本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
用於建立和更新問題清單的 Tenet
當您規劃如何在 中建立和更新問題清單時AWS Security Hub CSPM,請謹記下列原則。
- 將調查結果具體化,讓客戶可以輕鬆地對其採取行動。
-
客戶想要自動化回應和修復動作,並將問題清單與其他問題清單建立關聯。為了支援這一點,問題清單應具有下列特性:
-
他們通常應該處理單一或主要資源。
-
它們應該具有單一問題清單類型。
-
他們應該處理單一安全事件。
當問題清單包含多個安全事件的資料時,客戶更難對問題清單採取行動。
-
- 將所有問題清單欄位映射至AWS安全性問題清單格式 (ASFF)。允許客戶依賴 Security Hub CSPM 作為事實來源。
-
客戶預期您原生調查結果格式的每個欄位也會在 Security Hub CSPM ASFF 中呈現。
客戶希望在調查結果的 Security Hub CSPM 版本中存在所有資料。遺失資料會導致他們失去對 Security Hub CSPM 的信任,作為安全資訊的中央來源。
- 將問題清單的備援降到最低。請勿將問題清單磁碟區壓倒客戶。
-
Security Hub CSPM 不是一般日誌管理工具。您應該將高度可行的問題清單傳送到 Security Hub CSPM,客戶可以直接回應、修復問題清單,或與其他問題清單建立關聯。
當問題清單只有次要變更時,請更新問題清單,而不是建立新的問題清單。
當問題清單發生重大變更時,例如嚴重性分數或資源識別符,請建立新的問題清單。
例如,即時建立個別連接埠掃描的問題清單並非高度可行。由於連接埠掃描會持續發生,因此會產生大量問題清單。對於來自 TOR 節點的 MongoDB 連接埠上的連接埠掃描,僅更新上次掃描時間和掃描計數更為吸引人且精確。
- 允許客戶自訂其調查結果,讓他們更有意義。
-
客戶希望能夠調整特定問題清單欄位,使其更符合其環境或需求。
例如,客戶希望能夠根據帳戶類型或調查結果相關聯的資源類型,新增備註、標籤和調整嚴重性分數。
