お客様の BatchUpdateFindings - AWS Security Hub
BatchUpdateFindings の使用可能なフィールドBatchUpdateFindings へのアクセスの設定

お客様の BatchUpdateFindings

AWS Security Hub CSPM のお客様、およびお客様に代わって行動するエンティティは、BatchUpdateFindings オペレーションを使用して、検出結果プロバイダーからの Security Hub CSPM の検出結果の処理に関連する情報を更新できます。お客様は、このオペレーションを直接使用できます。SIEM、チケット発行、インシデント管理、SOAR ツールも、このオペレーションをお客様に代わって使用できます。

BatchUpdateFindings オペレーションを使用して、新しい検出結果を作成することはできません。ただし、これを使用すると、一度に 100 件までの検出結果を更新できます。BatchUpdateFindings リクエストでは、更新する検出結果、検出結果に対して更新する AWS Security Finding 形式 (ASFF) フィールド、およびフィールドの新しい値を指定します。次に、Security Hub CSPM はリクエストで指定されたとおりに検出結果を更新します。この処理には数分かかることもあります。BatchUpdateFindings オペレーションを使用して検出結果を更新しても、更新は検出結果の UpdatedAt フィールドの既存の値には影響しません。

Security Hub CSPM が検出結果を更新する BatchUpdateFindings リクエストを受信すると、Amazon EventBridgeで Security Hub Findings – Imported イベントが自動的に生成されます。オプションで、このイベントを使用して、指定された検出結果に対して自動アクションを実行できます。詳細については、「EventBridge を使用した自動応答と修復」を参照してください。

BatchUpdateFindings の使用可能なフィールド

Security Hub CSPM 管理者アカウントにサインインしている場合は、BatchUpdateFindings を使用して、管理者アカウントまたはメンバーアカウントによって生成された検出結果を更新できます。メンバーアカウントは、BatchUpdateFindings を使用して、自分のアカウントのみの検出結果を更新できます。

お客様は BatchUpdateFindings を使用して、以下のフィールドとオブジェクトを更新できます。

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

BatchUpdateFindings へのアクセスの設定

AWS Identity and Access Management (IAM) ポリシーを設定してアクセスを制限し、検出結果フィールドとフィールド値を更新するための BatchUpdateFindings の使用を制限できます。

BatchUpdateFindings へのアクセスを制限するステートメントで、以下の値を使用します:

  • Actionsecurityhub:BatchUpdateFindings

  • EffectDeny

  • Condition では、以下に基づいて BatchUpdateFindings リクエストを拒否できます。

    • 結果に特定のフィールドが含まれる。

    • 結果に特定のフィールド値が含まれる。

条件キー

これらは、 へのアクセスを制限するための条件キーですBatchUpdateFindings

ASFF フィールド

ASFF フィールドの条件キーは以下のとおりです:

securityhub:ASFFSyntaxPath/<fieldName>

<fieldName> を ASFF フィールドで置き換えます。BatchUpdateFindings へのアクセスを設定する場合は、1 つの親レベルのフィールドではなく、IAM ポリシーに 1 つ以上の特定の ASFF フィールドを含めます。例えば、Workflow.Status フィールドへのアクセスを制限するには、Workflow 親レベルフィールドの代わりに securityhub:ASFFSyntaxPath/Workflow.Status をポリシーに含める必要があります。

フィールドに対するすべての更新を禁止する

ユーザーが特定のフィールドを更新できないようにするには、以下のような条件を使用します。

 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

例えば、以下のステートメントは、BatchUpdateFindings を使用して検出結果の Workflow.Status フィールドを更新できないことを示しています。

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

特定のフィールド値の許可を禁止する

ユーザーがフィールドを特定の値に設定できないようにするには、以下のような条件を使用します:

"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

例えば、以下のステートメントは、BatchUpdateFindings を使用して Workflow.StatusSUPPRESSED を設定できないことを示しています。

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

許可されていない値のリストを提供することもできます。

 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

例えば、以下のステートメントは、BatchUpdateFindings を使用して Workflow.StatusRESOLVED または SUPPRESSED に設定できないことを示しています。

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}