Principi per la creazione e l'aggiornamento dei risultati

Nel pianificare il modo in cui creare e aggiornare i risultatiAWS Security Hub CSPM, tieni presenti i seguenti principi.

Rendi specifici i risultati in modo che i clienti possano agire facilmente sulla base di essi.

I clienti desiderano automatizzare le azioni di risposta e correzione e correlare i risultati con altri risultati. A supporto di ciò, i risultati devono avere le seguenti caratteristiche:

In genere dovrebbero riguardare una risorsa singola o primaria.
Dovrebbero avere un unico tipo di ricerca.
Dovrebbero occuparsi di un unico evento di sicurezza.

Quando un risultato contiene dati relativi a più eventi di sicurezza, è più difficile per i clienti intervenire sulla base del risultato.

Associa tutti i campi di ricerca al AWS Security Finding Format (ASFF). Consenti ai clienti di fare affidamento sul Security Hub CSPM come fonte di verità.

I clienti si aspettano che ogni campo presente nel formato di ricerca nativo sia rappresentato anche nel Security Hub CSPM ASFF.

I clienti vogliono che tutti i dati siano presenti nella versione CSPM di Security Hub del risultato. La mancanza di dati fa sì che perdano la fiducia nel Security Hub CSPM come fonte centrale di informazioni sulla sicurezza.

Riduci al minimo la ridondanza nei risultati. Non sovraccaricate i clienti con la ricerca di volumi.

Security Hub CSPM non è uno strumento generale di gestione dei log. È necessario inviare a Security Hub CSPM i risultati che siano altamente utilizzabili e ai quali i clienti possano rispondere direttamente, correggere o correlare con altri risultati.

Se c'è solo una piccola modifica al risultato, aggiorna il risultato invece di crearne uno nuovo.

Quando viene apportata una modifica importante al risultato, ad esempio al punteggio di gravità o all'identificatore della risorsa, crea un nuovo risultato.

Ad esempio, creare risultati per le scansioni di singole porte in tempo reale non è molto fattibile. Poiché la scansione delle porte può avvenire continuamente, produrrebbe un grande volume di risultati. È molto più interessante e preciso aggiornare semplicemente l'ora dell'ultima scansione e il conteggio delle scansioni su un singolo risultato per una scansione delle porte su una porta MongoDB da un nodo TOR.

Consenti ai clienti di personalizzare le proprie scoperte per renderle più significative.

I clienti vogliono essere in grado di modificare determinati campi di ricerca per renderli più pertinenti al loro ambiente o ai loro requisiti.

Ad esempio, i clienti vogliono poter aggiungere note, tag e modificare i punteggi di gravità in base al tipo di account o al tipo di risorsa a cui è associata la ricerca.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Linee guida per il logo della console

Linee guida per la mappatura ASFF