Regole di automazione - AWS Security Hub
Come funzionano le regole di automazioneCriteri e azioni delle regole disponibiliCreazione di regole di automazioneVisualizzazione delle regole di automazioneModifica delle regole di automazioneEliminazione delle regole di automazioneEsempi di regole di automazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Regole di automazione

Le regole di automazione possono essere utilizzate per aggiornare automaticamente i risultati in Security Hub. Man mano che i risultati vengono acquisiti, Security Hub può applicare una serie di azioni relative alle regole, come sopprimere i risultati, modificarne la gravità e aggiungere note ai risultati. Tali azioni delle regole hanno effetto quando i risultati soddisfano i criteri specificati, ad esempio a quale risorsa o ID account è associato il risultato o al suo titolo.

Alcuni esempi di casi d'uso per le regole di automazione includono:

  • Elevare il livello di severità di un risultato a CRITICAL un valore che l'ID della risorsa si riferisce a una risorsa fondamentale per l'azienda.

  • Elevare la gravità di un risultato HIGH da CRITICAL se il risultato influisce sulle risorse di specifici account di produzione.

  • Assegnazione di risultati specifici che hanno la stessa gravità dello stato del SUPPRESSED flusso INFORMATIONAL di lavoro.

Le regole di automazione possono essere utilizzate per aggiornare determinati campi di ricerca nel AWS Security Finding Format (ASFF). Le regole si applicano sia ai nuovi risultati che ai risultati aggiornati.

Puoi creare una regola personalizzata da zero o utilizzare un modello di regola fornito da Security Hub. Se si utilizza un modello di regola, è possibile modificarlo in base alle esigenze del caso d'uso.

Come funzionano le regole di automazione

L'amministratore del Security Hub può creare una regola di automazione definendo i criteri delle regole. Quando un risultato corrisponde ai criteri definiti, Security Hub applica l'azione della regola ad esso. Per ulteriori informazioni sui criteri e le azioni disponibili, vedereCriteri e azioni delle regole disponibili.

Solo l'account amministratore di Security Hub può creare, eliminare, modificare e visualizzare le regole di automazione. Una regola creata da un amministratore si applica ai risultati nell'account amministratore e in tutti gli account dei membri. Fornendo gli ID degli account dei membri come criteri di regola, gli amministratori di Security Hub possono anche utilizzare le regole di automazione per aggiornare i risultati o intervenire sui risultati in account membri specifici.

Importante

Una regola di automazione si applica solo nel luogo Regione AWS in cui è stata creata. Per applicare una regola in più regioni, l'amministratore delegato deve creare la regola in ciascuna regione. Questa operazione può essere eseguita tramite la console Security Hub, l'API Security Hub o AWS CloudFormation. È inoltre possibile utilizzare uno script di distribuzione multiregionale.

Per una cronologia di come le regole di automazione hanno modificato i risultati, consultaStoria della ricerca.

Le regole di automazione si applicano ai risultati nuovi e aggiornati generati o acquisiti da Security Hub dopo la creazione della regola. Gli aggiornamenti di Security Hub controllano i risultati ogni 12-24 ore o quando la risorsa associata cambia stato. Per ulteriori informazioni, consulta Pianificazione dell'esecuzione dei controlli di sicurezza.

Security Hub attualmente supporta un massimo di 100 regole di automazione per un account amministratore.

Ordine delle regole

Quando si creano regole di automazione, si assegna a ciascuna regola un ordine. Ciò determina l'ordine in cui Security Hub applica le regole di automazione e diventa importante quando più regole si riferiscono allo stesso campo di ricerca o ricerca.

Quando più azioni delle regole si riferiscono allo stesso campo di ricerca o di ricerca, la regola con il valore numerico più alto per l'ordine delle regole si applica per ultima e ha l'effetto finale.

Quando si crea una regola nella console di Security Hub, Security Hub assegna automaticamente l'ordine delle regole in base all'ordine di creazione delle regole. La regola creata più di recente ha il valore numerico più basso per l'ordine delle regole e pertanto viene applicata per prima. Security Hub applica le regole successive in ordine crescente.

Quando si crea una regola tramite l'API Security Hub oAWS CLI, Security Hub applica per RuleOrder prima la regola con il valore numerico più basso. Quindi applica le regole successive in ordine crescente. Se più risultati sono ugualiRuleOrder, Security Hub applica prima una regola con un valore precedente per il UpdatedAt campo (ovvero, la regola che è stata modificata più di recente si applica per ultima).

È possibile modificare l'ordine delle regole in qualsiasi momento.

Esempio di ordine delle regole:

Regola A (l'ordine delle regole è1):

  • Criteri della regola A

    • ProductName = Security Hub

    • Resources.Type è S3 Bucket

    • Compliance.Status = FAILED

    • RecordState è NEW

    • Workflow.Status = ACTIVE

  • Azioni della regola A

    • Aggiorna Confidence a 95

    • Aggiorna Severity a CRITICAL

Regola B (l'ordine delle regole è2):

  • Criteri della regola B

    • AwsAccountId = 123456789012

  • Azioni della regola B

    • Aggiorna Severity a INFORMATIONAL

Le azioni della Regola A si applicano innanzitutto ai risultati del Security Hub che soddisfano i criteri della Regola A. Successivamente, le azioni della Regola B si applicano ai risultati del Security Hub con l'ID account specificato. In questo esempio, poiché la regola B si applica per ultima, il valore finale dei Severity risultati derivanti dall'ID account specificato èINFORMATIONAL. In base all'azione della Regola A, il valore finale dei Confidence risultati corrispondenti è95.

Criteri e azioni delle regole disponibili

I seguenti campi ASFF sono attualmente supportati come criteri per le regole di automazione.

Campo ASFF Filtri Tipo di campo
AwsAccountId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
AwsAccountName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
CompanyName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ComplianceAssociatedStandardsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ComplianceSecurityControlId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ComplianceStatus Is, Is Not Seleziona: [FAILED,, NOT_AVAILABLEPASSED,WARNING]
Confidence Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Numero
CreatedAt Start, End, DateRange Data (formattata come 2022-12-01T 21:47:39.269 Z)
Criticality Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Numero
Description CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
FirstObservedAt Start, End, DateRange Data (formattata come 2022-12-01T 21:47:39.269 Z)
GeneratorId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
Id CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
LastObservedAt Start, End, DateRange Data (formattata come 2022-12-01T 21:47:39.269 Z)
NoteText CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
NoteUpdatedAt Start, End, DateRange Data (formattata come 2022-12-01T 21:47:39.269 Z)
NoteUpdatedBy CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ProductName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
RecordState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
RelatedFindingsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
RelatedFindingsProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ResourceApplicationArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ResourceApplicationName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ResourceDetailsOther CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Eseguire la mappatura
ResourceId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ResourcePartition CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ResourceRegion CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ResourceTags CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Eseguire la mappatura
ResourceType Is, Is Not Seleziona (vedi Risorse supportate da ASFF)
SeverityLabel Is, Is Not Seleziona: [CRITICAL,HIGH, MEDIUMLOW,INFORMATIONAL]
SourceUrl CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
Title CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
Type CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
UpdatedAt Start, End, DateRange Data (formattata come 2022-12-01T 21:47:39.269 Z)
UserDefinedFields CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Eseguire la mappatura
VerificationState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
WorkflowStatus Is, Is Not Seleziona NEWRESOLVED: [NOTIFIED,,] SUPPRESSED

I seguenti campi ASFF sono attualmente supportati come azioni per le regole di automazione:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Per ulteriori informazioni su campi ASFF specifici, consulta la sintassi del AWS Security Finding Format (ASFF) e gli esempi ASFF.

Suggerimento

Se desideri che Security Hub smetta di generare risultati per un controllo specifico, ti consigliamo di disabilitare il controllo anziché utilizzare una regola di automazione. Quando disabiliti un controllo, Security Hub interrompe l'esecuzione dei controlli di sicurezza e la generazione dei relativi risultati, in modo da non incorrere in costi per tale controllo. Ti consigliamo di utilizzare le regole di automazione per modificare i valori di campi ASFF specifici per i risultati che soddisfano i criteri definiti. Per ulteriori informazioni sulla disabilitazione dei controlli, consulta. Abilitazione e disabilitazione dei controlli in tutti gli standard

Creazione di regole di automazione

È possibile creare una regola personalizzata da zero o utilizzare un modello di regola Security Hub precompilato.

È possibile creare solo una regola di automazione alla volta. Per creare più regole di automazione, segui le procedure della console più volte oppure chiama l'API o il comando più volte con i parametri desiderati.

È necessario creare una regola di automazione in ogni regione e account in cui si desidera che la regola si applichi ai risultati.

Quando si crea una regola di automazione nella console di Security Hub, Security Hub mostra un'anteprima dei risultati a cui si applica la regola. L'anteprima al momento non è supportata se i criteri della regola includono un filtro CONTAINS o NOT_CONTAINS. Puoi scegliere questi filtri per i tipi di campi di tipo mappa e stringa.

Importante

AWSconsiglia di non includere informazioni di identificazione personale, riservate o sensibili nel nome della regola, nella descrizione o in altri campi.

Creazione di una regola da un modello (solo console)

Attualmente, solo la console Security Hub supporta i modelli di regole. Questi modelli riflettono casi d'uso comuni per le regole di automazione e possono aiutarti a iniziare a utilizzare questa funzionalità. Completa i seguenti passaggi per creare una regola di automazione da un modello nella console.

Console

  1. Apri la console AWS Security Hub all'indirizzo https://console.aws.amazon.com/securityhub/.

    Accedi all'account amministratore di Security Hub.

  2. Nel riquadro di navigazione, scegli Automazioni.

  3. Scegli Crea regola. Per Tipo di regola, scegli Crea una regola dal modello.

  4. Seleziona un modello di regola dal menu a discesa.

  5. (Facoltativo) Se necessario per il tuo caso d'uso, modifica le sezioni Regola, Criteri e Azione automatizzata. È necessario specificare almeno un criterio di regola e un'azione della regola.

    Se i criteri selezionati sono supportati, la console mostra un'anteprima dei risultati che corrispondono ai criteri specificati.

  6. Per lo stato della regola, scegli se desideri che la regola sia abilitata o disabilitata dopo la sua creazione.

  7. (Facoltativo) Espandi la sezione Impostazioni aggiuntive. Seleziona Ignora le regole successive per i risultati che corrispondono a questi criteri se desideri che questa regola sia l'ultima regola applicata ai risultati che soddisfano i criteri della regola.

  8. (Facoltativo) Per i tag, aggiungi i tag come coppie chiave-valore per aiutarti a identificare facilmente la regola.

  9. Scegli Crea regola.

Creazione di una regola personalizzata

Scegli il tuo metodo preferito e completa i passaggi seguenti per creare una regola di automazione personalizzata.

Console

  1. Apri la console AWS Security Hub all'indirizzo https://console.aws.amazon.com/securityhub/.

    Accedi all'account amministratore di Security Hub.

  2. Nel riquadro di navigazione, scegli Automazioni.

  3. Scegli Crea regola. Per Tipo di regola, scegli Crea regola personalizzata.

  4. Nella sezione Regola, fornisci un nome e una descrizione univoci per la regola.

  5. Per Criteri, utilizza i menu a discesa Chiave, Operatore e Valore per specificare i criteri della regola. È necessario specificare almeno un criterio di regola.

    Se supportato per i criteri selezionati, la console mostra un'anteprima dei risultati che corrispondono ai criteri specificati.

  6. Per l'azione automatizzata, utilizza i menu a discesa per specificare quali campi di ricerca aggiornare quando i risultati soddisfano i criteri delle regole. È necessario specificare almeno un'azione relativa alla regola.

  7. Per lo stato della regola, scegli se desideri che la regola sia abilitata o disabilitata dopo la creazione.

  8. (Facoltativo) Espandi la sezione Impostazioni aggiuntive. Seleziona Ignora le regole successive per i risultati che corrispondono a questi criteri se desideri che questa regola sia l'ultima regola applicata ai risultati che soddisfano i criteri della regola.

  9. (Facoltativo) Per i tag, aggiungi i tag come coppie chiave-valore per aiutarti a identificare facilmente la regola.

  10. Scegli Crea regola.

API

  1. Esegui CreateAutomationRuledall'account amministratore di Security Hub. Questa API crea una regola con un Amazon Resource Name (ARN) specifico.

  2. Fornisci un nome e una descrizione per la regola.

  3. Imposta il IsTerminal parametro su true se desideri che questa regola sia l'ultima regola applicata ai risultati che soddisfano i criteri della regola.

  4. Per il RuleOrder parametro, specificate l'ordine della regola. Security Hub applica prima le regole con un valore numerico inferiore per questo parametro.

  5. Per il RuleStatus parametro, specifica se desideri che Security Hub venga abilitato e inizia ad applicare la regola ai risultati dopo la creazione. Se non viene specificato alcun valore, il valore predefinito è ENABLED. Il valore di DISABLED indica che la regola viene messa in pausa dopo la creazione.

  6. Per il Criteria parametro, fornisci i criteri che desideri che Security Hub utilizzi per filtrare i risultati. L'azione della regola si applicherà ai risultati che corrispondono ai criteri. Per un elenco dei criteri supportati, vedereCriteri e azioni delle regole disponibili.

  7. Per il Actions parametro, fornisci le azioni che desideri che Security Hub intraprenda quando c'è una corrispondenza tra un risultato e i criteri definiti. Per un elenco delle azioni supportate, consultaCriteri e azioni delle regole disponibili.

Esempio di richiesta API:

{
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Workflow": {
                "Status": "SUPPRESSED"
            },
            "Note": {
                "Text": "Known issue that is not a risk.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }],
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "GeneratorId": [{
            "Value": "aws-foundational-security-best-practices/v/1.0.0/IAM.1",
            "Comparison": "EQUALS"
        }]
    },
    "Description": "Sample rule description",
    "IsTerminal": false,
    "RuleName": "sample-rule-name",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
}
AWS CLI

  1. Esegui il create-automation-rulecomando dall'account amministratore di Security Hub. Questo comando crea una regola con un Amazon Resource Name (ARN) specifico.

  2. Fornisci un nome e una descrizione per la regola.

  3. Includi il is-terminal parametro se desideri che questa regola sia l'ultima regola applicata ai risultati che soddisfano i criteri della regola. Altrimenti, includi il no-is-terminal parametro.

  4. Per il rule-order parametro, specificate l'ordine della regola. Security Hub applica prima le regole con un valore numerico inferiore per questo parametro.

  5. Per il rule-status parametro, specifica se desideri che Security Hub venga abilitato e inizia ad applicare la regola ai risultati dopo la creazione. Se non viene specificato alcun valore, il valore predefinito è ENABLED. Il valore di DISABLED indica che la regola viene messa in pausa dopo la creazione.

  6. Per il criteria parametro, fornisci i criteri che desideri che Security Hub utilizzi per filtrare i risultati. L'azione della regola si applicherà ai risultati che corrispondono ai criteri. Per un elenco dei criteri supportati, vedereCriteri e azioni delle regole disponibili.

  7. Per il actions parametro, fornisci le azioni che desideri che Security Hub intraprenda quando c'è una corrispondenza tra un risultato e i criteri definiti. Per un elenco delle azioni supportate, consultaCriteri e azioni delle regole disponibili.

Comando di esempio:

aws securityhub create-automation-rule \
--actions '[{
 "Type": "FINDING_FIELDS_UPDATE",
 "FindingFieldsUpdate": {
 "Severity": {
 "Label": "HIGH"
 },
 "Note": {
 "Text": "Known issue that is a risk. Updated by automation rules",
 "UpdatedBy": "sechub-automation"
 }
 }
 }]' \
--criteria '{
 "SeverityLabel": [{
 "Value": "INFORMATIONAL",
 "Comparison": "EQUALS"
 }]
 }' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1

Visualizzazione delle regole di automazione

Scegli il tuo metodo preferito e segui i passaggi per visualizzare le regole di automazione e i dettagli di ciascuna regola.

Console

  1. Apri la console AWS Security Hub all'indirizzo https://console.aws.amazon.com/securityhub/.

    Accedi all'account amministratore di Security Hub.

  2. Nel riquadro di navigazione, scegli Automazioni.

  3. Scegli il nome di una regola. In alternativa, seleziona una regola.

  4. Scegli Azioni e Visualizza.

API

  1. Per visualizzare le regole di automazione per il tuo account, esegui ListAutomationRulesdall'account amministratore di Security Hub. Questa API restituisce gli ARN delle regole e altri metadati relativi alle regole. Non sono richiesti parametri di input per questa API, ma puoi opzionalmente fornire un limite MaxResults al numero di risultati e NextToken come parametro di paginazione. Il valore iniziale di NextToken dovrebbe essere. NULL

    Esempio di richiesta API:

    {
 "MaxResults": 50,
 "NextToken": "cVpdnSampleTokenYcXgTockBW44c"
}

  2. Per ulteriori dettagli sulla regola, inclusi i criteri e le azioni per una regola, esegui BatchGetAutomationRulesdall'account amministratore di Security Hub.

    Esempio di richiesta API:

    {
    "AutomationRulesArns": [
      "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
      "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
      "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
      "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
    ]
}
AWS CLI

  1. Per visualizzare le regole di automazione per il tuo account, esegui il list-automation-rulescomando dall'account amministratore di Security Hub. Questo comando restituisce gli ARN delle regole e altri metadati per le regole. Non sono richiesti parametri di input per questo comando, ma è possibile facoltativamente fornire un parametro di impaginazione max-results per limitare il numero di risultati. next-token

    Comando di esempio:

    aws securityhub list-automation-rules  \
--max-results 5 \
--next-token cVpdnSampleTokenYcXgTockBW44c \
--region us-east-1

  2. Per ulteriori dettagli sulla regola, inclusi i criteri e le azioni per una regola, esegui il batch-get-automation-rulescomando dall'account amministratore del Security Hub.

    Comando di esempio:

    aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1

Modifica delle regole di automazione

Quando si modifica una regola di automazione, le modifiche si applicano ai risultati nuovi e aggiornati che Security Hub genera o inserisce dopo la modifica della regola.

Scegli il tuo metodo preferito e segui i passaggi per modificare il contenuto di una regola di automazione. Puoi modificare una o più regole con una sola richiesta. Per istruzioni sulla modifica dell'ordine delle regole, vedereModifica dell'ordine delle regole.

Console

  1. Apri la console AWS Security Hub all'indirizzo https://console.aws.amazon.com/securityhub/.

    Accedi all'account amministratore di Security Hub.

  2. Nel riquadro di navigazione, scegli Automazioni.

  3. Seleziona la regola che desideri modificare. Scegli Azione e Modifica.

  4. Modifica la regola come desideri e scegli Salva modifiche.

API

  1. Esegui BatchUpdateAutomationRulesdall'account amministratore di Security Hub.

  2. Per il RuleArn parametro, fornite l'ARN delle regole che desiderate modificare.

  3. Fornite i nuovi valori per i parametri che desiderate modificare. È possibile modificare qualsiasi parametro tranneRuleArn.

Esempio di richiesta API:

{
    "UpdateAutomationRulesRequestItems": [
        {
            "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "RuleOrder": 15,
            "RuleStatus": "Enabled"
        },
        {
            "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
            "RuleStatus": "Disabled"
        }
    ]
}
AWS CLI

  1. Esegui il batch-update-automation-rulescomando dall'account amministratore di Security Hub.

  2. Per il RuleArn parametro, fornite l'ARN delle regole che desiderate modificare.

  3. Fornite i nuovi valori per i parametri che desiderate modificare. È possibile modificare qualsiasi parametro tranneRuleArn.

Comando di esempio:

aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
    {
      "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
          "Note": {
            "Text": "Known issue that is a risk",
            "UpdatedBy": "sechub-automation"
          },
          "Workflow": {
            "Status": "NEW"
          }
        }
      }],
      "Criteria": {
        "SeverityLabel": [{
         "Value": "LOW",
         "Comparison": "EQUALS"
        }]
      },
      "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
      "RuleOrder": 14,
      "RuleStatus": "DISABLED",
    }
  ]' \
--region us-east-1

Modifica dell'ordine delle regole

In alcuni casi, potresti voler mantenere invariati i criteri e le azioni della regola, ma modificare l'ordine in cui Security Hub applica una regola di automazione. Scegli il tuo metodo preferito e segui i passaggi per modificare l'ordine delle regole.

Console

  1. Apri la console AWS Security Hub all'indirizzo https://console.aws.amazon.com/securityhub/.

    Accedi all'account amministratore di Security Hub.

  2. Nel riquadro di navigazione, scegli Automazioni.

  3. Seleziona la regola di cui desideri modificare l'ordine. Scegli Modifica priorità.

  4. Scegli Sposta su per aumentare la priorità della regola di un'unità. Scegli Sposta giù per ridurre la priorità della regola di un'unità. Scegli Sposta in alto per assegnare alla regola un ordine pari a 1 (in questo modo la regola ha la precedenza sulle altre regole esistenti).

Nota

Quando si crea una regola nella console di Security Hub, Security Hub assegna automaticamente l'ordine delle regole in base all'ordine di creazione delle regole. La regola creata più di recente ha il valore numerico più basso per l'ordine delle regole e pertanto viene applicata per prima.

API

  1. Esegui BatchUpdateAutomationRulesdall'account amministratore di Security Hub.

  2. Per il RuleArn parametro, fornite l'ARN delle regole di cui desiderate modificare l'ordine.

  3. Modifica il valore del RuleOrder campo.

Nota

Se più regole sono ugualiRuleOrder, Security Hub applica prima una regola con un valore precedente per il UpdatedAt campo (ovvero, la regola che è stata modificata più di recente si applica per ultima).

AWS CLI

  1. Esegui il batch-update-automation-rulescomando dall'account amministratore di Security Hub.

  2. Per il RuleArn parametro, fornite l'ARN delle regole di cui desiderate modificare l'ordine.

  3. Modifica il valore del RuleOrder campo.

Nota

Se più regole sono ugualiRuleOrder, Security Hub applica prima una regola con un valore precedente per il UpdatedAt campo (ovvero, la regola che è stata modificata più di recente si applica per ultima).

Eliminazione delle regole di automazione

Quando elimini una regola di automazione, Security Hub la rimuove dal tuo account e non applica più la regola ai risultati.

Scegli il tuo metodo preferito e segui i passaggi per eliminare una regola di automazione. Puoi eliminare una o più regole in un'unica richiesta.

Suggerimento

In alternativa all'eliminazione, puoi disabilitare una regola. Ciò mantiene la regola per usi futuri, ma Security Hub non applicherà la regola a nessun risultato corrispondente finché non lo abiliti.

Console

  1. Apri la console AWS Security Hub all'indirizzo https://console.aws.amazon.com/securityhub/.

    Accedi all'account amministratore di Security Hub.

  2. Nel riquadro di navigazione, scegli Automazioni.

  3. Seleziona le regole che desideri eliminare. Scegliete Azione ed Elimina (per mantenere una regola, ma disattivarla temporaneamente, scegliete Disabilita).

  4. Conferma la scelta e seleziona Delete (Elimina).

API

  1. Esegui BatchDeleteAutomationRulesdall'account amministratore di Security Hub.

  2. Per il AutomationRulesArns parametro, fornisci l'ARN delle regole che desideri eliminare (per mantenere una regola, ma disabilitarla temporaneamente, inserisci DISABLED il RuleStatus parametro).

Esempio di richiesta API:

{
    "AutomationRulesArns": [
        "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
        "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
        "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
    ]
}
AWS CLI

  1. Esegui il batch-delete-automation-rulescomando dall'account amministratore di Security Hub.

  2. Per il automation-rules-arns parametro, fornisci l'ARN delle regole che desideri eliminare (per mantenere una regola, ma disabilitarla temporaneamente, inserisci DISABLED il RuleStatus parametro).

Comando di esempio:

aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1

Esempi di regole di automazione

Questa sezione include alcuni esempi di regole di automazione per casi d'uso comuni. Questi esempi corrispondono ai modelli di regole nella console Security Hub.

Elevate la severità a Critica quando una risorsa specifica, come un bucket S3, è a rischio

In questo esempio, i criteri della regola vengono soddisfatti quando il ResourceId risultato è un bucket Amazon Simple Storage Service (Amazon S3) specifico. L'azione della regola consiste nel modificare la gravità dei risultati corrispondenti in. CRITICAL È possibile modificare questo modello per applicarlo ad altre risorse.

Esempio di richiesta API:

{
    "IsTerminal": true,
    "RuleName": "Elevate severity of findings that relate to important resources",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "ResourceId": [{
            "Value": "arn:aws:s3:::examplebucket/developers/design_info.doc",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "This is a critical resource. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}

Esempio di comando CLI:


aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \

--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::examplebucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1

Elevare la severità dei risultati relativi alle risorse negli account di produzione

In questo esempio, i criteri della regola vengono soddisfatti quando viene generato un risultato di HIGH gravità in conti di produzione specifici. L'azione della regola consiste nel modificare la gravità dei risultati corrispondenti in. CRITICAL

Esempio di richiesta API:

{
    "IsTerminal": false,
    "RuleName": "Elevate severity for production accounts",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "HIGH",
            "Comparison": "EQUALS"
        }],
        "AwsAccountId": [
        {
            "Value": "111122223333",
            "Comparison": "EQUALS"
        },
        {
            "Value": "123456789012",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "A resource in production accounts is at risk. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}

Esempio di comando CLI:


aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1

Sopprime i risultati informativi

In questo esempio, i criteri della regola vengono rispettati per i risultati di INFORMATIONAL gravità inviati a Security Hub da Amazon GuardDuty. L'azione della regola consiste nel modificare lo stato del flusso di lavoro dei risultati corrispondenti in. SUPPRESSED

Esempio di richiesta API:

{
    "IsTerminal": false,
    "RuleName": "Suppress informational findings",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
    "Criteria": {
        "ProductName": [{
            "Value": "GuardDuty",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "INFORMATIONAL",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Workflow": {
                "Status": "SUPPRESSED"
            },
            "Note": {
                "Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}

Esempio di comando CLI:


aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1