Mapear os campos de descoberta AWS Security Hub

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 7 min. de leitura

    • Mapeie os campos de descoberta AWS Security Hub individuais para os campos no incidente de segurança SIR para que você possa criar incidentes com os dados mapeados.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Na página de mapeamento, na seção AWS Security Hub Mapeamento, selecione um dos Métodos de ingestão de amostra.
      Tabela 1. Métodos de ingestão de amostra
      Campo Descrição
      Todos os campos de descoberta padrão Use este método de ingestão para exibir a lista estática de todos os campos de descobertas. Este método contém somente nomes de campo padrão sem valores.

      Você pode usar essas informações para mapear com os campos SIR.
      Recuperar AWS Security Hub descobertas recentes Use este método de ingestão para importar os dados de descobertas mais recentes.

      Você pode ingerir 5 descobertas de amostra por padrão e um máximo de 20 descobertas de amostra.

      Os valores do campo de descoberta de amostra são preenchidos quando o perfil ingere as descobertas de amostra. Você pode mapear essas descobertas para os Campos de destino do incidente SIR. Os campos e valores de descoberta aparecem como guias individuais.
      Importar dados de amostra Selecione Importar dados de amostra para importar descobertas de amostra de AWS Security Hub.

      Este botão aparece quando você seleciona o método de ingestão Recuperar descobertas recentes AWS Security Hub.

      A recuperação de descobertas de amostra do servidor AWS Security Hub leva alguns minutos.

      Mapeie essas descobertas para os campos de destino do incidente SIR. Os campos e valores de descoberta aparecem como guias individuais.
    2. Para adicionar campos aos campos padrão que são exibidos no incidente de segurança, execute as seguintes ações:
      Na seção Campos de destino do incidente SIR, selecione o botão Mapear outro campo. botão. Ele mostra uma lista de SIR campos, na qual você pode selecionar para exibir um novo campo.
      1. Na coluna Incidente de segurança, expanda a lista exibida e selecione um campo.
        Nota:
        Vários observáveis podem ser exibidos no mesmo incidente de segurança. Por exemplo, o campo Observável pode ser mapeado várias vezes com valores diferentes. Da mesma forma, os campos Item de configuração e Anotações de trabalho oferecem suporte a vários valores. Se você tentar mapear dois valores para um campo que não é compatível com vários valores, verá uma mensagem de erro informando que este campo não é compatível com vários valores. Da mesma forma, se um campo em um incidente de segurança tiver uma lista na qual você pode escolher várias opções e tentar mapear uma opção para esse campo que não está exibido na lista, o campo não será preenchido no incidente de segurança.
      2. Na seção AWS Security Hub Campos de origem, arraste seu campo para mapeá-lo para o novo campo.
      3. Quando você marca a caixa de seleção que corresponde a um campo, todas as mudanças novas ou atualizadas feitas em AWS Security Hub são atualizadas automaticamente no respectivo SIR com novos dados de incidente.
        Nota:
        No sistema base, a propriedade do sistema sn_sec_security.finding_updates é definida por padrão como Verdadeira para receber as AWS Security Hub atualizações relacionadas a novos alertas vinculados ao SIR.
        • Por padrão, os campos Usuários afetados, Itens de configuração e Observáveis são verificados. Isso significa que sempre que houver novos observáveis ou itens de configuração associados, ou usuários afetados que forem adicionados ao incidente, essas informações serão extraídas automaticamente e preenchidas nas respectivas listas relacionadas no Security Incident Response (SIR) durante esse intervalo de pesquisa.
        • Para todos os outros campos, você deve marcar a caixa de seleção que corresponde a um campo para todas as mudanças novas ou atualizadas feitas na descoberta em AWS Security Hub. Isso atualiza automaticamente os respectivos dados de incidente SIR com os novos dados de incidente.
        Importante:
        É necessário fazer a diligência prévia antes de selecionar esta funcionalidade, pois a substituição dos dados existentes pode resultar em dados instáveis para o analista trabalhar e qualquer outra automação definida até mesmo pelos valores de campo do incidente de segurança também pode ser afetada. Portanto, é importante fazer a devida diligência antes de selecionar qualquer funcionalidade de substituição.
    3. Para remover um campo, use o botão Remover, (Remover item) ao lado do campo de expressão de entrada na seção Campos de destino do incidente SIR.
    4. Para mapear um valor de campo da seção AWS Security Hub Campos de origem para um campo na seção Campos de destino do incidente SIR, use uma das seguintes ações:
      1. Arraste o nome do campo (por exemplo, id) e solte-o ao lado de um nome de campo na coluna Campos de destino do incidente SIR.

        Você pode corresponder qualquer valor da seção AWS Security Hub Campos de origem a um campo na seção Campos de destino do incidente SIR. Os campos são codificados por cores para que você não ignore ou duplique os campos de descoberta no processo de mapeamento. Os campos em azul claro indicam que um campo de descoberta ainda não foi selecionado e mapeado no incidente de segurança. Você pode preferir associar um campo de descoberta de entrada a mais de um campo em um incidente de segurança. Um campo cinza indica que um campo de descoberta foi selecionado e mapeado para um campo no incidente de segurança. Dessa forma, você pode visualizar quais valores de campo foram adicionados ao incidente de segurança e se alguma informação de descoberta importante restante permanece não mapeada. No entanto, há alguns campos na seção AWS Security Hub Campos de origem que não são compatíveis com os campos na seção Campos de destino do incidente SIR. Se você mapear esses valores, eles não serão exibidos quando o SIR for criado.

      2. Você pode adicionar uma combinação de texto e campo.
        Por exemplo, o nome da descoberta é ${name}$. Aqui, o nome de descoberta é pode ser inserido manualmente enquanto ${name}$ é mapeado da seção AWS Security Hub Campos de origem.
      3. Você pode inserir e mapear manualmente um campo de descoberta de origem para um campo de destino.
        Use o formato $⁠{field name}$ para mapear manualmente um campo de descoberta de origem. Por exemplo, para mapear um campo de descoberta Gravidade, o formato é$⁠{properties(severity)}$.
      Esta integração classifica determinados subtipos de observável. Quando você mapeia um campo de descoberta AWS Security Hub com o campo observável SIR, o Now Platform classifica automaticamente o observável. Se você quiser mapear genericamente o observável AWS Security Hub de entrada para o tipo de observável em SIR, arraste e solte o campo AWS Security Hub no campo Observável. No entanto, se você estiver ciente do tipo de observável para o observável AWS Security Hub de entrada em SIR, mapeie especificamente para o campo de tipo de observável SIR. Alguns exemplos de tipos de observável específicos em SIR incluem Observável (nome do domínio), Observável (endereço de e-mail), Observável (endereço IP (V4)) e Observável (nome do host).

      Às vezes, encontrar valores de campo em AWS Security Hub pode não ser convertido diretamente para os campos no incidente de segurança SIR. Para esses valores, você pode usar um editor de script para formatar valores de campo no incidente de segurança durante a etapa de mapeamento. Use o editor de script se quiser formatar valores semelhantes, mas não idênticos.

    5. Para formatar uma tradução de campo para um novo campo de uma descoberta AWS Security Hub para corresponder a um valor de campo em um incidente de segurança, clique no link Clique aqui no cabeçalho Campos de destino do incidente SIR.
    6. Para modificar os campos que oferecem suporte à tradução de campos, clique no botão Formato de campo ícone de tradução de campo de formato de script.
      Os campos que oferecem suporte à tradução de campos são Categoria, Item de configuraçãoe Prioridade. Por exemplo, clique no ícone do botão Formato de campo ao lado da Categoria. O editor de script de tradução de campo de descobertas AWS Security Hub é aberto.
    7. Insira as mudanças no script e clique em Atualizar para salvar as mudanças e retornar à página Mapeamento.
      Por exemplo, para Categoria, defina o seguinte no editor de script:
      "<Incoming Security Hub finding Field Value>" : "<Category to assign to the Security Incident>".
      Este mapeamento garante que um perfil use somente categorias configuradas.
    8. Continue o mapeamento adicionando ou removendo valores de campo.
      Você pode usar os mesmos valores de campos no construtor Condições de geração de incidentes para definir critérios adicionais que uma descoberta de entrada deve satisfazer para criar um incidente de segurança.
    9. Para mover para a seção Filtragem e Agregação, clique em Continuar.

    O que Fazer Depois

    Defina e defina as condições do filtro para que você possa especificar quais descobertas criam incidentes de segurança. Você pode usar os mesmos valores de campo (definidos na seção Mapeamento) no construtor Condições de geração de incidente (na seção Filtragem e agregação) para definir critérios adicionais que uma descoberta de entrada deve satisfazer para criar um incidente de segurança.