Grundlegendes zur automatischen Archivierung mit Proactive Response - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zur automatischen Archivierung mit Proactive Response

Wenn Sie proaktive Reaktion und Alert-Triaging aktivieren, AWS Security Incident Response werden die Sicherheitsergebnisse von Amazon und Security Hub CSPM automatisch überwacht GuardDuty und bewertet. Im Rahmen dieses Auto-Triage-Workflows werden die Ergebnisse automatisch auf der Grundlage der folgenden Kriterien archiviert:

Verhalten bei der automatischen Archivierung:

  • Gutartige Ergebnisse: Wenn der Auto-Triage-Prozess feststellt, dass ein Ergebnis harmlos ist (keine echte Sicherheitsbedrohung), wird das Ergebnis AWS Security Incident Response automatisch in Amazon archiviert GuardDuty und Unterdrückungsregeln erstellt, um zu verhindern, dass ähnliche Ergebnisse in future Warnmeldungen auslösen.

  • Unterdrückungsregeln: Der Service erstellt Unterdrückungs- und automatische Archivierungsregeln sowohl in Amazon GuardDuty als auch in Security Hub CSPM für Ergebnisse, die den zweifelsfrei funktionierenden Mustern Ihrer Umgebung entsprechen, z. B. erwartete IP-Adressen, IAM-Entitäten und normales Betriebsverhalten.

  • Reduziertes Warnvolumen: Organizations, die SIEM-Technologie verwenden, werden im Laufe der Zeit deutlich weniger Suchvolumen von Amazon GuardDuty feststellen, da der Service Ihre Umgebung erkennt und automatisch harmlose Ergebnisse archiviert. Dies verbessert die Effizienz sowohl für den AWS Security Incident Response Service als auch für Ihr SIEM.

Archivierte Ergebnisse anzeigen:

Sie können automatisch archivierte Ergebnisse und die Regeln zur Unterdrückung überprüfen, die erstellt wurden von AWS Security Incident Response:

  1. Navigieren Sie zur GuardDuty Amazon-Konsole

  2. Wählen Sie Findings

  3. Wählen Sie im Ergebnisfilter Archiviert aus

  4. Überprüfen Sie die Unterdrückungsregeln, indem Sie neben jeder Regel auf den Abwärtspfeil klicken

Wichtige Überlegungen:

  • Archivierte Ergebnisse werden 90 Tage lang bei Amazon GuardDuty aufbewahrt und können in diesem Zeitraum jederzeit eingesehen werden

  • Sie können Unterdrückungsregeln jederzeit über die GuardDuty Amazon-Konsole ändern oder löschen.

  • Der Auto-Triage-Prozess passt sich kontinuierlich an Ihre Umgebung an, verbessert die Genauigkeit im Laufe der Zeit und reduziert Fehlalarme