Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Comprensione delle regole di automazione in Security Hub CSPM
Puoi utilizzare le regole di automazione per aggiornare automaticamente i risultati in AWS Security Hub Cloud Security Posture Management (CSPM). Man mano che acquisisce i risultati, Security Hub CSPM può applicare una serie di azioni relative alle regole, come sopprimere i risultati, modificarne la gravità e aggiungere note. Tali azioni relative alle regole modificano i risultati che corrispondono ai criteri specificati.
Di seguito sono riportati alcuni esempi di casi d'uso per le regole di automazione:
-
Elevare il livello di gravità di un risultato a
CRITICALse l'ID della risorsa del risultato si riferisce a una risorsa fondamentale per l'azienda. -
Elevare la gravità di un risultato
HIGHdaCRITICALse il risultato influisce sulle risorse di specifici account di produzione. -
Assegnazione di risultati specifici che hanno la stessa gravità dello stato del
SUPPRESSEDflussoINFORMATIONALdi lavoro.
È possibile creare e gestire le regole di automazione solo da un account amministratore CSPM di Security Hub.
Le regole si applicano sia ai nuovi risultati che ai risultati aggiornati. È possibile creare una regola personalizzata da zero o utilizzare un modello di regola fornito da Security Hub CSPM. Puoi anche iniziare con un modello e modificarlo secondo necessità.
Definizione dei criteri e delle azioni delle regole
Da un account amministratore CSPM di Security Hub, è possibile creare una regola di automazione definendo uno o più criteri di regola e una o più azioni delle regole. Quando un risultato corrisponde ai criteri definiti, Security Hub CSPM applica le azioni della regola ad esso. Per ulteriori informazioni sui criteri e le azioni disponibili, vedere. Criteri e azioni delle regole disponibili
Security Hub CSPM attualmente supporta un massimo di 100 regole di automazione per ogni account amministratore.
L'account amministratore CSPM di Security Hub può anche modificare, visualizzare ed eliminare le regole di automazione. Una regola si applica ai risultati corrispondenti nell'account amministratore e in tutti i relativi account membri. Fornendo l'account membro IDs come criterio di regola, gli amministratori CSPM di Security Hub possono anche utilizzare le regole di automazione per aggiornare o eliminare i risultati in account membri specifici.
Una regola di automazione si applica solo nel luogo Regione AWS in cui è stata creata. Per applicare una regola in più regioni, l'amministratore deve creare la regola in ciascuna regione. Questa operazione può essere eseguita tramite la console CSPM di Security Hub, l'API CSPM di Security Hub o. AWS CloudFormation È inoltre possibile utilizzare uno script di distribuzione multiregionale.
Criteri e azioni delle regole disponibili
I seguenti campi ASFF ( AWS Security Finding Format) sono attualmente supportati come criteri per le regole di automazione:
| Criterio della regola | Operatori di filtro | Tipo di campo |
|---|---|---|
AwsAccountId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
AwsAccountName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
CompanyName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ComplianceAssociatedStandardsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ComplianceSecurityControlId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ComplianceStatus
|
Is, Is Not
|
Seleziona: [FAILED,NOT_AVAILABLE,PASSED,WARNING] |
Confidence
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Numero |
CreatedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
Criticality
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Numero |
Description
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
FirstObservedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
GeneratorId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
Id
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
LastObservedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
NoteText
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
NoteUpdatedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
NoteUpdatedBy
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ProductName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
RecordState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
RelatedFindingsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
RelatedFindingsProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceApplicationArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceApplicationName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceDetailsOther
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Eseguire la mappatura |
ResourceId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourcePartition
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceRegion
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceTags
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Eseguire la mappatura |
ResourceType
|
Is, Is Not
|
Seleziona (vedi Risorse supportate da ASFF) |
SeverityLabel
|
Is, Is Not
|
Seleziona: [CRITICAL,HIGH, MEDIUMLOW,INFORMATIONAL] |
SourceUrl
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
Title
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
Type
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
UpdatedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
UserDefinedFields
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Eseguire la mappatura |
VerificationState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
WorkflowStatus
|
Is, Is Not
|
Seleziona NEWRESOLVED: [NOTIFIED,,] SUPPRESSED |
Per i criteri etichettati come campi stringa, l'utilizzo di operatori di filtro diversi sullo stesso campo influisce sulla logica di valutazione. Per ulteriori informazioni, consulta il riferimento StringFilterall'API AWS Security Hub Cloud Security Posture Management (CSPM).
Ogni criterio supporta un numero massimo di valori che possono essere utilizzati per filtrare i risultati corrispondenti. Per i limiti di ogni criterio, consulta il riferimento AutomationRulesFindingFiltersall'API AWS Security Hub Cloud Security Posture Management (CSPM).
I seguenti campi ASFF sono attualmente supportati come azioni per le regole di automazione:
-
Confidence -
Criticality -
Note -
RelatedFindings -
Severity -
Types -
UserDefinedFields -
VerificationState -
Workflow
Per ulteriori informazioni su campi ASFF specifici, vedere la sintassi ASFF (AWS Security Finding Format).
Suggerimento
Se desideri che Security Hub CSPM smetta di generare risultati per un controllo specifico, ti consigliamo di disabilitare il controllo anziché utilizzare una regola di automazione. Quando disabiliti un controllo, Security Hub CSPM interrompe l'esecuzione dei controlli di sicurezza e la generazione dei relativi risultati, in modo da non incorrere in costi per tale controllo. Consigliamo di utilizzare le regole di automazione per modificare i valori di campi ASFF specifici per i risultati che soddisfano i criteri definiti. Per ulteriori informazioni sulla disabilitazione dei controlli, consulta. Disabilitazione dei controlli in Security Hub CSPM
Risultati valutati dalle regole di automazione
Una regola di automazione valuta i risultati nuovi e aggiornati che Security Hub CSPM genera o inserisce tramite l'BatchImportFindingsoperazione dopo la creazione della regola. Security Hub CSPM aggiorna i risultati del controllo ogni 12-24 ore o quando la risorsa associata cambia stato. Per ulteriori informazioni, consulta Pianificazione dell'esecuzione dei controlli di sicurezza.
Le regole di automazione valutano i risultati originali forniti dal provider. I provider possono fornire nuovi risultati e aggiornare i risultati esistenti tramite il BatchImportFindings funzionamento dell'API CSPM Security Hub. Le regole non vengono attivate quando aggiorni i campi di ricerca dopo la creazione della regola tramite l'operazione. BatchUpdateFindings Se si crea una regola di automazione e si effettua un BatchUpdateFindings aggiornamento che influiscono entrambi sullo stesso campo di ricerca, l'ultimo aggiornamento imposta il valore per quel campo. Prendiamo l'esempio seguente:
Si usa
BatchUpdateFindingsper aggiornare ilWorkflow.Statuscampo di un risultato daNEWaNOTIFIED.Se chiami
GetFindings, ilWorkflow.Statuscampo ora ha un valore diNOTIFIED.Crei una regola di automazione che modifica il
Workflow.Statuscampo del risultato daNEWaSUPPRESSED(ricorda che le regole ignorano gli aggiornamenti effettuati conBatchUpdateFindings).Il provider di ricerca lo utilizza
BatchImportFindingsper aggiornare il risultato e modifica ilWorkflow.Statuscampo inNEW.Se si chiama
GetFindings, ilWorkflow.Statuscampo ora ha un valore pari aSUPPRESSEDperché è stata applicata la regola di automazione e la regola è stata l'ultima azione intrapresa sul risultato.
Quando si crea o si modifica una regola sulla console CSPM di Security Hub, la console visualizza una versione beta dei risultati che corrispondono ai criteri della regola. Mentre le regole di automazione valutano i risultati originali inviati dal provider dei risultati, la versione beta della console riflette i risultati nel loro stato finale così come verrebbero visualizzati in risposta all'operazione dell'GetFindingsAPI (ovvero, dopo l'applicazione delle azioni delle regole o di altri aggiornamenti al risultato).
Come funziona l'ordine delle regole
Quando si creano regole di automazione, si assegna a ciascuna regola un ordine. Ciò determina l'ordine in cui Security Hub CSPM applica le regole di automazione e diventa importante quando più regole si riferiscono allo stesso campo di ricerca o ricerca.
Quando più azioni delle regole si riferiscono allo stesso campo di ricerca o ricerca, la regola con il valore numerico più alto per l'ordine delle regole si applica per ultima e ha l'effetto finale.
Quando si crea una regola nella console CSPM di Security Hub, Security Hub CSPM assegna automaticamente l'ordine delle regole in base all'ordine di creazione delle regole. La regola creata più di recente ha il valore numerico più basso per l'ordine delle regole e pertanto viene applicata per prima. Security Hub CSPM applica le regole successive in ordine crescente.
Quando si crea una regola tramite l'API CSPM di Security Hub o AWS CLI, Security Hub CSPM, applica per prima la regola con il valore numerico più basso. RuleOrder Quindi applica le regole successive in ordine crescente. Se più risultati sono ugualiRuleOrder, Security Hub CSPM applica prima una regola con un valore precedente per il UpdatedAt campo (ovvero, la regola che è stata modificata più di recente si applica per ultima).
È possibile modificare l'ordine delle regole in qualsiasi momento.
Esempio di ordine delle regole:
Regola A (l'ordine delle regole è1):
-
Criteri della regola A
-
ProductName=Security Hub CSPM -
Resources.TypeèS3 Bucket -
Compliance.Status=FAILED -
RecordStateèNEW -
Workflow.Status=ACTIVE
-
-
Azioni della regola A
-
Aggiorna
Confidencea95 -
Aggiorna
SeverityaCRITICAL
-
Regola B (l'ordine delle regole è2):
-
Criteri della regola B
-
AwsAccountId=123456789012
-
-
Azioni della regola B
-
Aggiorna
SeverityaINFORMATIONAL
-
Le azioni della Regola A si applicano innanzitutto ai risultati CSPM di Security Hub che soddisfano i criteri della Regola A. Successivamente, le azioni della Regola B si applicano ai risultati CSPM di Security Hub con l'ID account specificato. In questo esempio, poiché la regola B si applica per ultima, il valore finale dei Severity risultati derivanti dall'ID account specificato è. INFORMATIONAL In base all'azione della Regola A, il valore finale dei Confidence risultati corrispondenti è95.
