本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 创建和更新调查发现的原则 在计划如何在中创建和更新发现结果 Amazon Security Hub CSPM时,请记住以下原则。 **详细地描述调查发现,以便客户可以轻松地对其采取行动。** 客户希望自动执行响应和修复措施,并将调查发现与其他调查发现关联起来。为支持这一点,调查发现应具有以下特征: + 它们通常应处理单一资源或主要资源。 + 它们应该只有一种调查发现类型。 + 它们应该处理单一的安全事件。 调查发现包含多个安全事件的数据时,客户就更难对调查发现采取行动。 **将所有查找字段映射到 Amazon 安全调查结果格式 (ASFF)。允许客户依赖 Security Hub CSPM 作为事实来源。** 客户期望 Security Hub CSPM ASFF 中也能显示原生查找格式的每个字段。 客户希望所有数据都出现在调查结果的 Security Hub CSPM 版本中。数据丢失会导致他们对作为安全信息中心来源的 Security Hub CSPM 失去信任。 **尽量减少调查发现中的冗余。不要用海量调查发现让客户不知所措。** Security Hub CSPM 不是一个通用的日志管理工具。您应将调查结果发送给 Security Hub CSPM,这些发现具有高度可操作性,并且客户可以直接响应、补救或与其他发现相关联。 在调查发现的变化很小时,应更新调查发现而不是创建新的调查发现。 在调查发现发生重大变化(例如严重性分数或资源标识符)时,应创建新的调查发现。 例如,实时为单个端口扫描创建调查发现不太可行。由于端口扫描可以持续进行,因此会产生大量调查发现。从 TOR 节点对 MongoDB 端口进行端口扫描时,只需对单个调查发现更新上次扫描时间和扫描次数,这样做更有说服力,也更精确。 **允许客户自定义调查发现,使其更有意义。** 客户希望能够调整某些调查发现字段,使其更契合他们的环境或要求。 例如,客户希望能够添加注释、标签,并根据与调查发现相关联的账户类型或资源类型调整严重性分数。