Publicado: Apr 16, 2020
O AWS Security Hub lançou uma nova ação de API chamada BatchUpdateFindings, e planejamos suspender a API UpdateFindings atual. A API UpdateFindings oferecia suporte a apenas alguns campos no AWS Security Finding Format (ASFF) e não se integrava ao CloudWatch Events. A API BatchUpdateFindings corrige esses problemas e oferece suporte a um conjunto muito maior de campos que agora podem ser atualizados, como gravidade, criticidade, confiança, campos definidos pelo usuário, anotações e status de fluxo de trabalho. Além disso, os campos que a API BatchUpdateFindings pode atualizar não podem ser atualizados por provedores de descobertas. Esses campos só podem ser atualizados pelo cliente ou por ferramentas de SIEM/geração de tíquetes/SOAR que tenham acesso a essa ação de API. Isso evita que provedores de descobertas substituam as suas atualizações. Você pode usar a API BatchUpdateFindings para concluir ações como criar suas próprias regras de supressão, alterar pontuações de gravidade e adicionar anotações a descobertas. Para saber mais sobre essa API, acesse nossa documentação.
Também adicionamos um novo campo Status do fluxo de trabalho ao ASFF (AWS Security Finding Format) e ao nosso console. Anteriormente, os clientes usavam o campo Estado do registro para rastrear as descobertas a serem arquivadas. Estamos mantendo o objeto Estado do registro, mas agora apenas os provedores de descobertas atualizam esse campo. Os clientes (ou ferramentas de SIEM/geração de tíquetes/SOAR que trabalham em seu nome) agora usam o Status do fluxo de trabalho para indicar se o status da descoberta é NEW, NOTIFIED, SUPPRESSED ou RESOLVED. A separação desses campos elimina conflitos entre atualizações de provedores de descobertas e atualizações de clientes, como quando um cliente atualiza o Estado do registro e, em seguida, o provedor de descoberta substitui essa atualização. Também atualizamos as definições dos nossos insights padrão, exibições de descobertas e painéis para levar em conta o Status do fluxo de trabalho. Não mostramos descobertas SUPPRESSED nessas exibições padrão. Você pode usar a nova API BatchUpdateFindings para criar regras de supressão automática. Observe que o campo Status do fluxo de trabalho é diferente do campo Estado do fluxo de trabalho anterior. Estamos removendo o campo Estado do fluxo de trabalho em favor desse novo campo. Para saber mais sobre o status do fluxo de trabalho, consulte nossa documentação.
Disponível globalmente, o AWS Security Hub oferece uma visão abrangente dos alertas de segurança de alta prioridade e status de segurança nas suas contas da AWS. Com o Security Hub, agora você tem um único local que agrega, organiza e prioriza alertas de segurança ou descobertas de vários serviços da AWS, como Amazon GuardDuty, Amazon Inspector, Amazon Macie, AWS Firewall Manager e AWS IAM Access Analyzer, bem como de mais de 40 soluções de parceiros da AWS. Você também pode monitorar seu ambiente continuamente usando verificações de segurança automatizadas com base em padrões, como o CIS AWS Foundations Benchmark e o Padrão de segurança de dados do setor de cartões de pagamento. Você pode tomar medidas em relação a essas descobertas investigando as descobertas no Amazon Detective e usando as regras do Amazon CloudWatch Event para enviar as descobertas para emissão de tíquetes, chat, Gerenciamento de eventos e informações de segurança (SIEM), Automação e resposta de orquestração de segurança (SOAR) e ferramentas de gerenciamento de incidentes ou personalização de manuais de remediação.
Você pode habilitar o teste gratuito de 30 dias do AWS Security Hub com um único clique no Console de Gerenciamento da AWS. Consulte a página de regiões da AWS para ver todas as regiões em que o AWS Security Hub está disponível. Para saber mais sobre os recursos do AWS Security Hub, consulte a documentação do AWS Security Hub. Para iniciar o teste gratuito de 30 dias, consulte a página do teste gratuito do AWS Security Hub.