Regeln für die Automatisierung - AWS Security Hub
Wie funktionieren AutomatisierungsregelnVerfügbare Regelkriterien und RegelaktionenAutomatisierungsregeln erstellenAutomatisierungsregeln anzeigenAutomatisierungsregeln bearbeitenAutomatisierungsregeln löschenBeispiele für Automatisierungsregeln

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Regeln für die Automatisierung

Automatisierungsregeln können verwendet werden, um Ergebnisse in Security Hub automatisch zu aktualisieren. Bei der Erfassung der Ergebnisse kann Security Hub eine Vielzahl von Regelaktionen anwenden, z. B. Ergebnisse unterdrücken, ihren Schweregrad ändern und den Ergebnissen Notizen hinzufügen. Solche Regelaktionen werden wirksam, wenn die Ergebnisse Ihren angegebenen Kriterien entsprechen, z. B. der Ressourcen- oder Konto-ID, mit der das Ergebnis verknüpft ist, oder dem Titel.

Zu den Anwendungsfällen für Automatisierungsregeln gehören unter anderem:

  • Erhöhung des Schweregrads eines Ergebnisses auf den Wert, CRITICAL wenn sich die Ressourcen-ID des Ergebnisses auf eine geschäftskritische Ressource bezieht.

  • Erhöhung des Schweregrads eines Ergebnisses von bis HIGH zu, CRITICAL wenn das Ergebnis Ressourcen in bestimmten Produktionskonten betrifft.

  • Zuweisen bestimmter Ergebnisse, deren Schweregrad einem INFORMATIONAL SUPPRESSED Workflow-Status entspricht.

Automatisierungsregeln können verwendet werden, um ausgewählte Suchfelder im AWS Security Finding Format (ASFF) zu aktualisieren. Die Regeln gelten sowohl für neue als auch für aktualisierte Ergebnisse.

Sie können eine benutzerdefinierte Regel von Grund auf neu erstellen oder eine von Security Hub bereitgestellte Regelvorlage verwenden. Wenn Sie eine Regelvorlage verwenden, können Sie sie nach Bedarf für Ihren Anwendungsfall ändern.

Wie funktionieren Automatisierungsregeln

Der Security Hub-Administrator kann eine Automatisierungsregel erstellen, indem er Regelkriterien definiert. Wenn ein Ergebnis den definierten Kriterien entspricht, wendet Security Hub die Regelaktion darauf an. Weitere Informationen zu verfügbaren Kriterien und Aktionen finden Sie unterVerfügbare Regelkriterien und Regelaktionen.

Nur das Security Hub-Administratorkonto kann Automatisierungsregeln erstellen, löschen, bearbeiten und anzeigen. Eine Regel, die ein Administrator erstellt, gilt für Ergebnisse im Administratorkonto und allen Mitgliedskonten. Durch die Angabe von Mitgliedskonto-IDs als Regelkriterien können Security Hub-Administratoren auch Automatisierungsregeln verwenden, um Ergebnisse zu aktualisieren oder Maßnahmen auf Ergebnisse in bestimmten Mitgliedskonten zu ergreifen.

Eine Automatisierungsregel gilt nur in dem Land, AWS-Region in dem sie erstellt wurde. Um eine Regel in mehreren Regionen anzuwenden, muss der delegierte Administrator die Regel in jeder Region erstellen. Dies kann über die Security Hub Hub-Konsole, die Security Hub Hub-API oder erfolgen AWS CloudFormation. Sie können auch ein Bereitstellungsskript für mehrere Regionen verwenden.

Einen Überblick darüber, wie Automatisierungsregeln Ihre Ergebnisse verändert haben, finden Sie unterDen Verlauf der Ergebnisse überprüfen.

Wichtig

Automatisierungsregeln gelten für neue und aktualisierte Ergebnisse, die Security Hub generiert oder aufnimmt, nachdem Sie die Regel erstellt haben. Security Hub Hub-Updates kontrollieren die Ergebnisse alle 12 bis 24 Stunden oder wenn sich der Status der zugehörigen Ressource ändert. Weitere Informationen finden Sie unterZeitplan für die Ausführung von Sicherheitsprüfungen. Automatisierungsregeln werten originale, vom Anbieter bereitgestellte Suchfelder aus. Regeln werden nicht ausgelöst, wenn Sie Suchfelder nach der Regelerstellung im Rahmen des BatchUpdateFindingsVorgangs aktualisieren.

Security Hub unterstützt derzeit maximal 100 Automatisierungsregeln für ein Administratorkonto.

Reihenfolge der Regeln

Beim Erstellen von Automatisierungsregeln weisen Sie jeder Regel eine Reihenfolge zu. Dies bestimmt die Reihenfolge, in der Security Hub Ihre Automatisierungsregeln anwendet, und ist wichtig, wenn sich mehrere Regeln auf dasselbe Ergebnis oder Findungsfeld beziehen.

Wenn sich mehrere Regelaktionen auf dasselbe Befund- oder Findungsfeld beziehen, gilt die Regel mit dem höchsten numerischen Wert für die Reihenfolge der Regeln zuletzt und hat die endgültige Wirkung.

Wenn Sie eine Regel in der Security Hub-Konsole erstellen, weist Security Hub automatisch die Regelreihenfolge auf der Grundlage der Reihenfolge der Regelerstellung zu. Die zuletzt erstellte Regel hat den niedrigsten numerischen Wert für die Regelreihenfolge und gilt daher zuerst. Security Hub wendet nachfolgende Regeln in aufsteigender Reihenfolge an.

Wenn Sie eine Regel über die Security Hub-API oder erstellen AWS CLI, wendet Security Hub RuleOrder zuerst die Regel mit dem niedrigsten numerischen Wert an. Anschließend werden die nachfolgenden Regeln in aufsteigender Reihenfolge angewendet. Wenn mehrere Ergebnisse identisch sindRuleOrder, wendet Security Hub zuerst eine Regel mit einem früheren Wert für das UpdatedAt Feld an (d. h. die Regel, die zuletzt bearbeitet wurde, gilt zuletzt).

Sie können die Reihenfolge der Regeln jederzeit ändern.

Beispiel für die Reihenfolge der Regeln:

Regel A (Regelreihenfolge ist1):

  • Kriterien für Regel A

    • ProductName = Security Hub

    • Resources.Type ist S3 Bucket

    • Compliance.Status = FAILED

    • RecordState ist NEW

    • Workflow.Status = ACTIVE

  • Aktionen nach Regel A

    • Update Confidence auf 95

    • Aktualisieren Severity auf CRITICAL

Regel B (Reihenfolge der Regeln ist2):

  • Kriterien für Regel B

    • AwsAccountId = 123456789012

  • Aktionen nach Regel B

    • Update Severity auf INFORMATIONAL

Aktionen nach Regel A gelten zuerst für Security Hub Hub-Ergebnisse, die den Kriterien von Regel A entsprechen. Als Nächstes gelten die Aktionen nach Regel B für Security Hub Hub-Ergebnisse mit der angegebenen Konto-ID. Da Regel B in diesem Beispiel zuletzt gilt, lautet der Endwert von Severity in results from the specified account IDINFORMATIONAL. Basierend auf der Regel A-Aktion ist der Endwert von Confidence in übereinstimmenden Ergebnissen95.

Verfügbare Regelkriterien und Regelaktionen

Die folgenden ASFF-Felder werden derzeit als Kriterien für Automatisierungsregeln unterstützt.

ASFF-Feld Filter Feldtyp
AwsAccountId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
AwsAccountName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
CompanyName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ComplianceAssociatedStandardsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ComplianceSecurityControlId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ComplianceStatus Is, Is Not Wählen Sie: [FAILED,, NOT_AVAILABLEPASSED,WARNING]
Confidence Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Zahl
CreatedAt Start, End, DateRange Datum (formatiert als 2021-12-01T 21:47:39.269 Z)
Criticality Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Zahl
Description CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
FirstObservedAt Start, End, DateRange Datum (formatiert als 2021-12-01T 21:47:39.269 Z)
GeneratorId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
Id CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
LastObservedAt Start, End, DateRange Datum (formatiert als 2021-12-01T 21:47:39.269 Z)
NoteText CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
NoteUpdatedAt Start, End, DateRange Datum (formatiert als 2021-12-01T 21:47:39.269 Z)
NoteUpdatedBy CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ProductName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
RecordState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
RelatedFindingsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
RelatedFindingsProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ResourceApplicationArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ResourceApplicationName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceDetailsOther CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Zuordnung
ResourceId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourcePartition CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ResourceRegion CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceTags CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Zuordnung
ResourceType Is, Is Not Wählen Sie (siehe Von ASFF unterstützte Ressourcen)
SeverityLabel Is, Is Not Wählen Sie: [CRITICAL,HIGH, MEDIUMLOW,INFORMATIONAL]
SourceUrl CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
Title CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
Type CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
UpdatedAt Start, End, DateRange Datum (formatiert als 2021-12-01T 21:47:39.269 Z)
UserDefinedFields CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Zuordnung
VerificationState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
WorkflowStatus Is, Is Not Wählen Sie NEW NOTIFIEDRESOLVED: [,,,SUPPRESSED]

Die folgenden ASFF-Felder werden derzeit als Aktionen für Automatisierungsregeln unterstützt:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Weitere Informationen zu bestimmten ASFF-Feldern finden Sie unter Syntax für das AWS Security Finding Format (ASFF) und ASFF-Beispiele.

Tipp

Wenn Sie möchten, dass Security Hub keine Ergebnisse für ein bestimmtes Steuerelement generiert, empfehlen wir, das Steuerelement zu deaktivieren, anstatt eine Automatisierungsregel zu verwenden. Wenn Sie eine Kontrolle deaktivieren, beendet Security Hub die Durchführung von Sicherheitsüberprüfungen und generiert keine Ergebnisse mehr dafür, sodass Ihnen für diese Kontrolle keine Gebühren entstehen. Wir empfehlen die Verwendung von Automatisierungsregeln, um die Werte bestimmter ASFF-Felder für Ergebnisse zu ändern, die definierten Kriterien entsprechen. Weitere Informationen zum Deaktivieren von Steuerelementen finden Sie unter. Aktivierung und Deaktivierung von Steuerungen in allen Standards

Automatisierungsregeln erstellen

Sie können eine benutzerdefinierte Regel von Grund auf neu erstellen oder eine vorab ausgefüllte Security Hub Hub-Regelvorlage verwenden.

Sie können jeweils nur eine Automatisierungsregel erstellen. Um mehrere Automatisierungsregeln zu erstellen, folgen Sie den Konsolenprozeduren mehrmals oder rufen Sie die API oder den Befehl mehrmals mit den gewünschten Parametern auf.

Sie müssen in jeder Region und jedem Konto, in dem die Regel auf Ergebnisse angewendet werden soll, eine Automatisierungsregel erstellen.

Wenn Sie eine Automatisierungsregel in der Security Hub-Konsole erstellen, zeigt Ihnen Security Hub eine Vorschau der Ergebnisse, für die Ihre Regel gilt. Die Vorschau wird derzeit nicht unterstützt, wenn Ihre Regelkriterien einen CONTAINS- oder NOT_CONTAINS-Filter enthalten. Sie können diese Filter für Zuordnungs- und Zeichenkettenfeldtypen auswählen.

Wichtig

AWS empfiehlt, keine personenbezogenen, vertraulichen oder sensiblen Informationen in den Regelnamen, die Beschreibung oder andere Felder aufzunehmen.

Eine Regel anhand einer Vorlage erstellen (nur Konsole)

Derzeit unterstützt nur die Security Hub Hub-Konsole Regelvorlagen. Diese Vorlagen spiegeln gängige Anwendungsfälle für Automatisierungsregeln wider und können Ihnen den Einstieg in die Funktion erleichtern. Gehen Sie wie folgt vor, um eine Automatisierungsregel aus einer Vorlage in der Konsole zu erstellen.

Console

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

    Melden Sie sich mit dem Security Hub-Administratorkonto an.

  2. Wählen Sie im Navigationsbereich Automations aus.

  3. Wählen Sie Regel erstellen aus. Wählen Sie als Regeltyp die Option Regel aus Vorlage erstellen aus.

  4. Wählen Sie im Dropdownmenü eine Regelvorlage aus.

  5. (Optional) Falls für Ihren Anwendungsfall erforderlich, ändern Sie die Abschnitte Regel, Kriterien und Automatisierte Aktion. Sie müssen mindestens ein Regelkriterium und eine Regelaktion angeben.

    Sofern dies für Ihre ausgewählten Kriterien unterstützt wird, zeigt Ihnen die Konsole eine Vorschau der Ergebnisse, die Ihren Kriterien entsprechen.

  6. Wählen Sie unter Regelstatus aus, ob die Regel nach ihrer Erstellung aktiviert oder deaktiviert werden soll.

  7. (Optional) Erweitern Sie den Abschnitt Zusätzliche Einstellungen. Wählen Sie Nachfolgende Regeln für Ergebnisse ignorieren, die diesen Kriterien entsprechen, wenn diese Regel die letzte Regel sein soll, die auf Ergebnisse angewendet wird, die den Regelkriterien entsprechen.

  8. (Optional) Fügen Sie für Tags Tags als Schlüssel-Wert-Paare hinzu, damit Sie die Regel leichter identifizieren können.

  9. Wählen Sie Regel erstellen aus.

Eine benutzerdefinierte Regel erstellen

Wählen Sie Ihre bevorzugte Methode und führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Automatisierungsregel zu erstellen.

Console

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

    Melden Sie sich mit dem Security Hub-Administratorkonto an.

  2. Wählen Sie im Navigationsbereich Automations aus.

  3. Wählen Sie Regel erstellen aus. Wählen Sie für Regeltyp die Option Benutzerdefinierte Regel erstellen aus.

  4. Geben Sie im Abschnitt Regel einen eindeutigen Regelnamen und eine Beschreibung für Ihre Regel ein.

  5. Verwenden Sie für Kriterien die Dropdownmenüs Schlüssel, Operator und Wert, um Ihre Regelkriterien anzugeben. Sie müssen mindestens ein Regelkriterium angeben.

    Sofern dies für Ihre ausgewählten Kriterien unterstützt wird, zeigt Ihnen die Konsole eine Vorschau der Ergebnisse, die Ihren Kriterien entsprechen.

  6. Verwenden Sie für automatisierte Aktionen die Dropdownmenüs, um anzugeben, welche Ergebnisfelder aktualisiert werden sollen, wenn die Ergebnisse Ihren Regelkriterien entsprechen. Sie müssen mindestens eine Regelaktion angeben.

  7. Wählen Sie unter Regelstatus aus, ob die Regel nach ihrer Erstellung aktiviert oder deaktiviert werden soll.

  8. (Optional) Erweitern Sie den Abschnitt Zusätzliche Einstellungen. Wählen Sie Nachfolgende Regeln für Ergebnisse ignorieren, die diesen Kriterien entsprechen, wenn diese Regel die letzte Regel sein soll, die auf Ergebnisse angewendet wird, die den Regelkriterien entsprechen.

  9. (Optional) Fügen Sie für Tags Tags als Schlüssel-Wert-Paare hinzu, damit Sie die Regel leichter identifizieren können.

  10. Wählen Sie Regel erstellen aus.

API

  1. Führen Sie die Ausführung über das Security Hub-Administratorkonto CreateAutomationRuleaus. Diese API erstellt eine Regel mit einem bestimmten Amazon-Ressourcennamen (ARN).

  2. Geben Sie einen Namen und eine Beschreibung für die Regel ein.

  3. Legen Sie den IsTerminal Parameter auf fest, true wenn diese Regel die letzte Regel sein soll, die auf Ergebnisse angewendet wird, die den Regelkriterien entsprechen.

  4. Geben Sie für den RuleOrder Parameter die Reihenfolge der Regel an. Security Hub wendet zuerst Regeln mit einem niedrigeren numerischen Wert für diesen Parameter an.

  5. Geben Sie für den RuleStatus Parameter an, ob Security Hub die Regel aktivieren und nach der Erstellung auf Ergebnisse anwenden soll. Der Standardwert ist ENABLED, wenn kein Wert angegeben wird. Der Wert von DISABLED bedeutet, dass die Regel nach der Erstellung angehalten wird.

  6. Geben Sie für den Criteria Parameter die Kriterien an, nach denen Security Hub Ihre Ergebnisse filtern soll. Die Regelaktion gilt für Ergebnisse, die den Kriterien entsprechen. Eine Liste der unterstützten Kriterien finden Sie unterVerfügbare Regelkriterien und Regelaktionen.

  7. Geben Sie für den Actions Parameter die Aktionen an, die Security Hub ausführen soll, wenn eine Übereinstimmung zwischen einem Ergebnis und Ihren definierten Kriterien besteht. Eine Liste der unterstützten Aktionen finden Sie unterVerfügbare Regelkriterien und Regelaktionen.

Beispiel für eine API-Anfrage:

{
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Workflow": {
                "Status": "SUPPRESSED"
            },
            "Note": {
                "Text": "Known issue that is not a risk.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }],
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "GeneratorId": [{
            "Value": "aws-foundational-security-best-practices/v/1.0.0/IAM.1",
            "Comparison": "EQUALS"
        }]
    },
    "Description": "Sample rule description",
    "IsTerminal": false,
    "RuleName": "sample-rule-name",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
}
AWS CLI

  1. Führen Sie den create-automation-ruleBefehl über das Security Hub-Administratorkonto aus. Dieser Befehl erstellt eine Regel mit einem bestimmten Amazon-Ressourcennamen (ARN).

  2. Geben Sie einen Namen und eine Beschreibung für die Regel ein.

  3. Geben Sie den is-terminal Parameter an, wenn Sie möchten, dass diese Regel die letzte Regel ist, die auf Ergebnisse angewendet wird, die den Regelkriterien entsprechen. Andernfalls schließen Sie den no-is-terminal Parameter ein.

  4. Geben Sie für den rule-order Parameter die Reihenfolge der Regel an. Security Hub wendet zuerst Regeln mit einem niedrigeren numerischen Wert für diesen Parameter an.

  5. Geben Sie für den rule-status Parameter an, ob Security Hub die Regel aktivieren und nach der Erstellung auf Ergebnisse anwenden soll. Der Standardwert ist ENABLED, wenn kein Wert angegeben wird. Der Wert von DISABLED bedeutet, dass die Regel nach der Erstellung angehalten wird.

  6. Geben Sie für den criteria Parameter die Kriterien an, nach denen Security Hub Ihre Ergebnisse filtern soll. Die Regelaktion gilt für Ergebnisse, die den Kriterien entsprechen. Eine Liste der unterstützten Kriterien finden Sie unterVerfügbare Regelkriterien und Regelaktionen.

  7. Geben Sie für den actions Parameter die Aktionen an, die Security Hub ausführen soll, wenn eine Übereinstimmung zwischen einem Ergebnis und Ihren definierten Kriterien besteht. Eine Liste der unterstützten Aktionen finden Sie unterVerfügbare Regelkriterien und Regelaktionen.

Beispielbefehl:

aws securityhub create-automation-rule \
--actions '[{
 "Type": "FINDING_FIELDS_UPDATE",
 "FindingFieldsUpdate": {
 "Severity": {
 "Label": "HIGH"
 },
 "Note": {
 "Text": "Known issue that is a risk. Updated by automation rules",
 "UpdatedBy": "sechub-automation"
 }
 }
 }]' \
--criteria '{
 "SeverityLabel": [{
 "Value": "INFORMATIONAL",
 "Comparison": "EQUALS"
 }]
 }' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1

Automatisierungsregeln anzeigen

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Ihre Automatisierungsregeln und die Details jeder Regel einzusehen.

Console

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

    Melden Sie sich mit dem Security Hub-Administratorkonto an.

  2. Wählen Sie im Navigationsbereich Automations aus.

  3. Wählen Sie einen Regelnamen. Wählen Sie alternativ eine Regel aus.

  4. Wählen Sie Aktionen und Ansicht.

API

  1. Um die Automatisierungsregeln für Ihr Konto einzusehen, führen Sie es ListAutomationRulesvom Security Hub-Administratorkonto aus. Diese API gibt die Regel-ARNs und andere Metadaten für Ihre Regeln zurück. Für diese API sind keine Eingabeparameter erforderlich, Sie können diese jedoch optional NextToken als Paginierungsparameter angeben, MaxResults um die Anzahl der Ergebnisse zu begrenzen. Der Anfangswert von NextToken sollte sein. NULL

    Beispiel für eine API-Anfrage:

    {
 "MaxResults": 50,
 "NextToken": "cVpdnSampleTokenYcXgTockBW44c"
}

  2. Weitere Regeldetails, einschließlich der Kriterien und Aktionen für eine Regel, BatchGetAutomationRuleserhalten Sie über das Security Hub-Administratorkonto.

    Beispiel für eine API-Anfrage:

    {
    "AutomationRulesArns": [
      "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
      "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
      "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
      "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
    ]
}
AWS CLI

  1. Um die Automatisierungsregeln für Ihr Konto einzusehen, führen Sie den list-automation-rulesBefehl über das Security Hub-Administratorkonto aus. Dieser Befehl gibt die Regel-ARNs und andere Metadaten für Ihre Regeln zurück. Für diesen Befehl sind keine Eingabeparameter erforderlich, Sie können ihn jedoch optional next-token als Paginierungsparameter angeben, max-results um die Anzahl der Ergebnisse zu begrenzen.

    Beispielbefehl:

    aws securityhub list-automation-rules  \
--max-results 5 \
--next-token cVpdnSampleTokenYcXgTockBW44c \
--region us-east-1

  2. Für weitere Regeldetails, einschließlich der Kriterien und Aktionen für eine Regel, führen Sie den batch-get-automation-rulesBefehl über das Security Hub-Administratorkonto aus.

    Beispielbefehl:

    aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1

Automatisierungsregeln bearbeiten

Wenn Sie eine Automatisierungsregel bearbeiten, gelten die Änderungen für neue und aktualisierte Ergebnisse, die Security Hub nach der Regelbearbeitung generiert oder aufnimmt.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um den Inhalt einer Automatisierungsregel zu bearbeiten. Sie können eine oder mehrere Regeln mit einer einzigen Anfrage bearbeiten. Anweisungen zum Bearbeiten der Regelreihenfolge finden Sie unterReihenfolge der Regeln bearbeiten.

Console

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

    Melden Sie sich mit dem Security Hub-Administratorkonto an.

  2. Wählen Sie im Navigationsbereich Automations aus.

  3. Wählen Sie die Regel aus, die Sie bearbeiten möchten. Wählen Sie Aktion und Bearbeiten.

  4. Ändern Sie die Regel wie gewünscht und wählen Sie Änderungen speichern.

API

  1. Führen Sie die Ausführung über das Security Hub-Administratorkonto BatchUpdateAutomationRulesaus.

  2. Geben Sie für den RuleArn Parameter den ARN der Regel (n) an, die Sie bearbeiten möchten.

  3. Geben Sie die neuen Werte für die Parameter an, die Sie bearbeiten möchten. Sie können jeden Parameter bearbeiten, außerRuleArn.

Beispiel für eine API-Anfrage:

{
    "UpdateAutomationRulesRequestItems": [
        {
            "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "RuleOrder": 15,
            "RuleStatus": "Enabled"
        },
        {
            "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
            "RuleStatus": "Disabled"
        }
    ]
}
AWS CLI

  1. Führen Sie den batch-update-automation-rulesBefehl über das Security Hub-Administratorkonto aus.

  2. Geben Sie für den RuleArn Parameter den ARN der Regel (n) an, die Sie bearbeiten möchten.

  3. Geben Sie die neuen Werte für die Parameter an, die Sie bearbeiten möchten. Sie können jeden Parameter bearbeiten, außerRuleArn.

Beispielbefehl:

aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
    {
      "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
          "Note": {
            "Text": "Known issue that is a risk",
            "UpdatedBy": "sechub-automation"
          },
          "Workflow": {
            "Status": "NEW"
          }
        }
      }],
      "Criteria": {
        "SeverityLabel": [{
         "Value": "LOW",
         "Comparison": "EQUALS"
        }]
      },
      "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
      "RuleOrder": 14,
      "RuleStatus": "DISABLED",
    }
  ]' \
--region us-east-1

Reihenfolge der Regeln bearbeiten

In einigen Fällen möchten Sie vielleicht die Regelkriterien und Aktionen unverändert lassen, aber die Reihenfolge ändern, in der Security Hub eine Automatisierungsregel anwendet. Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die Reihenfolge der Regeln zu bearbeiten.

Console

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

    Melden Sie sich mit dem Security Hub-Administratorkonto an.

  2. Wählen Sie im Navigationsbereich Automations aus.

  3. Wählen Sie die Regel aus, deren Reihenfolge Sie ändern möchten. Wählen Sie Priorität bearbeiten.

  4. Wählen Sie Nach oben, um die Priorität der Regel um eine Einheit zu erhöhen. Wählen Sie Nach unten, um die Priorität der Regel um eine Einheit zu verringern. Wählen Sie „Nach oben“, um der Regel die Reihenfolge 1 zuzuweisen (dadurch hat die Regel Vorrang vor anderen bestehenden Regeln).

Anmerkung

Wenn Sie eine Regel in der Security Hub-Konsole erstellen, weist Security Hub automatisch die Regelreihenfolge auf der Grundlage der Reihenfolge der Regelerstellung zu. Die zuletzt erstellte Regel hat den niedrigsten numerischen Wert für die Regelreihenfolge und gilt daher zuerst.

API

  1. Führen Sie die Ausführung über das Security Hub-Administratorkonto BatchUpdateAutomationRulesaus.

  2. Geben Sie für den RuleArn Parameter den ARN der Regel (n) an, deren Reihenfolge Sie bearbeiten möchten.

  3. Ändern Sie den Wert des RuleOrder Felds.

Anmerkung

Wenn mehrere Regeln dasselbe habenRuleOrder, wendet Security Hub zuerst eine Regel mit einem früheren Wert für das UpdatedAt Feld an (d. h. die Regel, die zuletzt bearbeitet wurde, gilt zuletzt).

AWS CLI

  1. Führen Sie den batch-update-automation-rulesBefehl über das Security Hub-Administratorkonto aus.

  2. Geben Sie für den RuleArn Parameter den ARN der Regel (n) an, deren Reihenfolge Sie bearbeiten möchten.

  3. Ändern Sie den Wert des RuleOrder Felds.

Anmerkung

Wenn mehrere Regeln dasselbe habenRuleOrder, wendet Security Hub zuerst eine Regel mit einem früheren Wert für das UpdatedAt Feld an (d. h. die Regel, die zuletzt bearbeitet wurde, gilt zuletzt).

Automatisierungsregeln löschen

Wenn Sie eine Automatisierungsregel löschen, entfernt Security Hub sie aus Ihrem Konto und wendet die Regel nicht mehr auf Ergebnisse an.

Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zum Löschen einer Automatisierungsregel. Sie können eine oder mehrere Regeln in einer einzigen Anfrage löschen.

Tipp

Als Alternative zum Löschen können Sie eine Regel deaktivieren. Dadurch wird die Regel für die future Verwendung beibehalten, aber Security Hub wendet die Regel erst auf übereinstimmende Ergebnisse an, wenn Sie sie aktivieren.

Console

  1. Öffnen Sie die AWS Security Hub Konsole unter https://console.aws.amazon.com/securityhub/.

    Melden Sie sich mit dem Security Hub-Administratorkonto an.

  2. Wählen Sie im Navigationsbereich Automations aus.

  3. Wählen Sie die Regel (n) aus, die Sie löschen möchten. Wählen Sie Aktion und Löschen (um eine Regel beizubehalten, sie aber vorübergehend zu deaktivieren, wählen Sie Deaktivieren).

  4. Bestätigen Sie Ihre Wahl und wählen Sie Delete (Löschen) aus.

API

  1. Führen Sie die Ausführung über das Security Hub-Administratorkonto BatchDeleteAutomationRulesaus.

  2. Geben Sie für den AutomationRulesArns Parameter den ARN der Regel (n) an, die Sie löschen möchten (um eine Regel beizubehalten, sie aber vorübergehend zu deaktivieren, geben DISABLED Sie den RuleStatus Parameter an).

Beispiel für eine API-Anfrage:

{
    "AutomationRulesArns": [
        "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
        "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
        "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
    ]
}
AWS CLI

  1. Führen Sie den batch-delete-automation-rulesBefehl über das Security Hub-Administratorkonto aus.

  2. Geben Sie für den automation-rules-arns Parameter den ARN der Regel (n) an, die Sie löschen möchten (um eine Regel beizubehalten, sie aber vorübergehend zu deaktivieren, geben DISABLED Sie den RuleStatus Parameter an).

Beispielbefehl:

aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1

Beispiele für Automatisierungsregeln

Dieser Abschnitt enthält einige Beispiele für Automatisierungsregeln für allgemeine Anwendungsfälle. Diese Beispiele entsprechen Regelvorlagen in der Security Hub Hub-Konsole.

Erhöhen Sie den Schweregrad auf Kritisch, wenn eine bestimmte Ressource, z. B. ein S3-Bucket, gefährdet ist

In diesem Beispiel werden die Regelkriterien erfüllt, wenn es sich ResourceId bei einem Ergebnis um einen bestimmten Amazon Simple Storage Service (Amazon S3) -Bucket handelt. Die Regelaktion besteht darin, den Schweregrad der übereinstimmenden Ergebnisse auf zu ändernCRITICAL. Sie können diese Vorlage ändern, um sie auf andere Ressourcen anzuwenden.

Beispiel für eine API-Anfrage:

{
    "IsTerminal": true,
    "RuleName": "Elevate severity of findings that relate to important resources",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "ResourceId": [{
            "Value": "arn:aws:s3:::examplebucket/developers/design_info.doc",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "This is a critical resource. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}

Beispiel für einen CLI-Befehl:


aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \

--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::examplebucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1

Erhöhen Sie den Schweregrad von Ergebnissen, die sich auf Ressourcen in Produktionskonten beziehen

In diesem Beispiel werden die Regelkriterien erfüllt, wenn in bestimmten Produktionskonten ein HIGH Schweregrad festgestellt wird. Die Regelaktion besteht darin, den Schweregrad der übereinstimmenden Ergebnisse auf zu ändernCRITICAL.

Beispiel für eine API-Anfrage:

{
    "IsTerminal": false,
    "RuleName": "Elevate severity for production accounts",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "HIGH",
            "Comparison": "EQUALS"
        }],
        "AwsAccountId": [
        {
            "Value": "111122223333",
            "Comparison": "EQUALS"
        },
        {
            "Value": "123456789012",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "A resource in production accounts is at risk. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}

Beispiel für einen CLI-Befehl:


aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1

Informative Ergebnisse unterdrücken

In diesem Beispiel werden die Regelkriterien für die Ergebnisse des INFORMATIONAL Schweregrads, die von Amazon an Security Hub gesendet wurden, abgeglichen GuardDuty. Die Regelaktion besteht darin, den Workflow-Status der übereinstimmenden Ergebnisse auf zu ändernSUPPRESSED.

Beispiel für eine API-Anfrage:

{
    "IsTerminal": false,
    "RuleName": "Suppress informational findings",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
    "Criteria": {
        "ProductName": [{
            "Value": "GuardDuty",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "INFORMATIONAL",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Workflow": {
                "Status": "SUPPRESSED"
            },
            "Note": {
                "Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}

Beispiel für einen CLI-Befehl:


aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1