本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
了解具有主動回應的自動封存
當您啟用主動回應和警示分類時, AWS 安全事件應變 會自動監控和分類來自 Amazon GuardDuty 和 Security Hub CSPM 的安全調查結果。在此自動分類工作流程中,問題清單會根據下列條件自動封存:
自動封存行為:
-
良性問題清單:當自動分類程序判斷問題清單為良性 (非真正的安全威脅) 時, AWS 安全事件應變 會自動在 Amazon GuardDuty 中封存問題清單,並建立抑制規則,以防止類似的問題清單在未來產生提醒。
-
抑制規則:此服務會在 Amazon GuardDuty 和 Security Hub CSPM 中建立抑制和自動封存規則,以取得符合您環境已知良好模式的問題清單,例如預期的 IP 地址、IAM 實體和正常操作行為。
-
減少警示磁碟區:使用 SIEM 技術的組織將看到隨著時間的推移大幅減少 Amazon GuardDuty 調查結果磁碟區,因為服務會學習您的環境並自動封存良性調查結果。這可改善 AWS 安全事件應變 服務和 SIEM 的效率。
檢視已封存的問題清單:
您可以檢閱自動封存的問題清單和由下列人員建立的禁止規則 AWS 安全事件應變:
-
導覽至 Amazon GuardDuty 主控台
-
選擇問題清單
-
從問題清單篩選條件中選取封存
-
選取每個規則旁的向下箭頭,以檢閱禁止規則
重要考量事項:
-
封存的問題清單會保留在 Amazon GuardDuty 中 90 天,並且可以在該期間內隨時檢視
-
您可以隨時透過 Amazon GuardDuty 主控台修改或刪除禁止規則
-
自動分類程序會持續適應您的環境,隨著時間提升準確性並減少誤報
