Tác giả: Ahmed Adekunle, Kyle Shields, và Alex Waddell
Ngày phát hành: 13 JAN 2026
Chuyên mục: AWS Security Hub, Intermediate (200), Security, Identity, & Compliance, Technical How-to

Một phiên bản mới của AWS Security Hub hiện đã có sẵn rộng rãi, giới thiệu những cách thức mới để các tổ chức quản lý và phản hồi các phát hiện bảo mật. Security Hub được cải tiến giúp bạn cải thiện tư thế bảo mật của tổ chức và đơn giản hóa các hoạt động bảo mật đám mây bằng cách tập trung quản lý bảo mật trên môi trường Amazon Web Services (AWS) của bạn. Security Hub mới thay đổi cách các tổ chức xử lý các phát hiện bảo mật thông qua các khả năng tự động hóa nâng cao với phân tích rủi ro theo thời gian thực, tương quan tự động và ngữ cảnh được làm giàu mà bạn có thể sử dụng để ưu tiên các vấn đề quan trọng và giảm thời gian phản hồi. Tự động hóa cũng giúp đảm bảo các quy trình phản hồi nhất quán và giúp bạn đáp ứng các yêu cầu tuân thủ.

AWS Security Hub CSPM (quản lý tư thế bảo mật đám mây) hiện là một phần không thể thiếu của các công cụ phát hiện cho Security Hub. Security Hub cung cấp khả năng hiển thị tập trung trên nhiều dịch vụ bảo mật AWS để cung cấp cho bạn cái nhìn thống nhất về môi trường đám mây của bạn, bao gồm các chế độ xem ưu tiên dựa trên rủi ro, trực quan hóa đường dẫn tấn công và phân tích xu hướng giúp bạn hiểu các mẫu bảo mật theo thời gian.

Đây là bài viết thứ ba trong loạt bài của chúng tôi về các khả năng mới của Security Hub. Trong bài viết đầu tiên, chúng tôi đã thảo luận về cách Security Hub hợp nhất các phát hiện trên các dịch vụ AWS để hợp lý hóa việc quản lý rủi ro. Trong bài viết thứ hai, chúng tôi đã chia sẻ các bước để thực hiện thành công một bằng chứng khái niệm (PoC) của Security Hub.

Trong bài viết này, chúng tôi khám phá cách bạn có thể nâng cao hoạt động bảo mật của mình bằng cách sử dụng các quy tắc tự động hóa và phản hồi tự động của AWS Security Hub.

Chúng tôi sẽ hướng dẫn bạn thiết lập và cấu hình các quy tắc tự động hóa, chia sẻ các phương pháp hay nhất để tạo các quy trình làm việc phản hồi hiệu quả, và cung cấp các ví dụ thực tế về cách các công cụ này có thể được sử dụng để tự động khắc phục, leo thang các phát hiện có mức độ nghiêm trọng cao và hỗ trợ các yêu cầu tuân thủ.

Tự động hóa Security Hub cho phép phản hồi tự động các phát hiện bảo mật để giúp đảm bảo các phát hiện quan trọng đến đúng nhóm một cách nhanh chóng, để họ có thể giảm nỗ lực thủ công và thời gian phản hồi cho các sự cố bảo mật phổ biến trong khi vẫn duy trì các quy trình khắc phục nhất quán.

Lưu ý: Các quy tắc tự động hóa đánh giá các phát hiện mới và được cập nhật mà Security Hub tạo hoặc nhập sau khi bạn tạo chúng, chứ không phải các phát hiện lịch sử. Các khả năng tự động hóa này giúp đảm bảo các phát hiện quan trọng đến đúng nhóm một cách nhanh chóng.

Tầm quan trọng của tự động hóa trong bảo mật đám mây

Các tổ chức thường hoạt động trên hàng trăm tài khoản AWS, nhiều AWS Region và các dịch vụ đa dạng—mỗi dịch vụ đều tạo ra các phát hiện cần được phân loại, điều tra và xử lý. Nếu không có tự động hóa, các nhóm bảo mật phải đối mặt với khối lượng cảnh báo lớn, sự trùng lặp công việc và nguy cơ phản hồi chậm trễ đối với các vấn đề quan trọng.

Các quy trình thủ công không thể theo kịp các hoạt động đám mây; tự động hóa giúp giải quyết vấn đề này bằng cách thay đổi hoạt động bảo mật của bạn theo ba cách. Tự động hóa lọc và ưu tiên các phát hiện dựa trên tiêu chí của bạn, chỉ hiển thị cho nhóm của bạn các cảnh báo liên quan. Khi các vấn đề được phát hiện, các phản hồi tự động sẽ được kích hoạt ngay lập tức—không cần can thiệp thủ công.

Nếu bạn đang quản lý nhiều tài khoản AWS, tự động hóa sẽ áp dụng các chính sách và quy trình làm việc nhất quán trên môi trường của bạn thông qua quản lý tập trung, chuyển nhóm bảo mật của bạn từ việc theo dõi cảnh báo sang chủ động quản lý rủi ro trước khi các vấn đề leo thang.

Thiết kế chiến lược định tuyến cho các phát hiện bảo mật

Với Security Hub đã được cấu hình, bạn đã sẵn sàng thiết kế chiến lược định tuyến cho các phát hiện và thông báo của mình. Khi thiết kế chiến lược định tuyến, hãy tự hỏi liệu cấu hình Security Hub hiện có của bạn có đáp ứng các yêu cầu bảo mật của bạn hay không. Hãy xem xét liệu các tự động hóa của Security Hub có thể giúp bạn đáp ứng các yêu cầu khung bảo mật như NIST 800-53 và xác định các KPI và số liệu để đo lường xem chiến lược định tuyến của bạn có hiệu quả hay không.

Các quy tắc tự động hóa và phản hồi tự động của Security Hub có thể giúp bạn đáp ứng các yêu cầu trên, tuy nhiên điều quan trọng là phải hiểu cách các nhóm tuân thủ, người phản ứng sự cố, nhân viên vận hành bảo mật và các bên liên quan khác về bảo mật hoạt động hàng ngày. Ví dụ, các nhóm có thường xuyên sử dụng AWS Management Console cho AWS Security Hub không? Hay bạn cần gửi hầu hết các phát hiện xuống một công cụ quản lý hệ thống CNTT (ITSM) (như Jira hoặc ServiceNow) hoặc các nền tảng điều phối, tự động hóa và phản hồi bảo mật (SOAR) của bên thứ ba để theo dõi sự cố, quản lý quy trình làm việc và khắc phục?

Tiếp theo, hãy tạo và duy trì một danh mục các ứng dụng quan trọng. Điều này giúp bạn điều chỉnh mức độ nghiêm trọng của phát hiện dựa trên ngữ cảnh kinh doanh và các playbook phản ứng sự cố của bạn.

Hãy xem xét kịch bản trong đó Security Hub xác định một lỗ hổng có mức độ nghiêm trọng trung bình trên một phiên bản Elastic Compute Cloud. Đơn lẻ, điều này có thể không kích hoạt hành động ngay lập tức. Khi bạn thêm ngữ cảnh kinh doanh—chẳng hạn như mục tiêu chiến lược hoặc mức độ quan trọng của doanh nghiệp—bạn có thể phát hiện ra rằng phiên bản này lưu trữ một ứng dụng xử lý thanh toán quan trọng, tiết lộ rủi ro thực sự. Bằng cách triển khai các quy tắc tự động hóa Security Hub với ngữ cảnh được làm giàu, phát hiện này có thể được nâng cấp lên mức độ nghiêm trọng nghiêm trọng và tự động định tuyến đến ServiceNow để theo dõi ngay lập tức. Ngoài ra, bằng cách sử dụng tự động hóa Security Hub với Amazon EventBridge, bạn có thể kích hoạt một tài liệu AWS Systems Manager Automation để cô lập phiên bản EC2 cho công việc điều tra pháp y bảo mật sau đó được thực hiện.

Vì Security Hub cung cấp định dạng và lược đồ OCSF, bạn có thể sử dụng các yếu tố lược đồ mở rộng mà OCSF cung cấp để nhắm mục tiêu các phát hiện cho tự động hóa và giúp tổ chức của bạn đáp ứng các yêu cầu chiến lược bảo mật.

Các trường hợp sử dụng ví dụ

Tự động hóa Security Hub hỗ trợ nhiều trường hợp sử dụng. Hãy nói chuyện với các nhóm của bạn để hiểu những trường hợp nào phù hợp với nhu cầu và mục tiêu bảo mật của bạn. Sau đây là một số ví dụ về cách bạn có thể sử dụng tự động hóa Security Hub:

Tự động khắc phục phát hiện

Sử dụng tự động khắc phục phát hiện để tự động sửa các vấn đề bảo mật ngay khi chúng được phát hiện.

Các mẫu hỗ trợ:

• Khắc phục trực tiếp: Kích hoạt các hàm AWS Lambda để sửa các cấu hình sai
• Gắn thẻ tài nguyên: Thêm thẻ vào các tài nguyên không tuân thủ để theo dõi
• Sửa lỗi cấu hình: Cập nhật cấu hình tài nguyên để phù hợp với các chính sách bảo mật
• Điều chỉnh quyền: Sửa đổi các chính sách AWS Identity and Access Management (IAM) để loại bỏ các quyền quá mức

Ví dụ:

• IF finding.type = “Software and Configuration Checks/Industry and Regulatory Standards/CIS AWS Foundations Benchmark”
• AND finding.title CONTAINS “S3 buckets should have server-side encryption enabled”
• THEN invoke Lambda function “enable-s3-encryption”

Tích hợp quy trình làm việc phát hiện bảo mật

Tích hợp các phát hiện vào quy trình làm việc của bạn bằng cách định tuyến chúng đến các nhóm và hệ thống thích hợp.

Các mẫu hỗ trợ:

• Tạo vé: Tạo vé JIRA hoặc ServiceNow để xem xét thủ công
• Gán nhóm: Định tuyến các phát hiện đến các nhóm cụ thể dựa trên quyền sở hữu tài nguyên
• Định tuyến dựa trên mức độ nghiêm trọng: Định tuyến các phát hiện quan trọng đến phản ứng sự cố, các phát hiện khác đến hàng đợi thông thường
• Theo dõi tuân thủ: Gửi các phát hiện liên quan đến tuân thủ đến các hệ thống GRC

Ví dụ:

• IF finding.severity = “CRITICAL” AND finding.productName = “Amazon GuardDuty”
• THEN send to SNS topic “security-incident-response-team”
• ELSE IF finding.productFields.resourceOwner = “payments-team”
• THEN send to SNS topic “payments-security-review”

Tự động làm giàu thông tin phát hiện

Sử dụng làm giàu thông tin phát hiện để thêm ngữ cảnh vào các phát hiện nhằm cải thiện hiệu quả phân loại.

Các mẫu hỗ trợ:

• Thêm ngữ cảnh tài nguyên: Thêm ngữ cảnh kinh doanh, thông tin chủ sở hữu và phân loại dữ liệu
• Phân tích lịch sử: Thêm thông tin về các phát hiện tương tự trước đó
• Tính điểm rủi ro: Tính toán điểm rủi ro tùy chỉnh dựa trên giá trị tài sản và ngữ cảnh mối đe dọa
• Tương quan lỗ hổng: Liên kết các phát hiện với các Lỗ hổng và Phơi nhiễm Chung (CVEs) đã biết hoặc thông tin tình báo về mối đe dọa

Ví dụ:

• IF finding.type CONTAINS “Vulnerability/CVE”
• THEN invoke Lambda function “enrich-with-threat-intelligence”

Các kiểm soát bảo mật tùy chỉnh

Sử dụng các kiểm soát bảo mật tùy chỉnh để đáp ứng các yêu cầu bảo mật cụ thể của tổ chức.

Các mẫu hỗ trợ:

• Thực thi chính sách tùy chỉnh: Kiểm tra sự tuân thủ các tiêu chuẩn nội bộ
• Các quy tắc dành riêng cho doanh nghiệp: Áp dụng các quy tắc dựa trên đơn vị kinh doanh hoặc loại ứng dụng
• Các kiểm soát bù đắp: Thực hiện các lựa chọn thay thế khi các kiểm soát chính không thể áp dụng
• Các ngoại lệ tạm thời: Xử lý các sai lệch đã được phê duyệt so với các tiêu chuẩn bảo mật

Ví dụ:

• IF finding.resourceType = “AWS::EC2::Instance” AND
  • finding.resourceTags.Environment = “Production” AND
  • finding.title CONTAINS “vulnerable software version”
• THEN invoke Lambda function “enforce-patching-policy”

Báo cáo tuân thủ và thu thập bằng chứng

Hợp lý hóa tài liệu tuân thủ và thu thập bằng chứng.

Các mẫu hỗ trợ:

• Thu thập bằng chứng: Lưu trữ bằng chứng tuân thủ trong các S3 bucket được chỉ định
• Tạo dấu vết kiểm toán: Ghi lại các hành động khắc phục cho kiểm toán viên
• Tạo bảng điều khiển tuân thủ: Cập nhật các số liệu trạng thái tuân thủ
• Ánh xạ quy định: Gắn thẻ các phát hiện với các khung tuân thủ liên quan

Ví dụ:

• IF finding.complianceStandards CONTAINS “PCI-DSS”
• THEN invoke Lambda function “capture-pci-compliance-evidence”
• AND send to SNS topic “compliance-team-notifications”

Thiết lập tự động hóa Security Hub

Trong phần này, bạn sẽ thực hiện việc bật Security Hub và các dịch vụ liên quan cũng như tạo các quy tắc tự động hóa.

Bước 1: Bật Security Hub và các dịch vụ tích hợp

Là bước đầu tiên, hãy làm theo hướng dẫn trong Bật Security Hub.

Lưu ý: Security Hub được cung cấp bởi Amazon GuardDuty, Amazon Inspector, AWS Security Hub CSPM, và Amazon Macie, và các dịch vụ này cũng cần được bật để nhận được giá trị từ Security Hub.

Bước 2: Tạo quy tắc tự động hóa để cập nhật chi tiết phát hiện và tích hợp bên thứ ba

Sau khi Security Hub thu thập các phát hiện, bạn có thể tạo các quy tắc tự động hóa để cập nhật và định tuyến các phát hiện đến các nhóm thích hợp. Các bước để tạo các quy tắc tự động hóa cập nhật chi tiết phát hiện hoặc thiết lập tích hợp bên thứ ba—chẳng hạn như Jira hoặc ServiceNow—dựa trên các tiêu chí bạn xác định có thể được tìm thấy trong Tạo quy tắc tự động hóa trong Security Hub.

Với các quy tắc tự động hóa, Security Hub đánh giá các phát hiện dựa trên quy tắc đã định nghĩa và sau đó thực hiện cập nhật phát hiện thích hợp hoặc gọi các API để gửi các phát hiện đến Jira hoặc ServiceNow. Security Hub gửi một bản sao của mọi phát hiện đến Amazon EventBridge để bạn cũng có thể triển khai phản hồi tự động của riêng mình (nếu cần) cho các trường hợp sử dụng ngoài việc sử dụng các quy tắc tự động hóa của Security Hub.

Ngoài việc gửi một bản sao của mọi phát hiện đến EventBridge, Security Hub phân loại và làm giàu các phát hiện bảo mật theo ngữ cảnh kinh doanh, sau đó gửi chúng đến các dịch vụ hạ nguồn thích hợp (chẳng hạn như các công cụ ITSM) để phản hồi nhanh chóng.

Các phương pháp hay nhất

Các quy tắc tự động hóa của AWS Security Hub cung cấp các khả năng để tự động cập nhật các phát hiện và tích hợp với các công cụ khác. Khi triển khai các quy tắc tự động hóa, hãy làm theo các phương pháp hay nhất sau:

• Quản lý tập trung: Chỉ tài khoản quản trị viên Security Hub mới có thể tạo, chỉnh sửa, xóa và xem các quy tắc tự động hóa. Đảm bảo kiểm soát truy cập và quản lý tài khoản này đúng cách.
• Triển khai theo Region: Các quy tắc tự động hóa có thể được tạo trong một AWS Region và sau đó được áp dụng trên các Region đã cấu hình. Khi sử dụng tổng hợp Region, bạn chỉ có thể tạo quy tắc trong Region chính. Nếu bạn tạo một quy tắc tự động hóa trong một Region tổng hợp, nó sẽ được áp dụng trong tất cả các Region được bao gồm. Nếu bạn tạo một quy tắc tự động hóa trong một Region không liên kết, nó sẽ chỉ được áp dụng trong Region đó. Để biết thêm thông tin, hãy xem Tạo quy tắc tự động hóa trong Security Hub.
• Xác định tiêu chí cụ thể: Xác định rõ ràng các tiêu chí mà các phát hiện phải khớp để quy tắc tự động hóa được áp dụng. Điều này có thể bao gồm các thuộc tính phát hiện, mức độ nghiêm trọng, loại tài nguyên hoặc ID tài khoản thành viên.
• Hiểu thứ tự quy tắc: Thứ tự quy tắc quan trọng khi nhiều quy tắc áp dụng cho cùng một phát hiện hoặc trường phát hiện. Security Hub áp dụng các quy tắc có giá trị số thấp hơn trước. Nếu nhiều phát hiện có cùng RuleOrder, Security Hub áp dụng quy tắc có giá trị sớm hơn cho trường UpdatedAt trước (tức là quy tắc được chỉnh sửa gần đây nhất sẽ được áp dụng sau cùng). Để biết thêm thông tin, hãy xem Cập nhật thứ tự quy tắc trong Security Hub.
• Cung cấp mô tả rõ ràng: Bao gồm mô tả quy tắc chi tiết để cung cấp ngữ cảnh cho người phản hồi và chủ sở hữu tài nguyên, giải thích mục đích và các hành động dự kiến của quy tắc.
• Sử dụng tự động hóa để tăng hiệu quả: Sử dụng các quy tắc tự động hóa để tự động cập nhật các trường phát hiện (chẳng hạn như mức độ nghiêm trọng và trạng thái quy trình làm việc), loại bỏ các phát hiện có mức độ ưu tiên thấp hoặc tạo vé trong các công cụ của bên thứ ba như Jira hoặc ServiceNow cho các phát hiện khớp với các thuộc tính cụ thể.
• Xem xét EventBridge cho các hành động bên ngoài: Trong khi các quy tắc tự động hóa xử lý các cập nhật phát hiện nội bộ của Security Hub, hãy sử dụng các quy tắc EventBridge để kích hoạt các hành động bên ngoài Security Hub, chẳng hạn như gọi các hàm Lambda hoặc gửi thông báo đến các chủ đề Amazon Simple Notification Service (Amazon SNS) dựa trên các phát hiện cụ thể. Các quy tắc tự động hóa có hiệu lực trước khi các quy tắc EventBridge được áp dụng. Để biết thêm thông tin, hãy xem Các quy tắc tự động hóa trong EventBridge.
• Quản lý giới hạn quy tắc: Có giới hạn tối đa 100 quy tắc tự động hóa cho mỗi tài khoản quản trị viên. Lập kế hoạch tạo quy tắc của bạn một cách chiến lược để duy trì trong giới hạn này.
• Thường xuyên xem xét và tinh chỉnh: Định kỳ xem xét các quy tắc tự động hóa, đặc biệt là các quy tắc loại bỏ, để đảm bảo chúng vẫn phù hợp và hiệu quả, điều chỉnh chúng khi tư thế bảo mật của bạn phát triển.

Kết luận

Bạn có thể sử dụng tự động hóa Security Hub để phân loại, định tuyến và phản hồi các phát hiện nhanh hơn thông qua một giải pháp bảo mật đám mây thống nhất với quản lý tập trung. Trong bài viết này, bạn đã học cách tạo các quy tắc tự động hóa định tuyến các phát hiện đến các tích hợp hệ thống tạo vé và nâng cấp các phát hiện quan trọng để phản hồi ngay lập tức. Thông qua cách tiếp cận trực quan và linh hoạt đối với tự động hóa mà Security Hub cung cấp, các nhóm bảo mật của bạn có thể đưa ra các quyết định tự tin, dựa trên dữ liệu về các phát hiện của Security Hub phù hợp với chiến lược bảo mật tổng thể của tổ chức bạn.

Với các tính năng tự động hóa của Security Hub, bạn có thể quản lý bảo mật tập trung trên hàng trăm tài khoản trong khi các nhóm của bạn tập trung vào các vấn đề quan trọng nhất đối với doanh nghiệp của bạn. Bằng cách triển khai các khả năng tự động hóa được mô tả trong bài viết này, bạn có thể hợp lý hóa thời gian phản hồi ở quy mô lớn, giảm nỗ lực thủ công và cải thiện tư thế bảo mật tổng thể của bạn thông qua các quy trình làm việc tự động, nhất quán.

Nếu bạn có phản hồi về bài viết này, hãy gửi bình luận trong phần Comments. Nếu bạn có câu hỏi về bài viết này, hãy bắt đầu một chủ đề mới trên AWS Security, Identity, and Compliance re:Post hoặc liên hệ với AWS Support.

Về tác giả

Ahmed Adekunle
Ahmed là Kiến trúc sư Giải pháp Chuyên gia Bảo mật tập trung vào các dịch vụ phát hiện và phản hồi tại AWS. Trước khi làm việc tại AWS, anh có kinh nghiệm trong quản lý quy trình kinh doanh và tư vấn công nghệ AWS, giúp khách hàng sử dụng công nghệ đám mây để chuyển đổi doanh nghiệp của họ. Ngoài công việc, Ahmed thích chơi bóng đá, hỗ trợ các hoạt động giúp đỡ người kém may mắn, đi du lịch và ăn đồ ăn cay, đặc biệt là ẩm thực châu Phi.

Alex Waddell
Alex là Kiến trúc sư Giải pháp Chuyên gia Bảo mật cấp cao tại AWS có trụ sở tại Scotland. Alex cung cấp hướng dẫn kiến trúc bảo mật và các phương pháp hay nhất về vận hành cho khách hàng ở mọi quy mô, giúp họ triển khai các dịch vụ bảo mật của AWS. Khi không làm việc, Alex thích dành thời gian nếm thử rượu rum từ khắp nơi trên thế giới, dắt chó đi dạo trong các con đường mòn trong rừng địa phương và đi du lịch.

Kyle Shields
Kyle là Kiến trúc sư Giải pháp Chuyên gia Bảo mật WW tại AWS tập trung vào phát hiện mối đe dọa và phản ứng sự cố. Với hơn 10 năm kinh nghiệm trong an ninh mạng và hơn 20 năm phục vụ trong Quân đội, anh giúp khách hàng xây dựng khả năng phản ứng sự cố hiệu quả trong khi triển khai các phương pháp hay nhất về bảo mật thông tin và an ninh mạng.