自动升级Security Hub的严重等级

前提条件

通过tag管理资产,关于如何系统地打标签Tag可以参考此处

假设您已经为所有生产环境的EC2 实例添加了标签键值对,Environment: Production。

并且启用了GuardDuty扫描识别云环境中的安全威胁。

操作配置

比如我们要提高生产环境的 EC2 实例的所有 GuardDuty 发现的严重性。

  1. 在Security Hub打开 Automations 页面。

  2. 点击 Create rule.

  3. 对于此自动化规则,我们将从一个模板开始。保持 "Create a rule from template" 选中,然后在 Rule template 选择 Elevate severity of findings that relate to important resources.

  4. 更改 Rule name 为 "Elevate severity of GuardDuty findings that relate to production EC2 instances".

  5. 复制规则名称到 Rule description 或者输入你自定义的描述。

  6. 更改第一个指标的 Value (Key: ProductName) 为 "GuardDuty".

  7. Remove 下面的指标,Key: ComplianceStatus.

  8. Remove 最后的指标 (Key: ResourceId).

  9. 点击 Add criteria. Key 选择 ResourceTags. Operator 选择 EQUALS. Value, 输入 "Environment" 在顶部的输入框,并且输入 "Production" 在底部的输入框 (这是tag的键值对 key-value pair ).

  10. Preview of findings that match criteria 选择 Refresh 确保你配置的正确。您将看到符合标准的现有结果预览。

  1. 对于此规则,我们将把所有匹配的结果提升为高(HIGH)严重性。你也可以设置为 CRITICAL。在 Automated action, 设置 SeverityHIGH.

  2. 其他都保持默认,然后点击 Create rule.

上一页自动添加自定义字段到Findings告警,"Tag production findings"下一页高级:使用Systems Manager自动修复

最后更新于