결과 생성 및 업데이트에 대한 교리

검색 결과를 생성하고 업데이트하는 방법을 계획할 때AWS Security Hub다음 원칙에 유의해야 합니다.

고객이 쉽게 조치를 취할 수 있도록 결과를 구체적으로 지정합니다.

고객은 대응 및 수정 조치를 자동화하고 조사 결과를 다른 결과와 상호 연관시키고자 합니다. 이를 지원하기 위해 결과는 다음과 같은 특징이 있어야 합니다.

• 일반적으로 단일 또는 기본 리소스를 처리해야 합니다.

• 단일 검색 유형을 가져야 합니다.

• 단일 보안 이벤트를 처리해야 합니다.

검색 결과에 여러 보안 이벤트에 대한 데이터가 포함되어 있으면 고객이 검색 결과에 대한 조치를 취하기가 더 어렵습니다.

모든 검색 필드를AWSASFF의 Security Finding 형식 고객이 Security Hub를 신뢰할 수 있는 원천으로 사용할 수 있습니다.

고객은 기본 검색 결과 형식의 모든 필드가 Security Hub ASFF에도 표시되기를 기대합니다.

고객은 검색 결과의 Security Hub 버전에 모든 데이터가 표시되기를 원합니다. 누락된 데이터는 보안 정보의 중앙 소스로서 Security Hub에 대한 신뢰를 잃게 됩니다.

결과에서 중복성을 최소화합니다. 고객이 볼륨을 찾는 것을 압도하지 마십시오.

Security Hub 일반적인 로그 관리 도구가 아닙니다. 매우 실행 가능한 검색 결과를 Security Hub에 전송해야 하며, 고객이 다른 결과에 직접 응답하거나, 수정하거나, 상호 연관시킬 수 있습니다.

검색 결과에 사소한 변경만 있으면 새 검색 결과를 만드는 대신 검색 결과를 업데이트하십시오.

심각도 점수 또는 리소스 식별자와 같이 검색 결과가 크게 변경되면 새 검색 결과를 만듭니다.

예를 들어 개별 포트 스캔에 대한 검색 결과를 실시간으로 생성하는 것은 매우 실행 가능하지 않습니다. 포트 스캔은 지속적으로 발생할 수 있기 때문에 대량의 결과를 생성합니다. TOR 노드에서 MongoDB 포트에서 포트 스캔에 대한 단일 검색에서 마지막 스캔 시간과 스캔 횟수를 업데이트하는 것이 훨씬 더 매력적이고 정확합니다.

고객이 검색 결과를 사용자 정의하여 보다 의미 있게 만들 수 있습니다.

고객은 특정 검색 필드를 조정하여 환경 또는 요구 사항에 보다 관련성이 높아지기를 원합니다.

예를 들어 고객은 검색 결과가 연결된 계정 유형 또는 리소스 유형에 따라 메모, 태그를 추가하고 심각도 점수를 조정할 수 있기를 원합니다.