Reglas de automatización - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Reglas de automatización

Las reglas de automatización pueden utilizarse para actualizar automáticamente los resultados en Security Hub. A medida que se ingieren resultados, Security Hub puede aplicar una variedad de acciones de reglas, como suprimir resultados, cambiar su gravedad y añadir notas a los mismos. Dichas acciones de reglas tienen efecto cuando los resultados coinciden con los criterios especificados, como el recurso o el ID de cuenta al que está asociado el resultado o su título.

Algunos ejemplos de casos de uso de reglas de automatización son:

  • Elevar la gravedad de un resultado a CRITICAL si el ID de recurso del resultado se refiere a un recurso crítico para la empresa.

  • Elevar la gravedad de un resultado de HIGH a CRITICAL si el resultado afecta a recursos en cuentas de producción específicas.

  • Asignar resultados específicos que tengan una gravedad INFORMATIONAL un estado de flujo de trabajo SUPPRESSED.

Las reglas de automatización se pueden utilizar para actualizar determinados campos de resultados en el formato de resultados de seguridad de AWS (ASFF). Las reglas se aplican a los resultados tanto nuevos como actualizados.

Puede crear una regla personalizada de cero o utilizar una plantilla de regla proporcionada por Security Hub. Si utiliza una plantilla de regla, puede modificarla según sea necesario para su caso de uso.

Cómo funcionan las reglas de automatización

El administrador de Security Hub puede crear una regla de automatización mediante la definición de los criterios de la regla. Cuando un resultado coincide con los criterios definidos, Security Hub le aplica la regla acción. Para obtener más información sobre los criterios y acciones disponibles, consulte Criterios de regla y acciones de regla disponibles.

Solo la cuenta de administrador de Security Hub puede crear, eliminar, editar y ver las reglas de automatización. Una regla que crea un administrador se aplica a los resultados en la cuenta de administrador y en todas las cuentas de miembro. Al proporcionar los ID de cuentas de miembro como criterios de regla, los administradores de Security Hub también pueden utilizar reglas de automatización para actualizar resultados o tomar medidas sobre resultados en cuentas miembro específicas.

importante

Una regla de automatización solo se aplica en la Región de AWS en la que se creó. Para aplicar una regla en varias regiones, el administrador delegado debe crear la regla en cada región. Esto se puede hacer a través de la consola de Security Hub, la API de Security Hub o AWS CloudFormation. También puede utilizar un script de implementación en varias regiones.

Para obtener un historial de cómo las reglas de automatización han modificado sus resultados, consulte Búsqueda del historial.

Las reglas de automatización se aplican a los resultados nuevos y actualizados que Security Hub genere o ingiera después de crearse la regla. Security Hub actualiza los resultados de control cada 12-24 horas o cuando el recurso asociado cambia de estado. Para obtener más información, consulte Programación para ejecución de controles de seguridad.

Security Hub admite actualmente un máximo de 100 reglas de automatización para una cuenta de administrador.

Orden de las reglas

Al crear reglas de automatización, usted asigna a cada regla un orden. Esto determina el orden en que Security Hub aplica sus reglas de automatización y adquiere importancia cuando varias reglas se relacionan con el mismo resultado o campo de resultado.

Cuando varias acciones de reglas se refieren al mismo resultado o campo de resultado, la regla con el valor numérico más alto de orden de reglas se aplica en último lugar y tiene el efecto definitivo.

Al crear una regla en la consola de Security Hub, Security Hub asigna automáticamente el orden de las reglas según el orden de creación de las mismas. La regla creada más recientemente tiene el valor numérico más bajo de orden de reglas y, por lo tanto, se aplica primero. Security Hub aplica las reglas subsiguientes en orden ascendente.

Al crear una regla a través de la API de Security Hub o la AWS CLI, Security Hub aplica primero la regla con el valor numérico más bajo de RuleOrder. Luego aplica las reglas subsiguientes en orden ascendente. Si varios resultados tienen el mismo RuleOrder, Security Hub aplica primero una regla con un valor anterior del campo UpdatedAt (es decir, la regla que se editó más recientemente se aplica en último lugar).

Puede modificar el orden de las reglas en cualquier momento.

Ejemplo de orden de reglas:

Regla A (el orden de la regla es1):

  • Criterios de la regla A

    • ProductName = Security Hub

    • Resources.Type es S3 Bucket

    • Compliance.Status = FAILED

    • RecordState es NEW

    • Workflow.Status = ACTIVE

  • Acciones de la regla A

    • Actualizar Confidence a 95

    • Actualizar Severity a CRITICAL

Regla B (el orden de la regla es2):

  • Criterios de la regla B

    • AwsAccountId = 123456789012

  • Acciones de la regla B

    • Actualizar Severity a INFORMATIONAL

Las acciones de la regla A se aplican primero a los resultados de Security Hub que coincidan con los criterios de la regla A. A continuación, se aplican las acciones de la regla B a los resultados de Security Hub con el ID de cuenta especificado. En este ejemplo, como la regla B se aplica en último lugar, el valor final de Severity en los resultados del ID de cuenta especificado es INFORMATIONAL. Según la acción de la regla A, el valor final de Confidence en los resultados coincidentes es 95.

Criterios de regla y acciones de regla disponibles

Actualmente se admiten los siguientes campos ASFF como criterios para las reglas de automatización.

Campo ASFF Filtros Tipo de campo
AwsAccountId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
AwsAccountName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
CompanyName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
ComplianceAssociatedStandardsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
ComplianceSecurityControlId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
ComplianceStatus Is, Is Not Selección: [FAILED, NOT_AVAILABLE, PASSED, WARNING]
Confidence Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Número
CreatedAt Start, End, DateRange Fecha (formateada como 2022-12-01T21:47:39.269Z)
Criticality Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Número
Description CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
FirstObservedAt Start, End, DateRange Fecha (formateada como 2022-12-01T21:47:39.269Z)
GeneratorId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
Id CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
LastObservedAt Start, End, DateRange Fecha (formateada como 2022-12-01T21:47:39.269Z)
NoteText CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
NoteUpdatedAt Start, End, DateRange Fecha (formateada como 2022-12-01T21:47:39.269Z)
NoteUpdatedBy CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
ProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
ProductName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
RecordState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
RelatedFindingsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
RelatedFindingsProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
ResourceApplicationArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
ResourceApplicationName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
ResourceDetailsOther CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Asignación
ResourceId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
ResourcePartition CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
ResourceRegion CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
ResourceTags CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Asignación
ResourceType Is, Is Not Selección (consulte los recursos admitidos por ASFF)
SeverityLabel Is, Is Not Selección: [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL]
SourceUrl CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
Title CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
Type CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
UpdatedAt Start, End, DateRange Fecha (formateada como 2022-12-01T21:47:39.269Z)
UserDefinedFields CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Asignación
VerificationState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Cadena
WorkflowStatus Is, Is Not Selección: [NEW, NOTIFIED, RESOLVED, SUPPRESSED]

Actualmente se admiten los siguientes campos ASFF como acciones para las reglas de automatización:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Para obtener más información sobre campos ASFF específicos, consulte Sintaxis del formato de resultados de seguridad (ASFF) de AWS y Ejemplos de ASFF.

sugerencia

Si desea que Security Hub deje de generar resultados para un control específico, le recomendamos deshabilitar el control en lugar de utilizar una regla de automatización. Al deshabilitar un control, Security Hub deja de ejecutar controles de seguridad en él y deja de generar resultados para él, por lo que no incurrirá en cargos por ese control. Le recomendamos que utilice reglas de automatización para cambiar los valores de campos ASFF específicos para los resultados que coincidan con los criterios definidos. Para obtener más información sobre cómo deshabilitar controles, consulte Habilitación y deshabilitación de de los controles en todos los estándares.

Creación de reglas de automatización

Puede crear una regla personalizada de cero o utilizar una plantilla de regla de Security Hub precompletada.

Solo puede crear una regla de automatización a la vez. Para crear varias reglas de automatización, siga los procedimientos de la consola tantas veces como necesite o llame a la API o al comando tantas veces como necesite con los parámetros que desee.

Debe crear una regla de automatización en cada región y cuenta en que desee que la regla se aplique a los resultados.

Al crear una regla de automatización en la consola de Security Hub, Security Hub te muestra una vista previa de los resultados a los que se aplica la regla. La vista previa no es compatible actualmente si los criterios de la regla incluyen un filtro CONTAINS o NOT_CONTAINS. Puede elegir estos filtros para los tipos de campos de mapeo y cadena.

importante

AWS le recomienda que no incluya información de identificación personal, confidencial o sensible en el nombre, la descripción o en otros campos de la regla.

Creación de una regla a partir de una plantilla (solo en la consola)

Actualmente, solo la consola de Security Hub admite plantillas de reglas. Estas plantillas reflejan casos de uso comunes para las reglas de automatización y pueden ayudarle a iniciarse en esta característica. Complete los siguientes pasos para crear una regla de automatización a partir de una plantilla en la consola.

Console
  1. Abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub.

    Inicie sesión con la cuenta de administrador de Security Hub.

  2. En el panel de navegación, seleccione Automatizaciones.

  3. Seleccione Crear regla. En Tipo de regla, seleccione Crear una regla a partir de una plantilla.

  4. Seleccione una plantilla de regla en el menú desplegable.

  5. (Opcional) De ser necesario para su caso de uso, modifique las secciones Regla, Criterios y Acción automatizada. Debe especificar al menos un criterio de regla y una acción de regla.

    Si es compatible con los criterios seleccionados, la consola le muestra una vista previa de los resultados que coinciden con sus criterios.

  6. En Estado de la regla, elija si desea que la regla quede Habilitada o Deshabilitada tras su creación.

  7. (Opcional) Amplíe la sección Ajustes adicionales. Seleccione Ignorar reglas posteriores para resultados que coincidan con estos criterios si desea que esta regla sea la última que se aplique a los resultados que coincidan con los criterios de la regla.

  8. (Opcional) En Etiquetas, añada etiquetas como pares clave-valor para ayudarle a identificar fácilmente la regla.

  9. Seleccione Crear regla.

Creación de una regla personalizada

Elija su método preferido y realice los siguientes pasos para crear una regla de automatización personalizada.

Console
  1. Abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub.

    Inicie sesión con la cuenta de administrador de Security Hub.

  2. En el panel de navegación, seleccione Automatizaciones.

  3. Seleccione Crear regla. En Tipo de regla, seleccione Regla personalizada.

  4. En la sección Regla, proporcione un nombre de regla único y una descripción de la regla.

  5. En Criterios, utilice los menús desplegables de Clave, Operador y Valor para especificar los criterios de su regla. Debe especificar al menos un criterio de regla.

    Si es compatible con los criterios seleccionados, la consola le muestra una vista previa de los resultados que coinciden con sus criterios.

  6. En Acción automatizada, utilice los menús desplegables para especificar qué campos de resultado desea actualizar cuando los resultados coincidan con los criterios de la regla. Debe especificar al menos una regla de acción.

  7. En Estado de la regla, elija si desea que la regla quede Habilitada o Deshabilitada tras su creación.

  8. (Opcional) Amplíe la sección Ajustes adicionales. Seleccione Ignorar reglas posteriores para resultados que coincidan con estos criterios si desea que esta regla sea la última que se aplique a los resultados que coincidan con los criterios de la regla.

  9. (Opcional) En Etiquetas, añada etiquetas como pares clave-valor para ayudarle a identificar fácilmente la regla.

  10. Seleccione Crear regla.

API
  1. Ejecute CreateAutomationRule desde la cuenta de administrador de Security Hub. Esta API crea una regla con un nombre de recurso de Amazon (ARN) específico.

  2. Introduzca un nombre y una descripción para la regla.

  3. Defina el parámetro IsTerminal como true si desea que esta regla sea la última que se aplique a los resultados que coincidan con los criterios de la regla.

  4. En el parámetro RuleOrder, indique el orden de la regla. Security Hub aplica primero las reglas con un valor numérico más bajo para este parámetro.

  5. En el parámetro RuleStatus, especifique si desea que Security Hub habilite y comience a aplicar la regla a los resultados tras su creación. El valor predeterminado es ENABLED si no se especifica ningún valor. Un valor de DISABLED significa que la regla queda en pausa tras su creación.

  6. En el Criteria parámetro, indique los criterios que desea que Security Hub utilice para filtrar sus resultados. La acción de la regla se aplicará a los resultados que coincidan con los criterios. Para obtener una lista de los criterios admitidos, consulte Criterios de regla y acciones de regla disponibles.

  7. En el parámetro Actions, indique las acciones que desea que Security Hub realice cuando haya una coincidencia entre un resultado y los criterios definidos. Para obtener una lista de las acciones admitidas, consulte Criterios de regla y acciones de regla disponibles.

Ejemplo de solicitud de API:

{ "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Workflow": { "Status": "SUPPRESSED" }, "Note": { "Text": "Known issue that is not a risk.", "UpdatedBy": "sechub-automation" } } }], "Criteria": { "ProductName": [{ "Value": "Security Hub", "Comparison": "EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "GeneratorId": [{ "Value": "aws-foundational-security-best-practices/v/1.0.0/IAM.1", "Comparison": "EQUALS" }] }, "Description": "Sample rule description", "IsTerminal": false, "RuleName": "sample-rule-name", "RuleOrder": 1, "RuleStatus": "ENABLED", }
AWS CLI
  1. Ejecute el comando create-automation-rule desde la cuenta de administrador de Security Hub. Este comando crea una regla con un nombre de recurso de Amazon (ARN) específico.

  2. Introduzca un nombre y una descripción para la regla.

  3. Incluya el parámetro is-terminal si desea que esta regla sea la última que se aplique a los resultados que coincidan con los criterios de la regla. Caso contrario, incluya el parámetro no-is-terminal.

  4. En el parámetro rule-order, indique el orden de la regla. Security Hub aplica primero las reglas con un valor numérico más bajo para este parámetro.

  5. En el parámetro rule-status, especifique si desea que Security Hub habilite y comience a aplicar la regla a los resultados tras su creación. El valor predeterminado es ENABLED si no se especifica ningún valor. Un valor de DISABLED significa que la regla queda en pausa tras su creación.

  6. En el criteria parámetro, indique los criterios que desea que Security Hub utilice para filtrar sus resultados. La acción de la regla se aplicará a los resultados que coincidan con los criterios. Para obtener una lista de los criterios admitidos, consulte Criterios de regla y acciones de regla disponibles.

  7. En el parámetro actions, indique las acciones que desea que Security Hub realice cuando haya una coincidencia entre un resultado y los criterios definidos. Para obtener una lista de las acciones admitidas, consulte Criterios de regla y acciones de regla disponibles.

Ejemplo de comando:

aws securityhub create-automation-rule \ --actions '[{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "HIGH" }, "Note": { "Text": "Known issue that is a risk. Updated by automation rules", "UpdatedBy": "sechub-automation" } } }]' \ --criteria '{ "SeverityLabel": [{ "Value": "INFORMATIONAL", "Comparison": "EQUALS" }] }' \ --description "A sample rule" \ --no-is-terminal \ --rule-name "sample rule" \ --rule-order 1 \ --rule-status "ENABLED" \ --region us-east-1

Visualización de las reglas de automatización

Elija el método que prefiera y siga los pasos para ver sus reglas de automatización y los detalles de cada regla.

Console
  1. Abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub.

    Inicie sesión con la cuenta de administrador de Security Hub.

  2. En el panel de navegación, seleccione Automatizaciones.

  3. Elija un nombre de regla. También puede seleccionar una regla.

  4. Seleccione Acciones y luego Ver.

API
  1. Para ver las reglas de automatización de su cuenta, ejecute ListAutomationRules desde la cuenta de administrador de Security Hub. Esta API devuelve los ARN y otros metadatos de sus reglas. No se requieren parámetros de entrada para esta API, pero puede como opción proporcionar MaxResults para limitar el número de resultados y NextToken como parámetro de paginación. El valor inicial de NextToken debería ser NULL.

    Ejemplo de solicitud de API:

    { "MaxResults": 50, "NextToken": "cVpdnSampleTokenYcXgTockBW44c" }
  2. Para obtener más detalles sobre las reglas, incluyendo los criterios y las acciones de una regla, ejecute BatchGetAutomationRules desde la cuenta de administrador de Security Hub.

    Ejemplo de solicitud de API:

    { "AutomationRulesArns": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa" ] }
AWS CLI
  1. Para ver las reglas de automatización de su cuenta, ejecute el comando list-automation-rules desde la cuenta de administrador de Security Hub. Este comando devuelve los ARN y otros metadatos de sus reglas. No se requieren parámetros de entrada para este comando, pero puede como opción proporcionar max-results para limitar el número de resultados y next-token como parámetro de paginación.

    Ejemplo de comando:

    aws securityhub list-automation-rules \ --max-results 5 \ --next-token cVpdnSampleTokenYcXgTockBW44c \ --region us-east-1
  2. Para obtener más detalles sobre las reglas, incluyendo los criterios y las acciones de una regla, ejecute el comando batch-get-automation-rules desde la cuenta de administrador de Security Hub.

    Ejemplo de comando:

    aws securityhub batch-get-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \ --region us-east-1

Edición de reglas de automatización

Al editar una regla de automatización, los cambios se aplican a los resultados nuevos y actualizados que Security Hub genere o ingiera después de editarse la regla.

Elija el método que prefiera y siga los pasos para editar el contenido de una regla de automatización. Puede editar una o más reglas con una sola solicitud. Para obtener instrucciones sobre cómo editar el orden de las reglas, consulte Edición del orden de las reglas.

Console
  1. Abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub.

    Inicie sesión con la cuenta de administrador de Security Hub.

  2. En el panel de navegación, seleccione Automatizaciones.

  3. Seleccione la regla que desea editar. Seleccione Acciones y luego Editar.

  4. Cambie la regla como desee y seleccione Guardar cambios.

API
  1. Ejecute BatchUpdateAutomationRules desde la cuenta de administrador de Security Hub.

  2. En el parámetro RuleArn, proporcione el ARN de las reglas que desee editar.

  3. Proporcione los nuevos valores de los parámetros que desee editar. Puede editar cualquier parámetro excepto RuleArn.

Ejemplo de solicitud de API:

{ "UpdateAutomationRulesRequestItems": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleOrder": 15, "RuleStatus": "Enabled" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "RuleStatus": "Disabled" } ] }
AWS CLI
  1. Ejecute el comando batch-update-automation-rules desde la cuenta de administrador de Security Hub.

  2. En el parámetro RuleArn, proporcione el ARN de las reglas que desee editar.

  3. Proporcione los nuevos valores de los parámetros que desee editar. Puede editar cualquier parámetro excepto RuleArn.

Ejemplo de comando:

aws securityhub batch-update-automation-rules \ --update-automation-rules-request-items '[ { "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Note": { "Text": "Known issue that is a risk", "UpdatedBy": "sechub-automation" }, "Workflow": { "Status": "NEW" } } }], "Criteria": { "SeverityLabel": [{ "Value": "LOW", "Comparison": "EQUALS" }] }, "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleOrder": 14, "RuleStatus": "DISABLED", } ]' \ --region us-east-1

Edición del orden de las reglas

En algunos casos, es posible que desee mantener los criterios y acciones de la regla tal como están, pero cambiar el orden en que Security Hub aplica una regla de automatización. Elija el método que prefiera y siga los pasos para editar el orden de las reglas.

Console
  1. Abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub.

    Inicie sesión con la cuenta de administrador de Security Hub.

  2. En el panel de navegación, seleccione Automatizaciones.

  3. Seleccione la regla cuyo orden desea modificar. Seleccione Editar prioridad.

  4. Seleccione Subir para aumentar la prioridad de la regla en una unidad. Seleccione Bajar para disminuir la prioridad de la regla en una unidad. Seleccione Mover al principio para asignar a la regla un orden de 1 (esto da a la regla precedencia sobre otras existentes).

nota

Al crear una regla en la consola de Security Hub, Security Hub asigna automáticamente el orden de las reglas según el orden de creación de las mismas. La regla creada más recientemente tiene el valor numérico más bajo de orden de reglas y, por lo tanto, se aplica primero.

API
  1. Ejecute BatchUpdateAutomationRules desde la cuenta de administrador de Security Hub.

  2. En el parámetro RuleArn, proporcione el ARN de las reglas cuyo orden desea editar.

  3. Modifique el valor del campo RuleOrder.

nota

Si varias reglas tienen el mismo RuleOrder, Security Hub aplica primero una regla con un valor anterior para el campo UpdatedAt (es decir, la regla que se editó más recientemente se aplica en último lugar).

AWS CLI
  1. Ejecute el comando batch-update-automation-rules desde la cuenta de administrador de Security Hub.

  2. En el parámetro RuleArn, proporcione el ARN de las reglas cuyo orden desea editar.

  3. Modifique el valor del campo RuleOrder.

nota

Si varias reglas tienen el mismo RuleOrder, Security Hub aplica primero una regla con un valor anterior para el campo UpdatedAt (es decir, la regla que se editó más recientemente se aplica en último lugar).

Eliminación de reglas de automatización

Al eliminar una regla de automatización, Security Hub la elimina de su cuenta y deja de aplicarla a los resultados.

Elija el método que prefiera y siga los pasos para eliminar una regla de automatización. Puede eliminar una o más reglas en una sola solicitud.

sugerencia

Como alternativa a la eliminación, puede deshabilitar una regla. Esto retiene la regla para uso futuro, pero Security Hub no aplicará la regla a ningún resultado coincidente hasta que usted la habilite.

Console
  1. Abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub.

    Inicie sesión con la cuenta de administrador de Security Hub.

  2. En el panel de navegación, seleccione Automatizaciones.

  3. Seleccione las reglas que desea eliminar. Seleccione Acción y luego Eliminar (para retener una regla, pero temporalmente deshabilitada, seleccione Deshabilitar).

  4. Confirme la elección y seleccione Eliminar.

API
  1. Ejecute BatchDeleteAutomationRules desde la cuenta de administrador de Security Hub.

  2. En el parámetro AutomationRulesArns, indique el ARN de las reglas que desea eliminar (para retener una regla, pero temporalmente deshabilitada, indique DISABLED en el parámetro RuleStatus).

Ejemplo de solicitud de API:

{ "AutomationRulesArns": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa" ] }
AWS CLI
  1. Ejecute el comando batch-delete-automation-rules desde la cuenta de administrador de Security Hub.

  2. En el parámetro automation-rules-arns, indique el ARN de las reglas que desea eliminar (para retener una regla, pero temporalmente deshabilitada, indique DISABLED en el parámetro RuleStatus).

Ejemplo de comando:

aws securityhub batch-delete-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \ --region us-east-1

Ejemplos de reglas de automatización

En esta sección se incluye algunos ejemplos de reglas de automatización para casos de uso comunes. Estos ejemplos corresponden a plantillas de reglas en la consola de Security Hub.

Elevar la gravedad a Crítica cuando un recurso específico como un bucket S3 esté en riesgo

En este ejemplo, los criterios de la regla coinciden cuando el ResourceId de un resultado es un bucket específico de Amazon Simple Storage Service (Amazon S3). La acción de la regla es cambiar la gravedad de los resultados coincidentes a CRITICAL. Puede modificar esta plantilla para aplicarla a otros recursos.

Ejemplo de solicitud de API:

{ "IsTerminal": true, "RuleName": "Elevate severity of findings that relate to important resources", "RuleOrder": 1, "RuleStatus": "ENABLED", "Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk", "Criteria": { "ProductName": [{ "Value": "Security Hub", "Comparison": "EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "ResourceId": [{ "Value": "arn:aws:s3:::examplebucket/developers/design_info.doc", "Comparison": "EQUALS" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL" }, "Note": { "Text": "This is a critical resource. Please review ASAP.", "UpdatedBy": "sechub-automation" } } }] }

Ejemplo de comando de la CLI:

aws securityhub create-automation-rule \ --is-terminal \ --rule-name "Elevate severity of findings that relate to important resources" \ --rule-order 1 \ --rule-status "ENABLED" \ --description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \ --criteria '{ "ProductName": [{ "Value": "Security Hub", "Comparison": "EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "ResourceId": [{ "Value": "arn:aws:s3:::examplebucket/developers/design_info.doc", "Comparison": "EQUALS" }] }' \ --actions '[{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL" }, "Note": { "Text": "This is a critical resource. Please review ASAP.", "UpdatedBy": "sechub-automation" } } }]' \ --region us-east-1

Elevar la gravedad de los resultados relacionados con los recursos en cuentas de producción

En este ejemplo, los criterios de la regla coinciden cuando se genera un resultado de gravedad HIGH en cuentas de producción específicas. La acción de la regla es cambiar la gravedad de los resultados coincidentes a CRITICAL.

Ejemplo de solicitud de API:

{ "IsTerminal": false, "RuleName": "Elevate severity for production accounts", "RuleOrder": 1, "RuleStatus": "ENABLED", "Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts", "Criteria": { "ProductName": [{ "Value": "Security Hub", "Comparison": "EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "SeverityLabel": [{ "Value": "HIGH", "Comparison": "EQUALS" }], "AwsAccountId": [ { "Value": "111122223333", "Comparison": "EQUALS" }, { "Value": "123456789012", "Comparison": "EQUALS" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL" }, "Note": { "Text": "A resource in production accounts is at risk. Please review ASAP.", "UpdatedBy": "sechub-automation" } } }] }

Ejemplo de comando de la CLI:

aws securityhub create-automation-rule \ --no-is-terminal \ --rule-name "Elevate severity of findings that relate to resources in production accounts" \ --rule-order 1 \ --rule-status "ENABLED" \ --description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \ --criteria '{ "ProductName": [{ "Value": "Security Hub", "Comparison": "EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "SeverityLabel": [{ "Value": "HIGH", "Comparison": "EQUALS" }], "AwsAccountId": [ { "Value": "111122223333", "Comparison": "EQUALS" }, { "Value": "123456789012", "Comparison": "EQUALS" }] }' \ --actions '[{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL" }, "Note": { "Text": "A resource in production accounts is at risk. Please review ASAP.", "UpdatedBy": "sechub-automation" } } }]' \ --region us-east-1

Supresión de resultados informativos

En este ejemplo, los criterios de la regla coinciden con los resultados de INFORMATIONAL gravedad enviados a Security Hub desde Amazon GuardDuty. La acción de la regla es cambiar el estado del flujo de trabajo de los resultados coincidentes a SUPPRESSED.

Ejemplo de solicitud de API:

{ "IsTerminal": false, "RuleName": "Suppress informational findings", "RuleOrder": 1, "RuleStatus": "ENABLED", "Description": "Suppress GuardDuty findings with INFORMATIONAL severity", "Criteria": { "ProductName": [{ "Value": "GuardDuty", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "SeverityLabel": [{ "Value": "INFORMATIONAL", "Comparison": "EQUALS" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Workflow": { "Status": "SUPPRESSED" }, "Note": { "Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity", "UpdatedBy": "sechub-automation" } } }] }

Ejemplo de comando de la CLI:

aws securityhub create-automation-rule \ --no-is-terminal \ --rule-name "Suppress informational findings" \ --rule-order 1 \ --rule-status "ENABLED" \ --description "Suppress GuardDuty findings with INFORMATIONAL severity" \ --criteria '{ "ProductName": [{ "Value": "GuardDuty", "Comparison": "EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "SeverityLabel": [{ "Value": "INFORMATIONAL", "Comparison": "EQUALS" }] }' \ --actions '[{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Workflow": { "Status": "SUPPRESSED" }, "Note": { "Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity", "UpdatedBy": "sechub-automation" } } }]' \ --region us-east-1