BatchUpdateFindings per i clienti - AWS Security Hub
Campi disponibili per BatchUpdateFindingsConfigurazione dell'accesso a BatchUpdateFindings

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

BatchUpdateFindings per i clienti

AWS I clienti di Security Hub Cloud Security Posture Management (CSPM) e le entità che agiscono per loro conto possono utilizzare l'BatchUpdateFindingsoperazione per aggiornare le informazioni relative all'elaborazione dei risultati CSPM di Security Hub dai provider di ricerca. In qualità di cliente, puoi utilizzare direttamente questa operazione. Anche gli strumenti SIEM, di ticketing, di gestione degli incidenti e SOAR possono utilizzare questa operazione per conto di un cliente.

Non è possibile utilizzare l'BatchUpdateFindingsoperazione per creare nuove scoperte. Tuttavia, puoi utilizzarla per aggiornare fino a 100 risultati esistenti alla volta. In una BatchUpdateFindings richiesta, specificate quali risultati aggiornare, quali campi del AWS Security Finding Format (ASFF) aggiornare per i risultati e i nuovi valori per i campi. Security Hub CSPM aggiorna quindi i risultati come specificato nella richiesta. Questo processo può richiedere alcuni minuti. Se aggiorni i risultati utilizzando l'BatchUpdateFindingsoperazione, gli aggiornamenti non influiscono sui valori esistenti per il UpdatedAt campo dei risultati.

Quando Security Hub CSPM riceve una BatchUpdateFindings richiesta di aggiornamento di un risultato, genera automaticamente un Security Hub Findings – Importedevento in Amazon. EventBridge Facoltativamente, puoi utilizzare questo evento per intraprendere azioni automatiche sul risultato specificato. Per ulteriori informazioni, consulta Utilizzo EventBridge per la risposta e la correzione automatizzate.

Campi disponibili per BatchUpdateFindings

Se hai effettuato l'accesso a un account amministratore CSPM di Security Hub, puoi utilizzarlo BatchUpdateFindings per aggiornare i risultati generati dall'account amministratore o dagli account dei membri. Gli account dei membri possono essere utilizzati BatchUpdateFindings per aggiornare i risultati solo per il proprio account.

I clienti possono utilizzare BatchUpdateFindings per aggiornare i seguenti campi e oggetti:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Configurazione dell'accesso a BatchUpdateFindings

È possibile configurare le policy AWS Identity and Access Management (IAM) per limitare l'accesso all'utilizzo per BatchUpdateFindings aggiornare i campi di ricerca e i valori dei campi.

In un'istruzione a cui limitare l'accessoBatchUpdateFindings, utilizza i seguenti valori:

  • Action è securityhub:BatchUpdateFindings

  • Effect è Deny

  • InfattiCondition, puoi rifiutare una BatchUpdateFindings richiesta in base a quanto segue:

    • La scoperta include un campo specifico.

    • Il risultato include un valore di campo specifico.

Chiavi di condizione

Queste sono le chiavi condizionali per limitare l'accesso aBatchUpdateFindings.

Campo ASFF

La chiave di condizione per un campo ASFF è la seguente:

securityhub:ASFFSyntaxPath/<fieldName>

Sostituisci <fieldName> con il campo ASFF. Quando configuri l'accesso aBatchUpdateFindings, includi uno o più campi ASFF specifici nella tua policy IAM anziché un campo a livello principale. Ad esempio, per limitare l'accesso al Workflow.Status campo, devi includere securityhub:ASFFSyntaxPath/Workflow.Status nella tua policy anziché il campo a livello principale. Workflow

Impedire tutti gli aggiornamenti a un campo

Per impedire a un utente di apportare aggiornamenti a un campo specifico, utilizza una condizione come questa:

 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

Ad esempio, la seguente dichiarazione indica che non BatchUpdateFindings può essere utilizzata per aggiornare il Workflow.Status campo dei risultati.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

Non consentire valori di campo specifici

Per impedire a un utente di impostare un campo su un valore specifico, usa una condizione come questa:

"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

Ad esempio, la seguente istruzione indica che non BatchUpdateFindings può essere utilizzata per Workflow.Status impostare suSUPPRESSED.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

Puoi anche fornire un elenco di valori non consentiti.

 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

Ad esempio, la seguente dichiarazione indica che non BatchUpdateFindings può essere utilizzata per Workflow.Status impostare uno dei due RESOLVED valoriSUPPRESSED.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}