自动抑制告警,减少噪音

当您使用安全中心时,尤其是当您有一个大型环境或使用安全中心中的许多集成时,您可能会发现有必要通过抑制来减少发现的数量。只有当这有助于你集中精力处理最重要的发现时,才建议这样做。如果你发现有必要使用抑制规则,你应该只抑制低优先级的发现,而且应该将此作为临时措施,并在改善安全状况和减少发现数量方面取得进展后修改抑制规则。

本例子中,您将抑制从 Amazon Inspector 传送到Security Hub的发现,并且严重性标签为 INFORMATIONAL 或 LOW。

  1. 打开Security Hub的 Automations 页面。

  2. 点击 Create rule.

  3. 选择 Create custom rule.

  4. 更改 Rule name 为 "Suppress low severity Inspector findings".

  5. 复制Rule name到 Rule description 或者输入你自己的描述。

  6. 定义第一个 Criteria, 选择 ProductNameKey. 选择 EQUALSOperator. 输入 "Inspector" 为 Value.

  7. 点击 Add criteria.

  8. 定义第二个 Criteria, 选择 SeverityLabelKey. 选择 EQUALSOperator. 选择 INFORMATIONALValue.

  9. 点击 Add another value。

  10. 同样的,选择 EQUALSOperator. 选择 LOWValue. 现在,该规则将适用于严重性标签为 "INFORMATIONAL "或 "LOW "的检查结果。

  11. 点击刷新查看满足标准的发现。

  12. 下面的 Automated action, Workflow status 选择 SUPPRESSED。

  13. 找到 Note, 输入 "Automatically suppressed via automation."

  14. 其他都保持默认设置,点击 Create rule.

上一页自动生成组织策略下一页自动添加自定义字段到Findings告警,"Tag production findings"

最后更新于