本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建和更新调查发现的原则
在计划如何在中创建和更新发现结果 Amazon Security Hub时,请记住以下原则。
- 详细地描述调查发现,以便客户可以轻松地对其采取行动。
-
客户希望自动执行响应和修复措施,并将调查发现与其他调查发现关联起来。为支持这一点,调查发现应具有以下特征:
-
它们通常应处理单一资源或主要资源。
-
它们应该只有一种调查发现类型。
-
它们应该处理单一的安全事件。
调查发现包含多个安全事件的数据时,客户就更难对调查发现采取行动。
-
- 将所有查找字段映射到 Amazon 安全调查结果格式 (ASFF)。允许客户依赖 Security Hub 作为事实来源。
-
客户希望本机调查发现格式的每个字段也能在 Security Hub ASFF 中得到体现。
客户希望所有数据都出现在 Security Hub 版本的调查发现中。数据丢失会导致他们对作为安全信息来源中心的 Security Hub 失去信任。
- 尽量减少调查发现中的冗余。不要用海量调查发现让客户不知所措。
-
Security Hub 不是一个通用的日志管理工具。您应该向 Security Hub 发送具有高度可操作性、客户可以直接响应、修复或与其他调查发现相关联的调查发现。
在调查发现的变化很小时,应更新调查发现而不是创建新的调查发现。
在调查发现发生重大变化(例如严重性分数或资源标识符)时,应创建新的调查发现。
例如,实时为单个端口扫描创建调查发现不太可行。由于端口扫描可以持续进行,因此会产生大量调查发现。从 TOR 节点对 MongoDB 端口进行端口扫描时,只需对单个调查发现更新上次扫描时间和扫描次数,这样做更有说服力,也更精确。
- 允许客户自定义调查发现,使其更有意义。
-
客户希望能够调整某些调查发现字段,使其更契合他们的环境或要求。
例如,客户希望能够添加注释、标签,并根据与调查发现相关联的账户类型或资源类型调整严重性分数。