Integration von AWS Security Hub

IBM® QRadar® Cloud Visibility unterstützt die Integration mit Amazon AWS Security Hub. Angriffe, die sich auf AWS -Protokollquellen in QRadar beziehen, können an AWS Security Hub gesendet werden, sodass sie zusammen mit Ergebnissen, die von anderen Services wie Amazon GuardDutybereitgestellt werden, angezeigt und analysiert werden können.

Die QRadar Cloud Visibility -App wandelt QRadar Angriffe in das Amazon Security Finding Format (ASFF) um, bevor sie an AWS Security Hub übergeben werden.

QRadar -Angriffe werden im Feld Typen von ASFF als TTPs (Taktiken, Verfahren und Prozeduren) und ungewöhnliche Verhaltensweisen kategorisiert. Weitere Informationen finden Sie in https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html#securityhub-findings-format-type-taxonomy (https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html#securityhub-findings-format-type-taxonomy).

Die Wertigkeit des QRadar -Angriffs, der eine Skala im Bereich von 0 bis 10 aufweist, wird normalisiert, um das Format von ASFF im Bereich von 40-69 anzupassen. wie in der Security Hub-Richtlinie für "Threat detection and unusual behavior type feststellungen" unter https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html#securityhub-findings-format-attributes vorgeschlagen (https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html#securityhub-findings-format-attributes).