El gigante de la nube Amazon Web Services (AWS) cree que tiene la respuesta para alertar la fatiga en forma de acciones automatizadas.
La nueva capacidad, parte de AWS Security Hub, tiene como objetivo evitar que ocurran errores humanos potencialmente peligrosos durante la revisión manual de grandes cantidades de alertas de seguridad, donde la naturaleza repetitiva de la tarea podría llevar a que los analistas minimicen la importancia de las amenazas, por lo que AWS argumenta
Las alertas de seguridad, o los hallazgos, de todas las demás áreas de AWS, así como de más de 65 soluciones de la Red de socios de AWS (APN), se recopilan en el centro de seguridad. Las acciones automatizadas para estos hallazgos han sido posibles de configurar antes, pero implicaban tener que usar Amazon EventBridge, las funciones de AWS Lambda, un runbook de automatización de AWS Systems Manager o un paso de AWS Step Functions.
Nuevas reglas
También se requerían los permisos de IAM correctos si estas acciones iban a ejecutarse en varias cuentas y regiones, además de mantener la función Lambda y la regla EventBridge para que el flujo de automatización siguiera ejecutándose como se esperaba.
Ahora, sin embargo, las acciones automatizadas son posibles desde el principio, con la capacidad de configurar reglas para actualizar automáticamente varios campos en los hallazgos, como cambiar su gravedad y el estado del flujo de trabajo, agregar notas o suprimirlas automáticamente.
AWS afirma que hay mucha flexibilidad en la forma en que puede usar estas reglas. Por ejemplo, los usuarios pueden cambiar la gravedad de una alerta en función del ID de la cuenta y agregar una nota a la persona que investiga para brindarle información o instrucciones adicionales.
Dicha regla de automatización se puede configurar a través de la CLI de AWS, la consola, la API de Security Hub o el SDK de AWS para Python (Boto3). Incluso puede configurar varias reglas para los mismos hallazgos y asignar el orden en que Security Hub aplica las acciones automatizadas. La regla con el valor más alto se aplica en último lugar y, por lo tanto, tiene el efecto final en el campo en cuestión.
También puede cambiar la gravedad según la etiqueta del recurso. Otro escenario de ejemplo para usar la nueva función de automatización es suprimir un hallazgo que GuardDuty marcó como informativo, lo que significa que no hay amenaza y solo se ha marcado para proporcionar información; por lo tanto, es posible que desee suprimir otros hallazgos que estén marcados como informativos.
Las plantillas también están disponibles para crear nuevas reglas y se actualizan regularmente para reflejar los casos de uso típicos que se aplican a muchos clientes. La plantilla que elija también se puede modificar para satisfacer sus necesidades específicas.
Y si opera en varias regiones, puede duplicar las reglas creadas en su centro de seguridad central para trabajar con ellas.
El anuncio se produjo como parte de la conferencia AWS re: Inforce 2023. Las reglas de automatización en Security Hub se pueden usar ahora, y AWS alienta a los clientes a publicar comentarios en la nueva publicación o comunicarse con el soporte para obtener más información y asistencia con la nueva función.