Planen Sie den Abruf des Ergebnisses AWS Security Hub .

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Legen Sie einen Zeitplan fest, um die Ergebnisdaten abzurufen und die AWS Security Hub Ergebnisse zu erfassen, die den Kriterien im Profil entsprechen.

    Vorbereitungen

    Erforderliche Rolle: sn_sni.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können planen, wie oft Sie zukünftige AWS Security Hub -Ergebnisse abfragen möchten, die der Konfiguration des AWS Security Hub -Ergebnisprofils entsprechen.

    Das Abfrageintervall wird für jedes Profil einzeln konfiguriert. Die unterschiedlichen Abfrageintervalle können sich auf die Leistung der AWS Security Hub -Ergebnisintegration auswirken. Planen Sie bei der Zeitplanung, die Systemlast gegen die Dringlichkeit eines incident abzuwägen. Für alle Profile ist ein Standardwert von einer Minute festgelegt. Sie können diese Einstellung je nach Dringlichkeit des incident und der erwarteten Auslastung Ihres Systems ändern.

    Alle Warnungen, die dem Incident in einem bestimmten Abfrageintervall hinzugefügt werden, werden verarbeitet und dann an die zugehörigen Listen und Kommentare der Warnungen AWS Security Hub angehängt.

    Prozedur

    1. Füllen Sie die Felder im Formular „Zeitplanung“ aus.

      Konfigurieren Sie den Zeitplan, um zu definieren, wie und wann Sie Ergebnisse aus dem -Mandanten AWS Security Hub abrufen.

      Tabelle : 1. Formular „Zeitplanung“.
      Feld Beschreibung
      Fortlaufende Ergebniserfassung Fortlaufende Ergebniserfassung, bei der die Instanz Now Platform vom Mandanten AWS Security Hub für neue Incidents abgerufen wird. Security Incidents werden erstellt, wenn ausgelöste Ergebnisse gefunden werden und die Filterkriterien für die Security Incident-Generierung erfüllt sind.
      Geschlossene Ergebnisse abfragen Abrufergebnisse, die gelöst wurden.

      Diese Ergebnisse werden während der laufenden Incident-Erfassung erfasst.
      Abfrageschritt (Minuten) Abfragehäufigkeit, die in Minuten definiert ist.
      Legen Sie die Zeit der ersten Ergebniserfassung fest Erfassung von Ergebnissen, die auf dem konfigurierten Datum und der konfigurierten Uhrzeit basiert.

      Sie können diese Option verwenden, um ein bestimmtes Datum und eine bestimmte Uhrzeit für die erste Erfassung zu definieren. Nachfolgende Erfassungen basieren auf dem Zeitraum des Abfrageintervalls.
      Zeit der ersten Ergebniserfassung eingeben

      Datum und Uhrzeit, die Sie für die Incident-Erfassung angeben.
      Einmaliger Abruf Aktivieren Sie dieses Kontrollkästchen, um den einmaligen Abruf historischer AWS Security Hub -Ergebnisse zuzulassen und dann den Abgleich der Daten durchzuführen. Wenn Sie dieses Kontrollkästchen aktivieren, ruft die Anwendung alle offenen und geschlossenen AWS Security Hub Ergebnisse für den Zeitraum bis zu ungefähr 90 Tagen ab.

      Bei der Verarbeitung der Daten werden sowohl laufende Ergebnisse als auch Verlaufsdaten abgerufen, aber die Verarbeitung der laufenden Ergebnisse hat Vorrang vor dem historischen Abruf. Andernfalls kann der Verlaufsabruf je nach Dauer und Anzahl der erfassten Ergebnisse einige Zeit in Anspruch nehmen.

      Hinweis:
      Die abgerufenen historischen AWS Security Hub -Ergebnisse werden Deduplizierungsprüfungen unterzogen, um Duplikate in der Anwendung Security Incident Response zu verhindern.
      Seit Datum Das Datum, seit dem die historischen Ergebnisse aus AWS Security Huberfasst wurden.
      Hinweis:
      Die Ergebnisdaten werden ungefähr aus den letzten 90 Tagen abgerufen.

      Auf der Seite „Zeitplanung“ können Sie definieren, wie und wann Ergebnisse aus dem Mandanten AWS Security Hub abgerufen werden.

    2. Um zur Seite „Weitere Optionen“ zu navigieren, klicken Sie auf Fortfahren.