Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM - AWS Security Hub
Definition von Regelkriterien und RegelaktionenVerfügbare Regelkriterien und RegelaktionenErgebnisse, die durch Automatisierungsregeln bewertet werdenWie funktioniert die Reihenfolge der Regeln

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM

Sie können Automatisierungsregeln verwenden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Bei der Erfassung der Ergebnisse kann Security Hub CSPM eine Vielzahl von Regelaktionen anwenden, z. B. Ergebnisse unterdrücken, ihren Schweregrad ändern und Notizen hinzufügen. Solche Regelaktionen ändern Ergebnisse, die Ihren angegebenen Kriterien entsprechen.

Zu den Anwendungsfällen für Automatisierungsregeln gehören unter anderem die folgenden:

  • Erhöhung des Schweregrads eines Ergebnisses auf den Wert, CRITICAL wenn sich die Ressourcen-ID des Ergebnisses auf eine geschäftskritische Ressource bezieht.

  • Erhöhung des Schweregrads eines Ergebnisses von bis HIGH zu, CRITICAL wenn das Ergebnis Ressourcen in bestimmten Produktionskonten betrifft.

  • Zuweisen bestimmter Ergebnisse, deren Schweregrad einem INFORMATIONAL SUPPRESSED Workflow-Status entspricht.

Sie können Automatisierungsregeln nur über ein Security Hub CSPM-Administratorkonto erstellen und verwalten.

Die Regeln gelten sowohl für neue als auch für aktualisierte Ergebnisse. Sie können eine benutzerdefinierte Regel von Grund auf neu erstellen oder eine von Security Hub CSPM bereitgestellte Regelvorlage verwenden. Sie können auch mit einer Vorlage beginnen und diese nach Bedarf ändern.

Definition von Regelkriterien und Regelaktionen

Von einem Security Hub CSPM-Administratorkonto aus können Sie eine Automatisierungsregel erstellen, indem Sie ein oder mehrere Regelkriterien und eine oder mehrere Regelaktionen definieren. Wenn ein Ergebnis den definierten Kriterien entspricht, wendet Security Hub CSPM die Regelaktionen darauf an. Weitere Informationen zu verfügbaren Kriterien und Aktionen finden Sie unter. Verfügbare Regelkriterien und Regelaktionen

Security Hub CSPM unterstützt derzeit maximal 100 Automatisierungsregeln für jedes Administratorkonto.

Das Security Hub CSPM-Administratorkonto kann auch Automatisierungsregeln bearbeiten, anzeigen und löschen. Eine Regel gilt für den Abgleich von Ergebnissen im Administratorkonto und all seinen Mitgliedskonten. Durch die Angabe des Mitgliedskontos IDs als Regelkriterium können Security Hub CSPM-Administratoren auch Automatisierungsregeln verwenden, um Ergebnisse in bestimmten Mitgliedskonten zu aktualisieren oder zu unterdrücken.

Eine Automatisierungsregel gilt nur in dem Land, AWS-Region in dem sie erstellt wurde. Um eine Regel in mehreren Regionen anzuwenden, muss der Administrator die Regel in jeder Region erstellen. Dies kann über die Security Hub CSPM-Konsole, die Security Hub CSPM-API oder erfolgen. AWS CloudFormation Sie können auch ein Bereitstellungsskript für mehrere Regionen verwenden.

Verfügbare Regelkriterien und Regelaktionen

Die folgenden ASFF-Felder ( AWS Security Finding Format) werden derzeit als Kriterien für Automatisierungsregeln unterstützt:

Regelkriterium Operatoren filtern Feldtyp
AwsAccountId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
AwsAccountName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
CompanyName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ComplianceAssociatedStandardsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ComplianceSecurityControlId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ComplianceStatus Is, Is Not Wählen Sie: [FAILED,NOT_AVAILABLE,PASSED,WARNING]
Confidence Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Anzahl
CreatedAt Start, End, DateRange Datum (formatiert als 2021-12-01T 21:47:39.269 Z)
Criticality Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Anzahl
Description CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
FirstObservedAt Start, End, DateRange Datum (formatiert als 2021-12-01T 21:47:39.269 Z)
GeneratorId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
Id CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
LastObservedAt Start, End, DateRange Datum (formatiert als 2021-12-01T 21:47:39.269 Z)
NoteText CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
NoteUpdatedAt Start, End, DateRange Datum (formatiert als 2021-12-01T 21:47:39.269 Z)
NoteUpdatedBy CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ProductName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
RecordState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
RelatedFindingsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
RelatedFindingsProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ResourceApplicationArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ResourceApplicationName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceDetailsOther CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Zuordnung
ResourceId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourcePartition CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ResourceRegion CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceTags CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Zuordnung
ResourceType Is, Is Not Wählen Sie (siehe Von ASFF unterstützte Ressourcen)
SeverityLabel Is, Is Not Wählen Sie: [CRITICAL,HIGH, MEDIUMLOW,INFORMATIONAL]
SourceUrl CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
Title CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
Type CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
UpdatedAt Start, End, DateRange Datum (formatiert als 2021-12-01T 21:47:39.269 Z)
UserDefinedFields CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Zuordnung
VerificationState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
WorkflowStatus Is, Is Not Wählen Sie NEW NOTIFIEDRESOLVED: [,,,SUPPRESSED]

Bei Kriterien, die als Zeichenkettenfelder gekennzeichnet sind, wirkt sich die Verwendung verschiedener Filteroperatoren für dasselbe Feld auf die Bewertungslogik aus. Weitere Informationen finden Sie StringFilterin der AWS Security Hub CSPM API-Referenz.

Jedes Kriterium unterstützt eine maximale Anzahl von Werten, anhand derer übereinstimmende Ergebnisse gefiltert werden können. Die Grenzwerte für die einzelnen Kriterien finden Sie AutomationRulesFindingFiltersin der AWS Security Hub CSPM API-Referenz.

Die folgenden ASFF-Felder werden derzeit als Aktionen für Automatisierungsregeln unterstützt:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Weitere Informationen zu bestimmten ASFF-Feldern finden Sie unter Syntax des AWS Security Finding Format (ASFF).

Tipp

Wenn Sie möchten, dass Security Hub CSPM keine Ergebnisse für ein bestimmtes Steuerelement generiert, empfehlen wir, das Steuerelement zu deaktivieren, anstatt eine Automatisierungsregel zu verwenden. Wenn Sie eine Kontrolle deaktivieren, beendet Security Hub CSPM die Durchführung von Sicherheitsüberprüfungen und generiert keine Ergebnisse mehr dafür, sodass Ihnen für diese Kontrolle keine Gebühren entstehen. Wir empfehlen die Verwendung von Automatisierungsregeln, um die Werte bestimmter ASFF-Felder für Ergebnisse zu ändern, die definierten Kriterien entsprechen. Weitere Informationen zum Deaktivieren von Steuerelementen finden Sie unter. Steuerelemente in Security Hub CSPM deaktivieren

Ergebnisse, die durch Automatisierungsregeln bewertet werden

Eine Automatisierungsregel wertet neue und aktualisierte Ergebnisse aus, die Security Hub CSPM im Rahmen des BatchImportFindingsVorgangs generiert oder aufnimmt, nachdem Sie die Regel erstellt haben. Security Hub CSPM-Updates kontrollieren die Ergebnisse alle 12 bis 24 Stunden oder wenn sich der Status der zugehörigen Ressource ändert. Weitere Informationen finden Sie unter Zeitplan für die Ausführung von Sicherheitsprüfungen.

Automatisierungsregeln bewerten die ursprünglichen Ergebnisse, die vom Anbieter bereitgestellt wurden. Anbieter können mithilfe der Security Hub CSPM-API neue Erkenntnisse bereitstellen und bestehende Ergebnisse aktualisieren. BatchImportFindings Wenn die folgenden Felder im ursprünglichen Ergebnis nicht vorhanden sind, füllt Security Hub CSPM die Felder automatisch aus und verwendet dann die ausgefüllten Werte bei der Auswertung durch die Automatisierungsregel:

  • AwsAccountName

  • CompanyName

  • ProductName

  • Resource.Tags

  • Workflow.Status

Nachdem Sie eine oder mehrere Automatisierungsregeln erstellt haben, werden die Regeln nicht ausgelöst, wenn Sie Suchfelder mithilfe des Vorgangs aktualisieren. BatchUpdateFindings Wenn Sie eine Automatisierungsregel erstellen und eine BatchUpdateFindings Aktualisierung vornehmen, die sich beide auf dasselbe Ergebnisfeld auswirken, legt die letzte Aktualisierung den Wert für dieses Feld fest. Nehmen wir das folgende Beispiel:

  1. Sie verwenden die BatchUpdateFindings Operation, um den Wert für das Workflow.Status Feld eines Ergebnisses von bis NEW zu zu ändernNOTIFIED.

  2. Wenn Sie aufrufenGetFindings, hat das Workflow.Status Feld jetzt den WertNOTIFIED.

  3. Sie erstellen eine Automatisierungsregel, die das Workflow.Status Feld des Ergebnisses von NEW zu ändertSUPPRESSED. (Denken Sie daran, dass Regeln Aktualisierungen ignorieren, die mithilfe des BatchUpdateFindings Vorgangs vorgenommen wurden.)

  4. Der Suchprovider verwendet den BatchImportFindings Vorgang, um den Befund zu aktualisieren, und ändert den Wert für das Workflow.Status Feld des Ergebnisses inNEW.

  5. Wenn Sie aufrufenGetFindings, hat das Workflow.Status Feld jetzt den WertSUPPRESSED. Dies ist der Fall, weil die Automatisierungsregel angewendet wurde und die Regel die letzte Aktion war, die aufgrund des Ergebnisses ausgeführt wurde.

Wenn Sie eine Regel auf der Security Hub CSPM-Konsole erstellen oder bearbeiten, zeigt die Konsole eine Beta-Version der Ergebnisse an, die den Regelkriterien entsprechen. Während Automatisierungsregeln die ursprünglichen Ergebnisse auswerten, die vom Finding-Anbieter gesendet wurden, gibt die Beta-Version der Konsole die Ergebnisse in ihrem endgültigen Zustand wieder, so wie sie als Reaktion auf den GetFindingsVorgang angezeigt würden (d. h. nachdem Regelaktionen oder andere Updates auf das Ergebnis angewendet wurden).

Wie funktioniert die Reihenfolge der Regeln

Beim Erstellen von Automatisierungsregeln weisen Sie jeder Regel eine Reihenfolge zu. Dies bestimmt die Reihenfolge, in der Security Hub CSPM Ihre Automatisierungsregeln anwendet, und ist wichtig, wenn sich mehrere Regeln auf dasselbe Such- oder Findungsfeld beziehen.

Wenn sich mehrere Regelaktionen auf dasselbe Befund- oder Findungsfeld beziehen, gilt die Regel mit dem höchsten numerischen Wert für die Reihenfolge der Regeln zuletzt und hat die endgültige Wirkung.

Wenn Sie eine Regel in der Security Hub CSPM-Konsole erstellen, weist Security Hub CSPM automatisch die Regelreihenfolge auf der Grundlage der Reihenfolge der Regelerstellung zu. Die zuletzt erstellte Regel hat den niedrigsten numerischen Wert für die Regelreihenfolge und gilt daher zuerst. Security Hub CSPM wendet nachfolgende Regeln in aufsteigender Reihenfolge an.

Wenn Sie eine Regel über die Security Hub CSPM API oder erstellen AWS CLI, wendet Security Hub CSPM zuerst die Regel mit dem niedrigsten numerischen Wert an. RuleOrder Anschließend werden die nachfolgenden Regeln in aufsteigender Reihenfolge angewendet. Wenn mehrere Ergebnisse identisch sindRuleOrder, wendet Security Hub CSPM zuerst eine Regel mit einem früheren Wert für das UpdatedAt Feld an (d. h. die Regel, die zuletzt bearbeitet wurde, gilt zuletzt).

Sie können die Reihenfolge der Regeln jederzeit ändern.

Beispiel für die Reihenfolge der Regeln:

Regel A (Regelreihenfolge ist1):

  • Kriterien für Regel A

    • ProductName = Security Hub CSPM

    • Resources.Type ist S3 Bucket

    • Compliance.Status = FAILED

    • RecordState ist NEW

    • Workflow.Status = ACTIVE

  • Aktionen nach Regel A

    • Update Confidence auf 95

    • Aktualisieren Severity auf CRITICAL

Regel B (Reihenfolge der Regeln ist2):

  • Kriterien für Regel B

    • AwsAccountId = 123456789012

  • Aktionen nach Regel B

    • Update Severity auf INFORMATIONAL

Aktionen nach Regel A gelten zuerst für Security Hub CSPM-Ergebnisse, die den Kriterien von Regel A entsprechen. Als Nächstes gelten die Aktionen nach Regel B für Security Hub CSPM-Ergebnisse mit der angegebenen Konto-ID. Da Regel B in diesem Beispiel zuletzt gilt, lautet der Endwert für Ergebnisse aus Severity der angegebenen Konto-ID. INFORMATIONAL Basierend auf der Regel A-Aktion ist der Endwert von Confidence in übereinstimmenden Ergebnissen95.