Veröffentlicht am: Apr 16, 2020

AWS Security Hub hat die neue API-Aktion BatchUpdateFindings gestartet. Wir planen die Einstellung der derzeitigen UpdateFindings API. Die UpdateFindings API unterstützt lediglich einige Felder im AWS Security Finding Format (ASFF) und wurde nicht in CloudWatch Events integriert. Die BatchUpdateFindings API löst diese Probleme und unterstützt eine wesentlich größere Gruppe mit Feldern, die nun aktualisiert werden können – so etwa Schweregrad, Kritikalität, Zuverlässigkeit, benutzerdefinierte Felder, Anmerkungen und Workflow-Status. Die von BatchUpdateFindings aktualisierbaren Felder können außerdem nicht von Suchanbietern aktualisiert werden. Diese Felder können nur vom Kunden selbst oder durch SIEM-/Ticket-/SOAR-Tools aktualisiert werden, die Zugriff auf diese API-Aktion haben. Dies hindert Suchanbieter daran, Ihre Aktualisierungen zu überschreiben. Sie können die BatchUpdateFindings API zur Durchführung von Aktionen wie die Erstellung eigener Unterdrückungsregeln, die Änderung von Schweregraden und das Hinzufügen von Anmerkungen bei Ergebnissen verwenden. Weitere Informationen zu dieser Funktion erhalten Sie in der Dokumentation.

Des Weiteren haben wir dem AWS Security Finding Format (ASFF) und unserer Konsole das neue Feld „Workflow Status“ hinzugefügt. Zuvor nutzten die Kunden zur Nachverfolgung der Ergebnisse für die Archivierung das „Record State“-Feld. Das Objekt „Record State“ wird beibehalten, jedoch nur von Suchanbietern aktualisiert. Kunden (oder von diesen eingesetzte SIEM-/Ticket-/SOAR-Tools) nutzen nun „Workflow Status“, um anzuzeigen, ob der Such-Status NEW, NOTIFIED, SUPPRESSED, oder RESOLVED lautet. Die Trennung dieser Felder reduziert die Konflikte bei der Suche von Anbieter-Aktualisierungen und Kunden-Aktualisierungen, falls z. B. ein Kunde den Record State aktualisiert und der Suchanbieter diese Aktualisierung überschreibt. Wir haben außerdem die Definitionen unserer Standardergebnisse und Dashboards aktualisiert, sodass der Workflow Status berücksichtigt wird. Ergebnisse mit dem Status SUPRESSED werden in diesen Standardansichten nicht angezeigt. Sie können die neue BatchUpdateFindings API zur Erstellung von Unterdrückungsregeln verwenden. Hinweis: Das Feld „Workflow Status“ unterscheidet sich von den vorherigen „Workflow Status“-Feldern. Wir stellen „Workflow State“ zugunsten dieses neuen Felds ein. Weitere Informationen zu „Workflow Status“ finden Sie in der Dokumentation.

AWS Security Hub ist weltweit verfügbar und bietet Ihnen einen umfassenden Überblick über wichtige Sicherheitsmeldungen und den Sicherheitsstatus all Ihrer AWS-Konten. Mit dem Security Hub haben Sie jetzt eine einzige Stelle, die Ihre Sicherheitswarnungen oder Ergebnisse von mehreren AWS-Services wie Amazon GuardDuty, Amazon Inspector, Amazon Macie, AWS Firewall Manager und AWS IAM Access Analyzer sowie von über 40 AWS-Partnerlösungen aggregiert, organisiert und priorisiert. Sie können Ihre Umgebung auch kontinuierlich überwachen, indem Sie automatisierte Sicherheitsprüfungen auf der Grundlage von Standards durchführen, wie z. B. dem CIS AWS Foundations Benchmark und dem Payment Card Industry Data Security Standard. Sie können auch auf diese Ergebnisse reagieren, indem Sie die Ergebnisse in Amazon Detective untersuchen und die Amazon CloudWatch-Ereignisregeln verwenden, um die Ergebnisse an Ticketing, Chat, Security Information and Event Management (SIEM), Security Orchestration Automation and Response (SOAR) und Vorfallmanagement-Tools oder an benutzerdefinierte Abhilfemaßnahmen-Playbooks zu senden.  

Sie können Ihre kostenlose 30-Tage-Testversion von AWS Security Hub mit einem einzigen Klick in der AWS-Managementkonsole aktivieren. Auf der Seite zu den AWS-Regionen finden Sie einen Überblick über alle Regionen, in denen AWS Security Hub verfügbar ist. Weitere Informationen zu den Funktionen von AWS Security Hub finden Sie in der Dokumentation von AWS Security Hub. Wie Sie Ihre kostenlose 30-Tage-Testversion starten, erfahren Sie auf der Seite zur kostenlosen Testversion für AWS Security Hub.