Définir des critères de filtre et d’agrégation pour Centre de sécurité AWS l’ingestion des résultats

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 6 minutes de lecture

    • Vous pouvez définir et définir des conditions de filtre afin de spécifier quels résultats entrants doivent provoquer des incidents de sécurité. Vous pouvez également définir des critères de champ d’incident supplémentaires qui permettent d’ajouter un résultat entrant à un incident de sécurité ouvert au lieu de créer un autre incident de sécurité pour le même résultat.

    Définir les conditions de filtrage des Centre de sécurité AWS conclusions afin de créer des incidents de sécurité

    Définissez les conditions de filtrage afin que les incidents de sécurité ne soient créés que lorsque les conditions de filtrage correspondent.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Ce type de filtrage vous aide à isoler les incidents de sécurité et limite le nombre d’incidents de sécurité que vous créez. Si vous définissez des critères de filtrage supplémentaires, seuls les résultats requis sont ingérés sans avoir à modifier la requête ou la configuration de l’incident déclenché.

    Effectuez les étapes suivantes pour définir les critères qu’un résultat entrant Centre de sécurité AWS doit satisfaire pour qu’un incident de sécurité soit créé :

    Procédure

    1. Sélectionnez Appliquer le pré-filtre dans la section Pré-filtrage.

      Vous pouvez utiliser cette option pour filtrer des résultats spécifiques et réduire la charge de l’ingestion des résultats.

      Dans le champ Filtre d’API , saisissez une condition JSON selon vos besoins qui filtre les résultats spécifiques en fonction de la condition. Par exemple, saisissez la valeur suivante pour filtrer les résultats dont l’état du workflow est Résolu dans Security Hub :
      {"Filters"{
  "WorkflowStatus":[{
  "Comparison":"NOT_EQUALS",
  "Value": "RESOLVED"}]
 }
}

      En fonction de la condition fournie, Centre de sécurité AWS les résultats sont ingérés et affichés dans la table brute des Centre de sécurité AWS résultats.

      Accédez à la Tout > Intégration des résultats AWS Security Hub > Résultat brut AWS Security Hub pour afficher les données brutes des résultats.

    2. Dans la section Sélectionner les champs de recherche pour les conditions de filtre, sélectionnez Afficher les champs de recherche disponibles pour afficher une liste de tous les champs disponibles dans un Centre de sécurité AWS résultat.
      Dans la liste Tous les champs de résultat , sélectionnez les champs de résultat que vous souhaitez afficher dans la section Conditions de génération d’incident de sécurité.
      Remarque :
      Un résultat AWS Security Hub contient plusieurs champs et valeurs. Dans la liste Tous les champs de résultat , vous pouvez rechercher un champ de résultat selon vos besoins et le sélectionner.
    3. Dans la section Conditions de génération d’incidents de sécurité, sélectionnez Filtre basé sur les conditions pour définir les critères qu’un résultat entrant Centre de sécurité AWS doit satisfaire pour qu’un incident de sécurité soit créé.

      Le premier champ des Conditions de filtre contient une liste par défaut de deux cents champs disponibles sur un résultat et les champs de recherche que vous avez sélectionnés dans la section Sélectionner les champs de recherche pour les conditions de Centre de sécurité AWS filtre.

      Le deuxième champ des conditions de filtre contient des opérateurs conditionnels. L’option que vous choisissez détermine la condition qui doit être remplie pour ingérer un résultat.

      Le troisième champ des conditions de filtre contient des valeurs prises en charge par les champs de résultat disponibles. Vérifiez que le champ de résultat que vous saisissez correspond aux valeurs des résultats.

      Par exemple, utilisez la condition de filtre contenue pour les champs suivants à valeurs multiples :
      • Workflow(Status)
      • WorkflowState
    4. À l’aide des listes et des champs du générateur de conditions, définissez les filtres pour la première ligne.
    5. Pour ajouter d’autres conditions, cliquez sur ET ou OU.
      • Si ET est sélectionné, toutes les conditions doivent être mises en correspondance.
      • Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
    6. Pour définir une deuxième condition de filtre, cliquez sur Nouveau critère.

    Résultats

    En fonction des conditions de filtrage, Centre de sécurité AWS les résultats sont importés dans SIR. Accédez à la Tout > Intégration des résultats AWS Security Hub > Importation des résultats AWS Security Hub pour afficher les résultats importés.

    Définir des conditions pour regrouper Centre de sécurité AWS les résultats en un incident de sécurité

    Définissez des critères d’agrégation d’incidents supplémentaires qui regroupent un résultat entrant Centre de sécurité AWS à un incident de sécurité SIR existant au lieu de créer des incidents similaires, potentiellement en double. Lorsque vous utilisez des critères de valeur de correspondance de champ pour chaque profil, cette agrégation supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données d’incidents connexes sur un seul incident de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Pourquoi et quand exécuter cette tâche

    Si un nouvel incident correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation de l’étape de mappage, l’incident est automatiquement ajouté à l’incident de sécurité le plus récemment ouvert avec les mêmes valeurs de champ. En tant qu’utilisateur disposant du rôle sn_si.analyst travaillant sur des incidents de sécurité, vous pouvez afficher tous les incidents agrégés ajoutés sur une liste connexe sur un incident de sécurité.

    Tous les résultats agrégés Centre de sécurité AWS sur un incident de sécurité sont affichés dans la Centre de sécurité AWS liste connexe. Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi Centre de sécurité AWS les résultats sont ajoutés aux incidents de sécurité existants.

    Procédure

    1. Pour définir des critères de champ d’incident supplémentaires qui permettent d’ajouter un résultat entrant Centre de sécurité AWS à un incident de sécurité ouvert au lieu de créer un nouvel incident, sélectionnez l’option Conditions d’agrégation .
    2. Dans le champ Champs d’incidents avec valeurs correspondantes , saisissez les valeurs de champ que vous souhaitez faire correspondre aux incidents de sécurité existants dans votre Now Platform instance.
      Toutes les valeurs de champ que vous avez sélectionnées dans le champ d’entrée de sélection multiple doivent correspondre afin que les critères d’agrégation soient remplis et que cet incident entrant puisse être ajouté à un incident de sécurité existant. Cette sélection implique qu’il s’agit d’une condition ET dans laquelle des champs, tels que des observables et des éléments de configuration qui peuvent avoir plusieurs valeurs de champ, leur sont mappés. Si seul un sous-ensemble de valeurs est apparié, les conditions d’agrégation Centre de sécurité AWS des résultats ne sont pas remplies et un nouvel incident de sécurité est créé.
    3. Pour ajouter plusieurs conditions de correspondance de champ, cliquez sur Ajouter un nouveau critère.
      L’agrégation se produit si l’une ou l’autre des conditions de champ de sélection multiple que vous définissez est remplie. Cette sélection implique la condition OU .
    4. Pour mettre à jour la note de travail d’un nouveau résultat lorsqu’il est ajouté à un incident de sécurité, sélectionnez Enregistrer la note de travail pour le nouveau résultat.

      La note de travail indique qu’un nouveau résultat est ajouté et inclut un lien vers les détails du résultat. La note de travail du journal met également à jour d’autres détails que vous ajoutez au champ note de travail dans votre section de mappage.

    5. Pour configurer le calendrier, cliquez sur Continuer.

    Résultats

    En fonction des conditions d’agrégation, les Centre de sécurité AWS résultats sont regroupés pour créer un SIR incident. Accédez à la Tout > Intégration des résultats AWS Security Hub > Résultat à Tâche AWS Security Hub pour afficher la liste des incidents de sécurité qui ont été créés.

    Que faire ensuite

    Définissez un calendrier pour récupérer les données de recherche et les incidents de recherche qui correspondent aux critères du profil.