BatchUpdateFindings 可用字段配置对 BatchUpdateFindings 的访问权限

面向客户的 BatchUpdateFindings

AWS Security Hub CSPM 客户和代表他们行事的实体可以使用 BatchUpdateFindings 操作更新与对来自调查发现提供者的 Security Hub CSPM 调查发现的处理相关的信息。作为客户，您可以直接使用此操作。SIEM、票证、事件管理和 SOAR 工具也可以代表客户使用此操作。

您不能使用 BatchUpdateFindings 操作来创建新的调查发现。但是，您可以使用它一次性更新多达 100 个现有调查发现。在 BatchUpdateFindings 请求中，您可以指定要更新哪些调查发现、要为调查发现更新哪些 AWS 安全调查发现格式 (ASFF) 字段以及字段的新值。Security Hub CSPM 随后会按照您的请求指定的内容更新调查发现。此过程可能耗时数分钟。如果您使用 BatchUpdateFindings 操作更新调查发现，则更新不会影响调查发现 UpdatedAt 字段的现有值。

当 Security Hub CSPM 收到更新调查发现的 BatchUpdateFindings 请求时，它都会自动在 Amazon EventBridge 中生成 Security Hub Findings – Imported 事件。您还可以选择使用此事件对指定的调查发现执行自动操作。有关更多信息，请参阅使用 EventBridge 进行自动响应和补救。

BatchUpdateFindings 可用字段

如果您已登录 Security Hub CSPM 管理员账户，则可以使用 BatchUpdateFindings 更新该管理员账户或成员账户生成的调查发现。成员账户仅可以使用 BatchUpdateFindings 更新其账户的调查发现。

客户可以使用 BatchUpdateFindings 更新以下字段和对象：

Confidence
Criticality
Note
RelatedFindings
Severity
Types
UserDefinedFields
VerificationState
Workflow

配置对 BatchUpdateFindings 的访问权限

您可以配置 AWS Identity and Access Management（IAM）策略，以对使用 BatchUpdateFindings 更新调查发现字段和字段值的权限加以限制。

在限制访问 BatchUpdateFindings 的语句中，使用以下值：

Action 为：securityhub:BatchUpdateFindings
Effect 为：Deny
对于 Condition，您可以根据以下条件拒绝 BatchUpdateFindings 请求：
- 调查发现包括一个特定的字段。
- 调查发现包括一个特定的字段值。

条件键

这些是限制访问 BatchUpdateFindings 的条件键。

ASFF 字段

ASFF 字段的条件键如下所示：


securityhub:ASFFSyntaxPath/<fieldName>

<fieldName> 替换为 ASFF 字段。配置访问 BatchUpdateFindings 权限时，请在 IAM policy 中包含一个或多个特定的 ASFF 字段，而不是父级字段。例如，要限制对 Workflow.Status 字段的访问权限，您必须在策略中包含 securityhub:ASFFSyntaxPath/Workflow.Status 而不是 Workflow 父级字段。

禁止对某个字段进行所有更新

要防止用户对特定字段进行任何更新，请使用如下条件：


 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

例如，以下语句表示 BatchUpdateFindings 不能用于更新调查发现的 Workflow.Status 字段。


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

禁用特定的字段值

要防止用户将字段设置为特定值，请使用如下条件：


"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

例如，以下语句表示 BatchUpdateFindings 不能用于把 Workflow.Status 设置为 SUPPRESSED。


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

您还可以提供不允许的值的列表。


 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

例如，以下语句表示BatchUpdateFindings 不能用于把 Workflow.Status 设置为 RESOLVED 或 SUPPRESSED。


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

面向调查发现提供者的 BatchImportFindings

查看调查发现的详细信息和历史记录