本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 用於建立和更新問題清單的 Tenet 當您規劃如何在 中建立和更新問題清單時 AWS Security Hub CSPM,請謹記下列原則。 **將調查結果具體化,讓客戶可以輕鬆地對其採取行動。** 客戶想要自動化回應和修補動作,並將問題清單與其他問題清單建立關聯。為了支援這一點,問題清單應具有下列特性: + 他們通常應該處理單一或主要資源。 + 它們應該具有單一問題清單類型。 + 他們應該處理單一安全事件。 當問題清單包含多個安全事件的資料時,客戶更難對問題清單採取行動。 **將所有問題清單欄位映射至 AWS 安全性問題清單格式 (ASFF)。允許客戶依賴 Security Hub CSPM 作為事實來源。** 客戶預期您原生調查結果格式的每個欄位也會在 Security Hub CSPM ASFF 中呈現。 客戶希望調查結果的 Security Hub CSPM 版本中存在所有資料。遺失資料會導致他們失去對 Security Hub CSPM 的信任,作為安全資訊的中央來源。 **將問題清單的備援降到最低。請勿將問題清單磁碟區壓倒客戶。** Security Hub CSPM 不是一般日誌管理工具。您應該將高度可行的問題清單傳送到 Security Hub CSPM,客戶可以直接回應、修復問題清單,或與其他問題清單建立關聯。 當問題清單只有次要變更時,請更新問題清單,而不是建立新的問題清單。 當問題清單發生重大變更時,例如嚴重性分數或資源識別符,請建立新的問題清單。 例如,即時建立個別連接埠掃描的問題清單並非高度可行。由於連接埠掃描會持續發生,因此會產生大量問題清單。對於來自 TOR 節點的 MongoDB 連接埠上的連接埠掃描,僅更新上次掃描時間和掃描計數更為吸引人且精確。 **允許客戶自訂其調查結果,讓他們更有意義。** 客戶希望能夠調整特定調查結果欄位,使其更符合其環境或需求。 例如,客戶希望能夠根據帳戶類型或調查結果相關聯的資源類型,新增備註、標籤和調整嚴重性分數。