BatchUpdateFindings untuk pelanggan - AWS Security Hub
Bidang yang tersedia untuk BatchUpdateFindingsMengkonfigurasi akses ke BatchUpdateFindings

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

BatchUpdateFindings untuk pelanggan

AWS Pelanggan Security Hub Cloud Security Posture Management (CSPM), dan entitas yang bertindak atas nama mereka, dapat menggunakan BatchUpdateFindingsoperasi ini untuk memperbarui informasi terkait pemrosesan temuan CSPM Security Hub dari penyedia pencarian. Sebagai pelanggan, Anda dapat menggunakan operasi ini secara langsung. SIEM, tiket, manajemen insiden, dan alat SOAR juga dapat menggunakan operasi ini atas nama pelanggan.

Anda tidak dapat menggunakan BatchUpdateFindings operasi untuk membuat temuan baru. Namun, Anda dapat menggunakannya untuk memperbarui hingga 100 temuan yang ada sekaligus. Dalam BatchUpdateFindings permintaan, Anda menentukan temuan mana yang akan diperbarui, bidang AWS Security Finding Format (ASFF) mana yang akan diperbarui untuk temuan, dan nilai baru untuk bidang tersebut. Security Hub CSPM kemudian memperbarui temuan seperti yang ditentukan dalam permintaan Anda. Proses ini dapat memakan waktu beberapa menit. Jika Anda memperbarui temuan dengan menggunakan BatchUpdateFindings operasi, pembaruan Anda tidak memengaruhi nilai yang ada untuk UpdatedAt bidang temuan.

Ketika Security Hub CSPM menerima BatchUpdateFindings permintaan untuk memperbarui temuan, itu secara otomatis menghasilkan Security Hub Findings – Importedperistiwa di Amazon. EventBridge Anda dapat menggunakan acara ini secara opsional untuk mengambil tindakan otomatis pada temuan yang ditentukan. Untuk informasi selengkapnya, lihat Menggunakan EventBridge untuk respon otomatis dan remediasi.

Bidang yang tersedia untuk BatchUpdateFindings

Jika Anda masuk ke akun administrator CSPM Security Hub, Anda dapat menggunakannya BatchUpdateFindings untuk memperbarui temuan yang dihasilkan oleh akun administrator atau akun anggota. Akun anggota dapat digunakan BatchUpdateFindings untuk memperbarui temuan hanya untuk akun mereka.

Pelanggan dapat menggunakan BatchUpdateFindings untuk memperbarui bidang dan objek berikut:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Mengkonfigurasi akses ke BatchUpdateFindings

Anda dapat mengonfigurasi kebijakan AWS Identity and Access Management (IAM) untuk membatasi akses penggunaan BatchUpdateFindings untuk memperbarui bidang pencarian dan nilai bidang.

Dalam pernyataan untuk membatasi akses keBatchUpdateFindings, gunakan nilai-nilai berikut:

  • Actionadalah securityhub:BatchUpdateFindings

  • Effectadalah Deny

  • UntukCondition, Anda dapat menolak BatchUpdateFindings permintaan berdasarkan hal berikut:

    • Temuan ini mencakup bidang tertentu.

    • Temuan ini mencakup nilai bidang tertentu.

Kunci syarat

Ini adalah kunci kondisi untuk membatasi akses keBatchUpdateFindings.

Bidang ASFF

Kunci kondisi untuk bidang ASFF adalah sebagai berikut:

securityhub:ASFFSyntaxPath/<fieldName>

Ganti <fieldName> dengan bidang ASFF. Saat mengonfigurasi akses keBatchUpdateFindings, sertakan satu atau lebih bidang ASFF spesifik dalam kebijakan IAM Anda, bukan bidang tingkat induk. Misalnya, untuk membatasi akses ke Workflow.Status bidang, Anda harus menyertakan securityhub:ASFFSyntaxPath/Workflow.Status dalam kebijakan, bukan bidang tingkat Workflow induk.

Melarangi semua pembaruan ke bidang

Untuk mencegah pengguna melakukan pembaruan apa pun ke bidang tertentu, gunakan kondisi seperti ini:

 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

Misalnya, pernyataan berikut menunjukkan bahwa tidak BatchUpdateFindings dapat digunakan untuk memperbarui Workflow.Status bidang temuan.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

Melarangkan nilai bidang tertentu

Untuk mencegah pengguna menyetel bidang ke nilai tertentu, gunakan kondisi seperti ini:

"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

Misalnya, pernyataan berikut menunjukkan bahwa tidak BatchUpdateFindings dapat digunakan untuk mengatur Workflow.Status keSUPPRESSED.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

Anda juga dapat memberikan daftar nilai yang tidak diizinkan.

 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

Misalnya, pernyataan berikut menunjukkan bahwa tidak BatchUpdateFindings dapat digunakan untuk mengatur Workflow.Status ke salah satu RESOLVED atauSUPPRESSED.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}