本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 安全團隊範例:建立 Security Hub CSPM 自動化規則 安全團隊會收到與威脅偵測相關的調查結果,包括 Amazon GuardDuty 調查結果。如需依 AWS 資源類型分類的 GuardDuty 調查結果類型完整清單,請參閱 GuardDuty 文件中的[調查結果類型](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html)。安全團隊必須熟悉所有這些調查結果類型。 在此範例中,安全團隊接受 中安全調查結果的相關風險層級 AWS 帳戶 ,這些調查結果嚴格用於學習目的,不包含重要或敏感資料。此帳戶的名稱為 `sandbox`,帳戶 ID 為 `123456789012`。安全團隊可以建立 AWS Security Hub CSPM 自動化規則,以抑制此帳戶的所有 GuardDuty 調查結果。他們可以從涵蓋許多常見使用案例的範本建立規則,也可以建立自訂規則。在 Security Hub CSPM 中,我們建議預覽條件的結果,以確認規則傳回預期的調查結果。 **注意** 此範例重點介紹自動化規則的功能。我們不建議隱藏帳戶的所有 GuardDuty 調查結果。內容很重要,每個組織都必須根據資料類型、分類和緩解控制選擇要隱藏的問題清單。 以下是用來建立此自動化規則的參數: + **規則:** + **規則名稱**為 `Suppress findings from Sandbox account` + **規則描述**為 `Date: 06/25/23 Authored by: John Doe Reason: Suppress GuardDuty findings from the sandbox account` + **條件:** + `AwsAccountId` = `123456789012` + `ProductName` = `GuardDuty` + `WorkflowStatus` = `NEW` + `RecordState` = `ACTIVE` + **自動化動作:** + `Workflow.status` 是 `SUPPRESSED` 如需詳細資訊,請參閱 Security Hub CSPM 文件中的[自動化規則](https://docs.aws.amazon.com/securityhub/latest/userguide/automation-rules.html)。安全團隊有許多選項可以調查和修復偵測到的威脅問題清單。如需廣泛的指引,請參閱 [AWS 安全事件回應指南](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html)。我們建議您檢閱本指南,確認您已建立強大的事件回應程序。