Modificação e ação automática a partir de descobertas do CSPM do Security Hub

O CSPM do AWS Security Hub tem recursos que modificam e agem automaticamente em relação às descobertas com base em suas especificações.

O CSPM do Security Hub oferece suporte atualmente a dois tipos de automações:

As regras de automação são úteis quando você deseja atualizar automaticamente os campos de descoberta do AWS Security Finding Format (ASFF). Por exemplo, você pode usar uma regra de automação para atualizar o nível de gravidade ou o status do fluxo de trabalho das descobertas de determinadas integrações de terceiros. Usar a regra de automação elimina a necessidade de atualizar manualmente o nível de gravidade ou o status do fluxo de trabalho de cada descoberta desse produto de terceiros.

As regras do EventBridge são úteis quando você deseja agir fora do CSPM do Security Hub com relação a descobertas específicas ou enviar descobertas específicas para ferramentas de terceiros para correção ou investigação adicional. As regras podem ser usadas para acionar ações compatíveis, como invocar uma função do AWS Lambda ou notificar um tópico do Amazon Simple Notification Service (Amazon SNS) sobre uma descoberta específica.

As regras de automação têm efeito antes que as regras do EventBridge sejam aplicadas. Ou seja, as regras de automação são disparadas e atualizam uma descoberta antes que o EventBridge a receba. As regras do EventBridge então se aplicam à descoberta atualizada.

Ao configurar automações para controles de segurança, recomendamos filtrar com base no ID do controle, e não no título ou na descrição. Embora o CSPM do Security Hub ocasionalmente atualize títulos e descrições de controle, os IDs de controle permanecem os mesmos.