翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
お客様の BatchUpdateFindings
AWS Security Hub Cloud Security Posture Management (CSPM) のお客様およびお客様に代わって行動するエンティティは、BatchUpdateFindings オペレーションを使用して、検出結果プロバイダーからの Security Hub CSPM の検出結果の処理に関連する情報を更新できます。お客様は、このオペレーションを直接使用できます。SIEM、チケット発行、インシデント管理、SOAR ツールも、このオペレーションを顧客に代わって使用できます。
BatchUpdateFindings オペレーションを使用して新しい検出結果を作成することはできません。ただし、これを使用して、一度に最大 100 個の既存の検出結果を更新できます。BatchUpdateFindings リクエストでは、更新する結果、結果に対して更新する AWS Security Finding Format (ASFF) フィールド、およびフィールドの新しい値を指定します。次に、Security Hub CSPM はリクエストで指定されたとおりに検出結果を更新します。この処理には数分かかることもあります。BatchUpdateFindings オペレーションを使用して検出結果を更新しても、更新は検出結果の UpdatedAtフィールドの既存の値には影響しません。
Security Hub CSPM は、検出結果の更新BatchUpdateFindingsリクエストを受信すると、Amazon EventBridge でSecurity Hub Findings – Importedイベントを自動的に生成します。オプションで、このイベントを使用して、指定された検出結果に対して自動アクションを実行できます。詳細については、「EventBridge を使用した自動応答と修復」を参照してください。
BatchUpdateFindings の使用可能なフィールド
Security Hub CSPM 管理者アカウントにサインインしている場合は、 BatchUpdateFindingsを使用して、管理者アカウントまたはメンバーアカウントによって生成された検出結果を更新できます。メンバーアカウントは、BatchUpdateFindings を使用して、自分のアカウントのみの検出結果を更新できます。
お客様は BatchUpdateFindings を使用して、以下のフィールドとオブジェクトを更新できます。
-
Confidence -
Criticality -
Note -
RelatedFindings -
Severity -
Types -
UserDefinedFields -
VerificationState -
Workflow
BatchUpdateFindings へのアクセスの設定
AWS Identity and Access Management (IAM) ポリシーを設定して、 BatchUpdateFindings を使用して検出結果フィールドとフィールド値を更新するアクセスを制限できます。
BatchUpdateFindings へのアクセスを制限するステートメントで、以下の値を使用します:
-
Actionはsecurityhub:BatchUpdateFindings -
EffectはDeny。 -
Conditionでは、以下に基づいてBatchUpdateFindingsリクエストを拒否できます。-
結果に特定のフィールドが含まれる。
-
結果に特定のフィールド値が含まれる。
-
条件キー
これらは、BatchUpdateFindings へのアクセスを制限するための条件キーです。
- ASFF フィールド
-
ASFF フィールドの条件キーは以下のとおりです:
securityhub:ASFFSyntaxPath/<fieldName><fieldName>BatchUpdateFindingsへのアクセスを設定する場合は、1 つの親レベルのフィールドではなく、IAM ポリシーに 1 つ以上の特定の ASFF フィールドを含めます。例えば、Workflow.Statusフィールドへのアクセスを制限するには、Workflow親レベルフィールドの代わりにsecurityhub:ASFFSyntaxPath/Workflow.Statusをポリシーに含める必要があります。
フィールドに対するすべての更新を禁止する
ユーザーが特定のフィールドを更新できないようにするには、以下のような条件を使用します。
"Condition": { "Null": { "securityhub:ASFFSyntaxPath/<fieldName>": "false" } }
例えば、以下のステートメントは、BatchUpdateFindings を使用して検出結果の Workflow.Status フィールドを更新できないことを示しています。
{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Workflow.Status": "false" } } }
特定のフィールド値の許可を禁止する
ユーザーがフィールドを特定の値に設定できないようにするには、以下のような条件を使用します:
"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>" } }
例えば、以下のステートメントは、BatchUpdateFindings を使用して Workflow.Status に SUPPRESSED を設定できないことを示しています。
{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } }
許可されていない値のリストを提供することもできます。
"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ] } }
例えば、以下のステートメントは、BatchUpdateFindings を使用して Workflow.Status を RESOLVED または SUPPRESSED に設定できないことを示しています。
{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": [ "RESOLVED", "NOTIFIED" ] } }
