Detecção de alertas do hub de segurança da AWS

Last updated
Save as PDF
Share
1. Share
2. Tweet
3. Share

É um administrador da Amazon Web Services (AWS) que gere os recursos e serviços da AWS em toda a sua organização. Como parte da sua função, precisa de ser capaz de detectar Security Hub alertas gerados a partir da AWS.

AWS Security Hub recolhe e consolida descobertas dos serviços de segurança da AWS habilitados no seu ambiente, tais como:

resultados de detecção de intrusão de Amazon GuardDuty
verificações de vulnerabilidades a partir de Amazon Inspector
Descobertas da política de bucket do S3 Amazon Macie
recursos acessíveis ao público e entre contas do IAM Access Analyzer
recursos que carecem de cobertura WAF de AWS Firewall Manager

Esta pesquisa foi concebida para descobrir estes alertas.

Dados requeridos

Serviços Web da Amazon:
- CloudTrail
- CloudWatch
- AWS IAM

Como utilizar o software Splunk para este caso de utilização

Para implementar este caso de utilização, certifique-se de que tem o Splunk ES Content Updates instalado no seu Splunk Enterprise Security implantação. Esta extensa biblioteca de conteúdos permite-lhe implementar detecções de segurança prontas para uso e histórias analíticas para melhorar as suas investigações e melhorar a sua postura de segurança. Se não tem Splunk Enterprise Security , estas detecções vão ainda dar-lhe uma ideia do que pode realizar com SPL no Splunk platform ou com a aplicação gratuita, Splunk Security Essentials .

Algumas das detecções que podem ajudá-lo com este caso de uso incluem:

Detect spike in AWS Security Hub alerts for EC2 instance

Próximos passos

Além disso, Splunk Enterprise Security fornece uma série de outras pesquisas para ajudar a reforçar a sua postura de segurança na nuvem, incluindo: