Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Regeln für die Automatisierung
Automatisierungsregeln können verwendet werden, um Ergebnisse in Security Hub automatisch zu aktualisieren. Bei der Erfassung der Ergebnisse kann Security Hub eine Vielzahl von Regelaktionen anwenden, z. B. Ergebnisse unterdrücken, ihren Schweregrad ändern und den Ergebnissen Notizen hinzufügen. Solche Regelaktionen werden wirksam, wenn die Ergebnisse Ihren angegebenen Kriterien entsprechen, z. B. der Ressourcen- oder Konto-ID, mit der das Ergebnis verknüpft ist, oder dem Titel.
Zu den Anwendungsfällen für Automatisierungsregeln gehören unter anderem:
-
Erhöhung des Schweregrads eines Ergebnisses auf den Wert,
CRITICAL
wenn sich die Ressourcen-ID des Ergebnisses auf eine geschäftskritische Ressource bezieht. -
Erhöhung des Schweregrads eines Ergebnisses von bis
HIGH
zu,CRITICAL
wenn das Ergebnis Ressourcen in bestimmten Produktionskonten betrifft. -
Zuweisen bestimmter Ergebnisse, deren Schweregrad einem
INFORMATIONAL
SUPPRESSED
Workflow-Status entspricht.
Automatisierungsregeln können verwendet werden, um ausgewählte Suchfelder im AWS Security Finding Format (ASFF) zu aktualisieren. Die Regeln gelten sowohl für neue als auch für aktualisierte Ergebnisse.
Sie können eine benutzerdefinierte Regel von Grund auf neu erstellen oder eine von Security Hub bereitgestellte Regelvorlage verwenden. Wenn Sie eine Regelvorlage verwenden, können Sie sie nach Bedarf für Ihren Anwendungsfall ändern.
Wie funktionieren Automatisierungsregeln
Der Security Hub-Administrator kann eine Automatisierungsregel erstellen, indem er Regelkriterien definiert. Wenn ein Ergebnis den definierten Kriterien entspricht, wendet Security Hub die Regelaktion darauf an. Weitere Informationen zu verfügbaren Kriterien und Aktionen finden Sie unterVerfügbare Regelkriterien und Regelaktionen.
Nur das Security Hub-Administratorkonto kann Automatisierungsregeln erstellen, löschen, bearbeiten und anzeigen. Eine Regel, die ein Administrator erstellt, gilt für Ergebnisse im Administratorkonto und allen Mitgliedskonten. Durch die Angabe von Mitgliedskonto-IDs als Regelkriterien können Security Hub-Administratoren auch Automatisierungsregeln verwenden, um Ergebnisse zu aktualisieren oder Maßnahmen auf Ergebnisse in bestimmten Mitgliedskonten zu ergreifen.
Eine Automatisierungsregel gilt nur in dem Land, AWS-Region in dem sie erstellt wurde. Um eine Regel in mehreren Regionen anzuwenden, muss der delegierte Administrator die Regel in jeder Region erstellen. Dies kann über die Security Hub Hub-Konsole, die Security Hub Hub-API oder erfolgen AWS CloudFormation. Sie können auch ein Bereitstellungsskript für mehrere Regionen
Einen Überblick darüber, wie Automatisierungsregeln Ihre Ergebnisse verändert haben, finden Sie unterDen Verlauf der Ergebnisse überprüfen.
Wichtig
Automatisierungsregeln gelten für neue und aktualisierte Ergebnisse, die Security Hub generiert oder aufnimmt, nachdem Sie die Regel erstellt haben. Security Hub Hub-Updates kontrollieren die Ergebnisse alle 12 bis 24 Stunden oder wenn sich der Status der zugehörigen Ressource ändert. Weitere Informationen finden Sie unterZeitplan für die Ausführung von Sicherheitsprüfungen. Automatisierungsregeln werten originale, vom Anbieter bereitgestellte Suchfelder aus. Regeln werden nicht ausgelöst, wenn Sie Suchfelder nach der Regelerstellung im Rahmen des BatchUpdateFindingsVorgangs aktualisieren.
Security Hub unterstützt derzeit maximal 100 Automatisierungsregeln für ein Administratorkonto.
Reihenfolge der Regeln
Beim Erstellen von Automatisierungsregeln weisen Sie jeder Regel eine Reihenfolge zu. Dies bestimmt die Reihenfolge, in der Security Hub Ihre Automatisierungsregeln anwendet, und ist wichtig, wenn sich mehrere Regeln auf dasselbe Ergebnis oder Findungsfeld beziehen.
Wenn sich mehrere Regelaktionen auf dasselbe Befund- oder Findungsfeld beziehen, gilt die Regel mit dem höchsten numerischen Wert für die Reihenfolge der Regeln zuletzt und hat die endgültige Wirkung.
Wenn Sie eine Regel in der Security Hub-Konsole erstellen, weist Security Hub automatisch die Regelreihenfolge auf der Grundlage der Reihenfolge der Regelerstellung zu. Die zuletzt erstellte Regel hat den niedrigsten numerischen Wert für die Regelreihenfolge und gilt daher zuerst. Security Hub wendet nachfolgende Regeln in aufsteigender Reihenfolge an.
Wenn Sie eine Regel über die Security Hub-API oder erstellen AWS CLI, wendet Security Hub RuleOrder
zuerst die Regel mit dem niedrigsten numerischen Wert an. Anschließend werden die nachfolgenden Regeln in aufsteigender Reihenfolge angewendet. Wenn mehrere Ergebnisse identisch sindRuleOrder
, wendet Security Hub zuerst eine Regel mit einem früheren Wert für das UpdatedAt
Feld an (d. h. die Regel, die zuletzt bearbeitet wurde, gilt zuletzt).
Sie können die Reihenfolge der Regeln jederzeit ändern.
Beispiel für die Reihenfolge der Regeln:
Regel A (Regelreihenfolge ist1
):
-
Kriterien für Regel A
-
ProductName
=Security Hub
-
Resources.Type
istS3 Bucket
-
Compliance.Status
=FAILED
-
RecordState
istNEW
-
Workflow.Status
=ACTIVE
-
-
Aktionen nach Regel A
-
Update
Confidence
auf95
-
Aktualisieren
Severity
aufCRITICAL
-
Regel B (Reihenfolge der Regeln ist2
):
-
Kriterien für Regel B
-
AwsAccountId
=123456789012
-
-
Aktionen nach Regel B
-
Update
Severity
aufINFORMATIONAL
-
Aktionen nach Regel A gelten zuerst für Security Hub Hub-Ergebnisse, die den Kriterien von Regel A entsprechen. Als Nächstes gelten die Aktionen nach Regel B für Security Hub Hub-Ergebnisse mit der angegebenen Konto-ID. Da Regel B in diesem Beispiel zuletzt gilt, lautet der Endwert von Severity
in results from the specified account IDINFORMATIONAL
. Basierend auf der Regel A-Aktion ist der Endwert von Confidence
in übereinstimmenden Ergebnissen95
.
Verfügbare Regelkriterien und Regelaktionen
Die folgenden ASFF-Felder werden derzeit als Kriterien für Automatisierungsregeln unterstützt.
ASFF-Feld | Filter | Feldtyp |
---|---|---|
AwsAccountId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
AwsAccountName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Zeichenfolge |
CompanyName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Zeichenfolge |
ComplianceAssociatedStandardsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Zeichenfolge |
ComplianceSecurityControlId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
ComplianceStatus
|
Is, Is Not
|
Wählen Sie: [FAILED ,, NOT_AVAILABLE PASSED ,WARNING ] |
Confidence
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Zahl |
CreatedAt
|
Start, End, DateRange
|
Datum (formatiert als 2021-12-01T 21:47:39.269 Z) |
Criticality
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Zahl |
Description
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
FirstObservedAt
|
Start, End, DateRange
|
Datum (formatiert als 2021-12-01T 21:47:39.269 Z) |
GeneratorId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
Id
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
LastObservedAt
|
Start, End, DateRange
|
Datum (formatiert als 2021-12-01T 21:47:39.269 Z) |
NoteText
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
NoteUpdatedAt
|
Start, End, DateRange
|
Datum (formatiert als 2021-12-01T 21:47:39.269 Z) |
NoteUpdatedBy
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
ProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Zeichenfolge |
ProductName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Zeichenfolge |
RecordState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Zeichenfolge |
RelatedFindingsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Zeichenfolge |
RelatedFindingsProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Zeichenfolge |
ResourceApplicationArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Zeichenfolge |
ResourceApplicationName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
ResourceDetailsOther
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Zuordnung |
ResourceId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
ResourcePartition
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Zeichenfolge |
ResourceRegion
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
ResourceTags
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Zuordnung |
ResourceType
|
Is, Is Not
|
Wählen Sie (siehe Von ASFF unterstützte Ressourcen) |
SeverityLabel
|
Is, Is Not
|
Wählen Sie: [CRITICAL ,HIGH , MEDIUM LOW ,INFORMATIONAL ] |
SourceUrl
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
Title
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Zeichenfolge |
Type
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
UpdatedAt
|
Start, End, DateRange
|
Datum (formatiert als 2021-12-01T 21:47:39.269 Z) |
UserDefinedFields
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Zuordnung |
VerificationState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
WorkflowStatus
|
Is, Is Not
|
Wählen Sie NEW NOTIFIED RESOLVED : [,,,SUPPRESSED ] |
Die folgenden ASFF-Felder werden derzeit als Aktionen für Automatisierungsregeln unterstützt:
-
Confidence
-
Criticality
-
Note
-
RelatedFindings
-
Severity
-
Types
-
UserDefinedFields
-
VerificationState
-
Workflow
Weitere Informationen zu bestimmten ASFF-Feldern finden Sie unter Syntax für das AWS Security Finding Format (ASFF) und ASFF-Beispiele.
Tipp
Wenn Sie möchten, dass Security Hub keine Ergebnisse für ein bestimmtes Steuerelement generiert, empfehlen wir, das Steuerelement zu deaktivieren, anstatt eine Automatisierungsregel zu verwenden. Wenn Sie eine Kontrolle deaktivieren, beendet Security Hub die Durchführung von Sicherheitsüberprüfungen und generiert keine Ergebnisse mehr dafür, sodass Ihnen für diese Kontrolle keine Gebühren entstehen. Wir empfehlen die Verwendung von Automatisierungsregeln, um die Werte bestimmter ASFF-Felder für Ergebnisse zu ändern, die definierten Kriterien entsprechen. Weitere Informationen zum Deaktivieren von Steuerelementen finden Sie unter. Aktivierung und Deaktivierung von Steuerungen in allen Standards
Automatisierungsregeln erstellen
Sie können eine benutzerdefinierte Regel von Grund auf neu erstellen oder eine vorab ausgefüllte Security Hub Hub-Regelvorlage verwenden.
Sie können jeweils nur eine Automatisierungsregel erstellen. Um mehrere Automatisierungsregeln zu erstellen, folgen Sie den Konsolenprozeduren mehrmals oder rufen Sie die API oder den Befehl mehrmals mit den gewünschten Parametern auf.
Sie müssen in jeder Region und jedem Konto, in dem die Regel auf Ergebnisse angewendet werden soll, eine Automatisierungsregel erstellen.
Wenn Sie eine Automatisierungsregel in der Security Hub-Konsole erstellen, zeigt Ihnen Security Hub eine Vorschau der Ergebnisse, für die Ihre Regel gilt. Die Vorschau wird derzeit nicht unterstützt, wenn Ihre Regelkriterien einen CONTAINS- oder NOT_CONTAINS-Filter enthalten. Sie können diese Filter für Zuordnungs- und Zeichenkettenfeldtypen auswählen.
Wichtig
AWS empfiehlt, keine personenbezogenen, vertraulichen oder sensiblen Informationen in den Regelnamen, die Beschreibung oder andere Felder aufzunehmen.
Eine Regel anhand einer Vorlage erstellen (nur Konsole)
Derzeit unterstützt nur die Security Hub Hub-Konsole Regelvorlagen. Diese Vorlagen spiegeln gängige Anwendungsfälle für Automatisierungsregeln wider und können Ihnen den Einstieg in die Funktion erleichtern. Gehen Sie wie folgt vor, um eine Automatisierungsregel aus einer Vorlage in der Konsole zu erstellen.
Eine benutzerdefinierte Regel erstellen
Wählen Sie Ihre bevorzugte Methode und führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Automatisierungsregel zu erstellen.
Automatisierungsregeln anzeigen
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Ihre Automatisierungsregeln und die Details jeder Regel einzusehen.
Automatisierungsregeln bearbeiten
Wenn Sie eine Automatisierungsregel bearbeiten, gelten die Änderungen für neue und aktualisierte Ergebnisse, die Security Hub nach der Regelbearbeitung generiert oder aufnimmt.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um den Inhalt einer Automatisierungsregel zu bearbeiten. Sie können eine oder mehrere Regeln mit einer einzigen Anfrage bearbeiten. Anweisungen zum Bearbeiten der Regelreihenfolge finden Sie unterReihenfolge der Regeln bearbeiten.
Reihenfolge der Regeln bearbeiten
In einigen Fällen möchten Sie vielleicht die Regelkriterien und Aktionen unverändert lassen, aber die Reihenfolge ändern, in der Security Hub eine Automatisierungsregel anwendet. Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die Reihenfolge der Regeln zu bearbeiten.
Automatisierungsregeln löschen
Wenn Sie eine Automatisierungsregel löschen, entfernt Security Hub sie aus Ihrem Konto und wendet die Regel nicht mehr auf Ergebnisse an.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zum Löschen einer Automatisierungsregel. Sie können eine oder mehrere Regeln in einer einzigen Anfrage löschen.
Tipp
Als Alternative zum Löschen können Sie eine Regel deaktivieren. Dadurch wird die Regel für die future Verwendung beibehalten, aber Security Hub wendet die Regel erst auf übereinstimmende Ergebnisse an, wenn Sie sie aktivieren.
Beispiele für Automatisierungsregeln
Dieser Abschnitt enthält einige Beispiele für Automatisierungsregeln für allgemeine Anwendungsfälle. Diese Beispiele entsprechen Regelvorlagen in der Security Hub Hub-Konsole.
Erhöhen Sie den Schweregrad auf Kritisch, wenn eine bestimmte Ressource, z. B. ein S3-Bucket, gefährdet ist
In diesem Beispiel werden die Regelkriterien erfüllt, wenn es sich ResourceId
bei einem Ergebnis um einen bestimmten Amazon Simple Storage Service (Amazon S3) -Bucket handelt. Die Regelaktion besteht darin, den Schweregrad der übereinstimmenden Ergebnisse auf zu ändernCRITICAL
. Sie können diese Vorlage ändern, um sie auf andere Ressourcen anzuwenden.
Beispiel für eine API-Anfrage:
{ "IsTerminal":
true
, "RuleName": "Elevate severity of findings that relate to important resources
", "RuleOrder":1
, "RuleStatus": "ENABLED
", "Description": "Elevate finding severity to
", "Criteria": { "ProductName": [{ "Value": "CRITICAL
when specific resource such as an S3 bucket is at riskSecurity Hub
", "Comparison": "EQUALS
" }], "ComplianceStatus": [{ "Value": "FAILED
", "Comparison": "EQUALS
" }], "RecordState": [{ "Value": "ACTIVE
", "Comparison": "EQUALS
" }], "WorkflowStatus": [{ "Value": "NEW
", "Comparison": "EQUALS
" }], "ResourceId": [{ "Value": "arn:aws:s3:::examplebucket/developers/design_info.doc
", "Comparison": "EQUALS
" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL
" }, "Note": { "Text": "This is a critical resource. Please review ASAP.
", "UpdatedBy": "sechub-automation
" } } }] }
Beispiel für einen CLI-Befehl:
aws securityhub create-automation-rule \ --is-terminal \ --rule-name
"
\ --rule-orderElevate severity of findings that relate to important resources
"\ --rule-status
1
"
\ --descriptionENABLED
""
\ --criteria '{ "ProductName": [{ "Value":Elevate finding severity to
"CRITICAL
when specific resource such as an S3 bucket is at risk"
, "Comparison":Security Hub
""
}], "ComplianceStatus": [{ "Value":EQUALS
""
, "Comparison":FAILED
""
}], "RecordState": [{ "Value":EQUALS
""
, "Comparison":ACTIVE
""
}], "WorkflowStatus": [{ "Value":EQUALS
""
, "Comparison":NEW
""
}], "ResourceId": [{ "Value":EQUALS
""arn:aws:
, "Comparison":s3:::examplebucket/developers/design_info.doc
""
}] }' \ --actions '[{ "Type":EQUALS
""FINDING_FIELDS_UPDATE"
, "FindingFieldsUpdate": { "Severity": { "Label":"
}, "Note": { "Text":CRITICAL
""
, "UpdatedBy":This is a critical resource. Please review ASAP.
""
} } }]' \ --regionsechub-automation
"
us-east-1
Erhöhen Sie den Schweregrad von Ergebnissen, die sich auf Ressourcen in Produktionskonten beziehen
In diesem Beispiel werden die Regelkriterien erfüllt, wenn in bestimmten Produktionskonten ein HIGH
Schweregrad festgestellt wird. Die Regelaktion besteht darin, den Schweregrad der übereinstimmenden Ergebnisse auf zu ändernCRITICAL
.
Beispiel für eine API-Anfrage:
{ "IsTerminal":
false
, "RuleName": "Elevate severity for production accounts
", "RuleOrder":1
, "RuleStatus": "ENABLED
", "Description": "Elevate finding severity from
", "Criteria": { "ProductName": [{ "Value": "HIGH
toCRITICAL
for findings that relate to resources in specific production accountsSecurity Hub
", "Comparison": "EQUALS
" }], "ComplianceStatus": [{ "Value": "FAILED
", "Comparison": "EQUALS
" }], "RecordState": [{ "Value": "ACTIVE
", "Comparison": "EQUALS
" }], "WorkflowStatus": [{ "Value": "NEW
", "Comparison": "EQUALS
" }], "SeverityLabel": [{ "Value": "HIGH
", "Comparison": "EQUALS
" }], "AwsAccountId": [ { "Value": "111122223333
", "Comparison": "EQUALS
" }, { "Value": "123456789012
", "Comparison": "EQUALS
" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL
" }, "Note": { "Text": "A resource in production accounts is at risk. Please review ASAP.
", "UpdatedBy": "sechub-automation
" } } }] }
Beispiel für einen CLI-Befehl:
aws securityhub create-automation-rule \ --no-is-terminal \ --rule-name
"
\ --rule-orderElevate severity of findings that relate to resources in production accounts
"\ --rule-status
1
"
\ --descriptionENABLED
""
\ --criteria '{ "ProductName": [{ "Value":Elevate finding severity from
"HIGH
toCRITICAL
for findings that relate to resources in specific production accounts"
, "Comparison":Security Hub
""
}], "ComplianceStatus": [{ "Value":EQUALS
""
, "Comparison":FAILED
""
}], "RecordState": [{ "Value":EQUALS
""
, "Comparison":ACTIVE
""
}], "SeverityLabel": [{ "Value":EQUALS
""
, "Comparison":HIGH
""
}], "AwsAccountId": [ { "Value":EQUALS
""
, "Comparison":111122223333
""
}, { "Value":EQUALS
""
, "Comparison":123456789012
""
}] }' \ --actions '[{ "Type":EQUALS
""FINDING_FIELDS_UPDATE"
, "FindingFieldsUpdate": { "Severity": { "Label":"
}, "Note": { "Text":CRITICAL
""
, "UpdatedBy":A resource in production accounts is at risk. Please review ASAP.
""
} } }]' \ --regionsechub-automation
"
us-east-1
Informative Ergebnisse unterdrücken
In diesem Beispiel werden die Regelkriterien für die Ergebnisse des INFORMATIONAL
Schweregrads, die von Amazon an Security Hub gesendet wurden, abgeglichen GuardDuty. Die Regelaktion besteht darin, den Workflow-Status der übereinstimmenden Ergebnisse auf zu ändernSUPPRESSED
.
Beispiel für eine API-Anfrage:
{ "IsTerminal":
false
, "RuleName": "Suppress informational findings
", "RuleOrder":1
, "RuleStatus": "ENABLED
", "Description": "Suppress GuardDuty findings with
", "Criteria": { "ProductName": [{ "Value": "INFORMATIONAL
severityGuardDuty
", "Comparison": "EQUALS
" }], "RecordState": [{ "Value": "ACTIVE
", "Comparison": "EQUALS
" }], "WorkflowStatus": [{ "Value": "NEW
", "Comparison": "EQUALS
" }], "SeverityLabel": [{ "Value": "INFORMATIONAL
", "Comparison": "EQUALS
" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Workflow": { "Status": "SUPPRESSED
" }, "Note": { "Text": "Automatically suppress GuardDuty findings with
", "UpdatedBy": "INFORMATIONAL
severitysechub-automation
" } } }] }
Beispiel für einen CLI-Befehl:
aws securityhub create-automation-rule \ --no-is-terminal \ --rule-name
"
\ --rule-orderSuppress informational findings
"\ --rule-status
1
"
\ --descriptionENABLED
""
\ --criteria '{ "ProductName": [{ "Value":Suppress GuardDuty findings with
"INFORMATIONAL
severity"
, "Comparison":GuardDuty
""
}], "ComplianceStatus": [{ "Value":EQUALS
""
, "Comparison":FAILED
""
}], "RecordState": [{ "Value":EQUALS
""
, "Comparison":ACTIVE
""
}], "WorkflowStatus": [{ "Value":EQUALS
""
, "Comparison":NEW
""
}], "SeverityLabel": [{ "Value":EQUALS
""
, "Comparison":INFORMATIONAL
""
}] }' \ --actions '[{ "Type":EQUALS
""FINDING_FIELDS_UPDATE"
, "FindingFieldsUpdate": { "Workflow": { "Status":"
}, "Note": { "Text":SUPPRESSED
""
, "UpdatedBy":Automatically suppress GuardDuty findings with
"INFORMATIONAL
severity"
} } }]' \ --regionsechub-automation
"
us-east-1