Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di regole di automazione
Questa sezione fornisce esempi di regole di automazione per i casi d'uso CSPM più comuni di Security Hub. Questi esempi corrispondono ai modelli di regole disponibili nella console CSPM di Security Hub.
Elevate la severità a Critica quando una risorsa specifica, come un bucket S3, è a rischio
In questo esempio, i criteri della regola vengono soddisfatti quando il ResourceId risultato è un bucket Amazon Simple Storage Service (Amazon S3) specifico. L'azione della regola consiste nel modificare la gravità dei risultati corrispondenti in. CRITICAL È possibile modificare questo modello per applicarlo ad altre risorse.
Esempio di richiesta API:
{ "IsTerminal":true, "RuleName": "Elevate severity of findings that relate to important resources", "RuleOrder":1, "RuleStatus": "ENABLED", "Description": "Elevate finding severity to", "Criteria": { "ProductName": [{ "Value": "CRITICALwhen specific resource such as an S3 bucket is at riskSecurity Hub CSPM", "Comparison": "EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "ResourceId": [{ "Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc", "Comparison": "EQUALS" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL" }, "Note": { "Text": "This is a critical resource. Please review ASAP.", "UpdatedBy": "sechub-automation" } } }] }
Esempio di comando CLI:
$aws securityhub create-automation-rule \ --is-terminal \ --rule-name "\ --criteria '{ "ProductName": [{ "Value": "Elevate severity of findings that relate to important resources" \ --rule-order1\ --rule-status "ENABLED" \ --description "Elevate finding severity to"CRITICALwhen specific resource such as an S3 bucket is at riskSecurity Hub CSPM", "Comparison":"EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "ResourceId": [{ "Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc", "Comparison": "EQUALS" }] }' \ --actions '[{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL" }, "Note": { "Text": "This is a critical resource. Please review ASAP.", "UpdatedBy": "sechub-automation" } } }]' \ --regionus-east-1
Elevare la severità dei risultati relativi alle risorse negli account di produzione
In questo esempio, i criteri della regola vengono soddisfatti quando viene generato un risultato di HIGH gravità in conti di produzione specifici. L'azione della regola consiste nel modificare la gravità dei risultati corrispondenti in. CRITICAL
Esempio di richiesta API:
{ "IsTerminal":false, "RuleName": "Elevate severity for production accounts", "RuleOrder":1, "RuleStatus": "ENABLED", "Description": "Elevate finding severity from", "Criteria": { "ProductName": [{ "Value": "HIGHtoCRITICALfor findings that relate to resources in specific production accountsSecurity Hub CSPM", "Comparison": "EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "SeverityLabel": [{ "Value": "HIGH", "Comparison": "EQUALS" }], "AwsAccountId": [ { "Value": "111122223333", "Comparison": "EQUALS" }, { "Value": "123456789012", "Comparison": "EQUALS" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL" }, "Note": { "Text": "A resource in production accounts is at risk. Please review ASAP.", "UpdatedBy": "sechub-automation" } } }] }
Esempio di comando CLI:
aws securityhub create-automation-rule \ --no-is-terminal \ --rule-name"\ --rule-orderElevate severity of findings that relate to resources in production accounts"\ --rule-status1"\ --descriptionENABLED""\ --criteria '{ "ProductName": [{ "Value":Elevate finding severity from"HIGHtoCRITICALfor findings that relate to resources in specific production accounts", "Comparison":Security Hub CSPM""}], "ComplianceStatus": [{ "Value":EQUALS"", "Comparison":FAILED""}], "RecordState": [{ "Value":EQUALS"", "Comparison":ACTIVE""}], "SeverityLabel": [{ "Value":EQUALS"", "Comparison":HIGH""}], "AwsAccountId": [ { "Value":EQUALS"", "Comparison":111122223333""}, { "Value":EQUALS"", "Comparison":123456789012""}] }' \ --actions '[{ "Type":EQUALS""FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label":"}, "Note": { "Text":CRITICAL"", "UpdatedBy":A resource in production accounts is at risk. Please review ASAP.""} } }]' \ --regionsechub-automation"us-east-1
Sopprime i risultati informativi
In questo esempio, i criteri della regola vengono soddisfatti per i risultati di INFORMATIONAL gravità inviati a Security Hub CSPM da Amazon. GuardDuty L'azione della regola consiste nel modificare lo stato del flusso di lavoro dei risultati corrispondenti in. SUPPRESSED
Esempio di richiesta API:
{ "IsTerminal":false, "RuleName": "Suppress informational findings", "RuleOrder":1, "RuleStatus": "ENABLED", "Description": "Suppress GuardDuty findings with", "Criteria": { "ProductName": [{ "Value": "INFORMATIONALseverityGuardDuty", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "SeverityLabel": [{ "Value": "INFORMATIONAL", "Comparison": "EQUALS" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Workflow": { "Status": "SUPPRESSED" }, "Note": { "Text": "Automatically suppress GuardDuty findings with", "UpdatedBy": "INFORMATIONALseveritysechub-automation" } } }] }
Esempio di comando CLI:
aws securityhub create-automation-rule \ --no-is-terminal \ --rule-name"\ --rule-orderSuppress informational findings"\ --rule-status1"\ --descriptionENABLED""\ --criteria '{ "ProductName": [{ "Value":Suppress GuardDuty findings with"INFORMATIONALseverity", "Comparison":GuardDuty""}], "ComplianceStatus": [{ "Value":EQUALS"", "Comparison":FAILED""}], "RecordState": [{ "Value":EQUALS"", "Comparison":ACTIVE""}], "WorkflowStatus": [{ "Value":EQUALS"", "Comparison":NEW""}], "SeverityLabel": [{ "Value":EQUALS"", "Comparison":INFORMATIONAL""}] }' \ --actions '[{ "Type":EQUALS""FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Workflow": { "Status":"}, "Note": { "Text":SUPPRESSED"", "UpdatedBy":Automatically suppress GuardDuty findings with"INFORMATIONALseverity"} } }]' \ --regionsechub-automation"us-east-1
