Automatisierungsregeln in Security Hub

Anmerkung

Security Hub befindet sich in der Vorschauversion und kann sich ändern.

Security Hub-Automatisierungsregeln sind eine erweiterbarere und konfigurierbarere Version der Security Hub CSPM-Automatisierungsregeln. Security Hub entwickelte sich von einem erkennungsspezifischen Automatisierungssystem zu einer breiteren Konfigurationsplattform. Während Security Hub CSPM ASFF unterstützt, bietet Security Hub Unterstützung für OCSF und schafft eine Grundlage für mehr Konfigurationen. Eines der Hauptmerkmale der Automatisierungsregeln für Security Hub ist die Integration in die Aggregatorkonfiguration. Dies bietet die Möglichkeit, Konfigurationen fein abzustimmen und granular für eine Reihe von verknüpften Konfigurationen bereitzustellen, wobei AWS-Regionen gleichzeitig die Flexibilität erhalten bleibt, regionale Erfahrungen einzurichten, indem einzelne Konfigurationen getrennt AWS-Regionen werden.

Security Hub Hub-Ressourcen in Ihrer AWS-Konto AWS-Region Hand, einschließlich Automatisierungsregeln, Konnektoren und Aggregatoren, funktionieren in den folgenden Szenarien nicht mehr.

• Der Standalone-Computer AWS-Konto wird Mitglied einer AWS Organisation mit einem delegierten Administrator

• Das AWS Organisationsverwaltungskonto entfernt den delegierten Administrator für die Organisation und richtet einen neuen delegierten Administrator ein

• Die Aggregatorkonfiguration des delegierten Administrators oder des eigenständigen Administrators AWS-Konto wird geändert, sodass aus einer Region ohne Verknüpfung eine verknüpfte Region wird

In diesen Szenarien kann das Mitgliedskonto diese Ressourcen weiterhin über die Vorgänge Auflisten, Abrufen und Löschen verwalten. AWS CLI Wenn eine nicht verknüpfte Region zu einer verknüpften Region gemacht wird, kann der delegierte Administrator oder das eigenständige AWS Konto die alten Ressourcen in einer verknüpften Region weiterhin über die Operationen Auflisten, Abrufen und Löschen verwalten.

Wichtigste Verbesserungen

Die Automatisierungsregeln in Security Hub CSPM sind regional und gelten nur für Ergebnisse dort, AWS-Regionen wo sie erstellt wurden. Automatisierungsregeln in Security Hub können einmal in einer AWS-Region (Aggregationsregion) konfiguriert und dann über die Aggregator V2-Einstellung auf alle konfigurierten AWS-Regionen (verknüpften Regionen) angewendet werden. Ein Vorteil dieser Funktion ist die Möglichkeit, mehrere Sicherheitslücken zu automatisieren und zu korrigieren, indem AWS-Regionen nur eine eingerichtet wird. AWS-Region Das heißt, wenn ein Ergebnis in einer verknüpften Region generiert wird, kann es auf der Grundlage der Konfiguration der Aggregationsregion automatisch behoben werden.

Externe Integration

Automatisierungsregeln in Security Hub unterstützen einen Aktionstyp für die Erstellung von ITSM-Tickets. Auf diese Weise können Kunden ausgewählte OCSF-Ergebnisse direkt an eine oder mehrere konfigurierte ITSM-Integrationen weiterleiten. Wenn ein OCSF-Ergebnis den Kriterien entspricht, können Sie ein Ticket in oder erstellen. Jira Cloud ServiceNow ITSM Weitere Informationen finden Sie unter Integrationen von Drittanbietern für Security Hub.

Von OCSF unterstützte Kriterien

Security Hub CSPM unterstützt die Bewertung von ASFF-Feldern anhand von Ergebnissen, während Security Hub OCSF-Felder abgleicht. Beispielsweise entspricht der Satz unterstützter Filter für den in V2-Automatisierungsregeln verwendeten Criteria Parameter dem Satz unterstützter Filter für den Criteria in verwendeten Parameter. GetFindingsV2 Das bedeutet, dass Filter, die zum Abrufen von V2-Ergebnissen verwendet werden, in einer V2-Automatisierungsregel verwendet werden können, die den Ergebnissen entspricht.

OCSF-Felder für die AutomationRulesFindingFieldsUpdate

Die Liste der Felder, für die AutomationRulesFindingFieldsUpdatein Security Hub CSPM aktualisiert werden können, wurde in Security Hub geändert. AutomationRulesFindingFieldsUpdateV2Die Liste der Felder, die aktualisiert werden können, umfasst Folgendes:

• Comment

• SeverityId

• StatusId