Comprendere l'archiviazione automatica con Proactive Response - AWS Security Incident Response Guida per l'utente

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Comprendere l'archiviazione automatica con Proactive Response

Quando abiliti la risposta proattiva e il triaging degli avvisi, monitora e AWS Security Incident Response classifica automaticamente i risultati di sicurezza di Amazon e Security GuardDuty Hub CSPM. Nell'ambito di questo flusso di lavoro di valutazione automatica, i risultati vengono archiviati automaticamente in base ai seguenti criteri:

Comportamento di archiviazione automatica:

  • Risultati innocui: quando il processo di valutazione automatica determina che un risultato è benigno (non una vera minaccia alla sicurezza), archivia AWS Security Incident Response automaticamente il risultato in Amazon GuardDuty e crea regole di soppressione per evitare che risultati simili generino avvisi in futuro.

  • Regole di soppressione: il servizio crea regole di soppressione e archiviazione automatica sia in Amazon che in Security GuardDuty Hub CSPM per risultati che corrispondono ai modelli noti e validi del tuo ambiente, come gli indirizzi IP previsti, le entità IAM e i normali comportamenti operativi.

  • Volume di avvisi ridotto: Le organizzazioni che utilizzano la tecnologia SIEM vedranno una riduzione significativa dei volumi di GuardDuty ricerca di Amazon nel tempo, man mano che il servizio apprende il tuo ambiente e archivia automaticamente i risultati benigni. Ciò migliora l'efficienza sia del AWS Security Incident Response servizio che del SIEM.

Visualizzazione dei risultati archiviati:

È possibile esaminare automaticamente i risultati archiviati e le regole di soppressione create da: AWS Security Incident Response

  1. Passa alla GuardDuty console Amazon

  2. Scegli Findings

  3. Seleziona Archiviato dal filtro dei risultati

  4. Rivedi le regole di soppressione selezionando la freccia rivolta verso il basso accanto a ciascuna regola

Considerazioni importanti:

  • I risultati archiviati vengono conservati in Amazon GuardDuty per 90 giorni e possono essere visualizzati in qualsiasi momento durante tale periodo

  • Puoi modificare o eliminare le regole di soppressione in qualsiasi momento tramite la console Amazon GuardDuty

  • Il processo di valutazione automatica si adatta continuamente all'ambiente, migliorando la precisione nel tempo e riducendo i falsi positivi