本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub 中的自动化
Security Hub 包括根据您的规范自动修改调查发现并对其采取行动的功能。
Security Hub 目前支持以下几种自动化类型:
-
自动化规则:根据定义的标准近乎实时地自动更新和隐藏调查发现,并将调查发现发送到票证工具。
-
自动响应和补救 — 创建自定义 Amazon EventBridge 规则,定义针对特定发现和见解采取的自动操作。
当您想要自动更新开放式网络安全架构框架(OCSF)中的调查发现字段时,自动化规则非常有用。例如,您可以使用自动化规则来更新具有特定标签的资源的调查发现的严重级别。使用自动化规则,无需再手动更新与特定标签相关的每个调查发现的严重性级别。您可以配置自动化规则,以便在调查发现与特定属性匹配时,在 Jira Cloud 和 ServiceNow 等工具中创建票证。这样,只要将调查发现发送到 Security Hub 或在 Security Hub 中创建调查发现,就可以将其创建到票证中。
EventBridge 当你想在 Security Hub CSPM 之外就特定发现采取措施或将特定发现发送给第三方工具进行补救或进行额外调查时,规则会很有用。这些规则可用于触发支持的操作,例如调用Amazon Lambda函数或将特定发现通知亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题。
自动化规则在应用 EventBridge 规则之前生效。也就是说,在 EventBridge 收到查找结果之前,会触发自动化规则并更新结果。 EventBridge 然后,规则适用于更新的调查结果。