Princípios para criar e atualizar descobertas - AWS Security Hub CSPM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Princípios para criar e atualizar descobertas

Ao planejar como você criará e atualizará as descobertas emAWS Security Hub CSPM, lembre-se dos seguintes princípios.

Faça descobertas específicas para que os clientes possam utilizá-las facilmente.

Os clientes querem automatizar as ações de resposta e correção e correlacionar as descobertas com outras descobertas. Para que isso seja possível, as descobertas devem ter as seguintes características:

  • Geralmente devem lidar com um recurso único ou primário.

  • Devem ter um único tipo de descoberta.

  • Devem lidar com um único evento de segurança.

Quando uma descoberta contém dados de vários eventos de segurança, é mais difícil para os clientes tomarem medidas em relação à descoberta.

Mapeie todos os seus campos de descoberta para o Formato AWS de descoberta de segurança (ASFF). Permita que os clientes confiem no CSPM do Security Hub como fonte confiável.

Os clientes esperam que cada campo que esteja em seu formato de busca nativo também seja representado no Security Hub CSPM ASFF.

Os clientes querem que todos os dados estejam presentes na versão CSPM da descoberta do Security Hub. A falta de dados faz com que eles percam a confiança no CSPM do Security Hub como fonte central de informações de segurança.

Minimize a redundância nas descobertas. Não sobrecarregue os clientes com volumes de descobertas.

O Security Hub CSPM não é uma ferramenta geral de gerenciamento de registros. Você deve enviar descobertas ao Security Hub CSPM que sejam altamente acionáveis e que os clientes possam responder, corrigir ou correlacionar diretamente com outras descobertas.

Quando houver apenas uma pequena alteração na descoberta, atualize a descoberta em vez de criar outra.

Quando houver uma grande alteração na descoberta, como na pontuação de gravidade ou no identificador do recurso, crie outra descoberta.

Por exemplo, criar descobertas para verificações de portas individuais em tempo real não é altamente prático. Como a verificação de portas pode ocorrer continuamente, ela produziria um grande volume de descobertas. É muito mais convincente e preciso simplesmente atualizar o horário da última verificação e a contagem de verificações em uma única descoberta para uma verificação de porta em uma porta MongoDB a partir de um nó TOR.

Permita que os clientes personalizem suas descobertas para torná-las mais significativas.

Os clientes querem poder ajustar determinados campos de descoberta para torná-los mais relevantes ao ambiente ou aos requisitos.

Por exemplo, os clientes querem poder adicionar notas, etiquetas e ajustar as pontuações de gravidade com base no tipo de conta ou no tipo de recurso ao qual a descoberta está associada.