GuardDuty Feststellungen und Regeln zur Unterdrückung - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty Feststellungen und Regeln zur Unterdrückung

AWS Security Incident Response erfasst proaktiv alle GuardDuty Ergebnisse und Security Hub CSPM-Ergebnisse von FortinetcnApp (Lacework) und CrowdStrike Trend Micro und reagiert darauf. Unsere Auto-Triage-Technologie macht interne Analyseanforderungen überflüssig. Der Dienst erstellt Regeln zur Unterdrückung und automatischen Archivierung in GuardDuty und im Security Hub für harmlose Ergebnisse. Diese Regeln können Sie in der Konsole unter „Ergebnisse“ anzeigen oder ändern. GuardDuty

Um die aktivierten GuardDuty Unterdrückungsregeln schnell zu überprüfen:

  1. Greifen Sie auf die GuardDuty Konsole zu

  2. Wählen Sie Findings

    AWS Dienste senden Ereignisse an den EventBridge Standard-Event-Bus. Wenn das Ereignis mit dem Ereignismuster einer Regel übereinstimmt, wird das Ereignis an die für diese Regel angegebenen Ziele EventBridge gesendet.

  3. Klicken Sie auf den Abwärtspfeil und beachten Sie die Benennungskonvention der Unterdrückungsregel.

Anmerkung

Organizations, die SIEM-Technologie einsetzen, werden im Laufe der Zeit ein deutlich GuardDuty geringeres Fundvolumen feststellen, was sowohl den Security Incident Response-Service als auch die SIEM-Effizienz verbessert.