Comprendre les règles d'automatisation dans Security Hub CSPM - AWS Security Hub
Définition des critères et des actions des règlesCritères de règle et actions de règle disponiblesRésultats évalués par les règles d'automatisationComment fonctionne l'ordre des règles

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre les règles d'automatisation dans Security Hub CSPM

Vous pouvez utiliser des règles d'automatisation pour mettre à jour automatiquement les résultats dans AWS Security Hub Cloud Security Posture Management (CSPM). Au fur et à mesure qu'il ingère les résultats, le Security Hub CSPM peut appliquer diverses règles, telles que la suppression des résultats, la modification de leur gravité et l'ajout de notes. Ces actions de règle modifient les résultats qui correspondent aux critères que vous avez spécifiés.

Voici des exemples de cas d'utilisation des règles d'automatisation :

  • Augmenter la gravité d'une constatation jusqu'à ce CRITICAL que son identifiant de ressource fasse référence à une ressource critique pour l'entreprise.

  • Augmenter la gravité d'une constatation de HIGH à CRITICAL si la constatation affecte les ressources dans des comptes de production spécifiques.

  • Attribuer des résultats spécifiques présentant un statut de SUPPRESSED flux de INFORMATIONAL travail grave.

Vous pouvez créer et gérer des règles d'automatisation à partir d'un compte administrateur Security Hub CSPM uniquement.

Les règles s'appliquent à la fois aux nouvelles découvertes et aux découvertes mises à jour. Vous pouvez créer une règle personnalisée à partir de zéro ou utiliser un modèle de règle fourni par Security Hub CSPM. Vous pouvez également commencer par un modèle et le modifier selon vos besoins.

Définition des critères et des actions des règles

À partir d'un compte administrateur Security Hub CSPM, vous pouvez créer une règle d'automatisation en définissant un ou plusieurs critères de règle et une ou plusieurs actions de règle. Lorsqu'un résultat correspond aux critères définis, Security Hub CSPM lui applique les actions de règle. Pour plus d'informations sur les critères et actions disponibles, consultezCritères de règle et actions de règle disponibles.

Security Hub CSPM prend actuellement en charge un maximum de 100 règles d'automatisation pour chaque compte administrateur.

Le compte administrateur Security Hub CSPM peut également modifier, afficher et supprimer les règles d'automatisation. Une règle s'applique à la correspondance des résultats dans le compte administrateur et dans tous ses comptes membres. En fournissant un compte membre IDs comme critère de règle, les administrateurs de Security Hub CSPM peuvent également utiliser des règles d'automatisation pour mettre à jour ou supprimer les résultats de comptes de membres spécifiques.

Une règle d'automatisation s'applique uniquement dans le Région AWS pays dans lequel elle a été créée. Pour appliquer une règle dans plusieurs régions, l'administrateur doit créer la règle dans chaque région. Cela peut être effectué via la console Security Hub CSPM, l'API Security Hub CSPM ou. AWS CloudFormation Vous pouvez également utiliser un script de déploiement multirégional.

Critères de règle et actions de règle disponibles

Les champs ASFF ( AWS Security Finding Format) suivants sont actuellement pris en charge en tant que critères pour les règles d'automatisation :

Critère de règle Opérateurs de filtrage Type de champ
AwsAccountId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
AwsAccountName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
CompanyName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ComplianceAssociatedStandardsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ComplianceSecurityControlId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ComplianceStatus Is, Is Not Sélectionnez : [FAILED,NOT_AVAILABLE,PASSED,WARNING]
Confidence Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Nombre
CreatedAt Start, End, DateRange Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z)
Criticality Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Nombre
Description CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
FirstObservedAt Start, End, DateRange Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z)
GeneratorId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
Id CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
LastObservedAt Start, End, DateRange Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z)
NoteText CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
NoteUpdatedAt Start, End, DateRange Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z)
NoteUpdatedBy CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ProductName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
RecordState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
RelatedFindingsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
RelatedFindingsProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourceApplicationArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourceApplicationName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourceDetailsOther CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Map
ResourceId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourcePartition CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourceRegion CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourceTags CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Map
ResourceType Is, Is Not Sélectionnez (voir Ressources prises en charge par ASFF)
SeverityLabel Is, Is Not Sélectionnez : [CRITICAL,HIGH,MEDIUM,LOW,INFORMATIONAL]
SourceUrl CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
Title CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
Type CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
UpdatedAt Start, End, DateRange Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z)
UserDefinedFields CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Map
VerificationState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
WorkflowStatus Is, Is Not Sélectionnez : [NEW,NOTIFIED,RESOLVED,SUPPRESSED]

Pour les critères étiquetés sous forme de champs de chaîne, l'utilisation de différents opérateurs de filtre sur le même champ affecte la logique d'évaluation. Pour plus d'informations, consultez StringFilterla référence AWS de l'API Security Posture Management (CSPM) Security Hub Cloud.

Chaque critère prend en charge un nombre maximum de valeurs pouvant être utilisées pour filtrer les résultats correspondants. Pour connaître les limites de chaque critère, consultez la AutomationRulesFindingFiltersréférence de l'API AWS Security Posture Management (CSPM) Security Hub Cloud.

Les champs ASFF suivants sont actuellement pris en charge en tant qu'actions pour les règles d'automatisation :

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Pour plus d'informations sur des champs ASFF spécifiques, consultez AWS la section Syntaxe ASFF (Security Finding Format).

Astuce

Si vous souhaitez que Security Hub CSPM cesse de générer des résultats pour un contrôle spécifique, nous vous recommandons de désactiver le contrôle plutôt que d'utiliser une règle d'automatisation. Lorsque vous désactivez un contrôle, Security Hub CSPM arrête d'effectuer des contrôles de sécurité sur celui-ci et de générer des résultats pour celui-ci. Vous n'avez donc pas à payer de frais pour ce contrôle. Nous recommandons d'utiliser des règles d'automatisation pour modifier les valeurs de champs ASFF spécifiques pour les résultats correspondant à des critères définis. Pour plus d'informations sur la désactivation des contrôles, consultezDésactivation des contrôles dans Security Hub CSPM.

Résultats évalués par les règles d'automatisation

Une règle d'automatisation évalue les résultats nouveaux et mis à jour que Security Hub CSPM génère ou ingère dans le cadre de l'BatchImportFindingsopération une fois que vous avez créé la règle. Security Hub CSPM met à jour les résultats des contrôles toutes les 12 à 24 heures ou lorsque l'état de la ressource associée change. Pour plus d'informations, consultez Planification de l'exécution des vérifications de sécurité.

Les règles d'automatisation évaluent les résultats originaux fournis par le fournisseur. Les fournisseurs peuvent fournir de nouvelles découvertes et mettre à jour les découvertes existantes grâce au BatchImportFindings fonctionnement de l'API Security Hub CSPM. Les règles ne sont pas déclenchées lorsque vous mettez à jour les champs de recherche après leur création par le biais de l'BatchUpdateFindingsopération. Si vous créez une règle d'automatisation et effectuez une BatchUpdateFindings mise à jour qui affectent le même champ de recherche, la dernière mise à jour définit la valeur de ce champ. Prenons l'exemple suivant :

  1. Vous l'utilisez BatchUpdateFindings pour mettre à jour le Workflow.Status champ d'une constatation de NEW àNOTIFIED.

  2. Si vous appelezGetFindings, le Workflow.Status champ a désormais une valeur deNOTIFIED.

  3. Vous créez une règle d'automatisation qui fait passer le Workflow.Status champ du résultat de NEW à SUPPRESSED (rappelez-vous que les règles ignorent les mises à jour effectuées avecBatchUpdateFindings).

  4. Le fournisseur de recherche met BatchImportFindings à jour le résultat et remplace le Workflow.Status champ parNEW.

  5. Si vous appelezGetFindings, le Workflow.Status champ possède désormais une valeur de SUPPRESSED parce que la règle d'automatisation a été appliquée et que la règle est la dernière action entreprise sur la base du résultat.

Lorsque vous créez ou modifiez une règle sur la console Security Hub CSPM, celle-ci affiche une version bêta des résultats correspondant aux critères de la règle. Alors que les règles d'automatisation évaluent les résultats originaux envoyés par le fournisseur de recherche, la version bêta de la console reflète les résultats dans leur état final tel qu'ils seraient affichés en réponse à l'opération de l'GetFindingsAPI (c'est-à-dire une fois que des actions de règles ou d'autres mises à jour ont été appliquées au résultat).

Comment fonctionne l'ordre des règles

Lorsque vous créez des règles d'automatisation, vous attribuez un ordre à chaque règle. Cela détermine l'ordre dans lequel Security Hub CSPM applique vos règles d'automatisation, et cela devient important lorsque plusieurs règles concernent le même résultat ou champ de recherche.

Lorsque plusieurs actions de règle concernent le même résultat ou champ de recherche, la règle ayant la valeur numérique la plus élevée pour l'ordre des règles s'applique en dernier lieu et produit l'effet final.

Lorsque vous créez une règle dans la console Security Hub CSPM, Security Hub CSPM attribue automatiquement l'ordre des règles en fonction de l'ordre de création des règles. La dernière règle créée possède la valeur numérique la plus faible pour l'ordre des règles et s'applique donc en premier. Security Hub CSPM applique les règles suivantes par ordre croissant.

Lorsque vous créez une règle via l'API Security Hub CSPM ou AWS CLI, Security Hub CSPM applique la règle dont la valeur numérique la plus faible est la première. RuleOrder Il applique ensuite les règles suivantes par ordre croissant. Si plusieurs résultats sont identiquesRuleOrder, Security Hub CSPM applique une règle avec une valeur antérieure pour le UpdatedAt champ en premier (c'est-à-dire que la règle la plus récemment modifiée s'applique en dernier lieu).

Vous pouvez modifier l'ordre des règles à tout moment.

Exemple d'ordre des règles :

Règle A (l'ordre des règles est1) :

  • Critères de la règle A

    • ProductName = Security Hub CSPM

    • Resources.Type est S3 Bucket

    • Compliance.Status = FAILED

    • RecordState est NEW

    • Workflow.Status = ACTIVE

  • Actions en vertu de la règle A

    • Mettre à jour Confidence vers 95

    • Mettre à jour Severity vers CRITICAL

Règle B (l'ordre des règles est2) :

  • Critères de la règle B

    • AwsAccountId = 123456789012

  • Actions relevant de la règle B

    • Mettre à jour Severity vers INFORMATIONAL

Les actions de la règle A s'appliquent d'abord aux résultats du Security Hub CSPM qui répondent aux critères de la règle A. Ensuite, les actions de la règle B s'appliquent aux résultats du Security Hub CSPM avec l'ID de compte spécifié. Dans cet exemple, étant donné que la règle B s'applique Severity en dernier, la valeur finale des résultats provenant de l'ID de compte spécifié estINFORMATIONAL. Sur la base de l'action de la Règle A, la valeur Confidence finale des résultats correspondants est95.