Fundamentos para crear y actualizar los resultados

Al planificar la forma en que va a crear y actualizar los hallazgosAWS Security Hub CSPM, tenga en cuenta los siguientes principios.

Los resultados deber ser tan específicos como sea posible para que los clientes puedan tomar las medidas apropiadas con facilidad.

Los clientes prefieren las acciones de respuesta y corrección automatizadas y correlacionar los resultados con otros resultados. Para ello, los resultados deben tener las siguientes características:

Por lo general, deben referirse a un recurso único o primario.
Deben tener un único tipo de resultados.
Deben referirse a un único evento de seguridad.

Si un resultado contiene datos de varios eventos de seguridad, a los clientes les resultará más difícil tomar medidas al respecto.

Asigne todos los campos de búsqueda al formato de búsqueda AWS de seguridad (ASFF). Permita que los clientes confíen en Security Hub CSPM como fuente de información fiable.

Los clientes esperan que todos los campos que estén en su formato de búsqueda nativo también estén representados en el Security Hub CSPM ASFF.

Los clientes desean que todos los datos estén presentes en la versión CSPM del hallazgo en Security Hub. La falta de datos hace que pierdan la confianza en Security Hub CSPM como fuente central de información de seguridad.

Minimice la redundancia en los resultados. No abrume a los clientes con grandes cantidades de resultados.

Security Hub CSPM no es una herramienta general de administración de registros. Debe enviar las conclusiones a Security Hub (CSPM) que sean altamente procesables y a las que los clientes puedan responder directamente, corregir o correlacionar con otras conclusiones.

Si solo se produce un cambio menor en el resultado, actualícelo en lugar de crear uno nuevo.

Si el cambio producido en el resultado es importante, por ejemplo, se da en la puntuación de gravedad o en el identificador del recurso, cree un resultado nuevo.

Por ejemplo, crear resultados para los escaneos de puertos individuales en tiempo real no es muy práctico. Dado que el escaneo de puertos puede realizarse de forma continua, generaría una gran cantidad de resultados. Resulta mucho más convincente y preciso sencillamente actualizar la hora del último escaneo y el recuento de escaneos con un solo resultado para el escaneo de un puerto de MongoDB desde un nodo de TOR.

Permita que los clientes personalicen sus resultados para que sean más significativos.

Los clientes desean poder ajustar ciertos campos de resultados de forma que sean más relevantes para su entorno o sus requisitos.

Por ejemplo, los clientes desean poder añadir notas y etiquetas y ajustar las puntuaciones de gravedad en función del tipo de cuenta o el tipo de recurso al que esté asociado el resultado.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Directrices para el logotipo de la consola

Directrices para la asignación de ASFF