Automatisieren Sie AWS Security HubUpdates und Abschlüsse werden von gesucht SIRIncident-Status

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Automatisieren Sie die Aktualisierungen und Abschlüsse von Ergebnissen in AWS Security HubGemäß SIRIncident-Status. Die AWS Security HubDie Integration verfügt über eine bidirektionale Schnittstelle, die die Ergebniserfassung ermöglicht, um Security Incidents zu erstellen und den Status der Ergebnisse entsprechend den Änderungen in zu aktualisieren SIRIncident.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Tragen Sie die Details in das Formular ein.
      Befolgen Sie die Anweisungen, um die Konfiguration für die Aktualisierung abzuschließen AWS Security HubErgebnisse, wenn Sie einen Security Incident in erstellen oder schließen SIR.
      Tabelle : 1. Formular „Incident-Aktualisierungen werden automatisiert“
      Kategorie Feld Beschreibung
      Status aktualisieren SIR Incident-Status Zeigt eine Liste von an SIRIncident-status. Wählen Sie eine Option aus dieser Liste aus, um sie einem zuzuordnen Security HubErgebnisstatus.
      Security Hub Ergebnisstatus Zeigt eine Liste von an Security HubWorkflow-Status.

      Der Workflow-Status eines Ergebnisses wird am aktualisiert AWS Security HubWenn sich der Incident-Status des entsprechenden SIR-Status ändert.
      Priorität aktualisieren SIR Incident-Priorität Zeigt eine Liste von an SIRIncident-Prioritätsstufen. Wählen Sie eine Option aus dieser Liste aus, um sie einem zuzuordnen Security HubPrioritätsebene wird gesucht.
      Security Hub Ergebnispriorität Wählen Sie eine Option aus der Liste von aus Security HubSchweregradstufen.

      Der Schweregrad eines Ergebnisses wird auf aktualisiert AWS Security HubWenn sich die entsprechende Security Incident-Priorität ändert.
      Arbeitsnotizen aktualisieren Wählen Sie diese Option aus, um den Abschnitt „Notizen“ von zu aktualisieren Security HubWenn eine Arbeitsnotiz für die entsprechende aktualisiert wird SIRIncident.

      Der Abschnitt „Arbeitsnotizen“ in SIRHat einen Grenzwert von 512 Zeichen als Hinweisabschnitt von Security HubErgebnis unterstützt dasselbe.
      Zusätzliche Kommentare aktualisieren Auswählen, um zu aktualisieren AWS Security HubAbschnitt „Kommentare suchen“ mit den zusätzlichen Kommentaren, die Sie in angegeben haben SIRIncident.
      Lösungsnotizen aktualisieren Auswählen, um zu aktualisieren AWS Security HubAbschnitt „Kommentare“ wird mit den Lösungshinweisen geschlossen, die Sie bei angegeben haben SIRIncident wurde gelöst.
      Hinweis:
      Jede Aktualisierung aus den Arbeitsnotizen überschreibt die letzte Aktualisierung im Abschnitt „Notizen“ von Security HubErgebnis. Wir empfehlen Ihnen, relevante Arbeitsnotizen in hinzuzufügen SIRIncident.
    2. Wählen Sie Fertigstellen aus.

    Nächste Maßnahme

    Das Profil wechselt in den Status „Warten“. Wenn die Bestätigungsnachricht anzeigt, dass das Setup und die Konfiguration abgeschlossen sind, können Sie das Profil aktivieren.