Ordnen Sie die Ergebnisfelder AWS Security Hub zu

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 6 Minuten Lesedauer

    • Ordnen Sie die einzelnen AWS Security Hub -Ergebnisfelder den Feldern im Security Incident SIR zu, um mit den zugeordneten Daten Incidents zu erstellen.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wählen Sie auf der Zuordnungsseite im Abschnitt AWS Security Hub Zuordnung eine der Beispielerfassungsmethoden aus.
      Tabelle : 1. Beispiel für Erfassungsmethoden
      Feld Beschreibung
      Alle Standardergebnisfelder Verwenden Sie diese Erfassungsmethode, um die statische Liste aller Ergebnisfelder anzuzeigen. Diese Methode enthält nur Standardfeldnamen ohne Werte.

      Sie können diese Informationen verwenden, um die Zuordnung zu den Feldern SIR vorzunehmen.
      Rufen Sie die neuesten AWS Security Hub Ergebnisse ab Verwenden Sie diese Erfassungsmethode, um die neuesten Ergebnisdaten zu importieren.

      Sie können standardmäßig 5 Beispielergebnisse und maximal 20 Beispielergebnisse erfassen.

      Die Feldwerte für das Beispielergebnis werden gefüllt, wenn das Profil die Beispielergebnisse erfasst. Sie können diese Ergebnisse den SIR-Incident-Zielfeldernzuordnen. Die Ergebnisfelder und -werte werden als einzelne Registerkarten angezeigt.
      Importieren Sie Beispieldaten Wählen Sie Beispieldaten importieren, um Beispielergebnisse aus AWS Security Hubzu importieren.

      Diese Schaltfläche wird angezeigt, wenn Sie die Erfassungsmethode „Neueste AWS Security Hub Ergebnisse abrufen“ auswählen.

      Das Abrufen der Beispielergebnisse vom Server AWS Security Hub dauert einige Minuten.

      Ordnen Sie diese Ergebnisse den SIR-Incident-Zielfeldernzu. Die Ergebnisfelder und -werte werden als einzelne Registerkarten angezeigt.
    2. Führen Sie die folgenden Aktionen aus, um den Standardfeldern, die im Security Incident angezeigt werden, Felder hinzuzufügen:
      Wählen Sie im Abschnitt „SIR-Incident-Zielfelder“ die Schaltfläche Anderes Feld zuordnen aus. Schaltfläche. Es zeigt eine Liste von Feldern SIR, aus denen Sie ein neues Feld auswählen können.
      1. Erweitern Sie in der Spalte Security Incident die angezeigte Liste, und wählen Sie dann ein Feld aus.
        Hinweis:
        Für denselben Security Incident können mehrere erkennbare Elemente angezeigt werden. Beispielsweise kann das Feld „ Erkennbares Element “ mehrmals mit unterschiedlichen Werten zugeordnet werden. Ebenso unterstützen die Felder Konfigurationselement und Arbeitsnotizen mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird eine Fehlermeldung angezeigt, dass dieses Feld nicht mehrere Werte unterstützt. Wenn ein Feld in einem Security Incident über eine Liste verfügt, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Liste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt.
      2. Ziehen Sie Ihr Feld aus dem Abschnitt AWS Security Hub Quellfelder, um es dem neuen Feld zuzuordnen.
      3. Wenn Sie das Kontrollkästchen aktivieren, das einem Feld entspricht, werden alle neuen oder aktualisierten Changes, die in AWS Security Hub vorgenommen werden, im jeweiligen SIR automatisch mit neuen Incident-Daten aktualisiert.
        Hinweis:
        Im Basissystem ist die Systemeigenschaft sn_sec_security.finding_updates standardmäßig auf „True“ festgelegt, um die AWS Security Hub -Updates im Zusammenhang mit neuen Warnungen zu erhalten, die mit SIR verknüpft sind.
        • Standardmäßig sind die Felder Betroffene Anwender, Konfigurationselemente und Erkennbare Elemente aktiviert. Dies bedeutet, dass jedes Mal, wenn neue erkennbare Elemente oder zugehörige Konfigurationselemente oder betroffene Benutzer dem Incident hinzugefügt werden, diese Informationen während dieses Abfrageintervalls automatisch extrahiert und in die entsprechenden zugehörigen Listen in Security Incident Response (SIR) eingetragen werden.
        • Für alle anderen Felder müssen Sie das Kontrollkästchen aktivieren, das einem Feld für alle neuen oder aktualisierten Änderungen entspricht, die im Ergebnis in AWS Security Hubvorgenommen werden. Dadurch werden die entsprechenden SIR-Incident-Daten automatisch mit den neuen Incident-Daten aktualisiert.
        Wichtig:
        Vor der Auswahl dieser Funktionalität muss die Sorgfaltspflicht erfüllt werden, da das Überschreiben der vorhandenen Daten zu instabilen Daten führen kann, mit denen der Analyst arbeiten kann, und jede andere Automatisierung, die auch durch die Feldwerte des Security Incident festgelegt wird, betroffen sein kann. Daher ist es wichtig, die Sorgfaltspflicht zu erfüllen, bevor Sie eine Überschreibungsfunktion auswählen.
    3. Um ein Feld zu entfernen, klicken Sie auf die Schaltfläche Entfernen, die Schaltfläche (Element entfernen) neben dem Eingabeausdrucksfeld im Abschnitt „SIR-Incident-Zielfelder“.
    4. Um einen Feldwert aus dem Abschnitt AWS Security Hub „ Quellfelder einem Feld im Abschnitt „SIR-Incident-Zielfelder“ zuzuordnen, verwenden Sie eine der folgenden Aktionen:
      1. Ziehen Sie den Feldnamen (z. B. ID), und legen Sie ihn neben einem Feldnamen in der Spalte „SIR-Incident-Zielfelder“ ab.

        Sie können einen beliebigen Wert aus dem Abschnitt „Quellfelder AWS Security Hub “ mit einem Feld im Abschnitt „SIR-Incident-Zielfelder“ abgleichen. Felder sind farbcodiert, damit Sie im Zuordnungsprozess keine Ergebnisfelder übersehen oder duplizieren. Hellblaue Felder zeigen an, dass im Security Incident noch kein Ergebnisfeld ausgewählt und zugeordnet wurde. Unter Umständen möchten Sie ein eingehendes Ergebnisfeld mit mehr als einem Feld in einem Security Incident verknüpfen. Ein graus Feld zeigt an, dass ein Ergebnisfeld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Auf diese Weise können Sie visualisieren, welche Feldwerte dem Security Incident hinzugefügt wurden und ob verbleibende wichtige Ergebnisinformationen nicht zugeordnet bleiben. Allerdings gibt es einige Felder im Abschnitt AWS Security Hub „ Quellfelder, die nicht mit Feldern im Abschnitt „SIR-Incident-Zielfelder“ kompatibel sind. Wenn Sie solche Werte zuordnen, werden sie nicht angezeigt, wenn der SIR erstellt wird.

      2. Sie können eine Kombination aus Text und Feld hinzufügen.
        Beispiel: Ergebnisname ist ${name}$. Hier kann der Ergebnisname manuell eingegeben werden, während ${name}$ im Abschnitt AWS Security Hub Quellfelder zugeordnet wird.
      3. Sie können ein Quellergebnisfeld manuell eingeben und einem Zielfeld zuordnen.
        Verwenden Sie das Format $⁠{Feldname}$, um ein Quellergebnisfeld manuell zuzuordnen. Um beispielsweise ein Ergebnisfeld „Schweregrad“ zuzuordnen, lautet das Format$⁠{properties(severity)}$.
      Diese Integration klassifiziert bestimmte Untertypen von erkennbaren Elementen. Wenn Sie ein Ergebnisfeld AWS Security Hub dem erkennbaren SIR-Feld zuordnen, klassifiziert Now Platform das erkennbare Element automatisch. Wenn Sie das eingehende erkennbare Element AWS Security Hub generisch dem erkennbaren Elementtyp in SIRzuordnen möchten, ziehen Sie das Feld AWS Security Hub per Drag-and-Drop in das Feld Erkennbares Element. Wenn Sie jedoch den erkennbaren Elementtyp für das eingehende erkennbare Element AWS Security Hub in SIRkennen, ordnen Sie ihn speziell dem Feld „Erkennbarer Typ SIR “ zu. Einige Beispiele für bestimmte erkennbare Elemente in SIR sind „Erkennbares Element“ (Domänenname), „Erkennbares Element“ (E-Mail-Adresse), „Erkennbares Element“ (IP-Adresse (V4)) und „Erkennbares Element“ (Hostname).

      Manchmal werden gefundene Feldwerte in AWS Security Hub möglicherweise nicht direkt in die Felder im SIR-Security Incident übersetzt. Für diese Werte können Sie einen Skript-Editor verwenden, um während des Zuordnungsschritts Feldwerte im Security Incident zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie ähnliche, aber nicht identische Werte formatieren möchten.

    5. Um eine Feldübersetzung für ein neues Feld aus dem Ergebnis AWS Security Hub so zu formatieren, dass sie einem Feldwert in einem Security Incident entspricht, klicken Sie auf den Link Hier klicken im Header „SIR-Incident-Zielfelder“.
    6. Um die Felder zu ändern, die die Feldübersetzung unterstützen, klicken Sie auf das Symbol für Feldübersetzung für Skriptformat für Schaltfläche.
      Die Felder, die die Feldübersetzung unterstützen, sind Kategorie, Konfigurationselementund Priorität. Klicken Sie beispielsweise auf das Symbol für die Feldformatschaltfläche neben der Kategorie. Der Skript-Editor für die AWS Security Hub -Ergebnisfeldübersetzung wird geöffnet.
    7. Geben Sie Änderungen am Skript ein, und klicken Sie auf Aktualisieren, um die Änderungen zu speichern und zur Zuordnungsseite zurückzukehren.
      Definieren Sie beispielsweise für Kategorie Folgendes im Skript-Editor:
      "<Incoming Security Hub finding Field Value>" : "<Category to assign to the Security Incident>".
      Diese Zuordnung stellt sicher, dass ein Profil nur konfigurierte Kategorien verwendet.
    8. Setzen Sie Ihre Zuordnung fort, indem Sie Feldwerte hinzufügen oder entfernen.
      Dieselben Feldwerte können Sie im Builder für Bedingungen für Incident-Generierung verwenden, um zusätzliche Kriterien zu definieren, die ein eingehendes Ergebnis erfüllen muss, um einen Security Incident zu erstellen.
    9. Um zum Abschnitt „Filtern und Aggregieren“ zu wechseln, klicken Sie auf Fortsetzen.

    Nächste Maßnahme

    Definieren Sie Filterbedingungen, und legen Sie sie fest, um festzulegen, welche Ergebnisse Security Incidents erstellen. Sie können dieselben Feldwerte (definiert im Abschnitt „Zuordnung“) im Generator für Bedingungen für Incident-Generierung (im Abschnitt „Filtern und Zusammenfassung“) verwenden, um zusätzliche Kriterien zu definieren, die ein eingehendes Ergebnis erfüllen muss, um einen Security Incident zu erstellen.