Regole di automazione e Regioni AWS Azioni e criteri delle regole In che modo le regole di automazione valutano i risultati Come vengono ordinate le regole di automazione Integrazioni di terze parti Scenari in cui le regole di automazione non funzionano

Regole di automazione in Security Hub

Nota

Security Hub è in versione di anteprima ed è soggetto a modifiche.

Con Security Hub, puoi automatizzare attività come l'aggiornamento dei dettagli delle ricerche e la creazione di ticket per integrazioni di terze parti.

Regole di automazione e Regioni AWS

Le regole di automazione possono essere create in un'unica Regione AWS soluzione e quindi applicate in tutte le configurazioni Regioni AWS. Quando si utilizza l'aggregazione delle regioni, è possibile creare regole solo nella regione di origine. Quando si creano regole nella regione d'origine, qualsiasi regola definita viene applicata a tutte le aree collegate, a meno che i criteri delle regole non escludano una regione collegata specifica. È necessario creare una regola di automazione per qualsiasi regione che non sia un'area collegata.

Azioni e criteri delle regole

Le regole di automazione in Security Hub utilizzano criteri per fare riferimento agli attributi OCSF nei risultati di Security Hub. Ad esempio, i filtri supportati per il Criteria parametro in CreateAutomationRuleV2corrispondono ai filtri supportati per il Criteria parametro in. GetFindingsV2 Ciò significa che i filtri utilizzati nelle regole di automazione possono essere utilizzati per ottenere risultati. Security Hub supporta i seguenti campi OCSF per i criteri delle regole di automazione.

Campo OCSF	Valore del filtro della console	Operatori di filtro	Tipo di campo
`activity_name`	`Activity name`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`class_name`	`Finding class name`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`cloud.account.uid`	`Account ID`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`cloud.provider`	`Cloud provider`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`cloud.region`	`Region`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`comment`	`Comment`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`compliance.assessments.category`	`Assessment category`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`compliance.assessments.name`	`Assessment name`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`compliance.control`	`Security control ID`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`compliance.standards`	`Applicable standards`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`compliance.status`	`Compliance status`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`finding_info.desc`	`Finding description`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`finding_info.related_events.product.uid`	`Related findings product ID`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`finding_info.related_events.title`	`Related findings title`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`finding_info.related_events.uid`	`Related findings ID`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`finding_info.src_url`	`Source URL`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`finding_info.types`	`Finding type`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`finding_info.uid`	`Provider ID`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`metadata.product.feature.uid`	`Generator ID`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`metadata.product.name`	`Product name`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`metadata.product.uid`	`Product ARN`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`metadata.product.vendor_name`	`Company name`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`metadata.uid`	`Finding ID`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`remediation.desc`	`Recommendation text`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`remediation.references`	`Recommendation URL`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`resources.cloud_partition`	`Resource partition`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`resources.name`	`Resource name`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`resources.region`	`Resource region`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`resources.type`	`Resource type`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`resources.uid`	`Resource ID`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`severity`	`Severity`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`status`	`Status`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`vulnerabilities.fix_coverage`	`Software vulnerabilities coverage`	`EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	`String`
`finding_info.first_seen_time_dt`	`First observed at`	`Start, End, DateRange`	`Date (formatted as 2022-12-01T21:47:39.269Z)`
`finding_info.last_seen_time_dt`	`Last observed at`	`Start, End, DateRange`	`Date (formatted as 2022-12-01T21:47:39.269Z)`
`finding_info.modified_time_dt`	`Updated at`	`Start, End, DateRange`	`Date (formatted as 2022-12-01T21:47:39.269Z)`
`compliance.assessments.meets_criteria`	`Compliance assessment meets criteria`	`True, False`	`Boolean`
`vulnerabilities.is_exploit_available`	`Software vulnerabilities with exploit available`	`True, False`	`Boolean`
`vulnerabilities.is_fix_available`	`Software vulnerabilities with fix available`	`True, False`	`Boolean`
`activity_id`	`Activity ID`	`Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)`	`Number`
`compliance.status_id`	`Compliance status ID`	`Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)`	`Number`
`confidence_score`	`Confidence`	`Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)`	`Number`
`severity_id`	`Severity ID`	`Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)`	`Number`
`status_id`	`Status ID`	`Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)`	`Number`
`finding_info.related_events_count`	`Related findings count`	`Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)`	`Number`
`resources.tags`	`Resource tags`	`EQUALS`	`Map`

Per i criteri etichettati come campi stringa, l'utilizzo di operatori di filtro diversi sullo stesso campo influisce sulla logica di valutazione. Per ulteriori informazioni, consulta il riferimento StringFilterall'API Security Hub.

Ogni criterio supporta un numero massimo di valori che possono essere utilizzati per filtrare i risultati corrispondenti. Per i limiti di ogni criterio, vedere il riferimento OcsfFindingFiltersall'API Security Hub

Campi OCSF che possono essere aggiornati

Di seguito sono riportati i campi OCSF che possono essere aggiornati utilizzando le regole di automazione.

Comment
SeverityId
StatusId

In che modo le regole di automazione valutano i risultati

Una regola di automazione valuta i risultati nuovi e aggiornati generati o acquisiti da Security Hub dopo la creazione della regola.

Le regole di automazione valutano i risultati originali forniti dal provider. I provider possono fornire nuovi risultati e aggiornare i risultati esistenti attraverso la loro integrazione con Security Hub. Le regole non vengono attivate quando aggiorni i campi di ricerca dopo la creazione della regola tramite l'BatchUpdateFindingsV2operazione. Se si crea una regola di automazione e si effettua un BatchUpdateFindingsV2 aggiornamento che influiscono entrambi sullo stesso campo di ricerca, l'ultimo aggiornamento imposta il valore per quel campo. Prendiamo l'esempio seguente:

Si usa BatchUpdateFindingsV2 per aggiornare il Status campo di un risultato da New aIn Process. Se chiamiGetFindingsV2, il Status campo ora ha un valore diIn Process. Crei una regola di automazione che modifica il Status campo del risultato da New a Suppressed (ricorda che le regole ignorano gli aggiornamenti effettuati conBatchUpdateFindingsV2). Il provider di ricerca aggiorna il risultato e modifica il Status campo inNew. Se si chiamaGetFindingsV2, il Status campo ora ha un valore pari a Suppressed perché è stata applicata la regola di automazione e la regola è stata l'ultima azione intrapresa sul risultato.

Quando si crea o si modifica una regola sulla console Security Hub, la console mostra un'anteprima dei risultati che corrispondono ai criteri della regola. Mentre le regole di automazione valutano i risultati originali inviati dal provider dei risultati, l'anteprima della console riflette i risultati nel loro stato finale così come verrebbero visualizzati in risposta all'operazione dell'GetFindingsV2API (ovvero, dopo l'applicazione delle azioni delle regole o di altri aggiornamenti al risultato).

Come vengono ordinate le regole di automazione

A ogni regola di automazione viene assegnato un ordine di regole. Ciò determina l'ordine in cui Security Hub applica le regole di automazione e diventa importante quando più regole si riferiscono allo stesso campo di ricerca o ricerca.

Quando più azioni delle regole si riferiscono allo stesso campo di ricerca o di ricerca, la regola con il valore numerico più alto per l'ordine delle regole si applica per ultima e ha l'effetto finale.

Quando si crea una regola nella console di Security Hub, Security Hub assegna automaticamente l'ordine delle regole in base all'ordine di creazione delle regole. La prima regola creata avrà un ordine di regole pari a 1. Se esistono più regole, ogni regola creata successivamente avrà il valore numerico immediatamente più alto disponibile per l'ordine delle regole.

Quando crei una regola tramite CreateAutomationRuleV2API o AWS CLI, Security Hub applica per RuleOrder prima la regola con il valore numerico più basso. Quindi applica le regole successive in ordine crescente. Se più risultati sono ugualiRuleOrder, Security Hub applica prima una regola con un valore precedente per il UpdatedAt campo (ovvero, la regola che è stata modificata più di recente si applica per ultima).

È possibile modificare l'ordine delle regole in qualsiasi momento.

Esempio di ordine delle regole:

Regola A (l'ordine delle regole è1):

Criteri della regola A
- ProductName = Security Hub CSPM
- Resources.Type è S3 Bucket
- Compliance.Status = FAILED
- RecordState è NEW
- Workflow.Status = ACTIVE
Azioni della regola A
- Aggiorna Confidence a 95
- Aggiorna Severity a CRITICAL
- Aggiorna Comment a This needs attention

Regola B (l'ordine delle regole è2):

Criteri della regola B
- AwsAccountId = 123456789012
Azioni della regola B
- Aggiorna Severity a INFORMATIONAL

Innanzitutto, le azioni della Regola A si applicano ai risultati del Security Hub che soddisfano i criteri della Regola A. Quindi, le azioni della Regola B si applicano ai risultati di Security Hub con l'ID account specificato. In questo esempio, poiché la regola B si applica per ultima, il valore finale dei Severity risultati derivanti dall'ID account specificato èINFORMATIONAL. In base all'azione della Regola A, il valore finale dei Confidence risultati corrispondenti è95.

Integrazioni di terze parti

Puoi utilizzare le regole di automazione per creare ticket per integrazioni con Jira Cloud e. ServiceNow ITSM Per ulteriori informazioni, consulta Creazione di una regola per un'integrazione di terze parti.

Scenari in cui le regole di automazione non funzionano

Di seguito sono riportati gli scenari in cui le regole di automazione non funzionano.

L'account autonomo diventa membro di un'organizzazione con un amministratore delegato
L'account di gestione dell'organizzazione rimuove l'amministratore delegato e ne imposta un nuovo amministratore delegato
La configurazione dell'aggregatore per l'amministratore delegato o l'account autonomo cambia quando un'area non collegata diventa un'area collegata

In questi scenari, un membro di un'organizzazione può gestire le regole di automazione con operazioni di elenco, acquisizione ed eliminazione in sala operatoria. AWS CLI APIs

Quando un'area non collegata diventa un'area collegata, l'amministratore delegato o l'account autonomo può gestire le risorse in un'area collegata con operazioni di elenco, acquisizione ed eliminazione.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Automazioni

Creazione di regole di automazione