BatchUpdateFindings pour les clients - AWS Security Hub
Champs disponibles pour BatchUpdateFindingsConfiguration de l'accès à BatchUpdateFindings

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

BatchUpdateFindings pour les clients

AWS Les clients de Security Hub Cloud Security Posture Management (CSPM) et les entités agissant en leur nom peuvent utiliser cette BatchUpdateFindingsopération pour mettre à jour les informations relatives au traitement des résultats du Security Hub CSPM provenant de la recherche de fournisseurs. En tant que client, vous pouvez utiliser cette opération directement. Les outils SIEM, de billetterie, de gestion des incidents et de SOAR peuvent également utiliser cette opération pour le compte d'un client.

Vous ne pouvez pas utiliser cette BatchUpdateFindings opération pour créer de nouvelles découvertes. Toutefois, vous pouvez l'utiliser pour mettre à jour jusqu'à 100 résultats existants à la fois. Dans une BatchUpdateFindings demande, vous spécifiez les résultats à mettre à jour, les champs du format ASFF ( AWS Security Finding Format) à mettre à jour en fonction des résultats, ainsi que les nouvelles valeurs des champs. Security Hub CSPM met ensuite à jour les résultats comme indiqué dans votre demande. Ce processus peut prendre plusieurs minutes. Si vous mettez à jour les résultats à l'aide de cette BatchUpdateFindings opération, vos mises à jour n'affectent pas les valeurs existantes pour le UpdatedAt champ des résultats.

Lorsque Security Hub CSPM reçoit une BatchUpdateFindings demande de mise à jour d'un résultat, il génère automatiquement un Security Hub Findings – Importedévénement sur Amazon. EventBridge Vous pouvez éventuellement utiliser cet événement pour effectuer une action automatique sur le résultat spécifié. Pour de plus amples informations, veuillez consulter Utilisation EventBridge pour une réponse et une correction automatisées.

Champs disponibles pour BatchUpdateFindings

Si vous êtes connecté à un compte administrateur Security Hub CSPM, vous pouvez l'utiliser BatchUpdateFindings pour mettre à jour les résultats générés par le compte administrateur ou les comptes membres. Les comptes des membres ne peuvent être utilisés BatchUpdateFindings que pour mettre à jour les résultats de leur compte.

Les clients peuvent utiliser BatchUpdateFindings pour mettre à jour les champs et objets suivants :

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Configuration de l'accès à BatchUpdateFindings

Vous pouvez configurer des politiques AWS Identity and Access Management (IAM) pour restreindre l'accès à l'utilisation pour mettre BatchUpdateFindings à jour les champs de recherche et les valeurs des champs.

Dans une instruction pour restreindre l'accèsBatchUpdateFindings, utilisez les valeurs suivantes :

  • Action est securityhub:BatchUpdateFindings

  • Effect est Deny

  • En Condition effet, vous pouvez refuser une BatchUpdateFindings demande pour les raisons suivantes :

    • Le résultat inclut un champ spécifique.

    • Le résultat inclut une valeur de champ spécifique.

Clés de condition

Il s'agit des clés de condition permettant de restreindre l'accès àBatchUpdateFindings.

Champ ASFF

La clé de condition pour un champ ASFF est la suivante :

securityhub:ASFFSyntaxPath/<fieldName>

Remplacez <fieldName> par le champ ASFF. Lorsque vous configurez l'accès àBatchUpdateFindings, incluez un ou plusieurs champs ASFF spécifiques dans votre politique IAM plutôt qu'un champ au niveau du parent. Par exemple, pour restreindre l'accès au Workflow.Status champ, vous devez l'inclure securityhub:ASFFSyntaxPath/Workflow.Status dans votre politique plutôt que dans le champ au Workflow niveau du parent.

Interdire toutes les mises à jour d'un champ

Pour empêcher un utilisateur de mettre à jour un champ spécifique, utilisez une condition comme celle-ci :

 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

Par exemple, l'énoncé suivant indique que cela ne BatchUpdateFindings peut pas être utilisé pour mettre à jour le Workflow.Status champ de résultats.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

Interdire des valeurs de champ spécifiques

Pour empêcher un utilisateur de définir une valeur spécifique à un champ, utilisez une condition comme celle-ci :

"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

Par exemple, l'instruction suivante indique qu'il n'est pas BatchUpdateFindings possible de l'utiliser Workflow.Status pour définir surSUPPRESSED.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

Vous pouvez également fournir une liste de valeurs interdites.

 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

Par exemple, l'instruction suivante indique qu'il n'est pas BatchUpdateFindings possible de l'utiliser pour définir l'une RESOLVED ou Workflow.Status l'autre des valeursSUPPRESSED.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}