本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 准备分配安全调查发现
<a name="prepare-finding-assignments"></a>

在本节中，您将设置团队用于管理和分配安全调查发现的工具。本节包括以下选项：
+ [在现有工具和工作流程中管理调查发现](existing-tools.md)— 此选项可 AWS Security Hub CSPM 与您的团队用来管理日常任务（例如产品待办事项）的现有系统集成。对于已有既定工具管理工作流程的团队，建议使用此选项。
+ [在 Security Hub CSPM 中管理调查结果](manage-findings-in-security-hub.md)— 此选项配置 Security Hub CSPM 事件的通知，以便相应的团队收到警报并可以在 Security Hub CSPM 中处理发现的问题。

确定哪种工作流程最适合您的团队，并确保安全调查发现能够迅速送达各自的负责人。

# 在现有工具和工作流程中管理调查发现
<a name="existing-tools"></a>

对于已经建立团队用来管理或执行日常任务的工具的企业组织，我们建议他们使用其他 Security Hub CSPM 集成。您可以将 Security Hub CSPM 查找数据导入多个技术平台。例子包括：
+ [安全信息和事件管理（SIEM）系统](apg-gloss.md#glossary-siem)可帮助安全团队对运营安全事件进行分类。SIEM 系统提供对应用程序和网络硬件生成的安全提醒的实时分析。
+ [治理、风险与合规（GRC）](https://aws.amazon.com/what-is/grc/)系统可帮助合规和治理团队监控和报告风险管理数据。GRC 工具是企业可以用来管理策略、评测风险、控制用户访问和简化合规的软件应用程序。您可使用 GRC 工具来整合业务流程、降低成本和提升效率。
+ 产品待办事项和工单系统可帮助应用程序和云团队管理功能并确定开发任务的优先顺序。[https://www.atlassian.com/software/jira](https://www.atlassian.com/software/jira) 和 [https://learn.microsoft.com/en-us/azure/devops/user-guide/what-is-azure-devops](https://learn.microsoft.com/en-us/azure/devops/user-guide/what-is-azure-devops) 就是这些系统的示例。

将Security Hub CSPM调查结果直接与这些现有企业系统集成，可以缩短平均恢复时间 (MTTR) 和安全结果，因为日常操作工作流程不必改变。由于团队不必使用单独的工作流程和工具，因此其可以更快地作出响应并从安全调查发现中吸取教训。集成使处理安全调查发现成为正常标准工作流程的一部分。

Security Hub CSPM 与多个第三方合作伙伴产品集成。有关完整列表和说明，请参阅 Security Hub CSPM [文档中可用的第三方合作伙伴产品集成](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html)。常见的集成包括 [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-atlassian-jira-service-management](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-atlassian-jira-service-management)，[AWS Security Hub CSPM 与Jira软件双向集成，以及](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html)。[https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-servicenow-itsm](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-servicenow-itsm)下图显示了如何将 Amazon Inspector 配置为将调查结果发送到 Security Hub CSPM，然后将 Security Hub CSPM 配置为将所有调查结果发送到。Jira



![\[将 Amazon Inspector 和 AWS Security Hub CSPM 调查结果发送至 Jira\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/vulnerability-management/images/jira-integration-security-hub.png)


# 在 Security Hub CSPM 中管理调查结果
<a name="manage-findings-in-security-hub"></a>

您可以使用亚马逊 EventBridge规则和[亚马逊](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)简单通知服务 (Amazon SNS) Service Sentification Service 主题为 Security Hub CSPM 调查结果构建基于云的通知系统。该系统会在创建调查发现时通知相应的团队。对于此方法，[开发一个 AWS 账户 结构](prepare-environment.md#account-structure)中所述的多账户策略至关重要，因为应用程序被划分到专用账户。这可以帮助您将每个调查发现通知正确的团队。

安全团队或云团队可能会选择接收来自所有人的事件 AWS 账户。在这种情况下，请在 Security Hub CSPM 委托管理员账户中制定 EventBridge 规则，并订阅通知这些团队的 Amazon SNS 主题。对于应用程序团队，请在各自的应用程序帐户中配置 EventBridge 规则和 SNS 主题。当应用程序帐户中出现 Security Hub CSPM 发现时，负责团队会收到有关该发现的通知。

Security Hub CSPM 已经自动将所有新发现和现有发现的所有更新发送到 EventBridge Sec **urity Hub CSPM 调查结果** ——已导入的事件。每个 S **ecurity Hub CSPM 调查结果——已导入**的事件都包含一个发现。您可以对 EventBridge 规则应用过滤器，这样，只有当查找结果与筛选条件匹配时，查找结果才会启动规则。有关说明，请参阅[为自动发送的调查结果配置 EventBridge 规则](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-all-findings.html)。有关创建和订阅 Amazon SNS 主题的更多信息，请参阅 [Configuring Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-configuring.html)。

使用此方法时，请考虑以下几点：
+ 对于应用程序团队，请在每个团队 AWS 账户 以及应用程序的托管 AWS 区域 位置中创建 EventBridge 规则。
+ 对于安全和云团队，请在 Security Hub CSPM 委托管理员帐户中创建 EventBridge 规则。这会通知团队关于成员账户中的所有调查发现。
+ 如果安全调查发现的状态为 `NEW`，Amazon SNS 会每天发送通知。如果您想关闭每日通知，则可以创建一个自定义 AWS Lambda 函数，在 Amazon SNS 订阅者收到通知`NOTIFIED`后，`NEW`将查找结果的状态从更改为。