As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos de regras de automação
Esta seção fornece exemplos de regras de automação para casos de uso comuns do CSPM do Security Hub. Estes exemplos correspondem aos modelos de regras disponíveis no console do CSPM do Security Hub.
Eleve a gravidade para Crítica quando um recurso específico, como um bucket S3, estiver em risco
Neste exemplo, os critérios da regra são combinados quando o ResourceId em uma descoberta é um bucket específico do Amazon Simple Storage Service (Amazon S3). A ação da regra é alterar a gravidade das descobertas correspondentes para CRITICAL. É possível modificar esse modelo para aplicá-lo a outros recursos.
Exemplo de solicitação de API:
{ "IsTerminal":true, "RuleName": "Elevate severity of findings that relate to important resources", "RuleOrder":1, "RuleStatus": "ENABLED", "Description": "Elevate finding severity to", "Criteria": { "ProductName": [{ "Value": "CRITICALwhen specific resource such as an S3 bucket is at riskSecurity Hub CSPM", "Comparison": "EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "ResourceId": [{ "Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc", "Comparison": "EQUALS" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL" }, "Note": { "Text": "This is a critical resource. Please review ASAP.", "UpdatedBy": "sechub-automation" } } }] }
Exemplo de comando da CLI:
$aws securityhub create-automation-rule \ --is-terminal \ --rule-name "\ --criteria '{ "ProductName": [{ "Value": "Elevate severity of findings that relate to important resources" \ --rule-order1\ --rule-status "ENABLED" \ --description "Elevate finding severity to"CRITICALwhen specific resource such as an S3 bucket is at riskSecurity Hub CSPM", "Comparison":"EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "ResourceId": [{ "Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc", "Comparison": "EQUALS" }] }' \ --actions '[{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL" }, "Note": { "Text": "This is a critical resource. Please review ASAP.", "UpdatedBy": "sechub-automation" } } }]' \ --regionus-east-1
Eleve a gravidade das descobertas relacionadas aos recursos nas contas de produção
Neste exemplo, os critérios da regra são correspondidos quando uma descoberta de gravidade HIGH é gerada em contas de produção específicas. A ação da regra é alterar a gravidade das descobertas correspondentes para CRITICAL.
Exemplo de solicitação de API:
{ "IsTerminal":false, "RuleName": "Elevate severity for production accounts", "RuleOrder":1, "RuleStatus": "ENABLED", "Description": "Elevate finding severity from", "Criteria": { "ProductName": [{ "Value": "HIGHtoCRITICALfor findings that relate to resources in specific production accountsSecurity Hub CSPM", "Comparison": "EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "SeverityLabel": [{ "Value": "HIGH", "Comparison": "EQUALS" }], "AwsAccountId": [ { "Value": "111122223333", "Comparison": "EQUALS" }, { "Value": "123456789012", "Comparison": "EQUALS" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL" }, "Note": { "Text": "A resource in production accounts is at risk. Please review ASAP.", "UpdatedBy": "sechub-automation" } } }] }
Exemplo de comando da CLI:
aws securityhub create-automation-rule \ --no-is-terminal \ --rule-name"\ --rule-orderElevate severity of findings that relate to resources in production accounts"\ --rule-status1"\ --descriptionENABLED""\ --criteria '{ "ProductName": [{ "Value":Elevate finding severity from"HIGHtoCRITICALfor findings that relate to resources in specific production accounts", "Comparison":Security Hub CSPM""}], "ComplianceStatus": [{ "Value":EQUALS"", "Comparison":FAILED""}], "RecordState": [{ "Value":EQUALS"", "Comparison":ACTIVE""}], "SeverityLabel": [{ "Value":EQUALS"", "Comparison":HIGH""}], "AwsAccountId": [ { "Value":EQUALS"", "Comparison":111122223333""}, { "Value":EQUALS"", "Comparison":123456789012""}] }' \ --actions '[{ "Type":EQUALS""FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label":"}, "Note": { "Text":CRITICAL"", "UpdatedBy":A resource in production accounts is at risk. Please review ASAP.""} } }]' \ --regionsechub-automation"us-east-1
Suprimir descobertas informativas
Neste exemplo, os critérios de regras são comparados às descobertas de gravidade INFORMATIONAL enviadas ao CSPM do Security Hub pelo Amazon GuardDuty. A ação da regra é alterar o status do fluxo de trabalho das descobertas correspondentes para SUPPRESSED.
Exemplo de solicitação de API:
{ "IsTerminal":false, "RuleName": "Suppress informational findings", "RuleOrder":1, "RuleStatus": "ENABLED", "Description": "Suppress GuardDuty findings with", "Criteria": { "ProductName": [{ "Value": "INFORMATIONALseverityGuardDuty", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "SeverityLabel": [{ "Value": "INFORMATIONAL", "Comparison": "EQUALS" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Workflow": { "Status": "SUPPRESSED" }, "Note": { "Text": "Automatically suppress GuardDuty findings with", "UpdatedBy": "INFORMATIONALseveritysechub-automation" } } }] }
Exemplo de comando da CLI:
aws securityhub create-automation-rule \ --no-is-terminal \ --rule-name"\ --rule-orderSuppress informational findings"\ --rule-status1"\ --descriptionENABLED""\ --criteria '{ "ProductName": [{ "Value":Suppress GuardDuty findings with"INFORMATIONALseverity", "Comparison":GuardDuty""}], "ComplianceStatus": [{ "Value":EQUALS"", "Comparison":FAILED""}], "RecordState": [{ "Value":EQUALS"", "Comparison":ACTIVE""}], "WorkflowStatus": [{ "Value":EQUALS"", "Comparison":NEW""}], "SeverityLabel": [{ "Value":EQUALS"", "Comparison":INFORMATIONAL""}] }' \ --actions '[{ "Type":EQUALS""FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Workflow": { "Status":"}, "Note": { "Text":SUPPRESSED"", "UpdatedBy":Automatically suppress GuardDuty findings with"INFORMATIONALseverity"} } }]' \ --regionsechub-automation"us-east-1
