BatchUpdateFindings für Kunden - AWS Security Hub
Verfügbare Felder für BatchUpdateFindingsKonfiguration des Zugriffs auf BatchUpdateFindings

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

BatchUpdateFindings für Kunden

AWS Kunden von Security Hub Cloud Security Posture Management (CSPM) und Unternehmen, die in ihrem Namen handeln, können den BatchUpdateFindingsVorgang nutzen, um Informationen im Zusammenhang mit der Verarbeitung von Security Hub CSPM-Ergebnissen von suchenden Anbietern zu aktualisieren. Als Kunde können Sie diesen Vorgang direkt verwenden. SIEM-, Ticketing-, Incident Management- und SOAR-Tools können diesen Vorgang auch im Auftrag eines Kunden nutzen.

Sie können den BatchUpdateFindings Vorgang nicht verwenden, um neue Erkenntnisse zu gewinnen. Sie können ihn jedoch verwenden, um bis zu 100 vorhandene Ergebnisse gleichzeitig zu aktualisieren. In einer BatchUpdateFindings Anfrage geben Sie an, welche Ergebnisse aktualisiert werden sollen, welche ASFF-Felder ( AWS Security Finding Format) für die Ergebnisse aktualisiert werden sollen, und die neuen Werte für die Felder. Security Hub CSPM aktualisiert dann die Ergebnisse wie in Ihrer Anfrage angegeben. Dieser Vorgang kann einige Minuten dauern. Wenn Sie die Ergebnisse mithilfe des BatchUpdateFindings Vorgangs aktualisieren, wirken sich Ihre Aktualisierungen nicht auf die vorhandenen Werte für das UpdatedAt Ergebnisfeld aus.

Wenn Security Hub CSPM eine BatchUpdateFindings Anfrage zur Aktualisierung eines Ergebnisses erhält, generiert es automatisch ein Security Hub Findings – ImportedEreignis in Amazon. EventBridge Sie können dieses Ereignis optional verwenden, um automatisierte Maßnahmen in Bezug auf das angegebene Ergebnis zu ergreifen. Weitere Informationen finden Sie unter Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen.

Verfügbare Felder für BatchUpdateFindings

Wenn Sie mit einem Security Hub CSPM-Administratorkonto angemeldet sind, können Sie BatchUpdateFindings damit Ergebnisse aktualisieren, die vom Administratorkonto oder den Mitgliedskonten generiert wurden. Mitgliedskonten können nur BatchUpdateFindings zur Aktualisierung der Ergebnisse für ihr Konto verwendet werden.

Kunden können BatchUpdateFindings damit die folgenden Felder und Objekte aktualisieren:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Konfiguration des Zugriffs auf BatchUpdateFindings

Sie können AWS Identity and Access Management (IAM-) Richtlinien konfigurieren, um den Zugriff auf die Verwendung BatchUpdateFindings zur Aktualisierung von Suchfeldern und Feldwerten einzuschränken.

Verwenden Sie in einer Anweisung, auf die der Zugriff beschränkt werden sollBatchUpdateFindings, die folgenden Werte:

  • Action ist securityhub:BatchUpdateFindings

  • Effect ist Deny

  • Denn Condition Sie können eine BatchUpdateFindings Anfrage auf folgender Grundlage ablehnen:

    • Das Ergebnis umfasst ein bestimmtes Feld.

    • Das Ergebnis beinhaltet einen bestimmten Feldwert.

Bedingungsschlüssel

Dies sind die Bedingungsschlüssel für die Einschränkung des Zugriffs aufBatchUpdateFindings.

ASFF-Feld

Der Bedingungsschlüssel für ein ASFF-Feld lautet wie folgt:

securityhub:ASFFSyntaxPath/<fieldName>

Ersetzen Sie es <fieldName> durch das ASFF-Feld. Fügen Sie bei der Konfiguration des Zugriffs auf BatchUpdateFindings ein oder mehrere spezifische ASFF-Felder in Ihre IAM-Richtlinie ein und nicht ein Feld auf übergeordneter Ebene. Um beispielsweise den Zugriff auf das Workflow.Status Feld einzuschränken, müssen Sie es securityhub:ASFFSyntaxPath/Workflow.Status in Ihre Richtlinie aufnehmen und nicht das Feld auf übergeordneter Ebene. Workflow

Alle Aktualisierungen eines Felds verbieten

Um zu verhindern, dass ein Benutzer ein bestimmtes Feld aktualisiert, verwenden Sie eine Bedingung wie die folgende:

 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

Die folgende Aussage weist beispielsweise darauf hin, dass das Workflow.Status Ergebnisfeld nicht aktualisiert werden BatchUpdateFindings kann.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

Bestimmte Feldwerte nicht zulassen

Um zu verhindern, dass ein Benutzer ein Feld auf einen bestimmten Wert setzt, verwenden Sie eine Bedingung wie die folgende:

"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

Die folgende Anweisung weist beispielsweise darauf hin, dass diese Einstellung nicht verwendet werden BatchUpdateFindings kann, um auf Workflow.Status zu setzenSUPPRESSED.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

Sie können auch eine Liste mit Werten angeben, die nicht zulässig sind.

 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

Die folgende Anweisung weist beispielsweise darauf hin, dass dieser Wert nicht verwendet werden BatchUpdateFindings kann, um entweder Workflow.Status auf RESOLVED oder zu setzenSUPPRESSED.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}