Gerencie descobertas no Security Hub CSPM - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerencie descobertas no Security Hub CSPM

Você pode criar um sistema de notificação baseado em nuvem para as descobertas do CSPM do Security Hub usando as regras da Amazon EventBridge e os tópicos do Amazon Simple Notification Service (Amazon SNS). Esse sistema notifica a equipe apropriada sobre uma descoberta quando ela é criada. Para essa abordagem, a estratégia de várias contas descrita em Desenvolva uma Conta da AWS estrutura é fundamental porque as aplicações são separadas em contas dedicadas. Isso ajuda você a notificar as equipes corretas para cada descoberta.

As equipes de segurança ou de nuvem podem optar por receber eventos de todos Contas da AWS. Nesse caso, crie uma EventBridge regra na conta de administrador delegado do CSPM do Security Hub e assine um tópico do Amazon SNS que notifique essas equipes. Para equipes de aplicativos, configure uma EventBridge regra e um tópico do SNS em suas respectivas contas de aplicativos. Quando uma descoberta de CSPM do Security Hub ocorre em uma conta de aplicativo, a equipe responsável é notificada sobre a descoberta.

O Security Hub CSPM já envia automaticamente todas as novas descobertas e todas as atualizações das descobertas existentes EventBridge como eventos importados do Security Hub CSPM Findings. Cada evento CSPM Findings - Imported do Security Hub contém uma única descoberta. Você pode aplicar filtros nas EventBridge regras para que uma descoberta inicie a regra somente se a descoberta corresponder aos filtros. Para obter instruções, consulte Configuração de uma EventBridge regra para descobertas enviadas automaticamente. Para obter mais informações sobre como criar e assinar tópicos do Amazon SNS, consulte, Configuring Amazon SNS.

Ao usar essa abordagem, considere o seguinte:

  • Para equipes de aplicativos, crie EventBridge regras dentro de cada uma Conta da AWS e Região da AWS onde o aplicativo está hospedado.

  • Para equipes de segurança e nuvem, crie EventBridge regras na conta de administrador delegado CSPM do Security Hub. Isso notifica as equipes sobre todas as descobertas nas contas descoberta membros.

  • O Amazon SNS enviará uma notificação todos os dias se o status da descoberta de segurança for NEW. Se quiser desativar as notificações diárias, você pode criar uma AWS Lambda função personalizada que altera o status da descoberta de NEW para NOTIFIED após o assinante do Amazon SNS receber a notificação.