Memahami aturan otomatisasi di Security Hub CSPM - AWS Security Hub
Mendefinisikan kriteria aturan dan tindakan aturanKriteria aturan dan tindakan aturan yang tersediaTemuan yang dievaluasi oleh aturan otomatisasiCara kerja urutan aturan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami aturan otomatisasi di Security Hub CSPM

Anda dapat menggunakan aturan otomatisasi untuk memperbarui temuan secara otomatis di AWS Security Hub Cloud Security Posture Management (CSPM). Saat menyerap temuan, Security Hub CSPM dapat menerapkan berbagai tindakan aturan, seperti menekan temuan, mengubah tingkat keparahannya, dan menambahkan catatan. Tindakan aturan tersebut mengubah temuan yang sesuai dengan kriteria yang Anda tentukan.

Contoh kasus penggunaan untuk aturan otomatisasi meliputi:

  • Meningkatkan keparahan temuan CRITICAL jika ID sumber daya temuan mengacu pada sumber daya bisnis yang penting.

  • Meningkatkan keparahan temuan dari HIGH CRITICAL jika temuan tersebut memengaruhi sumber daya dalam akun produksi tertentu.

  • Menetapkan temuan spesifik yang memiliki tingkat keparahan status INFORMATIONAL SUPPRESSED alur kerja.

Anda dapat membuat dan mengelola aturan otomatisasi hanya dari akun administrator CSPM Security Hub.

Aturan berlaku untuk temuan baru dan temuan terbaru. Anda dapat membuat aturan kustom dari awal, atau menggunakan templat aturan yang disediakan oleh Security Hub CSPM. Anda juga dapat memulai dengan template dan memodifikasinya sesuai kebutuhan.

Mendefinisikan kriteria aturan dan tindakan aturan

Dari akun administrator CSPM Security Hub, Anda dapat membuat aturan otomatisasi dengan menentukan satu atau beberapa kriteria aturan dan satu atau beberapa tindakan aturan. Ketika temuan cocok dengan kriteria yang ditentukan, Security Hub CSPM menerapkan tindakan aturan untuk itu. Untuk informasi selengkapnya tentang kriteria dan tindakan yang tersedia, lihatKriteria aturan dan tindakan aturan yang tersedia.

Security Hub CSPM saat ini mendukung maksimal 100 aturan otomatisasi untuk setiap akun administrator.

Akun administrator CSPM Security Hub juga dapat mengedit, melihat, dan menghapus aturan otomatisasi. Aturan berlaku untuk pencocokan temuan di akun administrator dan semua akun anggotanya. Dengan menyediakan akun anggota IDs sebagai kriteria aturan, administrator CSPM Security Hub juga dapat menggunakan aturan otomatisasi untuk memperbarui atau menekan temuan di akun anggota tertentu.

Aturan otomatisasi hanya berlaku Wilayah AWS di tempat pembuatannya. Untuk menerapkan aturan di beberapa Wilayah, administrator harus membuat aturan di setiap Wilayah. Ini dapat dilakukan melalui konsol CSPM Security Hub, Security Hub CSPM API, atau. AWS CloudFormation Anda juga dapat menggunakan skrip penyebaran Multi-wilayah.

Kriteria aturan dan tindakan aturan yang tersedia

Bidang AWS Security Finding Format (ASFF) berikut saat ini didukung sebagai kriteria untuk aturan otomatisasi:

Kriteria aturan Operator filter Jenis bidang
AwsAccountId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
AwsAccountName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
CompanyName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ComplianceAssociatedStandardsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ComplianceSecurityControlId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ComplianceStatus Is, Is Not Pilih: [FAILED,NOT_AVAILABLE,PASSED,WARNING]
Confidence Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Bilangan
CreatedAt Start, End, DateRange Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z)
Criticality Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Bilangan
Description CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
FirstObservedAt Start, End, DateRange Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z)
GeneratorId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
Id CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
LastObservedAt Start, End, DateRange Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z)
NoteText CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
NoteUpdatedAt Start, End, DateRange Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z)
NoteUpdatedBy CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ProductName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
RecordState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
RelatedFindingsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
RelatedFindingsProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceApplicationArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceApplicationName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceDetailsOther CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Peta
ResourceId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourcePartition CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceRegion CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceTags CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Peta
ResourceType Is, Is Not Pilih (lihat Sumber yang didukung oleh ASFF)
SeverityLabel Is, Is Not Pilih: [CRITICAL,HIGH,MEDIUM,LOW,INFORMATIONAL]
SourceUrl CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
Title CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
Type CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
UpdatedAt Start, End, DateRange Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z)
UserDefinedFields CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Peta
VerificationState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
WorkflowStatus Is, Is Not Pilih: [NEW,NOTIFIED,RESOLVED,SUPPRESSED]

Untuk kriteria yang diberi label sebagai bidang string, menggunakan operator filter yang berbeda pada bidang yang sama memengaruhi logika evaluasi. Untuk informasi selengkapnya, lihat StringFilterdi Referensi API AWS Security Hub Cloud Security Posture Management (CSPM) Security Hub.

Setiap kriteria mendukung jumlah maksimum nilai yang dapat digunakan untuk menyaring temuan yang cocok. Untuk batasan pada setiap kriteria, lihat AutomationRulesFindingFiltersdi Referensi API AWS Security Hub Cloud Security Posture Management (CSPM) Security Hub.

Bidang ASFF berikut saat ini didukung sebagai tindakan untuk aturan otomatisasi:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Untuk informasi selengkapnya tentang bidang ASFF tertentu, lihat sintaks AWS Security Finding Format (ASFF).

Tip

Jika Anda ingin Security Hub CSPM berhenti menghasilkan temuan untuk kontrol tertentu, sebaiknya nonaktifkan kontrol daripada menggunakan aturan otomatisasi. Ketika Anda menonaktifkan kontrol, Security Hub CSPM berhenti menjalankan pemeriksaan keamanan di atasnya dan berhenti menghasilkan temuan untuk itu, sehingga Anda tidak akan dikenakan biaya untuk kontrol itu. Sebaiknya gunakan aturan otomatisasi untuk mengubah nilai bidang ASFF tertentu untuk temuan yang sesuai dengan kriteria yang ditentukan. Untuk informasi selengkapnya tentang menonaktifkan kontrol, lihat. Menonaktifkan kontrol di Security Hub CSPM

Temuan yang dievaluasi oleh aturan otomatisasi

Aturan otomatisasi mengevaluasi temuan baru dan terbaru yang dihasilkan atau diserap oleh Security Hub CSPM melalui BatchImportFindingsoperasi setelah Anda membuat aturan. Security Hub CSPM memperbarui temuan kontrol setiap 12-24 jam atau ketika sumber daya terkait berubah status. Untuk informasi selengkapnya, lihat Jadwal untuk menjalankan pemeriksaan keamanan.

Aturan otomatisasi mengevaluasi temuan asli yang disediakan penyedia. Penyedia dapat menyediakan temuan baru dan memperbarui temuan yang ada melalui BatchImportFindings pengoperasian Security Hub CSPM API. Aturan tidak dipicu saat Anda memperbarui bidang pencarian setelah pembuatan aturan melalui BatchUpdateFindingsoperasi. Jika Anda membuat aturan otomatisasi dan membuat BatchUpdateFindings pembaruan yang memengaruhi bidang temuan yang sama, pembaruan terakhir akan menetapkan nilai untuk bidang tersebut. Ambil contoh berikut:

  1. Anda gunakan BatchUpdateFindings untuk memperbarui Workflow.Status bidang temuan dari NEW keNOTIFIED.

  2. Jika Anda meneleponGetFindings, Workflow.Status bidang sekarang memiliki nilaiNOTIFIED.

  3. Anda membuat aturan otomatisasi yang mengubah Workflow.Status bidang temuan dari NEW ke SUPPRESSED (ingat bahwa aturan mengabaikan pembaruan yang dibuat denganBatchUpdateFindings).

  4. Penyedia pencarian menggunakan BatchImportFindings untuk memperbarui temuan dan mengubah Workflow.Status bidang menjadiNEW.

  5. Jika Anda meneleponGetFindings, Workflow.Status bidang sekarang memiliki nilai SUPPRESSED karena aturan otomatisasi diterapkan, dan aturan adalah tindakan terakhir yang diambil pada temuan.

Saat Anda membuat atau mengedit aturan di konsol CSPM Security Hub, konsol akan menampilkan beta temuan yang sesuai dengan kriteria aturan. Sementara aturan otomatisasi mengevaluasi temuan asli yang dikirim oleh penyedia temuan, beta konsol mencerminkan temuan dalam keadaan akhir mereka karena akan ditampilkan dalam respons terhadap operasi GetFindingsAPI (yaitu, setelah tindakan aturan atau pembaruan lain diterapkan pada temuan).

Cara kerja urutan aturan

Saat membuat aturan otomatisasi, Anda menetapkan setiap aturan pesanan. Ini menentukan urutan di mana Security Hub CSPM menerapkan aturan otomatisasi Anda, dan menjadi penting ketika beberapa aturan terkait dengan bidang temuan atau pencarian yang sama.

Ketika beberapa tindakan aturan berhubungan dengan bidang temuan atau pencarian yang sama, aturan dengan nilai numerik tertinggi untuk urutan aturan berlaku terakhir dan memiliki efek akhir.

Saat Anda membuat aturan di konsol CSPM Security Hub, Security Hub CSPM secara otomatis menetapkan urutan aturan berdasarkan urutan pembuatan aturan. Aturan yang paling baru dibuat memiliki nilai numerik terendah untuk urutan aturan dan oleh karena itu berlaku terlebih dahulu. Security Hub CSPM menerapkan aturan berikutnya dalam urutan menaik.

Bila Anda membuat aturan melalui Security Hub CSPM API atau AWS CLI, Security Hub CSPM menerapkan aturan dengan nilai numerik terendah untuk pertama. RuleOrder Ini kemudian menerapkan aturan selanjutnya dalam urutan menaik. Jika beberapa temuan memiliki hal yang samaRuleOrder, Security Hub CSPM menerapkan aturan dengan nilai sebelumnya untuk UpdatedAt bidang terlebih dahulu (yaitu, aturan yang terakhir diedit berlaku terakhir).

Anda dapat mengubah urutan aturan kapan saja.

Contoh urutan aturan:

Aturan A (urutan aturan adalah1):

  • Kriteria Aturan A

    • ProductName = Security Hub CSPM

    • Resources.Typeadalah S3 Bucket

    • Compliance.Status = FAILED

    • RecordStateadalah NEW

    • Workflow.Status = ACTIVE

  • Aturan A tindakan

    • Perbarui Confidence ke 95

    • Perbarui Severity ke CRITICAL

Aturan B (urutan aturan adalah2):

  • Kriteria aturan B

    • AwsAccountId = 123456789012

  • Tindakan aturan B

    • Perbarui Severity ke INFORMATIONAL

Aturan Tindakan diterapkan terlebih dahulu pada temuan CSPM Security Hub yang cocok dengan kriteria Aturan A. Selanjutnya, tindakan Aturan B berlaku untuk temuan CSPM Security Hub dengan ID akun yang ditentukan. Dalam contoh ini, karena Aturan B berlaku terakhir, nilai akhir Severity dalam temuan dari ID akun yang ditentukan adalahINFORMATIONAL. Berdasarkan tindakan Aturan A, nilai akhir dari temuan Confidence yang cocok adalah95.