찾기 수집을 위한 AWS Security Hub 필터 및 집계 기준 정의

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기5분

    • 필터 조건을 정의하고 설정하여 보안 인시던트를 생성해야 하는 수신 찾기를 지정할 수 있습니다. 또한 동일한 찾기에 대해 다른 보안 인시던트를 생성하는 대신 수신 찾기를 미해결 보안 인시던트에 추가할 수 있는 추가 인시던트 필드 기준을 정의할 수도 있습니다.

    찾은 결과에 대한 AWS Security Hub 필터링 조건을 설정하여 보안 인시던트 생성

    필터링 조건이 일치하는 경우에만 보안 인시던트가 생성되도록 필터링 조건을 설정합니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    이러한 유형의 필터링은 보안 인시던트를 격리하고 생성하는 보안 인시던트 수를 제한하는 데 도움이 됩니다. 추가 필터링 기준을 설정하면 쿼리 또는 트리거된 인시던트 구성을 변경할 필요 없이 필요한 결과만 수집됩니다.

    다음 단계를 수행하여 보안 인시던트가 생성되도록 수신 AWS Security Hub 찾기가 충족해야 하는 기준을 정의합니다.

    프로시저

    1. Pre-Filtering(사전 필터링) 섹션에서 Apply Pre-Filter(사전 필터 적용 )를 선택합니다.

      이 옵션을 사용하여 특정 찾기를 필터링하고 찾기 수집 로드를 줄일 수 있습니다.

      API 필터 필드에 요구 사항에 따라 조건을 기반으로 특정 결과를 필터링하는 JSON 조건을 입력합니다. 예를 들어 다음 값을 입력하여 Workflow Status(워크플로우 상태)가 Security Hub에서 해결됨인 결과를 필터링합니다.
      {"Filters"{
  "WorkflowStatus":[{
  "Comparison":"NOT_EQUALS",
  "Value": "RESOLVED"}]
 }
}

      제공된 조건에 AWS Security Hub 따라 찾기가 수집되어 찾기 원시 테이블에 AWS Security Hub 표시됩니다.

      다음으로 이동 모두 > AWS Security Hub 찾기 통합 > AWS Security Hub 찾기 원시 을 클릭하여 원시 결과 데이터를 봅니다.

    2. 필터 조건에 대한 찾기 필드 선택 섹션에서 사용 가능한 찾기 필드 표시를 선택하여 찾은 결과에서 AWS Security Hub 사용 가능한 모든 필드 목록을 표시합니다.
      모든 찾기 필드 목록에서 보안 인시던트 생성 조건 섹션에 표시할 찾기 필드를 선택합니다.
      주:
      AWS Security Hub 검색 결과에는 여러 필드와 값이 포함되어 있습니다. 모든 찾기 필드 목록에서 요구 사항에 따라 찾기 필드를 검색하고 선택할 수 있습니다.
    3. 보안 인시던트 생성 조건 섹션에서 조건을 기준으로 필터링 을 선택하여 들어오는 AWS Security Hub 검색 결과가 보안 인시던트를 생성하기 위해 충족해야 하는 기준을 정의합니다.

      필터 조건의 첫 번째 필드에는 찾기에서 AWS Security Hub 사용할 수 있는 200개의 필드로 구성된 기본 목록과 필터 조건에 대한 찾기 필드 선택 섹션에서 선택한 찾기 필드가 포함되어 있습니다.

      필터 조건의 두 번째 필드에는 조건 연산자가 포함되어 있습니다. 선택한 옵션에 따라 찾기를 수집하기 위해 충족해야 하는 조건이 결정됩니다.

      필터 조건의 세 번째 필드에는 사용 가능한 찾기 필드에서 지원하는 값이 포함됩니다. 입력한 찾기 필드가 결과 값과 일치하는지 확인합니다.

      예를 들어, 여러 값이 있는 다음 필드에 대해 조건 포함 필터를 사용합니다.
      • Workflow(Status)
      • WorkflowState
    4. 조건 작성기의 목록과 필드를 사용하여 첫 번째 행의 필터를 설정합니다.
    5. 조건을 더 추가하려면 AND 또는 OR을 클릭합니다.
      • AND를 선택하면 모든 조건이 일치해야 합니다.
      • OR을 선택하면 두 조건을 일치시킬 수 있습니다.
    6. 두 번째 필터 조건을 설정하려면 새 기준을 클릭합니다.

    결과

    필터링 조건에 AWS Security Hub 따라 찾기가 로 임포트 SIR됩니다. 다음으로 이동 모두 > AWS Security Hub 찾기 통합 > AWS Security Hub 찾기 임포트 임포트한 결과를 보려면 다음을 수행합니다.

    결과를 보안 인시던트로 집계 AWS Security Hub 하는 조건 정의

    중복될 가능성이 있는 유사한 인시던트를 생성하는 대신 수신 AWS Security Hub 발견 사항을 기존 SIR 보안 인시던트로 집계하는 추가 인시던트 집계 기준을 정의합니다. 각 프로파일에 대해 필드 일치 값 기준을 사용하는 경우 이 추가 집계는 모든 관련 인시던트 데이터를 단일 보안 인시던트에 배치하여 활성 상태의 중복 보안 인시던트 수를 줄일 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    새 인시던트가 매핑 단계의 집계 필드 조건에서 선택한 모든 값과 일치하는 경우, 인시던트는 동일한 필드 값을 사용하여 가장 최근에 열린 보안 인시던트에 자동으로 추가됩니다. 보안 인시던트를 담당하는 sn_si.analyst 역할을 가진 사용자는 보안 인시던트의 관련 목록에서 추가된 모든 집계 인시던트를 볼 수 있습니다.

    보안 인시던트에 대한 모든 집계 AWS Security Hub 된 결과가 관련 목록에 표시됩니다 AWS Security Hub . 이 목록은 관련 타임스탬프 및 집계된 필드 값에 대해 자세히 설명합니다. 이 정보는 기존 보안 인시던트에 결과가 추가되는 이유를 AWS Security Hub 이해하는 데 도움이 됩니다.

    프로시저

    1. 새 인시던트를 생성하는 대신 수신 AWS Security Hub 찾기를 미해결 보안 인시던트에 추가할 수 있는 추가 인시던트 필드 기준을 정의하려면 집계 조건 옵션을 선택합니다.
    2. 일치하는 값이 있는 인시던트 필드 필드에 인스턴스의 기존 보안 인시던트 Now Platform 와 일치시키려는 필드 값을 입력합니다.
      집계 기준이 충족되고 이 수신 인시던트를 기존 보안 인시던트에 추가할 수 있도록 다중 선택 입력 필드에서 선택한 모든 필드 값이 일치해야 합니다. 이 선택은 여러 필드 값을 가질 수 있는 옵저버블 및 구성 항목과 같은 필드가 매핑되는 AND 조건을 의미합니다. 값의 하위 집합만 일치 AWS Security Hub 하면 결과 집계 조건이 충족되지 않고 새 보안 인시던트가 생성됩니다.
    3. 여러 필드 일치 조건을 추가하려면 새 기준 추가를 클릭합니다.
      사용자가 정의하는 다중 선택 필드 조건 중 하나가 충족되면 집계가 발생합니다. 이 선택은 OR 조건을 의미합니다.
    4. 새 찾기가 보안 인시던트에 추가될 때 새 찾기에 대한 작업 메모를 업데이트하려면 새 찾기에 대한 작업 메모 로깅을 선택합니다.

      작업 메모는 새 찾기가 추가되었음을 기록하고 결과 상세 정보에 대한 링크를 포함합니다. 로그 작업 메모는 매핑 섹션의 작업 메모 필드에 추가하는 상세 정보도 업데이트합니다.

    5. 일정을 구성하려면 계속을 클릭합니다.

    결과

    집계 조건에 AWS Security Hub 따라 결과를 집계하여 인시던트를 생성합니다 SIR . 다음으로 이동 모두 > AWS Security Hub 찾기 통합 > AWS Security Hub 찾기에서 작업 생성된 보안 인시던트 목록을 볼 수 있습니다.

    다음에 수행할 작업

    찾기 데이터를 검색하고 프로파일의 기준과 일치하는 인시던트를 찾도록 일정을 설정합니다.