创建自动化规则 - AWS Security Hub
创建自定义自动化规则使用模版创建自动化规则(仅限控制台)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建自动化规则

自动化规则可用于自动更新 Security Hub 云 AWS 安全态势管理 (CSPM) 中的发现。您可以从头开始创建自定义自动化规则,也可以在 Security Hub CSPM 控制台上使用预先填充的规则模板。有关自动化规则的工作原理的背景信息,请参阅了解 Security Hub CSPM 中的自动化规则

您一次只能创建一条自动化规则。要创建多个自动化规则,请多次遵循控制台过程,或者使用所需的参数多次调用 API 或命令。

您必须在您希望规则应用于调查发现的每个区域和账户中创建自动化规则。

当你在 Security Hub CSPM 控制台中创建自动化规则时,Security Hub CSPM 会向你显示你的规则所适用的结果的测试结果。如果您的规则标准包含 “包含” 或 “不包含” 筛选条件,则目前不支持测试版。您可以为映射和字符串字段类型选择这些筛选条件。

重要

AWS 建议您不要在规则名称、描述或其他字段中包含个人身份、机密或敏感信息。

创建自定义自动化规则

选择您的首选方式,完成以下步骤以创建自定义自动化规则。

Console
创建自定义自动化规则(控制台)

  1. 使用 Security Hub CSPM 管理员的凭据,打开 Security Hub 云 AWS 安全态势管理 (CSPM) 控制台,网址为。https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 自动化

  3. 选择创建规则。在 “规则类型” 中,选择 “创建自定义规则”。

  4. 规则部分,为您的规则提供唯一的规则名称和描述。

  5. 对于条件,使用运算符下拉菜单来指定您的规则条件。您必须至少指定一项规则标准。

    如果您的选定标准支持,则控制台会向您显示符合您标准的测试结果。

  6. 对于自动操作,请使用下拉菜单,指定在调查发现符合规则条件时要更新的调查发现字段。您必须指定至少一个规则操作。

  7. 对于规则状态,请选择在规则创建后将其设置为启用或是禁用

  8. (可选)展开附加设置部分。如果您希望此规则成为应用于符合规则条件调查发现的最后一条规则,请选择忽略符合这些条件的调查发现后续规则

  9. (可选)对于标签,请以键-值对的形式添加标签以帮助您轻松识别规则。

  10. 选择创建规则

API
创建自定义自动化规则(API)

  1. CreateAutomationRule从 Security Hub CSPM 管理员帐户运行。此 API 使用特定的 Amazon 资源名称(ARN)创建规则。

  2. 提供规则的名称和描述。

  3. 如果您希望此规则成为应用于符合规则条件调查发现的最后一条规则,请将 IsTerminal 参数设置为 true

  4. 对于 RuleOrder 参数,请提供规则的顺序。Security Hub CSPM 首先为此参数应用数值较小的规则。

  5. 对于RuleStatus参数,请指定是否希望 Security Hub CSPM 启用,并在创建后开始将规则应用于查找结果。如果未指定值,则默认值为 ENABLED。值为 DISABLED 表示规则在创建后暂停。

  6. 对于Criteria参数,请提供您希望 Security Hub CSPM 用来筛选结果的标准。规则操作将适用于符合条件的调查发现。有关支持的标准的列表,请参阅 可用的规则条件和规则操作

  7. 对于Actions参数,请提供您希望 Security Hub CSPM 在发现结果与您定义的条件相匹配时采取的操作。有关受支持操作的列表,请参阅 可用的规则条件和规则操作

以下示例 AWS CLI 命令创建了一条自动化规则,用于更新工作流程状态和匹配结果的注释。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securityhub create-automation-rule \
--actions '[{
 "Type": "FINDING_FIELDS_UPDATE",
 "FindingFieldsUpdate": {
 "Severity": {
 "Label": "HIGH"
 },
 "Note": {
 "Text": "Known issue that is a risk. Updated by automation rules",
 "UpdatedBy": "sechub-automation"
 }
 }
 }]' \
--criteria '{
 "SeverityLabel": [{
 "Value": "INFORMATIONAL",
 "Comparison": "EQUALS"
 }]
 }' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1

使用模版创建自动化规则(仅限控制台)

规则模板反映了自动化规则的常见用例。目前,只有 Security Hub CSPM 控制台支持规则模板。完成以下步骤以在控制台中的模板创建自动化规则。

使用模板创建自动化规则(控制台)

  1. 使用 Security Hub CSPM 管理员的凭据,打开 Security Hub 云 AWS 安全态势管理 (CSPM) 控制台,网址为。https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 自动化

  3. 选择创建规则。在 “规则类型” 中,选择 “从模板创建规则”。

  4. 从下拉菜单中选择规则模板。

  5. (可选)如果您的用例有需要,请修改规则条件自动操作部分。您必须指定至少一个规则条件和一个规则操作。

    如果您的选定标准支持,则控制台会向您显示符合您标准的测试结果。

  6. 对于规则状态,请选择在规则创建后将其设置为启用或是禁用

  7. (可选)展开附加设置部分。如果您希望此规则成为应用于符合规则条件调查发现的最后一条规则,请选择忽略符合这些条件的调查发现后续规则

  8. (可选)对于标签,请以键-值对的形式添加标签以帮助您轻松识别规则。

  9. 选择创建规则