Descobertas e regras de supressão do GuardDuty - AWS Security Incident ResponseGuia do usuário do

Descobertas e regras de supressão do GuardDuty

A AWS Security Incident Response ingere, faz a triagem e responde proativamente a todas as descobertas do GuardDuty e às descobertas do Security Hub CSPM provenientes do CrowdStrike, Fortinet CNAPP (Lacework) e Trend Micro. Nossa tecnologia de triagem automática elimina os requisitos internos de análise. O serviço cria regras de supressão e arquivamento automático no GuardDuty e no Security Hub para descobertas benignas. Visualize ou modifique essas regras em “Descobertas” no console do GuardDuty.

Para revisar rapidamente as regras de supressão do GuardDuty ativadas:

  1. Acesse o console do GuardDuty.

  2. Escolha Descobertas.

    Os serviços da AWS enviam eventos para o barramento de eventos padrão do EventBridge. Se um evento corresponder ao padrão de evento de uma regra, o EventBridge enviará o evento aos destinos especificados para essa regra.

  3. Selecione a seta para baixo e observe a convenção de nomenclatura da regra de supressão.

nota

As organizações que usam a tecnologia SIEM reduziram significativamente os volumes de descoberta do GuardDuty ao longo do tempo, melhorando o serviço de Resposta a Incidentes de Segurança e a eficiência do SIEM.