Ejemplo de equipo de seguridad: creación de una regla de automatización de Security Hub - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplo de equipo de seguridad: creación de una regla de automatización de Security Hub

El equipo de seguridad recibe las conclusiones relacionadas con la detección de amenazas, incluidas las de Amazon GuardDuty . Para obtener una lista completa de los tipos de GuardDuty búsqueda clasificados por tipo de AWS recurso, consulte Búsqueda de tipos en la GuardDuty documentación. Los equipos de seguridad deben estar familiarizados con todos estos tipos de hallazgos.

Para este ejemplo, el equipo de seguridad acepta el nivel de riesgo asociado a los hallazgos de seguridad en un Cuenta de AWS documento que se utiliza estrictamente con fines de aprendizaje y no incluye datos importantes o confidenciales. El nombre de esta cuenta es sandbox y el ID de la cuenta es123456789012. El equipo de seguridad puede crear una regla de AWS Security Hub automatización que suprima todos los GuardDuty hallazgos de esta cuenta. Pueden crear una regla a partir de una plantilla, que cubre muchos casos de uso comunes, o pueden crear una regla personalizada. En Security Hub, recomendamos obtener una vista previa de los resultados de los criterios para confirmar que la regla arroja los resultados esperados.

nota

En este ejemplo, se destaca la funcionalidad de las reglas de automatización. No recomendamos suprimir todos los GuardDuty resultados de una cuenta. El contexto es importante, y cada organización debe elegir qué hallazgos suprimir en función del tipo de datos, la clasificación y los controles de mitigación.

Los siguientes son los parámetros que se utilizan para crear esta regla de automatización:

  • Regla:

    • El nombre de la regla es Suppress findings from Sandbox account

    • La descripción de la regla es Date: 06/25/23 Authored by: John Doe Reason: Suppress GuardDuty findings from the sandbox account

  • Criterios:

    • AwsAccountId = 123456789012

    • ProductName = GuardDuty

    • WorkflowStatus = NEW

    • RecordState = ACTIVE

  • Acción automatizada:

    • Workflow.status es SUPPRESSED

Para obtener más información, consulte Reglas de automatización en la documentación de Security Hub. Los equipos de seguridad tienen muchas opciones para investigar y corregir los hallazgos relacionados con las amenazas detectadas. Para obtener más información, consulte la Guía de respuesta a incidentes de AWS seguridad. Recomendamos revisar esta guía para confirmar que ha establecido procesos sólidos de respuesta a incidentes.