Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Descripción de las reglas de automatización en Security Hub CSPM
Puede usar reglas de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. A medida que incorpora los hallazgos, Security Hub CSPM puede aplicar una variedad de acciones de reglas, como suprimir los hallazgos, cambiar su gravedad y agregar notas. Estas acciones de reglas modifican los resultados que coinciden con criterios específicos.
Algunos ejemplos de casos de uso de reglas de automatización son los siguientes:
-
Elevar la gravedad de un resultado a
CRITICALsi el ID de recurso del resultado se refiere a un recurso crítico para la empresa. -
Elevar la gravedad de un resultado de
HIGHaCRITICALsi el resultado afecta a recursos en cuentas de producción específicas. -
Asignar resultados específicos que tengan una gravedad
INFORMATIONALun estado de flujo de trabajoSUPPRESSED.
Puede crear y gestionar reglas de automatización únicamente desde una cuenta de administrador CSPM de Security Hub.
Las reglas se aplican a los resultados tanto nuevos como actualizados. Puede crear una regla personalizada desde cero o utilizar una plantilla de regla proporcionada por Security Hub CSPM. Además, puede empezar con una plantilla y modificarla según sea necesario.
Definición de criterios de regla y acciones de regla
Desde una cuenta de administrador de CSPM de Security Hub, puede crear una regla de automatización definiendo uno o más criterios de regla y una o más acciones de regla. Cuando un hallazgo coincide con los criterios definidos, Security Hub CSPM le aplica las acciones de la regla. Para obtener más información sobre los criterios y acciones disponibles, consulte Criterios de regla y acciones de regla disponibles.
Security Hub CSPM admite actualmente un máximo de 100 reglas de automatización para cada cuenta de administrador.
La cuenta de administrador CSPM de Security Hub también puede editar, ver y eliminar reglas de automatización. Una regla se aplica a los resultados que coinciden en la cuenta de administrador y en todas las cuentas de miembro. Al proporcionar la cuenta de miembro IDs como criterio de regla, los administradores de CSPM de Security Hub también pueden usar reglas de automatización para actualizar o suprimir los hallazgos en cuentas de miembros específicas.
Una regla de automatización solo se aplica en el lugar Región de AWS en el que se creó. Para aplicar una regla en varias regiones, el administrador debe crear la regla en cada región. Esto se puede hacer a través de la consola CSPM de Security Hub, la API CSPM de Security Hub o. AWS CloudFormation También puede utilizar un script de despliegue multirregional.
Criterios de regla y acciones de regla disponibles
Los siguientes campos del formato de búsqueda de AWS seguridad (ASFF) se admiten actualmente como criterios para las reglas de automatización:
| Criterio de regla | Operadores de filtro | Tipo de campo |
|---|---|---|
AwsAccountId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
AwsAccountName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
CompanyName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ComplianceAssociatedStandardsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ComplianceSecurityControlId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ComplianceStatus
|
Is, Is Not
|
Selección: [FAILED, NOT_AVAILABLE, PASSED, WARNING] |
Confidence
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Número |
CreatedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
Criticality
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Número |
Description
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
FirstObservedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
GeneratorId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
Id
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
LastObservedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
NoteText
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
NoteUpdatedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
NoteUpdatedBy
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ProductName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
RecordState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
RelatedFindingsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
RelatedFindingsProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceApplicationArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceApplicationName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceDetailsOther
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Asignación |
ResourceId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourcePartition
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceRegion
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceTags
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Asignación |
ResourceType
|
Is, Is Not
|
Selección (consulte los recursos admitidos por ASFF) |
SeverityLabel
|
Is, Is Not
|
Selección: [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL] |
SourceUrl
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
Title
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
Type
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
UpdatedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
UserDefinedFields
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Asignación |
VerificationState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
WorkflowStatus
|
Is, Is Not
|
Selección: [NEW, NOTIFIED, RESOLVED, SUPPRESSED] |
En el caso de los criterios etiquetados como campos de cadena, el uso de diferentes operadores de filtro en un mismo campo afecta a la lógica de evaluación. Para obtener más información, consulte la StringFilterReferencia de la API CSPM de AWS Security Hub.
Cada criterio admite una cantidad máxima de valores que se pueden utilizar para filtrar los resultados que coinciden. Para conocer los límites de cada criterio, consulte la Referencia AutomationRulesFindingFiltersde la API CSPM de AWS Security Hub.
Actualmente se admiten los siguientes campos ASFF como acciones para las reglas de automatización:
-
Confidence -
Criticality -
Note -
RelatedFindings -
Severity -
Types -
UserDefinedFields -
VerificationState -
Workflow
Para obtener más información sobre campos ASFF específicos, consulte la sintaxis del formato de búsqueda AWS de seguridad (ASFF).
sugerencia
Si desea que Security Hub CSPM deje de generar hallazgos para un control específico, le recomendamos que desactive el control en lugar de utilizar una regla de automatización. Cuando deshabilita un control, Security Hub CSPM deja de ejecutar controles de seguridad en él y deja de generar resultados para él, por lo que no incurrirá en cargos por ese control. Le recomendamos que utilice reglas de automatización para cambiar los valores de campos ASFF específicos para los resultados que coincidan con los criterios definidos. Para obtener más información sobre cómo deshabilitar controles, consulte Desactivación de los controles en Security Hub (CSPM).
Resultados que las reglas de automatización evalúan
Una regla de automatización evalúa los hallazgos nuevos y actualizados que Security Hub CSPM genera o ingiere a través de la BatchImportFindingsoperación después de crear la regla. Security Hub CSPM actualiza las conclusiones de control cada 12-24 horas o cuando el recurso asociado cambia de estado. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.
Las reglas de automatización evalúan los resultados originales proporcionados por el proveedor. Los proveedores pueden proporcionar nuevos hallazgos y actualizar los hallazgos existentes mediante el BatchImportFindings funcionamiento de la API CSPM de Security Hub. Si los siguientes campos no existen en el resultado original, Security Hub CSPM rellena los campos automáticamente y, a continuación, utiliza los valores rellenados en la evaluación mediante la regla de automatización:
AwsAccountNameCompanyNameProductNameResource.TagsWorkflow.Status
Después de crear una o más reglas de automatización, las reglas no se activan si actualiza los campos de búsqueda mediante la operación. BatchUpdateFindings Si crea una regla de automatización y realiza una actualización BatchUpdateFindings que afecten al mismo campo de resultado, la última actualización establecerá el valor de ese campo. Vea el siguiente ejemplo:
La
BatchUpdateFindingsoperación se utiliza para cambiar el valor delWorkflow.Statuscampo de un hallazgo deNEWaNOTIFIED.Si llama a
GetFindings, el campoWorkflow.Statusahora tendrá un valor deNOTIFIED.Se crea una regla de automatización que cambia el
Workflow.Statuscampo del hallazgo deNEWaSUPPRESSED. (Recuerde que las reglas ignoran las actualizaciones realizadas mediante laBatchUpdateFindingsoperación).El proveedor de búsqueda utiliza la
BatchImportFindingsoperación para actualizar la búsqueda y cambia el valor delWorkflow.Statuscampo de la búsqueda aNEW.Si llama a
GetFindings, el campoWorkflow.Statusahora tendrá un valor deSUPPRESSED. Esto se debe a que se aplicó la regla de automatización y fue la última acción realizada en relación con el hallazgo.
Al crear o editar una regla en la consola CSPM de Security Hub, la consola muestra una versión beta de los resultados que coinciden con los criterios de la regla. Mientras que las reglas de automatización evalúan las conclusiones originales enviadas por el proveedor de la búsqueda, la versión beta de la consola refleja las conclusiones en su estado final, tal como se mostrarían en respuesta a la GetFindingsoperación (es decir, después de aplicar las acciones de la regla u otras actualizaciones a la conclusión).
Cómo funciona el orden de las reglas
Al crear reglas de automatización, usted asigna a cada regla un orden. Esto determina el orden en el que Security Hub CSPM aplica las reglas de automatización y adquiere importancia cuando varias reglas se relacionan con el mismo campo de búsqueda o búsqueda.
Cuando varias acciones de reglas se refieren al mismo resultado o campo de resultado, la regla con el valor numérico más alto de orden de reglas se aplica en último lugar y tiene el efecto definitivo.
Al crear una regla en la consola CSPM de Security Hub, Security Hub CSPM asigna automáticamente el orden de las reglas en función del orden de creación de la regla. La regla creada más recientemente tiene el valor numérico más bajo de orden de reglas y, por lo tanto, se aplica primero. Security Hub CSPM aplica las reglas subsiguientes en orden ascendente.
Al crear una regla a través de la API CSPM de Security Hub o AWS CLI, Security Hub CSPM aplica primero la regla con el valor numérico más bajo. RuleOrder Luego aplica las reglas subsiguientes en orden ascendente. Si varios resultados tienen lo mismoRuleOrder, Security Hub CSPM aplica primero una regla con un valor anterior para el UpdatedAt campo (es decir, la regla que se editó más recientemente se aplica en último lugar).
Puede modificar el orden de las reglas en cualquier momento.
Ejemplo de orden de reglas:
Regla A (el orden de la regla es1):
-
Criterios de la regla A
-
ProductName=Security Hub CSPM -
Resources.TypeesS3 Bucket -
Compliance.Status=FAILED -
RecordStateesNEW -
Workflow.Status=ACTIVE
-
-
Acciones de la regla A
-
Actualizar
Confidencea95 -
Actualizar
SeverityaCRITICAL
-
Regla B (el orden de la regla es2):
-
Criterios de la regla B
-
AwsAccountId=123456789012
-
-
Acciones de la regla B
-
Actualizar
SeverityaINFORMATIONAL
-
Las acciones de la regla A se aplican primero a las conclusiones del CSPM de Security Hub que coinciden con los criterios de la regla A. A continuación, las acciones de la Regla B se aplican a los hallazgos de CSPM de Security Hub con el ID de cuenta especificado. En este ejemplo, como la regla B se aplica en último lugar, el valor final de Severity en los resultados del ID de cuenta especificado es INFORMATIONAL. Según la acción de la regla A, el valor final de Confidence en los resultados coincidentes es 95.
