了解主动响应的自动存档行为 - AWS 安全事件响应 用户指南

了解主动响应的自动存档行为

启用主动响应和警报分级后,AWS 安全事件响应 会自动监控来自 Amazon GuardDuty 和 Security Hub CSPM 的安全调查发现并进行分级。作为这一自动分级工作流的一部分,系统会根据以下标准将调查发现自动存档:

自动存档行为:

  • 无害调查发现:当自动分级过程确定某项调查发现是无害的(不是真正的安全威胁)时,AWS 安全事件响应 会自动在 Amazon GuardDuty 中将该调查发现存档,并创建隐藏规则来防止类似的调查发现在未来生成警报。

  • 隐藏规则:服务会针对符合您环境中已知良性模式(例如符合预期的 IP 地址、IAM 实体和正常运行行为)的调查发现,在 Amazon GuardDuty 和 Security Hub CSPM 中创建隐藏和自动存档规则。

  • 减少警报量:随着时间推移,服务会了解您的环境并自动存档良性的调查发现,因此使用 SIEM 技术的组织所看到的 Amazon GuardDuty 调查发现数量将会显著减少。这有助 AWS 安全事件响应 服务和您的 SIEM 提高效率。

查看已存档调查发现:

您可以查看自动存档的调查发现以及由 AWS 安全事件响应创建的抑制规则:

  1. 导航到 Amazon GuardDuty 控制台

  2. 选择调查发现

  3. 选择调查发现筛选条件中的已存档

  4. 选择每条规则旁边的向下箭头,查看隐藏规则

重要注意事项:

  • 已存档调查发现将在 Amazon GuardDuty 中保留 90 天,您可以在此期间随时查看

  • 您可以随时通过 Amazon GuardDuty 控制台修改或删除隐藏规则

  • 自动分级流程会不断适应您的环境,随着时间推移逐渐提高准确性和减少误报