发布于: Apr 16, 2020
AWS Security Hub 已发布称为 BatchUpdateFindings 的新 API 操作,并且我们计划弃用当前 UpdateFindings API。UpdateFindings API 仅支持 AWS Security Finding Format (ASFF) 中的几个字段,并且未与 CloudWatch Events 集成。BatchUpdateFindings API 修复了这些问题,并支持可立即更新的更大字段集,例如严重性、关键性、置信度、用户定义的字段、备注和工作流状态。此外,无法通过结果提供程序来更新可由 BatchUpdateFindings 更新的字段。这些字段只能由客户或有权访问此 API 操作的 SIEM/票务/SOAR 工具进行更新。这可以防止结果提供程序覆盖您的更新。您可以使用 BatchUpdateFindings API 完成操作,例如创建自己的抑制规则、更改严重性评分以及为结果添加备注。如需了解此 API 的更多信息,请访问我们的文档。
我们还向 AWS Security Finding Format (ASFF) 和控制台添加了新的“工作流状态”字段。以前,客户使用“记录状态”字段来跟踪要存档的结果。我们将保留“记录状态”对象,但现在只有结果提供程序才能更新此字段。现在,客户(或代表他们工作的 SIEM/票务/SOAR 工具)可使用“工作流状态”来指示结果状态为“新”、“已通知”、“已抑制”还是“已解决”。分离这些字段可消除结果提供程序和客户更新之间的冲突,例如客户更新记录状态,然后结果提供程序覆盖该更新。我们还更新了默认见解、结果视图和控制面板的定义,以说明工作流状态。我们未在这些默认视图中显示已抑制的结果。您可以使用新的 BatchUpdateFindings API 来创建自动抑制规则。请注意,“工作流状态”字段不同于以前的“工作流程状态”字段。为了支持此新字段,我们将弃用“工作流程状态”字段。如需了解工作流状态的更多信息,请访问我们的文档。
AWS Security Hub 现已在全球推出,可让您全面查看 AWS 账户中的高优先级安全警报与安全性状态。借助 Security Hub,您现在可以设置单个位置,对来自多个 AWS 服务(如 Amazon GuardDuty、Amazon Inspector、Amazon Macie、AWS Firewall Manager 和 AWS IAM Access Analyzer),以及来自 40 多个 AWS 合作伙伴解决方案的安全警报或检测结果进行聚合、组织和设置优先级。您还可以使用基于标准(如 CIS AWS Foundations 基准和支付卡行业数据安全标准)的自动安全性检查持续监控您的环境。此外,您还可以在 Amazon Detective 中调查结果并使用 Amazon CloudWatch Event 规则对这些安全和合规性检测结果采取措施,将检测结果发送到开单、聊天、安全信息和事件管理 (SIEM)、安全业务流程自动化和响应 (SOAR) 以及事故管理工具,或者发送到自定义的补救手册。
只需在 AWS 管理控制台中单击一下鼠标,即可免费试用 AWS Security Hub 30 天。请参阅 AWS 区域页面,查看已推出 AWS Security Hub 的所有区域。要了解有关 AWS Security Hub 功能的更多信息,请参阅 AWS Security Hub 文档。要开始 30 天的免费试用,请参阅 AWS Security Hub 免费试用页面。