Modificando e agindo automaticamente com base nas descobertas no Security Hub CSPM

AWS O Security Hub Cloud Security Posture Management (CSPM) tem recursos que modificam e agem automaticamente de acordo com as descobertas com base em suas especificações.

Atualmente, o Security Hub CSPM oferece suporte a dois tipos de automações:

As regras de automação são úteis quando você deseja atualizar automaticamente os campos de busca no Formato AWS de descoberta de segurança (ASFF). Por exemplo, você pode usar uma regra de automação para atualizar o nível de gravidade ou o status do fluxo de trabalho das descobertas de determinadas integrações de terceiros. Usar a regra de automação elimina a necessidade de atualizar manualmente o nível de gravidade ou o status do fluxo de trabalho de cada descoberta desse produto de terceiros.

EventBridge as regras são úteis quando você deseja realizar ações fora do CSPM do Security Hub com relação a descobertas específicas ou enviar descobertas específicas para ferramentas de terceiros para remediação ou investigação adicional. As regras podem ser usadas para acionar ações compatíveis, como invocar uma AWS Lambda função ou notificar um tópico do Amazon Simple Notification Service (Amazon SNS) sobre uma descoberta específica.

As regras de automação entram em vigor antes que EventBridge as regras sejam aplicadas. Ou seja, as regras de automação são acionadas e atualizam uma descoberta antes de EventBridge receber a descoberta. EventBridge as regras então se aplicam à descoberta atualizada.

Ao configurar automações para controles de segurança, recomendamos filtrar com base no ID do controle, e não no título ou na descrição. Enquanto o Security Hub CSPM ocasionalmente atualiza títulos e descrições de controle, o controle IDs permanece o mesmo.