Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Automatisierungsregeln in Security Hub
Anmerkung
Security Hub befindet sich in der Vorschauversion und kann sich ändern.
Mit Security Hub können Sie Aufgaben wie das Aktualisieren von Suchdetails und das Erstellen von Tickets für Integrationen von Drittanbietern automatisieren.
Automatisierungsregeln und AWS-Regionen
Automatisierungsregeln können in einem erstellt AWS-Region und dann in allen konfigurierten Regeln angewendet werden AWS-Regionen. Wenn Sie die Regionsaggregation verwenden, können Sie Regeln nur in der Heimatregion erstellen. Wenn Sie Regeln in der Heimatregion erstellen, wird jede Regel, die Sie definieren, auf alle verknüpften Regionen angewendet, es sei denn, Ihre Regelkriterien schließen eine bestimmte verknüpfte Region aus. Sie müssen eine Automatisierungsregel für jede Region erstellen, die keine verknüpfte Region ist.
Regelaktionen und Kriterien
Automatisierungsregeln in Security Hub verwenden Kriterien, um in Security Hub Hub-Ergebnissen auf OCSF-Attribute zu verweisen. Beispielsweise stimmen die für den Criteria Parameter in unterstützten Filter mit den Filtern CreateAutomationRuleV2überein, die für den Criteria Parameter in GetFindingsV2unterstützt werden. Das bedeutet, dass Filter, die in Automatisierungsregeln verwendet werden, verwendet werden können, um Ergebnisse zu erhalten. Security Hub unterstützt die folgenden OCSF-Felder für Automatisierungsregelkriterien.
| OCSF-Feld | Wert für den Konsolenfilter | Operatoren filtern | Feldtyp |
|---|---|---|---|
activity_name |
Activity name |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
class_name |
Finding class name |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
cloud.account.uid |
Account ID |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
cloud.provider |
Cloud provider |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
cloud.region |
Region |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
comment |
Comment |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
compliance.assessments.category |
Assessment category |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
compliance.assessments.name |
Assessment name |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
compliance.control |
Security control ID |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
compliance.standards |
Applicable standards |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
compliance.status |
Compliance status |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
finding_info.desc |
Finding description |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
finding_info.related_events.product.uid |
Related findings product ID |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
finding_info.related_events.title |
Related findings title |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
finding_info.related_events.uid |
Related findings ID |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
finding_info.src_url |
Source URL |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
finding_info.types |
Finding type |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
finding_info.uid |
Provider ID |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
metadata.product.feature.uid |
Generator ID |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
metadata.product.name |
Product name |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
metadata.product.uid |
Product ARN |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
metadata.product.vendor_name |
Company name |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
metadata.uid |
Finding ID |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
remediation.desc |
Recommendation text |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
remediation.references |
Recommendation URL |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
resources.cloud_partition |
Resource partition |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
resources.name |
Resource name |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
resources.region |
Resource region |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
resources.type |
Resource type |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
resources.uid |
Resource ID |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
severity |
Severity |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
status |
Status |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
vulnerabilities.fix_coverage |
Software vulnerabilities coverage |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
finding_info.first_seen_time_dt |
First observed at |
Start, End, DateRange |
Date (formatted as 2022-12-01T21:47:39.269Z) |
finding_info.last_seen_time_dt |
Last observed at |
Start, End, DateRange |
Date (formatted as 2022-12-01T21:47:39.269Z) |
finding_info.modified_time_dt |
Updated at |
Start, End, DateRange |
Date (formatted as 2022-12-01T21:47:39.269Z) |
compliance.assessments.meets_criteria |
Compliance assessment meets criteria |
True, False |
Boolean |
vulnerabilities.is_exploit_available |
Software vulnerabilities with exploit available |
True, False |
Boolean |
vulnerabilities.is_fix_available |
Software vulnerabilities with fix available |
True, False |
Boolean |
activity_id |
Activity ID |
Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) |
Number |
compliance.status_id |
Compliance status ID |
Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) |
Number |
confidence_score |
Confidence |
Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) |
Number |
severity_id |
Severity ID |
Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) |
Number |
status_id |
Status ID |
Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) |
Number |
finding_info.related_events_count |
Related findings count |
Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) |
Number |
resources.tags |
Resource tags |
EQUALS |
Map |
Bei Kriterien, die als Zeichenkettenfelder gekennzeichnet sind, wirkt sich die Verwendung verschiedener Filteroperatoren für dasselbe Feld auf die Bewertungslogik aus. Weitere Informationen finden Sie StringFilterin der Security Hub Hub-API-Referenz.
Jedes Kriterium unterstützt eine maximale Anzahl von Werten, anhand derer übereinstimmende Ergebnisse gefiltert werden können. Die Grenzen der einzelnen Kriterien finden Sie OcsfFindingFiltersin der Security Hub Hub-API-Referenz
OCSF-Felder, die aktualisiert werden können
Im Folgenden sind die OCSF-Felder aufgeführt, die mithilfe von Automatisierungsregeln aktualisiert werden können.
-
Comment -
SeverityId -
StatusId
Wie Automatisierungsregeln die Ergebnisse auswerten
Eine Automatisierungsregel wertet neue und aktualisierte Ergebnisse aus, die Security Hub generiert oder aufnimmt, nachdem Sie die Regel erstellt haben.
Automatisierungsregeln bewerten ursprüngliche, vom Anbieter bereitgestellte Ergebnisse. Durch die Integration mit Security Hub können Anbieter neue Erkenntnisse liefern und bestehende Erkenntnisse aktualisieren. Regeln werden nicht ausgelöst, wenn Sie Suchfelder nach der Regelerstellung im Rahmen des BatchUpdateFindingsV2 Vorgangs aktualisieren. Wenn Sie eine Automatisierungsregel erstellen und eine BatchUpdateFindingsV2 Aktualisierung vornehmen, die sich beide auf dasselbe Ergebnisfeld auswirken, legt die letzte Aktualisierung den Wert für dieses Feld fest. Nehmen wir das folgende Beispiel:
Sie verwendenBatchUpdateFindingsV2, um das Status Feld eines Befundes von bis New zu zu aktualisierenIn Process. Wenn Sie aufrufenGetFindingsV2, hat das Status Feld jetzt den WertIn Process. Sie erstellen eine Automatisierungsregel, die das Status Feld des Ergebnisses von New zu ändert Suppressed (denken Sie daran, dass Regeln Aktualisierungen ignorieren, die mit vorgenommen wurdenBatchUpdateFindingsV2). Der Suchprovider aktualisiert den Befund und ändert das Status Feld inNew. Wenn Sie aufrufenGetFindingsV2, hat das Status Feld jetzt den Wert, Suppressed weil die Automatisierungsregel angewendet wurde und die Regel die letzte Aktion war, die auf das Ergebnis angewendet wurde.
Wenn Sie eine Regel auf der Security Hub Hub-Konsole erstellen oder bearbeiten, zeigt die Konsole eine Vorschau der Ergebnisse an, die den Regelkriterien entsprechen. Während Automatisierungsregeln die ursprünglichen Ergebnisse auswerten, die vom Anbieter der Ergebnisse gesendet wurden, werden in der Konsolenvorschau die Ergebnisse in ihrem endgültigen Zustand wiedergegeben, so wie sie als Reaktion auf den GetFindingsV2 API-Vorgang angezeigt würden (d. h. nachdem Regelaktionen oder andere Aktualisierungen auf das Ergebnis angewendet wurden).
Wie sind die Automatisierungsregeln angeordnet
Jeder Automatisierungsregel wird eine Regelreihenfolge zugewiesen. Dies bestimmt die Reihenfolge, in der Security Hub Ihre Automatisierungsregeln anwendet, und ist wichtig, wenn sich mehrere Regeln auf dasselbe Ergebnis oder Findungsfeld beziehen.
Wenn sich mehrere Regelaktionen auf dasselbe Befund- oder Findungsfeld beziehen, gilt die Regel mit dem höchsten numerischen Wert für die Reihenfolge der Regeln zuletzt und hat die endgültige Wirkung.
Wenn Sie eine Regel in der Security Hub-Konsole erstellen, weist Security Hub automatisch die Regelreihenfolge auf der Grundlage der Reihenfolge der Regelerstellung zu. Die erste Regel, die Sie erstellen, hat die Regelreihenfolge 1. Wenn mehr als eine Regel vorhanden ist, hat jede anschließend erstellte Regel den nächsthöheren verfügbaren numerischen Wert für die Regelreihenfolge.
Wenn Sie eine Regel über CreateAutomationRuleV2API oder erstellen AWS CLI, wendet Security Hub RuleOrder zuerst die Regel mit dem niedrigsten numerischen Wert an. Anschließend werden die nachfolgenden Regeln in aufsteigender Reihenfolge angewendet. Wenn mehrere Ergebnisse identisch sindRuleOrder, wendet Security Hub zuerst eine Regel mit einem früheren Wert für das UpdatedAt Feld an (d. h. die Regel, die zuletzt bearbeitet wurde, gilt zuletzt).
Sie können die Reihenfolge der Regeln jederzeit ändern.
Beispiel für die Reihenfolge der Regeln:
Regel A (Regelreihenfolge ist1):
-
Kriterien für Regel A
-
ProductName=Security Hub CSPM -
Resources.TypeistS3 Bucket -
Compliance.Status=FAILED -
RecordStateistNEW -
Workflow.Status=ACTIVE
-
-
Aktionen nach Regel A
-
Update
Confidenceauf95 -
Aktualisieren
SeverityaufCRITICAL -
Aktualisieren
CommentaufThis needs attention
-
Regel B (Reihenfolge der Regeln ist2):
-
Kriterien für Regel B
-
AwsAccountId=123456789012
-
-
Aktionen nach Regel B
-
Update
SeverityaufINFORMATIONAL
-
Erstens gelten die Aktionen nach Regel A für Security Hub Hub-Ergebnisse, die den Kriterien von Regel A entsprechen. Anschließend gelten die Aktionen nach Regel B für Security Hub Hub-Ergebnisse mit der angegebenen Konto-ID. Da Regel B in diesem Beispiel zuletzt gilt, lautet der Endwert von Severity in findings from the specified account IDINFORMATIONAL. Basierend auf der Regel A-Aktion ist der Endwert von Confidence in übereinstimmenden Ergebnissen95.
Integrationen von Drittanbietern
Sie können Automatisierungsregeln verwenden, um Tickets für Integrationen mit Jira Cloud und zu erstellen. ServiceNow ITSM Weitere Informationen finden Sie unter Regel für eine Drittanbieter-Integration erstellen.
Szenarien, in denen Automatisierungsregeln nicht funktionieren
Im Folgenden sind Szenarien aufgeführt, in denen Automatisierungsregeln nicht funktionieren.
-
Das eigenständige Konto wird Mitglied einer Organisation mit einem delegierten Administrator
-
Das Organisationsverwaltungskonto entfernt den delegierten Administrator und richtet einen neuen delegierten Administrator ein
-
Die Aggregatorkonfiguration für den delegierten Administrator oder das eigenständige Konto ändert sich, wenn aus einer Region ohne Verknüpfung eine verknüpfte Region wird
In diesen Szenarien kann ein Mitglied einer Organisation Automatisierungsregeln mit Listen-, Abruf- und Löschvorgängen im oder verwalten. AWS CLI APIs
Wenn eine nicht verknüpfte Region zu einer verknüpften Region gemacht wird, kann der delegierte Administrator oder das eigenständige Konto Ressourcen in einer verknüpften Region mit Auflisten-, Abruf- und Löschvorgängen verwalten.
