Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Aturan otomatisasi di Security Hub
catatan
Security Hub dalam rilis pratinjau dan dapat berubah sewaktu-waktu.
Dengan Security Hub, Anda dapat mengotomatiskan tugas seperti memperbarui detail pencarian dan membuat tiket untuk integrasi pihak ketiga.
Aturan otomatisasi dan Wilayah AWS
Aturan otomatisasi dapat dibuat dalam satu Wilayah AWS dan kemudian diterapkan di semua yang dikonfigurasi Wilayah AWS. Saat menggunakan agregasi wilayah, Anda hanya dapat membuat aturan di wilayah asal. Saat membuat aturan di wilayah asal, aturan apa pun yang Anda tetapkan diterapkan ke semua wilayah tertaut, kecuali kriteria aturan Anda mengecualikan wilayah tertaut tertentu. Anda harus membuat aturan otomatisasi untuk wilayah mana pun yang bukan wilayah tertaut.
Aturan tindakan dan kriteria
Aturan otomatisasi di Security Hub menggunakan kriteria untuk mereferensikan atribut OCSF dalam temuan Security Hub. Misalnya, filter yang didukung untuk Criteria parameter CreateAutomationRuleV2sesuai dengan filter yang didukung untuk Criteria parameter di GetFindingsV2. Ini berarti filter yang digunakan dalam aturan otomatisasi dapat digunakan untuk mendapatkan temuan. Security Hub mendukung bidang OCSF berikut untuk kriteria aturan otomatisasi.
| Bidang OCSF | Nilai filter konsol | Operator filter | Jenis bidang |
|---|---|---|---|
activity_name |
Activity name |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
class_name |
Finding class name |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
cloud.account.uid |
Account ID |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
cloud.provider |
Cloud provider |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
cloud.region |
Region |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
comment |
Comment |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
compliance.assessments.category |
Assessment category |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
compliance.assessments.name |
Assessment name |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
compliance.control |
Security control ID |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
compliance.standards |
Applicable standards |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
compliance.status |
Compliance status |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
finding_info.desc |
Finding description |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
finding_info.related_events.product.uid |
Related findings product ID |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
finding_info.related_events.title |
Related findings title |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
finding_info.related_events.uid |
Related findings ID |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
finding_info.src_url |
Source URL |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
finding_info.types |
Finding type |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
finding_info.uid |
Provider ID |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
metadata.product.feature.uid |
Generator ID |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
metadata.product.name |
Product name |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
metadata.product.uid |
Product ARN |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
metadata.product.vendor_name |
Company name |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
metadata.uid |
Finding ID |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
remediation.desc |
Recommendation text |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
remediation.references |
Recommendation URL |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
resources.cloud_partition |
Resource partition |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
resources.name |
Resource name |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
resources.region |
Resource region |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
resources.type |
Resource type |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
resources.uid |
Resource ID |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
severity |
Severity |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
status |
Status |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
vulnerabilities.fix_coverage |
Software vulnerabilities coverage |
EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS |
String |
finding_info.first_seen_time_dt |
First observed at |
Start, End, DateRange |
Date (formatted as 2022-12-01T21:47:39.269Z) |
finding_info.last_seen_time_dt |
Last observed at |
Start, End, DateRange |
Date (formatted as 2022-12-01T21:47:39.269Z) |
finding_info.modified_time_dt |
Updated at |
Start, End, DateRange |
Date (formatted as 2022-12-01T21:47:39.269Z) |
compliance.assessments.meets_criteria |
Compliance assessment meets criteria |
True, False |
Boolean |
vulnerabilities.is_exploit_available |
Software vulnerabilities with exploit available |
True, False |
Boolean |
vulnerabilities.is_fix_available |
Software vulnerabilities with fix available |
True, False |
Boolean |
activity_id |
Activity ID |
Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) |
Number |
compliance.status_id |
Compliance status ID |
Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) |
Number |
confidence_score |
Confidence |
Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) |
Number |
severity_id |
Severity ID |
Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) |
Number |
status_id |
Status ID |
Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) |
Number |
finding_info.related_events_count |
Related findings count |
Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) |
Number |
resources.tags |
Resource tags |
EQUALS |
Map |
Untuk kriteria yang diberi label sebagai bidang string, menggunakan operator filter yang berbeda pada bidang yang sama memengaruhi logika evaluasi. Untuk informasi selengkapnya, lihat StringFilterdi Referensi API Security Hub.
Setiap kriteria mendukung jumlah maksimum nilai yang dapat digunakan untuk menyaring temuan yang cocok. Untuk batasan setiap kriteria, lihat OcsfFindingFiltersdi Referensi API Security Hub
Bidang OCSF yang dapat diperbarui
Berikut ini adalah bidang OCSF yang dapat diperbarui menggunakan aturan otomatisasi.
-
Comment -
SeverityId -
StatusId
Bagaimana aturan otomatisasi mengevaluasi temuan
Aturan otomatisasi mengevaluasi temuan baru dan terbaru yang dihasilkan atau dicerna Security Hub setelah Anda membuat aturan.
Aturan otomatisasi mengevaluasi temuan asli yang disediakan penyedia. Penyedia dapat menyediakan temuan baru dan memperbarui temuan yang ada melalui integrasi mereka dengan Security Hub. Aturan tidak dipicu saat Anda memperbarui bidang pencarian setelah pembuatan aturan melalui BatchUpdateFindingsV2 operasi. Jika Anda membuat aturan otomatisasi dan membuat BatchUpdateFindingsV2 pembaruan yang memengaruhi bidang temuan yang sama, pembaruan terakhir akan menetapkan nilai untuk bidang tersebut. Ambil contoh berikut:
Anda gunakan BatchUpdateFindingsV2 untuk memperbarui Status bidang temuan dari New keIn Process. Jika Anda meneleponGetFindingsV2, Status bidang sekarang memiliki nilaiIn Process. Anda membuat aturan otomatisasi yang mengubah Status bidang temuan dari New ke Suppressed (ingat bahwa aturan mengabaikan pembaruan yang dibuat denganBatchUpdateFindingsV2). Penyedia temuan memperbarui temuan dan mengubah Status bidang menjadiNew. Jika Anda meneleponGetFindingsV2, Status bidang sekarang memiliki nilai Suppressed karena aturan otomatisasi diterapkan, dan aturan adalah tindakan terakhir yang diambil pada temuan tersebut.
Saat Anda membuat atau mengedit aturan di konsol Security Hub, konsol akan menampilkan pratinjau temuan yang cocok dengan kriteria aturan. Sementara aturan otomatisasi mengevaluasi temuan asli yang dikirim oleh penyedia temuan, pratinjau konsol mencerminkan temuan dalam keadaan akhir karena akan ditampilkan dalam respons terhadap operasi GetFindingsV2 API (yaitu, setelah tindakan aturan atau pembaruan lain diterapkan pada temuan).
Bagaimana aturan otomatisasi dipesan
Setiap aturan otomatisasi diberi urutan aturan. Ini menentukan urutan di mana Security Hub menerapkan aturan otomatisasi Anda, dan menjadi penting ketika beberapa aturan terkait dengan bidang temuan atau pencarian yang sama.
Ketika beberapa tindakan aturan berhubungan dengan bidang temuan atau pencarian yang sama, aturan dengan nilai numerik tertinggi untuk urutan aturan berlaku terakhir dan memiliki efek akhir.
Saat Anda membuat aturan di konsol Security Hub, Security Hub secara otomatis menetapkan urutan aturan berdasarkan urutan pembuatan aturan. Aturan pertama yang Anda buat akan memiliki urutan aturan 1. Ketika lebih dari satu aturan ada, masing-masing aturan yang dibuat selanjutnya akan memiliki nilai numerik tertinggi berikutnya yang tersedia untuk urutan aturan.
Saat Anda membuat aturan melalui CreateAutomationRuleV2API atau AWS CLI, Security Hub menerapkan aturan dengan nilai numerik terendah untuk RuleOrder pertama. Ini kemudian menerapkan aturan selanjutnya dalam urutan menaik. Jika beberapa temuan memiliki hal yang samaRuleOrder, Security Hub menerapkan aturan dengan nilai sebelumnya untuk UpdatedAt bidang terlebih dahulu (yaitu, aturan yang terakhir diedit berlaku terakhir).
Anda dapat mengubah urutan aturan kapan saja.
Contoh urutan aturan:
Aturan A (urutan aturan adalah1):
-
Kriteria Aturan A
-
ProductName=Security Hub CSPM -
Resources.TypeadalahS3 Bucket -
Compliance.Status=FAILED -
RecordStateadalahNEW -
Workflow.Status=ACTIVE
-
-
Aturan A tindakan
-
Perbarui
Confidenceke95 -
Perbarui
SeveritykeCRITICAL -
Perbarui
CommentkeThis needs attention
-
Aturan B (urutan aturan adalah2):
-
Kriteria aturan B
-
AwsAccountId=123456789012
-
-
Tindakan aturan B
-
Perbarui
SeveritykeINFORMATIONAL
-
Pertama, tindakan Aturan A berlaku untuk temuan Security Hub yang cocok dengan kriteria Aturan A. Kemudian, tindakan Aturan B berlaku untuk temuan Security Hub dengan ID akun yang ditentukan. Dalam contoh ini, karena Aturan B berlaku terakhir, nilai akhir Severity dalam temuan dari ID akun yang ditentukan adalahINFORMATIONAL. Berdasarkan tindakan Aturan A, nilai akhir dari temuan Confidence yang cocok adalah95.
Integrasi pihak ketiga
Anda dapat menggunakan aturan otomatisasi untuk membuat tiket untuk integrasi dengan Jira Cloud danServiceNow ITSM. Untuk informasi selengkapnya, lihat Membuat aturan untuk integrasi pihak ketiga.
Skenario di mana aturan otomatisasi tidak berfungsi
Berikut ini adalah skenario di mana aturan otomatisasi tidak berfungsi.
-
Akun mandiri menjadi anggota organisasi dengan admin yang didelegasikan
-
Akun manajemen organisasi menghapus admin yang didelegasikan dan menetapkan admin yang didelegasikan baru
-
Konfigurasi agregator untuk admin yang didelegasikan atau akun mandiri berubah saat wilayah yang tidak ditautkan dibuat sebagai wilayah tertaut
Selama skenario ini, anggota organisasi dapat mengelola aturan otomatisasi dengan daftar, mendapatkan, dan menghapus operasi di AWS CLI atau APIs.
Saat wilayah yang tidak ditautkan dibuat sebagai wilayah tertaut, admin atau akun mandiri yang didelegasikan dapat mengelola sumber daya di wilayah tertaut dengan operasi daftar, dapatkan, dan hapus.
