针对 Security Hub 的调查发现自动进行修改并采取行动 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

针对 Security Hub 的调查发现自动进行修改并采取行动

Amazon Security Hub 具有根据自己的规格针对调查发现自动进行修改并采取行动的功能。

Security Hub 目前支持两种类型的自动化:

  • 自动化规则 - 根据您定义的标准,近乎实时地自动更新和隐藏结果。

  • 自动响应和补救 – 创建自定义 Amazon EventBridge 规则,定义针对特定发现和洞察执行的自动操作。

当您想要自动更新 Amazon 安全调查发现格式(ASFF)中的调查发现字段时,自动化规则很有用。例如,您可以使用自动化规则更新来自特定第三方集成的发现的严重性级别或工作流状态。使用自动化规则,无需手动更新该第三方产品中每个调查发现的严重性级别或工作流状态。

当您想在 Security Hub 之外就特定调查发现执行操作或将特定调查发现发送给第三方工具进行补救或额外调查时,EventBridge 规则很有用。这些规则可用于触发支持的操作,例如调用 Amazon Lambda 函数或就关于特定调查发现通知 Amazon Simple Notification Service(Amazon SNS)。

自动规则在应用 EventBridge 规则之前生效。也就是说,EventBridge 收到调查发现之前,会触发自动化规则并更新调查发现。然后,EventBridge 规则将应用于更新的调查发现。

在为安全控件设置自动化时,我们建议根据控件 ID 而不是标题或描述进行筛选。虽然 Security Hub 偶尔会更新控件标题和描述,但控件 ID 不会发生变更。