修復アクションを自動化して、調査結果を他の調査結果と相関させたいと考えています。これをサポートするには、結果には以下の特徴があります。

• 通常、単一のリソースまたはプライマリリソースを処理する必要があります。

• 彼らは単一の発見タイプを持つべきです。

• 彼らは単一のセキュリティイベントに対処する必要があります。

検索結果に複数のセキュリティイベントのデータが含まれている場合、顧客がその結果に対してアクションを実行することがより困難になります。

すべての検索フィールドをAWSSecurity Finding 形式 お客様が Security Hub を真実の源として信頼できるようにする。

お客様は、ネイティブ検索形式のすべてのフィールドが Security Hub ASFF にも表示されることを期待しています。

お客様は、すべてのデータが Security Hub バージョンの結果に存在することを望んでいます。データが欠落すると、セキュリティ情報の一元的なソースとして Security Hub への信頼が失われます。

調査結果の冗長性を最小限に抑えます。ボリュームを見つけることで顧客を圧倒しないでください。

Security Hub は、一般的なログ管理ツールではありません。アクション性の高い調査結果を Security Hub に送信し、お客様が他の結果に直接対応、修正、または関連づけることが可能。

結果にわずかな変更しかない場合は、新しい結果を作成するのではなく、結果を更新します。

重大度スコアやリソース識別子など、結果に大きな変更があった場合は、新しい結果を作成します。

たとえば、個々のポートスキャンの結果をリアルタイムで作成することは、あまり実用的ではありません。ポートスキャンは継続的に行われる可能性があるため、大量の調査結果を生成します。TORノードから MongoDB ポート上のポートスキャンの単一の検索で、最後のスキャン時間とスキャンカウントを更新するだけで、はるかに説得力があり、正確になります。

顧客が調査結果をカスタマイズして、より意味のあるものにできるようにしましょう。

お客様は、特定の検索フィールドを調整して、環境や要件により関連性の高いものにしたいと考えています。

たとえば、顧客は、取引先のタイプまたは検索結果が関連付けられているリソースのタイプに基づいて、メモ、タグを追加し、重大度スコアを調整できるようにしたいとします。