Ordnen Sie zu AWS Security Hub Ergebnisfelder

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 6 Minuten Lesedauer

    • Ordnen Sie die Person zu AWS Security Hub Suchfelder für die Felder in SIR Security Incident, damit Sie Incidents mit den zugeordneten Daten erstellen können.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Auf der Zuordnungsseite in AWS Security Hub Zuordnungsabschnitt wählen Sie eine der Beispielerfassungsmethoden aus.
      Tabelle : 1. Beispiel für Erfassungsmethoden
      Feld Beschreibung
      Alle standardmäßigen Ergebnisfelder Verwenden Sie diese Erfassungsmethode, um die statische Liste aller Ergebnisfelder anzuzeigen. Diese Methode enthält nur Standardfeldnamen ohne Werte.

      Sie können diese Informationen verwenden, um eine Zuordnung zu vorzunehmen SIR Felder.
      Aktuelle Abrufen AWS Security Hub Ergebnisse Verwenden Sie diese Erfassungsmethode, um die neuesten Ergebnisdaten zu importieren.

      Sie können standardmäßig 5 Beispielergebnisse und maximal 20 Beispielergebnisse erfassen.

      Die Feldwerte für Beispielergebnisse werden ausgefüllt, wenn das Profil die Beispielergebnisse erfasst. Sie können diese Ergebnisse dem zuordnen SIR-Incident-Zielfelder . Die Ergebnisfelder und -Werte werden als einzelne Registerkarten angezeigt.
      Importieren Sie Beispieldaten Wählen Sie Aus Importieren Sie Beispieldaten Dient zum Importieren von Beispielergebnissen aus AWS Security Hub.

      Diese Schaltfläche wird angezeigt, wenn Sie zuletzt abrufen auswählen AWS Security Hub Ergebniserfassungsmethode.

      Beispielergebnisse werden von abgerufen AWS Security Hub Der Server dauert einige Minuten.

      Ordnen Sie diese Ergebnisse dem zu SIR-Incident-Zielfelder . Die Ergebnisfelder und -Werte werden als einzelne Registerkarten angezeigt.
    2. Führen Sie die folgenden Aktionen aus, um den Standardfeldern, die im Security Incident angezeigt werden, Felder hinzuzufügen:
      Wählen Sie im Abschnitt SIR Incident-Zielfelder die aus Schaltfläche „weiteres Feld zuordnen“.Schaltfläche. Es wird eine Liste von angezeigt SIR Felder, aus denen Sie auswählen können, um ein neues Feld anzuzeigen.
      1. Erweitern Sie in der Spalte Security Incident die angezeigte Liste, und wählen Sie dann ein Feld aus.
        Hinweis:
        Mehrere erkennbare Elemente können für denselben Security Incident angezeigt werden. Zum Beispiel die Erkennbares Element Das Feld kann mehrmals verschiedenen Werten zugeordnet werden. Ebenso wird Konfigurationselement Und Felder für Arbeitsnotizen Unterstützt mehrere Werte. Wenn Sie versuchen, zwei Werte einem Feld zuzuordnen, das nicht mehrere Werte unterstützen kann, wird eine Fehlermeldung angezeigt, dass dieses Feld nicht mehrere Werte unterstützt. Wenn ein Feld in einem Security Incident über eine Liste verfügt, aus der Sie mehrere Optionen auswählen können, und Sie versuchen, diesem Feld eine Option zuzuordnen, die nicht in der Liste angezeigt wird, wird das Feld im Security Incident nicht ausgefüllt.
      2. Von AWS Security Hub Abschnitt „Quellfelder“ ziehen Sie Ihr Feld, um es Ihrem neuen Feld zuzuordnen.
      3. Wenn Sie das Kontrollkästchen aktivieren, das einem Feld entspricht, werden alle neuen oder aktualisierten Änderungen in vorgenommen AWS Security Hub Werden automatisch im jeweiligen SIR mit neuen Incident-Daten aktualisiert.
        Hinweis:
        Im Basissystem ist die Systemeigenschaft sn_sec_Security.finding_updates standardmäßig auf „wahr“ festgelegt, um zu empfangen AWS Security Hub Updates im Zusammenhang mit neuen Warnungen, die mit SIR verknüpft sind.
        • Standardmäßig sind die Felder Betroffene Anwender, Konfigurationselemente und erkennbare Elemente aktiviert. Dies bedeutet, dass immer dann, wenn neue erkennbare Elemente oder zugehörige Konfigurationselemente oder betroffene Anwender dem Incident hinzugefügt werden, diese Informationen während dieses Abfrageintervalls automatisch extrahiert und in die entsprechenden zugehörigen Listen in der Security Incident Response (SIR) eingetragen werden.
        • Für alle anderen Felder müssen Sie das Kontrollkästchen aktivieren, das einem Feld für alle neuen oder aktualisierten Änderungen entspricht, die im Ergebnis in vorgenommen wurden AWS Security Hub. Dadurch werden die entsprechenden SIR-Incident-Daten automatisch mit den neuen Incident-Daten aktualisiert.
        Wichtig:
        Vor der Auswahl dieser Funktionalität muss eine Sorgfaltspflicht durchgeführt werden, da das Überschreiben der vorhandenen Daten zu instabilen Daten führen kann, mit denen der Analyst arbeiten kann, und jede andere Automatisierung, die auch durch die Feldwerte des Security Incident festgelegt wird, kann ebenfalls betroffen sein. Daher ist es wichtig, die Sorgfaltspflicht durchzuführen, bevor Sie eine Überschreibungsfunktion auswählen.
    3. Verwenden Sie zum Entfernen eines Felds Schaltfläche „Entfernen“, ( Element entfernen ) Schaltfläche neben dem Eingabeausdrucksfeld im Abschnitt SIR Incident-Zielfelder.
    4. Dient zum Zuordnen eines Feldwerts aus dem AWS Security Hub Abschnitt „Quellfelder“ zu einem Feld im Abschnitt „SIR-Incident-Zielfelder“ verwenden Sie eine der folgenden Aktionen:
      1. Ziehen Sie den Feldnamen (z. B. ID), und legen Sie ihn neben einem Feldnamen in der Spalte SIR Incident-Zielfelder ab.

        Sie können jeden Wert aus dem abgleichen AWS Security Hub Quellfeldabschnitt zu einem Feld im Abschnitt SIR-Incident-Zielfelder. Felder sind farbcodiert, damit Sie Ergebnisfelder im Zuordnungsprozess nicht übersehen oder duplizieren. Hellblaue Felder geben an, dass noch kein Ergebnisfeld ausgewählt und dem Security Incident zugeordnet ist. Möglicherweise möchten Sie ein eingehendes Ergebnisfeld mit mehr als einem Feld in einem Security Incident verknüpfen. Ein graues Feld gibt an, dass ein Ergebnisfeld ausgewählt und einem Feld im Security Incident zugeordnet wurde. Auf diese Weise können Sie visualisieren, welche Feldwerte dem Security Incident hinzugefügt wurden und ob verbleibende wichtige Ergebnisinformationen nicht zugeordnet sind. Es gibt jedoch einige Felder in AWS Security Hub Abschnitt „Quellfelder“, die nicht mit Feldern im Abschnitt „SIR-Incident-Zielfelder“ kompatibel sind. Wenn Sie solche Werte zuordnen, wird sie beim Erstellen des SIR nicht angezeigt.

      2. Sie können eine Kombination aus Text und Feld hinzufügen.
        Beispiel: Ergebnisname ist ${Name}$ . Hier, Ergebnisname ist Kann während manuell eingegeben werden ${Name}$ Ist aus zugeordnet AWS Security Hub Abschnitt „Quellfelder“.
      3. Sie können ein Quell-Ergebnisfeld manuell eingeben und einem Zielfeld zuordnen.
        Verwenden Sie das⁠Format $ {field Name}$, um ein Quellergebnisfeld manuell zuzuordnen. Um beispielsweise einen Schweregrad eines Ergebnisfelds zuzuordnen, lautet das Format $⁠{properties(severity)}$ .
      Diese Integration klassifiziert bestimmte Untertypen erkennbarer Elemente. Wenn Sie einen zuordnen AWS Security Hub Suchfeld mit dem SIR-erkennbaren Feld, der ServiceNow AI Platform Klassifiziert das erkennbare Element automatisch. Wenn Sie die eingehenden generischen zuordnen möchten AWS Security Hub Erkennbares Element für den Typ des erkennbaren Elements in SIR, Und ziehen Sie dann per Drag-and-Drop AWS Security Hub Feld im Feld erkennbares Element. Wenn Sie jedoch den erkennbaren Typ für den eingehenden kennen AWS Security Hub Erkennbares Element in SIR, Und ordnen Sie dann speziell dem zu SIR Typfeld des erkennbaren Elements. Einige Beispiele für bestimmte Typen erkennbarer Elemente in SIR Schließen Sie erkennbares Element (Domänenname), erkennbares Element (E-Mail-Adresse), erkennbares Element (IP-Adresse (V4)) und erkennbares Element (Hostname) ein.

      Manchmal werden Feldwerte in gesucht AWS Security Hub Kann nicht direkt in die Felder des SIR Security Incident übersetzt werden. Für diese Werte können Sie einen Skripteditor verwenden, um Feldwerte für den Security Incident während des Zuordnungsschritts zu formatieren. Verwenden Sie den Skript-Editor, wenn Sie Werte formatieren möchten, die ähnlich, aber nicht identisch sind.

    5. Formatieren einer Feldübersetzung für ein neues Feld aus einem AWS Security Hub Suche um einen Feldwert in einem Security Incident abzugleichen, klicken Sie auf Klicken Sie hier Link in SIR-Incident-Zielfelder Header.
    6. Klicken Sie auf , um die Felder zu ändern, die die Feldübersetzung unterstützen Schaltfläche „Feldformat“Symbol für Übersetzung des Skriptformatfelds.
      Die Felder, die die Feldübersetzung unterstützen, sind Kategorie , Konfigurationselement , Und Priorität . Klicken Sie beispielsweise auf Schaltfläche „Feldformat“Symbol neben der Kategorie. Die AWS Security Hub Der Editor des Skripts für die Übersetzung des Ergebnisfelds wird geöffnet.
    7. Geben Sie alle Änderungen am Skript ein, und klicken Sie auf Aktualisieren Um die Änderungen zu speichern und zur Zuordnungsseite zurückzukehren.
      Definieren Sie beispielsweise für Kategorie Folgendes im Skript-Editor:
      "<Incoming Security Hub finding Field Value>" : "<Category to assign to the Security Incident>".
      Diese Zuordnung stellt sicher, dass ein Profil nur konfigurierte Kategorien verwendet.
    8. Setzen Sie Ihre Zuordnung fort, indem Sie Feldwerte hinzufügen oder entfernen.
      Sie können dieselben Feldwerte im Generator für Incident-Generierungsbedingungen verwenden, um zusätzliche Kriterien zu definieren, die ein eingehendes Ergebnis erfüllen muss, um einen Security Incident zu erstellen.
    9. Um zum Abschnitt Filtern und Zusammenfassung zu wechseln, klicken Sie auf Fahren Sie Fort .

    Nächste Maßnahme

    Definieren und legen Sie Filterbedingungen fest, damit Sie angeben können, welche Ergebnisse Security Incidents erstellen. Sie können dieselben Feldwerte (definiert im Abschnitt „Zuordnung“) im Generator für Incident-Generierungsbedingungen (im Abschnitt „Filterung und Zusammenfassung“) verwenden, um zusätzliche Kriterien zu definieren, die ein eingehendes Ergebnis erfüllen muss, um einen Security Incident zu erstellen.