Planen Sie AWS Security HubErgebnisabruf

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer
  • Legen Sie einen Zeitplan fest, um die Ergebnisdaten abzurufen und zu erfassen AWS Security HubErgebnisse, die den Kriterien im Profil entsprechen.

    Vorbereitungen

    Erforderliche Rolle: sn_sni.admin

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können planen, wie oft Sie in der Zukunft abfragen möchten AWS Security HubErgebnisse, die mit übereinstimmen AWS Security HubErgebnisprofilkonfiguration.

    Das Abfrageintervall wird für jedes Profil einzeln konfiguriert. Die verschiedenen Abfrageintervalle können sich auf die Leistung von auswirken AWS Security HubErgebnisintegration. Planen Sie bei der Planung, dass die Systemlast gegen die Dringlichkeit eines Incidents ausgeglichen wird. Für alle Profile ist ein einminütiger Standardwert festgelegt. Sie können diese Einstellung basierend auf der Dringlichkeit des Incidents und der erwarteten Belastung Ihres Systems ändern.

    Alle Warnungen, die dem Incident in einem bestimmten Abfrageintervall hinzugefügt werden, werden verarbeitet und dann an angehängt AWS Security HubZugehörige Listen und Kommentare zu Warnungen.

    Prozedur

    1. Füllen Sie im Zeitplanformular die Felder aus.

      Konfigurieren Sie den Zeitplan, um zu definieren, wie und wann Sie Ergebnisse aus abrufen AWS Security HubMandant.

      Tabelle : 1. Zeitplanformular
      Feld Beschreibung
      Laufende Ergebniserfassung Laufende Ergebniserfassung, die der ist Now PlatformInstanz wird aus abgerufen AWS Security HubMandant für neue Incidents. Security Incidents werden erstellt, wenn ausgelöste Ergebnisse gefunden werden und die Filterkriterien für die Generierung von Security Incidents übereinstimmen.
      Geschlossene Ergebnisse abfragen Abfrageergebnisse, die gelöst wurden.

      Diese Ergebnisse werden während der laufenden Incident-Erfassung erfasst.

      Abfrageschritt (Minuten) Abfragehäufigkeit, die in Minuten definiert ist.
      Legen Sie die Zeit der ersten Ergebniserfassung fest Ergebniserfassung, die auf dem konfigurierten Datum und der konfigurierten Uhrzeit basiert.

      Sie können diese Option verwenden, um ein bestimmtes Datum und eine bestimmte Uhrzeit für die erste Erfassung zu definieren. Nachfolgende Erfassungen basieren auf dem Abfrageintervall-Zeitraum.

      Geben Sie die Zeit der ersten Ergebniserfassung ein

      Datum und Uhrzeit, die Sie für die Incident-Erfassung angeben.

      Einmaliger Abruf Aktivieren Sie dieses Kontrollkästchen, um den einmaligen Abruf von Verläufen zu ermöglichen AWS Security HubErgebnisse, und führen Sie dann den Abgleich der Daten durch. Wenn Sie dieses Kontrollkästchen aktivieren, ruft die Anwendung alle offenen und geschlossenen ab AWS Security HubErgebnisse für den Zeitraum von ungefähr 90 Tagen.

      Bei der Verarbeitung der Daten werden sowohl laufende Ergebnisse als auch Verlaufsdaten abgerufen, aber die Verarbeitung der laufenden Ergebnisse hat Vorrang vor dem historischen Abruf. Andernfalls kann der historische Abruf basierend auf der Dauer und der Anzahl der erfassten Ergebnisse einige Zeit dauern.

      Hinweis:
      Der abgerufene Verlauf AWS Security HubErgebnisse werden Deduplizierungsprüfungen unterzogen, um Duplikate innerhalb von zu verhindern Security Incident ResponseAnwendung.
      Seit Datum Das Datum, ab dem die historischen Ergebnisse erfasst werden AWS Security Hub.
      Hinweis:
      Die Ergebnisdaten werden ungefähr aus den letzten 90 Tagen abgerufen.

      Auf der Planungsseite können Sie definieren, wie und wann Ergebnisse aus abgerufen werden AWS Security HubMandant.

    2. Klicken Sie auf, um zur Seite „zusätzliche Optionen“ zu navigieren Fahren Sie Fort .