翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
結果の作成と更新に関する教義
の検出結果の作成と更新の計画を立てるときは AWS Security Hub CSPM、次の原則に留意してください。
- 結果を特定して、お客様が簡単にアクションを実行できるようにします。
-
お客様は、対応と修復アクションを自動化して、結果を他の結果と相関させたいと考えています。これをSupportするには、結果に次の特性が必要です。
-
通常、単一またはプライマリリ出典を処理する必要があります。
-
単一の結果タイプが必要です。
-
単一のセキュリティイベントに対処する必要があります。
結果に複数のセキュリティイベントのデータが含まれている場合、お客様がその結果に対してアクションを実行することは困難です。
-
- すべての検出結果を AWS Security Finding 形式 (ASFF) にマッピングします。お客様が Security Hub CSPM を信頼できるソースとして信頼できるようにします。
-
お客様は、ネイティブの検出結果形式のすべてのフィールドが Security Hub CSPM ASFF でも表されることを期待しています。
お客様は、すべてのデータを Security Hub CSPM バージョンの検出結果に含めたいと考えています。データがないと、セキュリティ情報の中心的なソースとして Security Hub CSPM への信頼が失われます。
- 結果の冗長性を最小限に抑えます。結果のボリュームでお客様を圧倒しないでください。
-
Security Hub CSPM は一般的なログ管理ツールではありません。実行可能性が高く、顧客が他の検出結果に直接対応、修復、または関連付けることができる検出結果を Security Hub CSPM に送信する必要があります。
結果にわずかな変更しかない場合は、新しい結果を作成するのではなく、結果を更新します。
重要値スコアやリ出典識別子など、結果に大きな変更があった場合は、新しい結果を作成します。
たとえば、個々のポートスキャンの結果をリアルタイムで作成することは、あまり実用的ではありません。ポートスキャンは継続的に行われる可能性があるため、大量の結果を生成します。TOR ノードから MongoDB ポート上のポートスキャンの単一の結果で、最後のスキャン時間とスキャンカウントを更新するだけで、はるかに説得力があり、正確になります。
- お客様が結果をカスタマイズして、より意味のあるものにできるようにします。
-
お客様は、特定の結果フィールドを調整して、環境や要件により関連性の高いものにしたいと考えています。
たとえば、お客様は、アカウントのタイプまたは結果が関連付けられているリ出典のタイプに基づいて、メモ、タグを追加し、重要値スコアを調整できるようにしたいとします。
