Written by: AWS Community Builder Wang Sheng Hau AWS Security Hub 在全球範圍內推出,在讓您全面了解 AWS 帳戶的安全狀況。借助 Security Hub,您可以在一個位置聚合、組織來自多個 AWS 服務(包括 Amazon GuardDuty、Amazon Inspector、Amazon Macie、AWS Firewall Manager、AWS Systems Manager Patch Manager、AWS Config)的安全警報或結果並確定其優先級、AWS Health 和 AWS Identity and Access Management (IAM) 訪問分析器,以及超過 65 個 AWS 合作夥伴網路 (APN) 解決方案。
以前,Security Hub 可以對發現的結果採取自動操作,但這需要轉到 Amazon EventBridge 控制台或 API、創建 EventBridge 規則,然後構建 AWS Lambda 函數、AWS Systems Manager Automation Runbook 或 AWS Step Functions 步驟,如下所示該規則的目標。如果您想要在管理員帳戶和主要 AWS 區域中設置這些自動操作,並在成員帳戶和連結區域中運行它們,您還需要部署正確的 IAM 權限,以使這些操作能夠跨帳戶和區域運行。設置自動化流程後,您需要維護 EventBridge 規則、Lambda 函數和 IAM 角色。此類維護可能包括升級 Lambda 版本、驗證運行效率以及檢查一切是否按預期運行。
借助 Security Hub,您現在可以使用規則自動更新結果中符合定義條件的各個字段。這允許您自動抑制結果、根據組織策略更新結果的嚴重性、更改結果的工作流程狀態以及添加註釋。當擷取結果時,自動化規則會尋找符合定義條件的結果,並更新其中指定字段的結果。例如,如果發現的帳戶 ID 屬於已知的關鍵業務帳戶,用戶可以創建一個規則,自動將發現的嚴重性設置為「嚴重」。用戶還可以自動抑制帳戶中特定控制的發現,其中該發現代表可接受的風險。
借助自動化規則,Security Hub 為您提供了一種直接從 Security Hub 控制台和 API 構建自動化的簡化方法。這減少了雲安全和 DevOps 工程師的重複工作,同時可以縮短平均響應時間。
原文中透過兩個情境來告訴大家,怎麼透過自動化幫助減少您的團隊重複性任務
