В AWS появилась новая функция автоматизации, которая избавит вас от утомительной работы по обеспечению безопасности.
16 июня 2023 г.Облачный гигант Amazon Web Services (AWS) считает, что у него есть решение для оповещения об усталости в виде автоматизированных действий.
Новая функция, являющаяся частью AWS Security Hub, направлена на предотвращение потенциально опасных человеческих ошибок во время ручного просеивания большого количества предупреждений безопасности, когда повторяющийся характер задачи может привести к тому, что аналитики преуменьшат значение значимость угроз, утверждает AWS.
Оповещения безопасности или выводы из всех других областей AWS, а также из более чем 65 решений партнерской сети AWS (APN) сопоставляются в Центре безопасности. Автоматические действия для этих результатов можно было настроить и раньше, но для этого нужно было использовать Amazon EventBridge, функции AWS Lambda, модуль Runbook AWS Systems Manager Automation или шаг AWS Step Functions.
Новые правила
Правильные разрешения IAM также требовались, если эти действия должны были выполняться в нескольких аккаунтах и регионах, а также поддержка функции Lambda и правила EventBridge, чтобы поток автоматизации продолжал работать должным образом.
Однако теперь возможны автоматизированные действия с возможностью настройки правил для автоматического обновления различных полей в выводах, таких как изменение их серьезности и статуса рабочего процесса, добавление примечаний или их автоматическое подавление.
AWS утверждает, что вы можете использовать эти правила достаточно гибко. Например, пользователи могут изменить серьезность предупреждения на основе идентификатора учетной записи и добавить примечание для лица, проводящего расследование, чтобы предоставить ему дополнительную информацию или инструкции.
Такое правило автоматизации можно настроить с помощью интерфейса командной строки AWS, консоли, API Security Hub или AWS SDK для Python (Boto3). Вы даже можете настроить несколько правил для одних и тех же результатов и назначить порядок, в котором Security Hub применяет автоматические действия. Правило с наибольшим значением применяется последним и, таким образом, оказывает максимальное влияние на рассматриваемое поле.
Вы также можете изменить серьезность в зависимости от тега ресурса. Еще одним примером сценария использования новой функции автоматизации является подавление обнаружения, которое GuardDuty помечает как информационное, что означает отсутствие угрозы и пометку только для предоставления информации; поэтому вы можете захотеть подавить дальнейшие выводы, помеченные как информационные.
Также доступны шаблоны для создания новых правил, которые регулярно обновляются, чтобы отразить типичные варианты использования, применимые для многих клиентов. Выбранный вами шаблон также можно изменить в соответствии с вашими конкретными потребностями.
А если вы работаете в нескольких регионах, вы можете дублировать правила, созданные в вашем центральном Центре безопасности, для работы с ними.
Объявление было сделано в рамках конференции AWS re:Inforce 2023. Теперь можно использовать правила автоматизации в Security Hub, и AWS рекомендует клиентам оставлять комментарии в репосте< /a> или обратитесь в службу поддержки, чтобы получить дополнительную информацию и помощь по новой функции.
- Это лучший облачный брандмауэр для вашего бизнеса
Оригинал