客戶的 BatchUpdateFindings - AWS Security Hub
的可用欄位 BatchUpdateFindings設定 的存取權 BatchUpdateFindings

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

客戶的 BatchUpdateFindings

AWS Security Hub Cloud Security Posture Management (CSPM) 客戶和代其行事的實體可以使用 BatchUpdateFindings 操作,更新從尋找提供者中處理 Security Hub CSPM 問題清單的相關資訊。身為客戶,您可以直接使用此操作。SIEM、票證、事件管理和 SOAR 工具也可以代表客戶使用此操作。

您無法使用 BatchUpdateFindings操作來建立新的問題清單。不過,您可以使用它一次更新最多 100 個現有問題清單。在BatchUpdateFindings請求中,您可以指定要更新的問題清單、要更新的問題清單格式 AWS (ASFF) 欄位,以及欄位的新值。然後,Security Hub CSPM 會更新請求中指定的問題清單。此程序需要幾分鐘的時間。如果您使用 BatchUpdateFindings操作更新問題清單,您的更新不會影響問題清單UpdatedAt欄位的現有值。

當 Security Hub CSPM 收到更新問題清單的BatchUpdateFindings請求時,它會自動在 Amazon EventBridge 中產生Security Hub Findings – Imported事件。您可以選擇性地使用此事件,對指定的調查結果採取自動動作。如需詳細資訊,請參閱使用 EventBridge 進行自動回應和修復

的可用欄位 BatchUpdateFindings

如果您登入 Security Hub CSPM 管理員帳戶,您可以使用 BatchUpdateFindings 更新管理員帳戶或成員帳戶所產生的問題清單。成員帳戶只能BatchUpdateFindings用來更新其帳戶的調查結果。

客戶可以使用 BatchUpdateFindings更新下列欄位和物件:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

設定 的存取權 BatchUpdateFindings

您可以設定 AWS Identity and Access Management (IAM) 政策來限制對 的存取BatchUpdateFindings,使用 來更新問題清單欄位和欄位值。

在 陳述式中,BatchUpdateFindings使用下列值來限制對 的存取:

  • Actionsecurityhub:BatchUpdateFindings

  • EffectDeny

  • 對於 Condition,您可以根據下列項目拒絕BatchUpdateFindings請求:

    • 調查結果包含特定欄位。

    • 問題清單包含特定的欄位值。

條件索引鍵

這些是限制存取 的條件金鑰BatchUpdateFindings

ASFF 欄位

ASFF 欄位的條件索引鍵如下所示:

securityhub:ASFFSyntaxPath/<fieldName>

<fieldName> 將 取代為 ASFF 欄位。設定對 的存取時BatchUpdateFindings,請在 IAM 政策中包含一或多個特定 ASFF 欄位,而非父層級欄位。例如,若要限制對 Workflow.Status 欄位的存取,您必須在政策 securityhub:ASFFSyntaxPath/Workflow.Status中包含 ,而不是Workflow父層級欄位。

不允許對欄位進行所有更新

若要防止使用者對特定欄位進行任何更新,請使用下列條件:

 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

例如,下列陳述式指出 BatchUpdateFindings 無法用來更新問題清單Workflow.Status的欄位。

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

不允許特定欄位值

若要防止使用者將欄位設定為特定值,請使用如下所示的條件:

"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

例如,下列陳述式表示 BatchUpdateFindings 無法用於將 Workflow.Status設定為 SUPPRESSED

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

您也可以提供不允許的值清單。

 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

例如,下列陳述式表示 BatchUpdateFindings無法用於將 Workflow.Status設定為 RESOLVEDSUPPRESSED

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}