Definir critérios de filtro e agregação para AWS Security Hub ingestão de descobertas

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • Você pode definir e definir condições de filtro para que possa especificar quais descobertas de entrada devem criar incidentes de segurança. Você também pode definir critérios de campo de incidente adicionais que permitem que uma descoberta de entrada seja anexada a um incidente de segurança aberto em vez de criar outro incidente de segurança para a mesma descoberta.

    Defina as condições de filtragem de AWS Security Hub descobertas para criar incidentes de segurança

    Defina as condições de filtragem para que os incidentes de segurança sejam criados somente quando as condições de filtragem corresponderem.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Este tipo de filtragem ajuda a isolar incidentes de segurança e limita o número de incidentes de segurança que você cria. Se você definir critérios de filtragem adicionais, somente as descobertas necessárias serão ingeridas sem precisar alterar a consulta ou a configuração do incidente acionado.

    Execute as seguintes etapas para definir os critérios que uma descoberta AWS Security Hub de entrada deve satisfazer para que um incidente de segurança seja criado:

    Procedimento

    1. Selecione Aplicar pré-filtro na seção Pré-filtragem.

      Você pode usar esta opção para filtrar descobertas específicas e reduzir a carga de ingestão de descobertas.

      No campo Filtro de API, insira uma condição JSON de acordo com seu requisito que filtra descobertas específicas com base na condição. Por exemplo, insira o seguinte valor para filtrar as descobertas que têm o Status do fluxo de trabalho como Resolvido no Hub de segurança:
      {"Filters"{
  "WorkflowStatus":[{
  "Comparison":"NOT_EQUALS",
  "Value": "RESOLVED"}]
 }
}

      Com base na condição fornecida, AWS Security Hub descobertas são ingeridas e exibidas na tabela bruta de descobertas AWS Security Hub.

      Navegar até Tudo > Integração de descobertas do hub de segurança da AWS > Descobertas brutas do AWS Security Hub para exibir os dados brutos das descobertas.

    2. Na seção Selecionar campos de descoberta para condições do filtro, selecione Exibir campos de descoberta disponíveis para exibir uma lista de todos os campos disponíveis em uma descoberta AWS Security Hub.
      Na lista Todos os campos de descoberta, selecione os campos de descoberta que você deseja exibir na seção Condições de geração de incidente de segurança.
      Nota:
      Uma descoberta do Hub de segurança da AWS contém vários campos e valores. Na lista Todos os campos de descoberta, você pode pesquisar um campo de descoberta de acordo com seu requisito e selecioná-lo.
    3. Na seção Condições de geração de incidente de segurança, selecione Filtrar com base nas condições para definir os critérios que uma descoberta AWS Security Hub de entrada deve satisfazer para que um incidente de segurança seja criado.

      O primeiro campo nas Condições de filtro contém uma lista padrão de duzentos campos que estão disponíveis em uma descoberta AWS Security Hub e os campos de descoberta que você selecionou na seção Selecionar campos de descoberta para condições de filtro.

      O segundo campo nas Condições do filtro contém operadores condicionais. A opção escolhida determina a condição que deve ser atendida para ingerir uma descoberta.

      O terceiro campo nas Condições do filtro contém valores compatíveis com os campos de descoberta disponíveis. Verifique se o campo de descoberta inserido corresponde aos valores das descobertas.

      Por exemplo, use a condição de filtro contém para os seguintes campos com vários valores:
      • Workflow(Status)
      • WorkflowState
    4. Usando as listas e os campos do construtor de condições, defina os filtros para a primeira linha.
    5. Para adicionar mais condições, clique em E ou OU.
      • Se E for selecionado, todas as condições deverão ser atendidas.
      • Se OU for selecionado, qualquer uma das condições poderá ser correspondida.
    6. Para definir uma segunda condição de filtro, clique em Novos critérios.

    Resultado

    Com base nas condições de filtragem, AWS Security Hub descobertas são importadas para SIR. Navegar até Tudo > Integração de descobertas do hub de segurança da AWS > Importação de descobertas do AWS Security Hub para exibir as descobertas importadas.

    Definir condições para agregar AWS Security Hub descobertas a um incidente de segurança

    Defina critérios adicionais de agregação de incidentes que agregam uma descoberta AWS Security Hub de entrada a um incidente de segurança SIR existente em vez de criar incidentes semelhantes e potencialmente duplicados. Quando você usa critérios de valor de correspondência de campo para cada perfil, essa agregação adicional pode reduzir o número de incidentes de segurança ativos e sobrepostos, colocando todos os dados de incidentes relacionados em um único incidente de segurança.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Se um novo incidente corresponder a todos os valores selecionados nas condições do campo de agregação na etapa de mapeamento, o incidente será adicionado automaticamente ao incidente de segurança aberto mais recentemente com os mesmos valores de campo. Como um usuário com a função sn_si.analyst trabalhando com incidentes de segurança, você pode exibir todos os incidentes agregados adicionados em uma lista relacionada em um incidente de segurança.

    Todas as AWS Security Hub descobertas agregadas em um incidente de segurança são exibidas na lista relacionada AWS Security Hub. Esta lista detalha os carimbos de data/hora associados e os valores de campos agregados. Essas informações ajudam a entender por que AWS Security Hub descobertas são adicionadas aos incidentes de segurança existentes.

    Procedimento

    1. Para definir critérios de campo de incidente adicionais que permitam que uma descoberta AWS Security Hub de entrada seja anexada a um incidente de segurança aberto em vez de criar um novo incidente, selecione a opção Condições de Agregação.
    2. No campo Campos de incidente com valores correspondentes, insira os valores de campo que você deseja corresponder em incidentes de segurança existentes em sua instância Now Platform.
      Todos os valores de campo selecionados no campo de entrada de seleção múltipla devem corresponder para que os critérios de agregação sejam atendidos e para que este incidente de entrada possa ser anexado a um incidente de segurança existente. Esta seleção implica que é uma condição AND em que campos, como Observáveis e Itens de configuração que podem ter vários valores de campo, são mapeados para eles. Se apenas um subconjunto dos valores for correspondido, as AWS Security Hub condições de agregação de descobertas não serão atendidas e um novo incidente de segurança será criado.
    3. Para adicionar várias condições de correspondência de campo, clique em Adicionar novos critérios.
      A agregação ocorrerá se qualquer uma das condições do campo de seleção múltipla que você definir for atendida. Esta seleção implica a condição OU.
    4. Para atualizar a anotação de trabalho de uma nova descoberta quando ela for adicionada a um incidente de segurança, selecione Registrar anotação de trabalho para nova descoberta.

      A anotação de trabalho registra que uma nova descoberta foi adicionada e inclui um link para os detalhes da descoberta. A anotação de trabalho de log também atualiza mais detalhes adicionados ao campo de anotação de trabalho na seção de mapeamento.

    5. Para configurar a programação, clique em Continuar.

    Resultado

    Com base nas condições de agregação, AWS Security Hub descobertas são agregadas para criar um incidente SIR. Navegar até Tudo > Integração de descobertas do hub de segurança da AWS > Descobertas do AWS Security Hub para tarefa para exibir a lista de incidentes de segurança que foram criados.

    O que Fazer Depois

    Defina uma programação para recuperar os dados de descoberta e os incidentes de descoberta que correspondam aos critérios no perfil.