Principes de création et de mise à jour des résultats

Lorsque vous planifiez la manière dont vous allez créer et mettre à jour les résultats dansAWS Security Hub CSPM, gardez les principes suivants à l'esprit.

Spécifiez les résultats afin que les clients puissent facilement prendre des mesures en conséquence.

Les clients souhaitent automatiser les actions de réponse et de correction et corréler les résultats avec les autres résultats. À l'appui de cette affirmation, les résultats devraient présenter les caractéristiques suivantes :

Ils doivent généralement traiter d'une ressource unique ou primaire.
Ils doivent avoir un seul type de recherche.
Ils doivent faire face à un seul événement de sécurité.

Lorsqu'un résultat contient des données relatives à plusieurs événements de sécurité, il est plus difficile pour les clients d'agir en conséquence.

Mappez tous vos champs de recherche au format ASFF (AWSSecurity Finding Format). Permettez aux clients de compter sur Security Hub CSPM comme source de vérité.

Les clients s'attendent à ce que chaque champ correspondant à votre format de recherche natif soit également représenté dans le Security Hub CSPM ASFF.

Les clients souhaitent que toutes les données soient présentes dans la version Security Hub CSPM du résultat. L'absence de données les amène à perdre confiance dans Security Hub CSPM en tant que source centrale d'informations de sécurité.

Minimisez la redondance des résultats. Ne surchargez pas les clients à trouver des volumes.

Security Hub CSPM n'est pas un outil général de gestion des journaux. Vous devez envoyer à Security Hub CSPM des résultats hautement exploitables auxquels les clients peuvent directement répondre, corriger ou corréler avec d'autres résultats.

Lorsqu'une modification mineure est apportée à la constatation, mettez-la à jour au lieu d'en créer une nouvelle.

En cas de modification majeure du résultat, par exemple du score de gravité ou de l'identifiant de ressource, créez un nouveau résultat.

Par exemple, créer des résultats pour des scans de ports individuels en temps réel n'est pas très exploitable. Comme l'analyse des ports peut se faire en continu, elle produirait un grand nombre de résultats. Il est beaucoup plus convaincant et précis de simplement mettre à jour l'heure du dernier scan et le nombre de scans en fonction d'une seule découverte pour un scan de port sur un port MongoDB à partir d'un nœud TOR.

Permettez aux clients de personnaliser leurs résultats pour les rendre plus pertinents.

Les clients souhaitent pouvoir ajuster certains champs de recherche afin de les rendre plus adaptés à leur environnement ou à leurs exigences.

Par exemple, les clients souhaitent pouvoir ajouter des notes, des balises et ajuster les scores de sévérité en fonction du type de compte ou du type de ressource auquel le résultat est associé.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Consignes relatives au logo de la console

Directives pour le mappage ASFF