我使用 AWS Security Hub 对控件进行安全检查并生成控件调查发现。我想在发布合并控件视图和合并控件调查发现后更新我的工作流。
简短描述
AWS Security Hub 有两个功能,可将控件与标准分离。这些功能简化了您查看和接收控件调查发现的方式:
使用合并控件视图,您可以从 Security Hub 控制台的控件页面看到控件合并列表。Security Hub 还为各标准的控件分配一致的安全控制 ID。这可以帮助您调查影响多个合规框架的失败调查发现。
合并控件调查发现简化了您的控件调查发现。启用此功能后,Security Hub 会为安全检查生成一个调查发现,即使是跨多个标准共享一个检查。这样可以减少调查发现影响因素,并帮助您专注于影响环境的安全问题。
**注意:**两项功能将会造成 AWS Security Finding Format(ASFF)中的控件调查发现字段和值改变。
解决方法
如果您的工作流不依赖于任何控件调查发现字段的特定格式,则无需执行任何操作。最好是立即启用合并控件调查发现。
AWS 上的自动化安全响应 v.2.0.0 支持合并控件调查发现。如果您使用 AWS 上的自动化安全响应 v.2.0.0,则可以在不中断工作流的情况下启用合并控件调查发现。
如果您依赖任何控件调查发现字段的特定格式(例如自定义自动化),请查看调查发现字段和值更改。确认您的工作流继续按预期运行。有关更多信息和示例,请参阅更新合并工作流。
如果您使用已更改的控件调查发现字段或值来创建自定义见解,那么更新这些见解是最佳做法。自定义见解必须使用新的字段或值。有关更多信息,请参阅合并对 ASFF 字段和值的影响。