張貼日期: Apr 16, 2020
AWS Security Hub 已發行稱為 BatchUpdateFindings 的新 API 動作,且我們計劃取代目前的 UpdateFindings API。UpdateFindings API 僅支援 AWS Security 問題清單格式 (ASFF) 中的一些欄位,且未與 CloudWatch Events 整合。BatchUpdateFindings API 修正了這些問題且支援大量現在可更新的欄位,例如嚴重性、重要性、信心、使用者定義的欄位、備註和工作流程狀態。此外,BatchUpdateFindings 可更新的欄位無法由問題清單提供者更新。這些欄位僅可由客戶或透過具有此 API 動作權限的 SIEM/票證/SOAR 工具進行更新。這可防止問題清單提供者覆寫您的更新。您可以使用 BatchUpdateFindings API 來完成如下動作,例如建立您自己的隱藏規則、變更嚴重性分數,以及為問題清單新增備註。若要進一步了解此 API,請參閱我們的文件。
我們還將新工作流程狀態欄位新增至 AWS Security 問題清單格式 (ASFF) 和我們的主控台。先前,客戶使用「記錄狀態」欄位追蹤要存檔的問題清單。我們一直保留「記錄狀態」物件,但現在僅問題清單提供者更新此欄位。客戶 (或代表客戶操作的 SIEM/票證/SOAR 工具) 現在使用工作流程狀態來指示問題清單狀態為 NEW (全新)、NOTIFIED (已通知)、SUPPRESSED (隱藏) 還是 RESOLVED (已解決)。將這些欄位區分開可消除問題清單提供者更新與客戶更新之間的衝突,例如客戶更新記錄狀態,然後問題清單提供者覆寫該更新。我們還更新了預設洞見的定義、問題清單檢視以及儀表板,以指示工作流程狀態。我們不會在這些預設檢視中顯示 SUPPRESSED 問題清單。您可以使用新的 BatchUpdateFindings API 來建立自動隱藏規則。請注意,「工作流程狀態」欄位與先前的「工作流程狀態」欄位有所不同。我們將工作流程取代為此新欄位。若要進一步了解工作流程狀態,請參閱我們的文件。
AWS Security Hub 全球皆可使用,能針對您的各個 AWS 帳戶提供高優先順序安全提醒和安全狀態綜合檢視。Security Hub 將多項 AWS 服務 (例如 Amazon GuardDuty、Amazon Inspector、Amazon Macie、AWS Firewall Manager 及 AWS IAM Access Analyzer 以及超過 40 項 AWS 合作夥伴解決方案) 的安全提醒或問題清單彙整於一處,妥善整理並依優先順序排序。您也可以使用自動化安全檢查,根據標準 (如 CIS AWS 基準參考指標和支付卡產業資料安全標準),持續監控您的環境。另外,您還可以透過調查 Amazon Detective 中的問題清單,並運用 Amazon CloudWatch 事件規則,將問題清單傳送至支援票證、聊天、安全資訊與事件管理 (SIEM)、安全協調自動化與回應 (SOAR) 及事件管理工具,或是傳到自訂修復手冊,針對問題清單採取應變措施。