As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Princípio para criar e atualizar descobertas
Conforme você planeja como você criará e atualizará descobertas noAWS Security Hub, tenha os seguintes princípios em mente.
- Torne as descobertas específicas para que os clientes possam agir facilmente sobre elas.
-
Os clientes querem automatizar ações de resposta e correção e correlacionar descobertas com outras descobertas. Para apoiar isso, as descobertas devem ter as seguintes características:
-
Eles geralmente devem lidar com um único ou principal recurso.
-
Eles devem ter um único tipo de descoberta.
-
Eles devem lidar com um único evento de segurança.
Quando uma descoberta contém dados para vários eventos de segurança, é mais difícil para os clientes tomarem medidas sobre a descoberta.
-
- Mapeie todos os seus campos de descoberta para oAWSFormato de descoberta de segurança (ASFF). Permita que os clientes confiem no Security Hub como fonte de verdade.
-
Os clientes esperam que todos os campos que estão em seu formato de descoberta nativo também sejam representados no Security Hub ASFF.
Os clientes querem que todos os dados estejam presentes na versão Security Hub da descoberta. Os dados ausentes fazem com que eles percam a confiança no Security Hub como uma fonte central de informações de segurança.
- Minimize a redundância nas descobertas. Não sobrecarregue os clientes com a busca de volumes.
-
O Security Hub não é uma ferramenta geral de gerenciamento de registros. Você deve enviar descobertas para o Security Hub altamente acionáveis e que os clientes podem responder diretamente, corrigir ou correlacionar com outras descobertas.
Quando houver apenas uma pequena alteração na descoberta, atualize a descoberta em vez de criar uma nova descoberta.
Quando houver uma grande alteração na descoberta, como na pontuação de gravidade ou no identificador de recurso, crie uma nova descoberta.
Por exemplo, criar descobertas para varreduras de portas individuais em tempo real não é altamente acionável. Como a varredura de portas pode acontecer continuamente, ela produziria um grande volume de descobertas. É muito mais atraente e preciso simplesmente atualizar o último tempo de varredura e contar a verificação em uma única descoberta para uma varredura de porta em uma porta MongoDB a partir de um nó TOR.
- Permita que os clientes personalizem suas descobertas para torná-los mais significativos.
-
Os clientes querem ser capazes de ajustar determinados campos de descoberta para torná-los mais relevantes para seu ambiente ou requisitos.
Por exemplo, os clientes desejam adicionar notas, tags e ajustar as pontuações de gravidade com base no tipo de conta ou no tipo de recurso ao qual a descoberta está associada.