Programar a AWS Security Hub recuperação de descoberta

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Defina uma programação para recuperar os dados de descoberta e ingerir as AWS Security Hub descobertas que correspondam aos critérios no perfil.

    Antes de Iniciar

    Função necessária: sn_sni.admin

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode planejar com que frequência deseja pesquisar futuras descobertas AWS Security Hub que correspondam à configuração do perfil de descoberta AWS Security Hub.

    O intervalo de pesquisa é configurado para cada perfil individualmente. Os diferentes intervalos de pesquisa podem afetar o desempenho da integração de descobertas AWS Security Hub. Ao programar, planeje equilibrar a carga do sistema em relação à urgência de um incidente. Um valor padrão de um minuto é definido para todos os perfis. Você pode modificar esta configuração com base na urgência do incidente e na carga prevista no seu sistema.

    Todos os alertas adicionados ao incidente em um intervalo de pesquisa específico são processados e, em seguida, anexados aos AWS Security Hub alertas e listas relacionadas e comentários.

    Procedimento

    1. No formulário de programação, preencha os campos.

      Configure a programação para definir como e quando você extrai descobertas do locatário AWS Security Hub.

      Tabela 1. Formulário de programação
      Campo Descrição
      Ingestão de descoberta contínua Ingestão de descoberta contínua que a instância Now Platform extrai do locatário AWS Security Hub para novos incidentes. Os incidentes de segurança serão criados se as descobertas acionadas forem encontradas e os critérios de filtragem de geração de incidente de segurança corresponderem.
      Descobertas encerradas de pesquisa Resultados de pesquisa que foram resolvidos.

      Essas descobertas são ingeridas durante a ingestão de incidentes em andamento.
      Incrementos de pesquisa (minutos) Frequência de pesquisa definida em minutos.
      Definir tempo de ingestão da descoberta inicial Ingestão de descobertas com base na data e hora configuradas.

      Você pode usar esta opção para definir uma data e hora específicas para a ingestão inicial. As ingestões subsequentes são baseadas no período de intervalo de pesquisa.
      Tempo de ingestão da descoberta inicial de entrada

      Data e hora que você especifica para a ingestão de incidentes.
      Recuperação Única Marque esta caixa de seleção para permitir a recuperação única de descobertas AWS Security Hub históricas e, em seguida, fazer a reconciliação dos dados. Quando você marcar esta caixa de seleção, a aplicação extrairá todas as AWS Security Hub descobertas abertas e encerradas para o período de até 90 dias aproximadamente.

      Ao processar os dados, as descobertas contínuas e os dados históricos são extraídos, mas o processamento das descobertas contínuas tem precedência sobre a extração histórica. Caso contrário, a extração histórica pode levar algum tempo com base na duração e no número de descobertas ingeridas.

      Nota:
      As descobertas históricas AWS Security Hub recuperadas passam por verificações de desduplicação para evitar duplicações na aplicação Resposta a incidentes de segurança.
      Desde a data A data desde quando as descobertas históricas foram ingeridas de AWS Security Hub.
      Nota:
      Os dados de descobertas são extraídos aproximadamente dos últimos 90 dias.

      A página de programação permite que você defina como e quando as descobertas são extraídas do locatário AWS Security Hub.

    2. Para navegar até a página Opções adicionais, clique em Continuar.