本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 安全团队示例：创建 Security Hub CSPM 自动化规则
<a name="security-team-example"></a>

安全团队会收到与威胁检测相关的发现，包括 Amazon 的 GuardDuty 发现。有关按 AWS 资源类型分类的 GuardDuty 查找类型的完整列表，请参阅 GuardDuty 文档中的[查找类型](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html)。安全团队必须熟悉所有这些调查发现类型。

在此示例中，安全团队接受安全发现的相关风险级别 AWS 账户 ，该级别仅用于学习目的，不包括重要或敏感数据。此账户的名称为 `sandbox`，账户 ID 为 `123456789012`。安全团队可以创建 AWS Security Hub CSPM 自动化规则，禁止从该账户中 GuardDuty发现的所有结果。其可以根据涵盖许多常见使用案例的模板创建规则，也可以创建自定义规则。在 Security Hub CSPM 中，我们建议预览标准的结果，以确认该规则是否返回了预期的结果。

**注意**  
此示例重点介绍自动化规则的功能。我们不建议隐瞒账户的所有搜索 GuardDuty 结果。上下文至关重要，每个组织都必须根据数据类型、分类和缓解控制措施来选择要抑制哪些调查发现。

以下是用于创建此自动化规则的参数：
+ **规则：**
  + **规则名称**为 `Suppress findings from Sandbox account`
  + **规则描述**为 `Date: 06/25/23 Authored by: John Doe Reason: Suppress GuardDuty findings from the sandbox account`
+ **标准：**
  + `AwsAccountId` = `123456789012`
  + `ProductName` = `GuardDuty`
  + `WorkflowStatus` = `NEW`
  + `RecordState` = `ACTIVE`
+ **自动化操作：**
  + `Workflow.status` 是 `SUPPRESSED`

有关更多信息，请参阅 Security Hub CSPM 文档中的[自动化规则](https://docs.aws.amazon.com/securityhub/latest/userguide/automation-rules.html)。安全团队有多种方法可用于调查和修复检测到威胁的调查发现。如需详细指导，请参阅《AWS 安全事件响应指南》[https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)。我们建议您查看该指南，以确认您已建立强大的事件响应流程。