客戶的 BatchUpdateFindings - AWS Security Hub
的可用欄位 BatchUpdateFindings設定 的存取權 BatchUpdateFindings

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

客戶的 BatchUpdateFindings

AWS Security Hub CSPM 客戶和代表他們的實體可以使用 BatchUpdateFindings 操作,從調查結果提供者更新與 Security Hub CSPM 調查結果處理相關的資訊。身為客戶,您可以直接使用此操作。SIEM、票證、事件管理和 SOAR 工具也可以代表客戶使用此操作。

您無法使用 BatchUpdateFindings操作建立新的問題清單。不過,您可以使用它一次更新最多 100 個現有問題清單。在BatchUpdateFindings請求中,您可以指定要更新的調查結果、要更新調查結果 AWS 的安全調查結果格式 (ASFF) 欄位,以及欄位的新值。然後,Security Hub CSPM 會更新請求中指定的問題清單。此程序需要幾分鐘的時間。如果您使用 BatchUpdateFindings操作更新問題清單,您的更新不會影響問題清單 UpdatedAt 欄位的現有值。

當 Security Hub CSPM 收到更新問題清單的BatchUpdateFindings請求時,它會自動在 Amazon EventBridge 中產生Security Hub Findings – Imported事件。您可以選擇性地使用此事件,對指定的調查結果採取自動動作。如需詳細資訊,請參閱使用 EventBridge 進行自動回應和修復

的可用欄位 BatchUpdateFindings

如果您登入 Security Hub CSPM 管理員帳戶,您可以使用 BatchUpdateFindings 更新管理員帳戶或成員帳戶所產生的問題清單。成員帳戶只能BatchUpdateFindings用來更新其帳戶的調查結果。

客戶可以使用 BatchUpdateFindings更新下列欄位和物件:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

設定 的存取權 BatchUpdateFindings

您可以設定 AWS Identity and Access Management (IAM) 政策來限制對 的存取BatchUpdateFindings,使用 來更新問題清單欄位和欄位值。

在 陳述式中,BatchUpdateFindings使用下列值來限制對 的存取:

  • Actionsecurityhub:BatchUpdateFindings

  • EffectDeny

  • 對於 Condition,您可以根據下列項目拒絕BatchUpdateFindings請求:

    • 問題清單包含特定欄位。

    • 問題清單包含特定的欄位值。

條件索引鍵

這些是限制存取 的條件金鑰BatchUpdateFindings

ASFF 欄位

ASFF 欄位的條件索引鍵如下所示:

securityhub:ASFFSyntaxPath/<fieldName>

<fieldName> 將 取代為 ASFF 欄位。設定對 的存取時BatchUpdateFindings,請在 IAM 政策中包含一或多個特定 ASFF 欄位,而非父層級欄位。例如,若要限制對 Workflow.Status 欄位的存取,您必須在政策 securityhub:ASFFSyntaxPath/Workflow.Status中包含 ,而不是Workflow父層級欄位。

不允許對欄位進行所有更新

若要防止使用者對特定欄位進行任何更新,請使用下列條件:

 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

例如,下列陳述式指出 BatchUpdateFindings 無法用來更新問題清單Workflow.Status的欄位。

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

不允許特定欄位值

若要防止使用者將欄位設定為特定值,請使用如下所示的條件:

"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

例如,下列陳述式指出 BatchUpdateFindings 無法用於將 Workflow.Status設定為 SUPPRESSED

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

您也可以提供不允許的值清單。

 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

例如,下列陳述式表示 BatchUpdateFindings無法用於Workflow.Status將 設定為 RESOLVEDSUPPRESSED

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}