Règles d'automatisation - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Règles d'automatisation

Les règles d'automatisation peuvent être utilisées pour mettre à jour automatiquement les résultats dans Security Hub. Au fur et à mesure que les résultats sont ingérés, Security Hub peut appliquer diverses règles, telles que la suppression des résultats, la modification de leur gravité et l'ajout de notes aux résultats. Ces actions de règle prennent effet lorsque les résultats correspondent aux critères que vous avez spécifiés, tels que l'identifiant de ressource ou de compte auquel le résultat est associé ou son titre.

Voici des exemples de cas d'utilisation des règles d'automatisation :

  • Augmenter la gravité d'une constatation jusqu'à ce CRITICAL que son identifiant de ressource fasse référence à une ressource critique pour l'entreprise.

  • Augmenter la gravité d'une constatation de HIGH à CRITICAL si la constatation affecte les ressources dans des comptes de production spécifiques.

  • Attribuer des résultats spécifiques présentant un statut de SUPPRESSED flux de INFORMATIONAL travail grave.

Les règles d'automatisation peuvent être utilisées pour mettre à jour certains champs de recherche dans le format ASFF (AWSSecurity Finding Format). Les règles s'appliquent à la fois aux nouvelles découvertes et aux découvertes mises à jour.

Vous pouvez créer une règle personnalisée à partir de zéro ou utiliser un modèle de règle fourni par Security Hub. Si vous utilisez un modèle de règle, vous pouvez le modifier en fonction de votre cas d'utilisation.

Comment fonctionnent les règles d'automatisation

L'administrateur du Security Hub peut créer une règle d'automatisation en définissant des critères de règle. Lorsqu'un résultat correspond aux critères définis, Security Hub lui applique l'action de la règle. Pour plus d'informations sur les critères et les actions disponibles, consultezCritères de règle et actions de règle disponibles.

Seul le compte administrateur du Security Hub peut créer, supprimer, modifier et consulter les règles d'automatisation. Une règle créée par un administrateur s'applique aux résultats du compte administrateur et de tous les comptes des membres. En fournissant des identifiants de compte de membre comme critère de règle, les administrateurs de Security Hub peuvent également utiliser des règles d'automatisation pour mettre à jour les résultats ou prendre des mesures en fonction des résultats relatifs à des comptes membres spécifiques.

Important

Une règle d'automatisation s'applique uniquement dans le Région AWS pays dans lequel elle a été créée. Pour appliquer une règle dans plusieurs régions, l'administrateur délégué doit créer la règle dans chaque région. Cela peut être effectué via la console Security Hub, l'API Security Hub ou AWS CloudFormation. Vous pouvez également utiliser un script de déploiement multirégional.

Pour obtenir un historique de la façon dont les règles d'automatisation ont modifié vos résultats, voirRévision de l'historique des recherches.

Les règles d'automatisation s'appliquent aux découvertes nouvelles et mises à jour que Security Hub génère ou ingère une fois que vous avez créé la règle. Security Hub met à jour les résultats des contrôles toutes les 12 à 24 heures ou lorsque l'état de la ressource associée change. Pour plus d'informations, consultez Planification de l'exécution des vérifications de sécurité.

Security Hub prend actuellement en charge un maximum de 100 règles d'automatisation pour un compte administrateur.

Ordre des règles

Lorsque vous créez des règles d'automatisation, vous attribuez un ordre à chaque règle. Cela détermine l'ordre dans lequel Security Hub applique vos règles d'automatisation, et cela devient important lorsque plusieurs règles se rapportent au même champ de recherche ou de recherche.

Lorsque plusieurs actions de règle concernent le même résultat ou le même champ de recherche, la règle ayant la valeur numérique la plus élevée pour l'ordre des règles s'applique en dernier lieu et produit l'effet final.

Lorsque vous créez une règle dans la console Security Hub, Security Hub attribue automatiquement l'ordre des règles en fonction de l'ordre de création des règles. La dernière règle créée possède la valeur numérique la plus faible pour l'ordre des règles et s'applique donc en premier. Security Hub applique les règles suivantes par ordre croissant.

Lorsque vous créez une règle par le biais de l'API Security Hub ou AWS CLI que Security Hub applique la règle dont la valeur numérique est la plus faible pour la RuleOrder première. Il applique ensuite les règles suivantes par ordre croissant. Si plusieurs résultats sont identiquesRuleOrder, Security Hub applique d'abord une règle avec une valeur antérieure pour le UpdatedAt champ (c'est-à-dire que la règle la plus récemment modifiée s'applique en dernier lieu).

Vous pouvez modifier l'ordre des règles à tout moment.

Exemple d'ordre des règles :

Règle A (l'ordre des règles est1) :

  • Critères de la règle A

    • ProductName = Security Hub

    • Resources.Type est S3 Bucket

    • Compliance.Status = FAILED

    • RecordState est NEW

    • Workflow.Status = ACTIVE

  • Actions en vertu de la règle A

    • Mettre à jour Confidence vers 95

    • Mettre à jour Severity vers CRITICAL

Règle B (l'ordre des règles est2) :

  • Critères de la règle B

    • AwsAccountId = 123456789012

  • Actions relevant de la règle B

    • Mettre à jour Severity vers INFORMATIONAL

Les actions de la règle A s'appliquent d'abord aux résultats du Security Hub qui répondent aux critères de la règle A. Ensuite, les actions de la règle B s'appliquent aux résultats du Security Hub avec l'ID de compte spécifié. Dans cet exemple, étant donné que la règle B s'applique Severity en dernier, la valeur finale des résultats provenant de l'ID de compte spécifié estINFORMATIONAL. Sur la base de l'action de la règle A, la valeur Confidence finale des résultats correspondants est95.

Critères de règle et actions de règle disponibles

Les champs ASFF suivants sont actuellement pris en charge en tant que critères pour les règles d'automatisation.

Champ ASFF Filtres Type de champ
AwsAccountId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
AwsAccountName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
CompanyName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ComplianceAssociatedStandardsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ComplianceSecurityControlId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ComplianceStatus Is, Is Not Sélectionnez : [FAILED,NOT_AVAILABLE,PASSED,WARNING]
Confidence Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Nombre
CreatedAt Start, End, DateRange Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z)
Criticality Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Nombre
Description CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
FirstObservedAt Start, End, DateRange Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z)
GeneratorId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
Id CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
LastObservedAt Start, End, DateRange Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z)
NoteText CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
NoteUpdatedAt Start, End, DateRange Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z)
NoteUpdatedBy CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ProductName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
RecordState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
RelatedFindingsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
RelatedFindingsProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourceApplicationArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourceApplicationName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourceDetailsOther CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Map
ResourceId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourcePartition CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourceRegion CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourceTags CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Map
ResourceType Is, Is Not Sélectionnez (voir Ressources prises en charge par ASFF)
SeverityLabel Is, Is Not Sélectionnez : [CRITICAL,HIGH,MEDIUM,LOW,INFORMATIONAL]
SourceUrl CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
Title CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
Type CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
UpdatedAt Start, End, DateRange Date (formatée sous la forme : ○ 12-01T 21:47:39.269 Z)
UserDefinedFields CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Map
VerificationState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
WorkflowStatus Is, Is Not Sélectionnez : [NEW,NOTIFIED,RESOLVED,SUPPRESSED]

Les champs ASFF suivants sont actuellement pris en charge en tant qu'actions pour les règles d'automatisation :

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Pour plus d'informations sur des champs ASFF spécifiques, voir Syntaxe ASFF (AWSSecurity Finding Format) et exemples ASFF.

Astuce

Si vous souhaitez que Security Hub cesse de générer des résultats pour un contrôle spécifique, nous vous recommandons de désactiver le contrôle au lieu d'utiliser une règle d'automatisation. Lorsque vous désactivez un contrôle, Security Hub arrête d'effectuer des contrôles de sécurité sur celui-ci et de générer des résultats pour celui-ci. Vous n'avez donc pas à payer de frais pour ce contrôle. Nous recommandons d'utiliser des règles d'automatisation pour modifier les valeurs de champs ASFF spécifiques pour les résultats correspondant à des critères définis. Pour plus d'informations sur la désactivation des contrôles, consultezActivation et désactivation des contrôles dans toutes les normes.

Création de règles d'automatisation

Vous pouvez créer une règle personnalisée à partir de zéro ou utiliser un modèle de règle Security Hub prérempli.

Vous ne pouvez créer qu'une seule règle d'automatisation à la fois. Pour créer plusieurs règles d'automatisation, suivez les procédures de la console à plusieurs reprises ou appelez l'API ou la commande à plusieurs reprises avec les paramètres souhaités.

Vous devez créer une règle d'automatisation dans chaque région et chaque compte dans lesquels vous souhaitez que la règle s'applique aux résultats.

Lorsque vous créez une règle d'automatisation dans la console Security Hub, Security Hub affiche un aperçu des résultats auxquels s'applique votre règle. L'aperçu n'est actuellement pas pris en charge si vos critères de règle incluent un filtre CONTAINS ou NOT_CONTAINS. Vous pouvez choisir ces filtres pour les types de champs de type carte et chaîne.

Important

AWSvous recommande de ne pas inclure d'informations d'identification personnelle, confidentielles ou sensibles dans le nom, la description ou d'autres champs de votre règle.

Création d'une règle à partir d'un modèle (console uniquement)

Actuellement, seule la console Security Hub prend en charge les modèles de règles. Ces modèles reflètent les cas d'utilisation courants des règles d'automatisation et peuvent vous aider à démarrer avec cette fonctionnalité. Procédez comme suit pour créer une règle d'automatisation à partir d'un modèle dans la console.

Console
  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

    Connectez-vous au compte administrateur du Security Hub.

  2. Dans le volet de navigation, sélectionnez Automations.

  3. Choisissez Créer une règle. Pour Type de règle, choisissez Créer une règle à partir d'un modèle.

  4. Sélectionnez un modèle de règle dans le menu déroulant.

  5. (Facultatif) Si cela est nécessaire pour votre cas d'utilisation, modifiez les sections Règle, Critères et Actions automatisées. Vous devez spécifier au moins un critère de règle et une action de règle.

    Si les critères que vous avez sélectionnés sont pris en charge, la console affiche un aperçu des résultats correspondant à vos critères.

  6. Pour le statut de la règle, choisissez si vous souhaitez que la règle soit activée ou désactivée après sa création.

  7. (Facultatif) Développez la section Paramètres supplémentaires. Sélectionnez Ignorer les règles suivantes pour les résultats correspondant à ces critères si vous souhaitez que cette règle soit la dernière à être appliquée aux résultats correspondant aux critères des règles.

  8. (Facultatif) Pour les balises, ajoutez des balises sous forme de paires clé-valeur pour identifier facilement la règle.

  9. Choisissez Créer une règle.

Création d'une règle personnalisée

Choisissez votre méthode préférée et suivez les étapes ci-dessous pour créer une règle d'automatisation personnalisée.

Console
  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

    Connectez-vous au compte administrateur du Security Hub.

  2. Dans le volet de navigation, sélectionnez Automations.

  3. Choisissez Créer une règle. Pour Type de règle, choisissez Créer une règle personnalisée.

  4. Dans la section Règle, saisissez un nom de règle unique et une description de votre règle.

  5. Pour les critères, utilisez les menus déroulants Clé, Opérateur et Valeur pour définir vos critères de règle. Vous devez spécifier au moins un critère de règle.

    Si les critères que vous avez sélectionnés sont pris en charge, la console affiche un aperçu des résultats correspondant à vos critères.

  6. Pour l'action automatisée, utilisez les menus déroulants pour spécifier les champs de recherche à mettre à jour lorsque les résultats correspondent aux critères de votre règle. Vous devez spécifier au moins une action de règle.

  7. Pour le statut de la règle, choisissez si vous souhaitez que la règle soit activée ou désactivée après sa création.

  8. (Facultatif) Développez la section Paramètres supplémentaires. Sélectionnez Ignorer les règles suivantes pour les résultats correspondant à ces critères si vous souhaitez que cette règle soit la dernière à être appliquée aux résultats correspondant aux critères des règles.

  9. (Facultatif) Pour les balises, ajoutez des balises sous forme de paires clé-valeur pour identifier facilement la règle.

  10. Choisissez Créer une règle.

API
  1. Exécutez CreateAutomationRuledepuis le compte administrateur du Security Hub. Cette API crée une règle avec un Amazon Resource Name (ARN) spécifique.

  2. Donnez un nom et une description à la règle.

  3. Définissez le IsTerminal paramètre sur true si vous souhaitez que cette règle soit la dernière à être appliquée aux résultats correspondant aux critères de la règle.

  4. Pour le RuleOrder paramètre, indiquez l'ordre de la règle. Security Hub applique d'abord les règles avec une valeur numérique inférieure pour ce paramètre.

  5. Pour le RuleStatus paramètre, spécifiez si vous souhaitez que Security Hub active et commence à appliquer la règle aux résultats après sa création. La valeur par défaut est ENABLED si aucune valeur n'est spécifiée. La valeur de DISABLED signifie que la règle est suspendue après sa création.

  6. Pour le Criteria paramètre, indiquez les critères que vous souhaitez que Security Hub utilise pour filtrer vos résultats. L'action de la règle s'appliquera aux résultats correspondant aux critères. Pour obtenir la liste des critères pris en charge, consultezCritères de règle et actions de règle disponibles.

  7. Pour le Actions paramètre, indiquez les actions que vous souhaitez que Security Hub exécute en cas de correspondance entre un résultat et les critères que vous avez définis. Pour obtenir la liste des actions prises en charge, consultezCritères de règle et actions de règle disponibles.

Exemple de demande d'API :

{ "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Workflow": { "Status": "SUPPRESSED" }, "Note": { "Text": "Known issue that is not a risk.", "UpdatedBy": "sechub-automation" } } }], "Criteria": { "ProductName": [{ "Value": "Security Hub", "Comparison": "EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "GeneratorId": [{ "Value": "aws-foundational-security-best-practices/v/1.0.0/IAM.1", "Comparison": "EQUALS" }] }, "Description": "Sample rule description", "IsTerminal": false, "RuleName": "sample-rule-name", "RuleOrder": 1, "RuleStatus": "ENABLED", }
AWS CLI
  1. Exécutez la create-automation-rulecommande depuis le compte administrateur du Security Hub. Cette commande crée une règle avec un Amazon Resource Name (ARN) spécifique.

  2. Donnez un nom et une description à la règle.

  3. Incluez le is-terminal paramètre si vous souhaitez que cette règle soit la dernière à être appliquée aux résultats correspondant aux critères de la règle. Dans le cas contraire, incluez le no-is-terminal paramètre.

  4. Pour le rule-order paramètre, indiquez l'ordre de la règle. Security Hub applique d'abord les règles avec une valeur numérique inférieure pour ce paramètre.

  5. Pour le rule-status paramètre, spécifiez si vous souhaitez que Security Hub active et commence à appliquer la règle aux résultats après sa création. La valeur par défaut est ENABLED si aucune valeur n'est spécifiée. La valeur de DISABLED signifie que la règle est suspendue après sa création.

  6. Pour le criteria paramètre, indiquez les critères que vous souhaitez que Security Hub utilise pour filtrer vos résultats. L'action de la règle s'appliquera aux résultats correspondant aux critères. Pour obtenir la liste des critères pris en charge, consultezCritères de règle et actions de règle disponibles.

  7. Pour le actions paramètre, indiquez les actions que vous souhaitez que Security Hub exécute en cas de correspondance entre un résultat et les critères que vous avez définis. Pour obtenir la liste des actions prises en charge, consultezCritères de règle et actions de règle disponibles.

Exemple de commande :

aws securityhub create-automation-rule \ --actions '[{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "HIGH" }, "Note": { "Text": "Known issue that is a risk. Updated by automation rules", "UpdatedBy": "sechub-automation" } } }]' \ --criteria '{ "SeverityLabel": [{ "Value": "INFORMATIONAL", "Comparison": "EQUALS" }] }' \ --description "A sample rule" \ --no-is-terminal \ --rule-name "sample rule" \ --rule-order 1 \ --rule-status "ENABLED" \ --region us-east-1

Afficher les règles d'automatisation

Choisissez votre méthode préférée et suivez les étapes pour afficher vos règles d'automatisation et les détails de chaque règle.

Console
  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

    Connectez-vous au compte administrateur du Security Hub.

  2. Dans le volet de navigation, sélectionnez Automations.

  3. Choisissez un nom de règle. Vous pouvez également sélectionner une règle.

  4. Choisissez Actions et Afficher.

API
  1. Pour consulter les règles d'automatisation de votre compte, ListAutomationRuleslancez-le depuis le compte administrateur du Security Hub. Cette API renvoie les ARN des règles et les autres métadonnées associées à vos règles. Aucun paramètre d'entrée n'est requis pour cette API, mais vous pouvez éventuellement le fournir MaxResults pour limiter le nombre de résultats et NextToken en tant que paramètre de pagination. La valeur initiale de NextToken doit êtreNULL.

    Exemple de demande d'API :

    { "MaxResults": 50, "NextToken": "cVpdnSampleTokenYcXgTockBW44c" }
  2. Pour plus de détails sur les règles, y compris les critères et les actions d'une règle, exécutez la BatchGetAutomationRulescommande à partir du compte administrateur du Security Hub.

    Exemple de demande d'API :

    { "AutomationRulesArns": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa" ] }
AWS CLI
  1. Pour consulter les règles d'automatisation de votre compte, exécutez la list-automation-rulescommande depuis le compte administrateur du Security Hub. Cette commande renvoie les ARN des règles et les autres métadonnées associées à vos règles. Aucun paramètre d'entrée n'est requis pour cette commande, mais vous pouvez éventuellement le définir max-results pour limiter le nombre de résultats et next-token en tant que paramètre de pagination.

    Exemple de commande :

    aws securityhub list-automation-rules \ --max-results 5 \ --next-token cVpdnSampleTokenYcXgTockBW44c \ --region us-east-1
  2. Pour plus de détails sur les règles, notamment les critères et les actions d'une règle, exécutez la batch-get-automation-rulescommande depuis le compte administrateur du Security Hub.

    Exemple de commande :

    aws securityhub batch-get-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \ --region us-east-1

Modification des règles d'automatisation

Lorsque vous modifiez une règle d'automatisation, les modifications s'appliquent aux résultats nouveaux et mis à jour que Security Hub génère ou ingère après la modification de la règle.

Choisissez votre méthode préférée et suivez les étapes pour modifier le contenu d'une règle d'automatisation. Vous pouvez modifier une ou plusieurs règles à l'aide d'une seule demande. Pour obtenir des instructions sur la modification de l'ordre des règles, voirModifier l'ordre des règles.

Console
  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

    Connectez-vous au compte administrateur du Security Hub.

  2. Dans le volet de navigation, sélectionnez Automations.

  3. Sélectionnez la règle que vous souhaitez modifier. Choisissez Action et Modifier.

  4. Modifiez la règle comme vous le souhaitez, puis choisissez Enregistrer les modifications.

API
  1. Exécutez BatchUpdateAutomationRulesdepuis le compte administrateur du Security Hub.

  2. Pour le RuleArn paramètre, indiquez l'ARN de la ou des règles que vous souhaitez modifier.

  3. Fournissez les nouvelles valeurs pour les paramètres que vous souhaitez modifier. Vous pouvez modifier n'importe quel paramètre saufRuleArn.

Exemple de demande d'API :

{ "UpdateAutomationRulesRequestItems": [ { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleOrder": 15, "RuleStatus": "Enabled" }, { "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "RuleStatus": "Disabled" } ] }
AWS CLI
  1. Exécutez la batch-update-automation-rulescommande depuis le compte administrateur du Security Hub.

  2. Pour le RuleArn paramètre, indiquez l'ARN de la ou des règles que vous souhaitez modifier.

  3. Fournissez les nouvelles valeurs pour les paramètres que vous souhaitez modifier. Vous pouvez modifier n'importe quel paramètre saufRuleArn.

Exemple de commande :

aws securityhub batch-update-automation-rules \ --update-automation-rules-request-items '[ { "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Note": { "Text": "Known issue that is a risk", "UpdatedBy": "sechub-automation" }, "Workflow": { "Status": "NEW" } } }], "Criteria": { "SeverityLabel": [{ "Value": "LOW", "Comparison": "EQUALS" }] }, "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "RuleOrder": 14, "RuleStatus": "DISABLED", } ]' \ --region us-east-1

Modifier l'ordre des règles

Dans certains cas, vous souhaiterez peut-être conserver les critères et les actions des règles tels quels, mais modifier l'ordre dans lequel Security Hub applique une règle d'automatisation. Choisissez votre méthode préférée et suivez les étapes pour modifier l'ordre des règles.

Console
  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

    Connectez-vous au compte administrateur du Security Hub.

  2. Dans le volet de navigation, sélectionnez Automations.

  3. Sélectionnez la règle dont vous souhaitez modifier l'ordre. Choisissez Modifier la priorité.

  4. Choisissez Déplacer vers le haut pour augmenter la priorité de la règle d'une unité. Choisissez Déplacer vers le bas pour diminuer la priorité des règles d'une unité. Choisissez Déplacer vers le haut pour attribuer à la règle un ordre de 1 (cela lui donne la priorité sur les autres règles existantes).

Note

Lorsque vous créez une règle dans la console Security Hub, Security Hub attribue automatiquement l'ordre des règles en fonction de l'ordre de création des règles. La dernière règle créée possède la valeur numérique la plus faible pour l'ordre des règles et s'applique donc en premier.

API
  1. Exécutez BatchUpdateAutomationRulesdepuis le compte administrateur du Security Hub.

  2. Pour le RuleArn paramètre, indiquez l'ARN de la ou des règles dont vous souhaitez modifier l'ordre.

  3. Modifiez la valeur du RuleOrder champ.

Note

Si plusieurs règles sont identiquesRuleOrder, Security Hub applique d'abord une règle avec une valeur antérieure pour le UpdatedAt champ (c'est-à-dire que la règle la plus récemment modifiée s'applique en dernier lieu).

AWS CLI
  1. Exécutez la batch-update-automation-rulescommande depuis le compte administrateur du Security Hub.

  2. Pour le RuleArn paramètre, indiquez l'ARN de la ou des règles dont vous souhaitez modifier l'ordre.

  3. Modifiez la valeur du RuleOrder champ.

Note

Si plusieurs règles sont identiquesRuleOrder, Security Hub applique d'abord une règle avec une valeur antérieure pour le UpdatedAt champ (c'est-à-dire que la règle la plus récemment modifiée s'applique en dernier lieu).

Supprimer des règles d'automatisation

Lorsque vous supprimez une règle d'automatisation, Security Hub la supprime de votre compte et ne l'applique plus aux résultats.

Choisissez votre méthode préférée et suivez les étapes pour supprimer une règle d'automatisation. Vous pouvez supprimer une ou plusieurs règles en une seule demande.

Astuce

Au lieu de supprimer une règle, vous pouvez désactiver une règle. Cela permet de conserver la règle pour une utilisation future, mais Security Hub ne l'appliquera à aucun résultat correspondant tant que vous ne l'aurez pas activée.

Console
  1. Ouvrez la AWS Security Hub console à l'adresse https://console.aws.amazon.com/securityhub/.

    Connectez-vous au compte administrateur du Security Hub.

  2. Dans le volet de navigation, sélectionnez Automations.

  3. Sélectionnez la ou les règles que vous souhaitez supprimer. Choisissez Action et Supprimer (pour conserver une règle, mais la désactiver temporairement, choisissez Désactiver).

  4. Confirmez votre choix et choisissez Delete (Supprimer).

API
  1. Exécutez BatchDeleteAutomationRulesdepuis le compte administrateur du Security Hub.

  2. Pour le AutomationRulesArns paramètre, indiquez l'ARN de la ou des règles que vous souhaitez supprimer (pour conserver une règle, mais la désactiver temporairement, fournissez DISABLED le RuleStatus paramètre).

Exemple de demande d'API :

{ "AutomationRulesArns": [ "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa" ] }
AWS CLI
  1. Exécutez la batch-delete-automation-rulescommande depuis le compte administrateur du Security Hub.

  2. Pour le automation-rules-arns paramètre, indiquez l'ARN de la ou des règles que vous souhaitez supprimer (pour conserver une règle, mais la désactiver temporairement, fournissez DISABLED le RuleStatus paramètre).

Exemple de commande :

aws securityhub batch-delete-automation-rules \ --automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \ --region us-east-1

Exemples de règles d'automatisation

Cette section inclut des exemples de règles d'automatisation pour les cas d'utilisation courants. Ces exemples correspondent aux modèles de règles de la console Security Hub.

Atteignez le niveau de gravité à Critique lorsqu'une ressource spécifique, telle qu'un compartiment S3, est menacée

Dans cet exemple, les critères des règles sont mis ResourceId en correspondance lorsque le résultat d'une recherche concerne un compartiment Amazon Simple Storage Service (Amazon S3) spécifique. L'action de la règle consiste à modifier la gravité des résultats correspondants enCRITICAL. Vous pouvez modifier ce modèle pour l'appliquer à d'autres ressources.

Exemple de demande d'API :

{ "IsTerminal": true, "RuleName": "Elevate severity of findings that relate to important resources", "RuleOrder": 1, "RuleStatus": "ENABLED", "Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk", "Criteria": { "ProductName": [{ "Value": "Security Hub", "Comparison": "EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "ResourceId": [{ "Value": "arn:aws:s3:::examplebucket/developers/design_info.doc", "Comparison": "EQUALS" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL" }, "Note": { "Text": "This is a critical resource. Please review ASAP.", "UpdatedBy": "sechub-automation" } } }] }

Exemple de commande CLI :

aws securityhub create-automation-rule \ --is-terminal \ --rule-name "Elevate severity of findings that relate to important resources" \ --rule-order 1 \ --rule-status "ENABLED" \ --description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \ --criteria '{ "ProductName": [{ "Value": "Security Hub", "Comparison": "EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "ResourceId": [{ "Value": "arn:aws:s3:::examplebucket/developers/design_info.doc", "Comparison": "EQUALS" }] }' \ --actions '[{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL" }, "Note": { "Text": "This is a critical resource. Please review ASAP.", "UpdatedBy": "sechub-automation" } } }]' \ --region us-east-1

Accroître la sévérité des constatations relatives aux ressources dans les comptes de production

Dans cet exemple, les critères des règles sont mis en correspondance lorsqu'une constatation de HIGH gravité est générée dans des comptes de production spécifiques. L'action de la règle consiste à modifier la gravité des résultats correspondants enCRITICAL.

Exemple de demande d'API :

{ "IsTerminal": false, "RuleName": "Elevate severity for production accounts", "RuleOrder": 1, "RuleStatus": "ENABLED", "Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts", "Criteria": { "ProductName": [{ "Value": "Security Hub", "Comparison": "EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "SeverityLabel": [{ "Value": "HIGH", "Comparison": "EQUALS" }], "AwsAccountId": [ { "Value": "111122223333", "Comparison": "EQUALS" }, { "Value": "123456789012", "Comparison": "EQUALS" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL" }, "Note": { "Text": "A resource in production accounts is at risk. Please review ASAP.", "UpdatedBy": "sechub-automation" } } }] }

Exemple de commande CLI :

aws securityhub create-automation-rule \ --no-is-terminal \ --rule-name "Elevate severity of findings that relate to resources in production accounts" \ --rule-order 1 \ --rule-status "ENABLED" \ --description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \ --criteria '{ "ProductName": [{ "Value": "Security Hub", "Comparison": "EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "SeverityLabel": [{ "Value": "HIGH", "Comparison": "EQUALS" }], "AwsAccountId": [ { "Value": "111122223333", "Comparison": "EQUALS" }, { "Value": "123456789012", "Comparison": "EQUALS" }] }' \ --actions '[{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL" }, "Note": { "Text": "A resource in production accounts is at risk. Please review ASAP.", "UpdatedBy": "sechub-automation" } } }]' \ --region us-east-1

Supprimer les résultats informationnels

Dans cet exemple, les critères des règles sont mis en correspondance pour les résultats de INFORMATIONAL gravité envoyés à Security Hub par Amazon GuardDuty. L'action de la règle consiste à modifier le statut du flux de travail des résultats correspondants surSUPPRESSED.

Exemple de demande d'API :

{ "IsTerminal": false, "RuleName": "Suppress informational findings", "RuleOrder": 1, "RuleStatus": "ENABLED", "Description": "Suppress GuardDuty findings with INFORMATIONAL severity", "Criteria": { "ProductName": [{ "Value": "GuardDuty", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "SeverityLabel": [{ "Value": "INFORMATIONAL", "Comparison": "EQUALS" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Workflow": { "Status": "SUPPRESSED" }, "Note": { "Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity", "UpdatedBy": "sechub-automation" } } }] }

Exemple de commande CLI :

aws securityhub create-automation-rule \ --no-is-terminal \ --rule-name "Suppress informational findings" \ --rule-order 1 \ --rule-status "ENABLED" \ --description "Suppress GuardDuty findings with INFORMATIONAL severity" \ --criteria '{ "ProductName": [{ "Value": "GuardDuty", "Comparison": "EQUALS" }], "ComplianceStatus": [{ "Value": "FAILED", "Comparison": "EQUALS" }], "RecordState": [{ "Value": "ACTIVE", "Comparison": "EQUALS" }], "WorkflowStatus": [{ "Value": "NEW", "Comparison": "EQUALS" }], "SeverityLabel": [{ "Value": "INFORMATIONAL", "Comparison": "EQUALS" }] }' \ --actions '[{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Workflow": { "Status": "SUPPRESSED" }, "Note": { "Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity", "UpdatedBy": "sechub-automation" } } }]' \ --region us-east-1