Campos disponibles para BatchUpdateFindings Configuración del acceso a BatchUpdateFindings

BatchUpdateFindings para clientes

AWS Los clientes de Security Hub Cloud Security Posture Management (CSPM) y las entidades que actúen en su nombre pueden utilizar la BatchUpdateFindingsoperación para actualizar la información relacionada con el procesamiento de las conclusiones del Security Hub CSPM a partir de la búsqueda de proveedores. Como cliente, puede utilizar esta operación directamente. Las herramientas SIEM, de emisión de billetes, de gestión de incidentes y de SOAR también pueden utilizar esta operación en nombre de un cliente.

No puede utilizar la BatchUpdateFindings operación para crear nuevos hallazgos. Sin embargo, puede utilizarla para actualizar hasta 100 hallazgos existentes a la vez. En una BatchUpdateFindings solicitud, se especifican los resultados que se van a actualizar, los campos del formato de búsqueda de AWS seguridad (ASFF) que se van a actualizar para los resultados y los nuevos valores de los campos. A continuación, Security Hub CSPM actualiza los resultados tal y como se especifica en su solicitud. Este proceso puede tardar varios minutos. Si actualiza las conclusiones mediante la BatchUpdateFindings operación, las actualizaciones no afectarán a los valores existentes en el UpdatedAt campo de las conclusiones.

Cuando Security Hub CSPM recibe una BatchUpdateFindings solicitud para actualizar un hallazgo, genera automáticamente un Security Hub Findings – Importedevento en Amazon. EventBridge Si lo desea, puede utilizar este evento para tomar medidas automatizadas en relación con el hallazgo especificado. Para obtener más información, consulte Uso EventBridge para respuesta y remediación automatizadas.

Campos disponibles para BatchUpdateFindings

Si ha iniciado sesión en una cuenta de administrador CSPM de Security Hub, puede utilizarla BatchUpdateFindings para actualizar las conclusiones generadas por la cuenta de administrador o las cuentas de los miembros. Las cuentas de miembro pueden utilizar BatchUpdateFindings para actualizar los resultados solo para su cuenta.

Los clientes pueden usar BatchUpdateFindings para actualizar los siguientes campos y objetos:

Confidence
Criticality
Note
RelatedFindings
Severity
Types
UserDefinedFields
VerificationState
Workflow

Configuración del acceso a BatchUpdateFindings

Puede configurar políticas AWS Identity and Access Management (IAM) para restringir el acceso y actualizar los campos de búsqueda y los valores de los campos. BatchUpdateFindings

En una declaración para restringir el acceso a BatchUpdateFindings, utilice los siguientes valores:

Action es securityhub:BatchUpdateFindings
Effect es Deny
Para Condition, puede denegar una solicitud BatchUpdateFindings en función de lo siguiente:
- El resultado incluye un campo específico.
- El resultado incluye un valor de campo específico.

Claves de condición

Estas son las claves de condición para restringir el acceso a BatchUpdateFindings.

Campo de ASFF

La clave de condición de un campo de ASFF es la siguiente:


securityhub:ASFFSyntaxPath/<fieldName>

Sustituya <fieldName> por el campo de ASFF. Al configurar el acceso a BatchUpdateFindings, incluya uno o más campos de ASFF específicos en su política de IAM en lugar de un campo de nivel principal. Por ejemplo, para restringir el acceso al campo Workflow.Status, debe incluir securityhub:ASFFSyntaxPath/Workflow.Status en su política en lugar del campo de nivel principal Workflow.

Cómo no permitir todas las actualizaciones de un campo

Para evitar que un usuario actualice un campo específico, utilice una condición como esta:


 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

Por ejemplo, la siguiente declaración indica que no se puede usar BatchUpdateFindings para actualizar el campo de resultados Workflow.Status.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

Cómo no permitir valores de campo específicos

Para evitar que un usuario establezca un campo en un valor específico, utilice una condición como esta:


"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

Por ejemplo, la siguiente declaración indica que no se puede usar BatchUpdateFindings para establecer Workflow.Status como SUPPRESSED.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

También puede proporcionar una lista de valores que no están permitidos.


 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

Por ejemplo, la siguiente declaración indica que no se puede usar BatchUpdateFindings para establecer Workflow.Status como RESOLVED o SUPPRESSED.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

BatchImportFindings para encontrar proveedores

Revisión de los detalles y el historial de resultados