Campos disponíveis para BatchUpdateFindings Configurar o acesso ao BatchUpdateFindings

BatchUpdateFindings para clientes

Os clientes do CSPM do AWS Security Hub e as entidades que agem em seu nome podem usar a operação BatchUpdateFindings para atualizar as informações relacionadas ao processamento das descobertas do CSPM do Security Hub fornecidas por provedores de descobertas. Como cliente, é possível usar essa operação diretamente. As ferramentas de SIEM, emissão de tíquetes, gerenciamento de incidentes e SOAR também podem usar essa operação em nome de um cliente.

Você não pode usar a operação BatchUpdateFindings para criar novas descobertas. Contudo, é possível usá-la para atualizar até 100 descobertas existentes por vez. Em uma solicitação BatchUpdateFindings, você especifica quais descobertas atualizar, quais campos do Formato de descoberta de Segurança da AWS (ASFF) devem ser atualizados para as descobertas e os novos valores para os campos. Em seguida, o CSPM do Security Hub atualizará as descobertas conforme especificado em sua solicitação. Esse processo pode levar alguns minutos. Se você atualizar as descobertas usando a operação BatchUpdateFindings, suas atualizações não afetarão os valores existentes no campo UpdatedAt das descobertas.

Quando o CSPM do Security Hub recebe uma solicitação de BatchUpdateFindings para atualizar uma descoberta, ela gera automaticamente um evento Security Hub Findings – Imported no Amazon EventBridge. Opcionalmente, é possível usar esse evento para realizar uma ação automática na descoberta especificada. Para obter mais informações, consulte Usar o EventBridge para resposta e correção automatizada.

Campos disponíveis para BatchUpdateFindings

Se você estiver conectado a uma conta de administrador do CSPM do Security Hub, poderá usar BatchUpdateFindings para atualizar as descobertas geradas via conta do administrador ou contas de membro. As contas de membro só podem usar BatchUpdateFindings para atualizar descobertas para sua própria conta.

Os clientes podem usar BatchUpdateFindings para atualizar os seguintes campos e objetos:

Confidence
Criticality
Note
RelatedFindings
Severity
Types
UserDefinedFields
VerificationState
Workflow

Configurar o acesso ao BatchUpdateFindings

É possível configurar as políticas do AWS Identity and Access Management (IAM) para restringir o acesso ao uso de BatchUpdateFindings para atualizar campos de descoberta e os valores dos campos.

Em uma declaração para restringir o acesso ao BatchUpdateFindings, use os seguintes valores:

Action é securityhub:BatchUpdateFindings
Effect é Deny
Para Condition, você pode negar uma solicitação BatchUpdateFindings com base no seguinte:
- A descoberta inclui um campo específico.
- A descoberta inclui um valor de campo específico.

Chaves de condição

Essas são as principais condições para restringir o acesso ao BatchUpdateFindings.

Campo do ASFF

A principal condição para um campo do ASFF é a seguinte:


securityhub:ASFFSyntaxPath/<fieldName>

Substitua <fieldName> pelo campo do ASFF. Ao configurar o acesso ao BatchUpdateFindings, inclua um ou mais campos do ASFF específicos em sua política do IAM em vez de um campo de nível principal. Por exemplo, para restringir o acesso ao campo Workflow.Status, é necessário incluir securityhub:ASFFSyntaxPath/Workflow.Status em sua política em vez do campo de nível principal Workflow.

Proibir atualizações em um campo

Para impedir que um usuário faça qualquer atualização em um campo específico, use uma condição como esta:


 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

Por exemplo, a instrução a seguir indica que BatchUpdateFindings não pode ser usado para atualizar o campo Workflow.Status das descobertas.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

Proibir valores de campo específicos

Para impedir que um usuário configure um campo para um valor específico, use uma condição como esta:


"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

Por exemplo, a declaração a seguir indica que BatchUpdateFindings não pode ser usado para configurar Workflow.Status para SUPPRESSED.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

Também é possível fornecer uma lista de valores que não são permitidos.


 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

Por exemplo, a declaração a seguir indica que BatchUpdateFindings não pode ser usado para configurar Workflow.Status para RESOLVED ou SUPPRESSED.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

BatchImportFindings para provedores de descobertas

Revisar os detalhes e o histórico das descobertas