Modificación automática de los hallazgos en Security Hub (CSPM) y acción en función de ellos

AWS Security Hub Cloud Security Posture Management (CSPM) tiene funciones que modifican automáticamente los hallazgos y toman medidas en función de sus especificaciones.

Security Hub CSPM admite actualmente dos tipos de automatizaciones:

Las reglas de automatización son útiles cuando se desean actualizar automáticamente los campos de búsqueda en el formato de búsqueda AWS de seguridad (ASFF). Por ejemplo, puede utilizar una regla de automatización para actualizar el nivel de gravedad o el estado del flujo de trabajo de los resultados de una integración específica de terceros. El uso de la regla de automatización elimina la necesidad de actualizar de manera manual el nivel de gravedad o el estado del flujo de trabajo de cada resultado de este producto de terceros.

EventBridge las reglas son útiles cuando quieres tomar medidas fuera del Security Hub CSPM con respecto a hallazgos específicos o enviar hallazgos específicos a herramientas de terceros para su corrección o investigación adicional. Las reglas se pueden utilizar para activar acciones compatibles, como invocar una AWS Lambda función o notificar a un tema del Amazon Simple Notification Service (Amazon SNS) sobre un hallazgo específico.

Las reglas de automatización entran en vigor antes de que se EventBridge apliquen. Es decir, las reglas de automatización se activan y actualizan un hallazgo EventBridge antes de recibirlo. EventBridge Las reglas se aplican entonces al hallazgo actualizado.

Al configurar automatizaciones para los controles de seguridad, recomendamos filtrar en función del ID del control en vez del título o la descripción. Mientras que Security Hub CSPM actualiza ocasionalmente los títulos y descripciones de los controles, el control sigue IDs siendo el mismo.