Resultados y reglas de supresión de GuardDuty - Respuesta frente a incidencias de seguridad de AWSGuía del usuario de

Resultados y reglas de supresión de GuardDuty

Respuesta frente a incidencias de seguridad de AWS ingiere y clasifica de forma proactiva todos los resultados de GuardDuty y los resultados de Security Hub CSPM de CrowdStrike, Fortinet CNAPP (Lacework) y Trend Micro y, además, responde a ellos. Nuestra tecnología de clasificación automática elimina los requisitos de análisis interno. El servicio crea reglas de supresión y archivado automático en GuardDuty y Security Hub CSPM en caso de que se produzcan resultados benignos. Consulte o modifique estas reglas en la sección “Resultados” de la consola GuardDuty.

Para revisar rápidamente las reglas de supresión habilitadas de GuardDuty:

  1. Acceda a la consola de GuardDuty.

  2. Elija Resultados.

    Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.

  3. Seleccione la flecha hacia abajo y observe la convención de nomenclatura de la regla de supresión.

nota

Con el tiempo, las organizaciones que hacen uso de la tecnología de SIEM vieron reducidos las cantidades de resultados de GuardDuty de forma considerable, lo que mejora tanto el servicio Respuesta ante incidentes de seguridad como la eficiencia de SIEM.