찾기 수집을 위한 AWS Security Hub 필터 및 집계 기준 정의

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 5분

    • 어떤 수신 결과에서 보안 인시던트를 생성해야 하는지 지정할 수 있도록 필터 조건을 정의하고 설정할 수 있습니다. 또한 동일한 결과에 대해 다른 보안 인시던트를 생성하는 대신 들어오는 결과를 미해결 보안 인시던트에 추가할 수 있도록 하는 추가 인시던트 필드 기준을 정의할 수 있습니다.

    찾은 결과에 대한 AWS Security Hub 필터링 조건을 설정하여 보안 인시던트 생성

    필터링 조건이 일치하는 경우에만 보안 인시던트가 생성되도록 필터링 조건을 설정합니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    이러한 유형의 필터링은 보안 인시던트를 격리하고 생성하는 보안 인시던트 수를 제한하는 데 도움이 됩니다. 추가 필터링 기준을 설정하면 쿼리나 트리거된 인시던트 구성을 변경하지 않고도 필요한 결과만 수집됩니다.

    다음 단계를 수행하여 보안 인시던트가 생성되도록 수신 AWS Security Hub 결과가 충족해야 하는 기준을 정의합니다.

    프로시저

    1. 사전 필터링 섹션에서 사전 필터 적용 을 선택합니다.

      이 옵션을 사용하여 특정 결과를 필터링하고 결과 수집 부하를 줄일 수 있습니다.

      API 필터 필드에 조건에 따라 특정 결과를 필터링하는 요구 사항에 따라 JSON 조건을 입력합니다. 예를 들어 Security Hub에서 워크플로우 상태가 해결됨으로 설정된 결과를 필터링하려면 다음 값을 입력합니다.
      {"Filters"{
  "WorkflowStatus":[{
  "Comparison":"NOT_EQUALS",
  "Value": "RESOLVED"}]
 }
}

      제공된 조건 AWS Security Hub 에 따라 결과가 수집되어 결과 원시 테이블에 AWS Security Hub 표시됩니다.

      다음으로 이동 모두 > AWS Security Hub 찾기 통합 > AWS Security Hub 찾기 원시 원시 찾기 데이터를 볼 수 있습니다.

    2. 필터 조건에 대한 찾기 필드 선택 섹션에서 사용 가능한 찾기 필드 표시를 선택하여 찾기에서 AWS Security Hub 사용 가능한 모든 필드 목록을 표시합니다.
      모든 찾기 필드 목록에서 보안 인시던트 생성 조건 섹션에 표시할 찾기 필드를 선택합니다.
      주:
      AWS Security Hub 찾기에는 여러 필드와 값이 포함되어 있습니다. 모든 찾기 필드 목록에서 요구 사항에 따라 찾기 필드를 검색하고 선택할 수 있습니다.
    3. 보안 인시던트 생성 조건 섹션에서 조건을 기준으로 필터링을 선택하여 보안 인시던트가 생성되도록 수신 AWS Security Hub 결과가 충족해야 하는 기준을 정의합니다.

      필터 조건의 첫 번째 필드에는 찾기에서 AWS Security Hub 사용할 수 있는 200개의 기본 필드 목록과 필터 조건에 대한 찾기 필드 선택 섹션에서 선택한 찾기 필드가 포함되어 있습니다.

      필터 조건의 두 번째 필드에는 조건부 연산자가 포함됩니다. 선택한 옵션에 따라 찾기를 수집하기 위해 이행해야 하는 조건이 결정됩니다.

      필터 조건의 세 번째 필드에는 사용 가능한 찾기 필드에서 지원하는 값이 포함되어 있습니다. 입력한 찾기 필드가 찾은 결과의 값과 일치하는지 확인합니다.

      예를 들어, 값이 여러 개인 다음 필드에 대해 필터 조건 포함을 사용합니다 .
      • Workflow(Status)
      • WorkflowState
    4. 조건 작성기의 목록과 필드를 사용하여 첫 번째 행의 필터를 설정합니다.
    5. 조건을 더 추가하려면 AND 또는 OR를 클릭합니다.
      • AND를 선택하면 모든 조건이 일치해야 합니다.
      • OR을 선택하면 조건을 일치시킬 수 있습니다.
    6. 두 번째 필터 조건을 설정하려면 새 기준을 클릭합니다.

    결과

    필터링 조건 AWS Security Hub 에 따라 찾은 결과가 임포트됩니다.SIR 다음으로 이동 모두 > AWS Security Hub 찾기 통합 > AWS Security Hub 찾기 임포트 임포트한 결과를 보려면 다음을 수행합니다.

    결과를 보안 인시던트로 집계 AWS Security Hub 하는 조건 정의

    중복될 가능성이 있는 유사한 인시던트를 생성하는 대신 수신 AWS Security Hub 발견 사항을 기존 SIR 보안 인시던트로 집계하는 추가 인시던트 집계 기준을 정의합니다. 각 프로파일에 대해 필드 일치 값 기준을 사용하는 경우 이러한 추가 집계를 통해 모든 관련 인시던트 데이터를 단일 보안 인시던트에 배치하여 활성 상태의 중복 보안 인시던트 수를 줄일 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    새 인시던트가 매핑 단계의 집계 필드 조건에서 선택한 모든 값과 일치하는 경우, 인시던트는 동일한 필드 값을 사용하여 가장 최근에 열린 보안 인시던트에 자동으로 추가됩니다. 보안 인시던트를 다루는 sn_si.analyst 역할을 가진 사용자는 보안 인시던트의 관련 목록에서 추가된 모든 집계 인시던트를 볼 수 있습니다.

    보안 인시던트에 대해 집계된 AWS Security Hub 모든 결과가 관련 목록에 표시됩니다 AWS Security Hub . 이 목록은 관련 타임스탬프 및 집계된 필드 값에 대해 자세히 설명합니다. 이 정보는 기존 보안 인시던트에 결과가 추가되는 이유 AWS Security Hub 를 이해하는 데 도움이 됩니다.

    프로시저

    1. 새 인시던트를 생성하는 대신 들어오 AWS Security Hub 는 결과를 미해결 보안 인시던트에 추가할 수 있는 추가 인시던트 필드 기준을 정의하려면 집계 조건 옵션을 선택합니다.
    2. 일치하는 값이 있는 인시던트 필드 필드에 인스턴스의 기존 보안 인시던트 ServiceNow AI Platform 와 일치시키려는 필드 값을 입력합니다.
      집계 기준이 충족되고 이 수신 인시던트를 기존 보안 인시던트에 추가할 수 있도록 다중 선택 입력 필드에서 선택한 모든 필드 값이 일치해야 합니다. 이 선택은 여러 필드 값을 가질 수 있는 옵저버블 및 구성 항목과 같은 필드가 매핑되는 AND 조건을 의미합니다. 값의 하위 집합만 일치 AWS Security Hub 하면 결과 집계 조건이 충족되지 않고 새 보안 인시던트가 생성됩니다.
    3. 여러 필드 일치 조건을 추가하려면 새 기준 추가를 클릭합니다.
      정의하는 다중 선택 필드 조건 중 하나라도 충족하면 집계가 발생합니다. 이 선택은 OR 조건을 의미합니다.
    4. 새 결과가 보안 인시던트에 추가될 때 해당 결과에 대한 작업 메모를 업데이트하려면 새 결과에 대한 작업 메모 기록을 선택합니다.

      작업 메모는 새 발견이 추가되었음을 기록하고 결과 상세 정보에 대한 링크를 포함합니다. 로그 작업 메모는 매핑 섹션의 작업 메모 필드에 추가하는 자세한 정보도 업데이트합니다.

    5. 일정을 구성하려면 계속을 클릭합니다.

    결과

    집계 조건 AWS Security Hub 에 따라 결과를 집계하여 인시던트를 생성합니다 SIR . 다음으로 이동 모두 > AWS Security Hub 찾기 통합 > AWS Security Hub 찾기에서 작업 생성된 보안 인시던트 목록을 보려면

    다음에 수행할 작업

    프로파일의 기준과 일치하는 찾기 데이터와 찾기 인시던트를 검색하도록 일정을 설정합니다.