Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Regole di automazione
Le regole di automazione possono essere utilizzate per aggiornare automaticamente i risultati in Security Hub. Man mano che i risultati vengono acquisiti, Security Hub può applicare una serie di azioni relative alle regole, come sopprimere i risultati, modificarne la gravità e aggiungere note ai risultati. Tali azioni delle regole hanno effetto quando i risultati soddisfano i criteri specificati, ad esempio a quale risorsa o ID account è associato il risultato o al suo titolo.
Alcuni esempi di casi d'uso per le regole di automazione includono:
-
Elevare il livello di severità di un risultato a
CRITICAL
un valore che l'ID della risorsa si riferisce a una risorsa fondamentale per l'azienda. -
Elevare la gravità di un risultato
HIGH
daCRITICAL
se il risultato influisce sulle risorse di specifici account di produzione. -
Assegnazione di risultati specifici che hanno la stessa gravità dello stato del
SUPPRESSED
flussoINFORMATIONAL
di lavoro.
Le regole di automazione possono essere utilizzate per aggiornare determinati campi di ricerca nel AWS Security Finding Format (ASFF). Le regole si applicano sia ai nuovi risultati che ai risultati aggiornati.
Puoi creare una regola personalizzata da zero o utilizzare un modello di regola fornito da Security Hub. Se si utilizza un modello di regola, è possibile modificarlo in base alle esigenze del caso d'uso.
Come funzionano le regole di automazione
L'amministratore del Security Hub può creare una regola di automazione definendo i criteri delle regole. Quando un risultato corrisponde ai criteri definiti, Security Hub applica l'azione della regola ad esso. Per ulteriori informazioni sui criteri e le azioni disponibili, vedereCriteri e azioni delle regole disponibili.
Solo l'account amministratore di Security Hub può creare, eliminare, modificare e visualizzare le regole di automazione. Una regola creata da un amministratore si applica ai risultati nell'account amministratore e in tutti gli account dei membri. Fornendo gli ID degli account dei membri come criteri di regola, gli amministratori di Security Hub possono anche utilizzare le regole di automazione per aggiornare i risultati o intervenire sui risultati in account membri specifici.
Importante
Una regola di automazione si applica solo nel luogo Regione AWS in cui è stata creata. Per applicare una regola in più regioni, l'amministratore delegato deve creare la regola in ciascuna regione. Questa operazione può essere eseguita tramite la console Security Hub, l'API Security Hub o AWS CloudFormation. È inoltre possibile utilizzare uno script di distribuzione multiregionale
Per una cronologia di come le regole di automazione hanno modificato i risultati, consultaStoria della ricerca.
Le regole di automazione si applicano ai risultati nuovi e aggiornati generati o acquisiti da Security Hub dopo la creazione della regola. Gli aggiornamenti di Security Hub controllano i risultati ogni 12-24 ore o quando la risorsa associata cambia stato. Per ulteriori informazioni, consulta Pianificazione dell'esecuzione dei controlli di sicurezza.
Security Hub attualmente supporta un massimo di 100 regole di automazione per un account amministratore.
Ordine delle regole
Quando si creano regole di automazione, si assegna a ciascuna regola un ordine. Ciò determina l'ordine in cui Security Hub applica le regole di automazione e diventa importante quando più regole si riferiscono allo stesso campo di ricerca o ricerca.
Quando più azioni delle regole si riferiscono allo stesso campo di ricerca o di ricerca, la regola con il valore numerico più alto per l'ordine delle regole si applica per ultima e ha l'effetto finale.
Quando si crea una regola nella console di Security Hub, Security Hub assegna automaticamente l'ordine delle regole in base all'ordine di creazione delle regole. La regola creata più di recente ha il valore numerico più basso per l'ordine delle regole e pertanto viene applicata per prima. Security Hub applica le regole successive in ordine crescente.
Quando si crea una regola tramite l'API Security Hub oAWS CLI, Security Hub applica per RuleOrder
prima la regola con il valore numerico più basso. Quindi applica le regole successive in ordine crescente. Se più risultati sono ugualiRuleOrder
, Security Hub applica prima una regola con un valore precedente per il UpdatedAt
campo (ovvero, la regola che è stata modificata più di recente si applica per ultima).
È possibile modificare l'ordine delle regole in qualsiasi momento.
Esempio di ordine delle regole:
Regola A (l'ordine delle regole è1
):
-
Criteri della regola A
-
ProductName
=Security Hub
-
Resources.Type
èS3 Bucket
-
Compliance.Status
=FAILED
-
RecordState
èNEW
-
Workflow.Status
=ACTIVE
-
-
Azioni della regola A
-
Aggiorna
Confidence
a95
-
Aggiorna
Severity
aCRITICAL
-
Regola B (l'ordine delle regole è2
):
-
Criteri della regola B
-
AwsAccountId
=123456789012
-
-
Azioni della regola B
-
Aggiorna
Severity
aINFORMATIONAL
-
Le azioni della Regola A si applicano innanzitutto ai risultati del Security Hub che soddisfano i criteri della Regola A. Successivamente, le azioni della Regola B si applicano ai risultati del Security Hub con l'ID account specificato. In questo esempio, poiché la regola B si applica per ultima, il valore finale dei Severity
risultati derivanti dall'ID account specificato èINFORMATIONAL
. In base all'azione della Regola A, il valore finale dei Confidence
risultati corrispondenti è95
.
Criteri e azioni delle regole disponibili
I seguenti campi ASFF sono attualmente supportati come criteri per le regole di automazione.
Campo ASFF | Filtri | Tipo di campo |
---|---|---|
AwsAccountId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
AwsAccountName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
CompanyName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ComplianceAssociatedStandardsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ComplianceSecurityControlId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ComplianceStatus
|
Is, Is Not
|
Seleziona: [FAILED ,, NOT_AVAILABLE PASSED ,WARNING ] |
Confidence
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Numero |
CreatedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
Criticality
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Numero |
Description
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
FirstObservedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
GeneratorId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
Id
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
LastObservedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
NoteText
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
NoteUpdatedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
NoteUpdatedBy
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ProductName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
RecordState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
RelatedFindingsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
RelatedFindingsProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceApplicationArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceApplicationName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceDetailsOther
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Eseguire la mappatura |
ResourceId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourcePartition
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceRegion
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceTags
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Eseguire la mappatura |
ResourceType
|
Is, Is Not
|
Seleziona (vedi Risorse supportate da ASFF) |
SeverityLabel
|
Is, Is Not
|
Seleziona: [CRITICAL ,HIGH , MEDIUM LOW ,INFORMATIONAL ] |
SourceUrl
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
Title
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
Type
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
UpdatedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
UserDefinedFields
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Eseguire la mappatura |
VerificationState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
WorkflowStatus
|
Is, Is Not
|
Seleziona NEW RESOLVED : [NOTIFIED ,,] SUPPRESSED |
I seguenti campi ASFF sono attualmente supportati come azioni per le regole di automazione:
-
Confidence
-
Criticality
-
Note
-
RelatedFindings
-
Severity
-
Types
-
UserDefinedFields
-
VerificationState
-
Workflow
Per ulteriori informazioni su campi ASFF specifici, consulta la sintassi del AWS Security Finding Format (ASFF) e gli esempi ASFF.
Suggerimento
Se desideri che Security Hub smetta di generare risultati per un controllo specifico, ti consigliamo di disabilitare il controllo anziché utilizzare una regola di automazione. Quando disabiliti un controllo, Security Hub interrompe l'esecuzione dei controlli di sicurezza e la generazione dei relativi risultati, in modo da non incorrere in costi per tale controllo. Ti consigliamo di utilizzare le regole di automazione per modificare i valori di campi ASFF specifici per i risultati che soddisfano i criteri definiti. Per ulteriori informazioni sulla disabilitazione dei controlli, consulta. Abilitazione e disabilitazione dei controlli in tutti gli standard
Creazione di regole di automazione
È possibile creare una regola personalizzata da zero o utilizzare un modello di regola Security Hub precompilato.
È possibile creare solo una regola di automazione alla volta. Per creare più regole di automazione, segui le procedure della console più volte oppure chiama l'API o il comando più volte con i parametri desiderati.
È necessario creare una regola di automazione in ogni regione e account in cui si desidera che la regola si applichi ai risultati.
Quando si crea una regola di automazione nella console di Security Hub, Security Hub mostra un'anteprima dei risultati a cui si applica la regola. L'anteprima al momento non è supportata se i criteri della regola includono un filtro CONTAINS o NOT_CONTAINS. Puoi scegliere questi filtri per i tipi di campi di tipo mappa e stringa.
Importante
AWSconsiglia di non includere informazioni di identificazione personale, riservate o sensibili nel nome della regola, nella descrizione o in altri campi.
Creazione di una regola da un modello (solo console)
Attualmente, solo la console Security Hub supporta i modelli di regole. Questi modelli riflettono casi d'uso comuni per le regole di automazione e possono aiutarti a iniziare a utilizzare questa funzionalità. Completa i seguenti passaggi per creare una regola di automazione da un modello nella console.
Creazione di una regola personalizzata
Scegli il tuo metodo preferito e completa i passaggi seguenti per creare una regola di automazione personalizzata.
Visualizzazione delle regole di automazione
Scegli il tuo metodo preferito e segui i passaggi per visualizzare le regole di automazione e i dettagli di ciascuna regola.
Modifica delle regole di automazione
Quando si modifica una regola di automazione, le modifiche si applicano ai risultati nuovi e aggiornati che Security Hub genera o inserisce dopo la modifica della regola.
Scegli il tuo metodo preferito e segui i passaggi per modificare il contenuto di una regola di automazione. Puoi modificare una o più regole con una sola richiesta. Per istruzioni sulla modifica dell'ordine delle regole, vedereModifica dell'ordine delle regole.
Modifica dell'ordine delle regole
In alcuni casi, potresti voler mantenere invariati i criteri e le azioni della regola, ma modificare l'ordine in cui Security Hub applica una regola di automazione. Scegli il tuo metodo preferito e segui i passaggi per modificare l'ordine delle regole.
Eliminazione delle regole di automazione
Quando elimini una regola di automazione, Security Hub la rimuove dal tuo account e non applica più la regola ai risultati.
Scegli il tuo metodo preferito e segui i passaggi per eliminare una regola di automazione. Puoi eliminare una o più regole in un'unica richiesta.
Suggerimento
In alternativa all'eliminazione, puoi disabilitare una regola. Ciò mantiene la regola per usi futuri, ma Security Hub non applicherà la regola a nessun risultato corrispondente finché non lo abiliti.
Esempi di regole di automazione
Questa sezione include alcuni esempi di regole di automazione per casi d'uso comuni. Questi esempi corrispondono ai modelli di regole nella console Security Hub.
Elevate la severità a Critica quando una risorsa specifica, come un bucket S3, è a rischio
In questo esempio, i criteri della regola vengono soddisfatti quando il ResourceId
risultato è un bucket Amazon Simple Storage Service (Amazon S3) specifico. L'azione della regola consiste nel modificare la gravità dei risultati corrispondenti in. CRITICAL
È possibile modificare questo modello per applicarlo ad altre risorse.
Esempio di richiesta API:
{ "IsTerminal":
true
, "RuleName": "Elevate severity of findings that relate to important resources
", "RuleOrder":1
, "RuleStatus": "ENABLED
", "Description": "Elevate finding severity to
", "Criteria": { "ProductName": [{ "Value": "CRITICAL
when specific resource such as an S3 bucket is at riskSecurity Hub
", "Comparison": "EQUALS
" }], "ComplianceStatus": [{ "Value": "FAILED
", "Comparison": "EQUALS
" }], "RecordState": [{ "Value": "ACTIVE
", "Comparison": "EQUALS
" }], "WorkflowStatus": [{ "Value": "NEW
", "Comparison": "EQUALS
" }], "ResourceId": [{ "Value": "arn:aws:s3:::examplebucket/developers/design_info.doc
", "Comparison": "EQUALS
" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL
" }, "Note": { "Text": "This is a critical resource. Please review ASAP.
", "UpdatedBy": "sechub-automation
" } } }] }
Esempio di comando CLI:
aws securityhub create-automation-rule \ --is-terminal \ --rule-name
"
\ --rule-orderElevate severity of findings that relate to important resources
"\ --rule-status
1
"
\ --descriptionENABLED
""
\ --criteria '{ "ProductName": [{ "Value":Elevate finding severity to
"CRITICAL
when specific resource such as an S3 bucket is at risk"
, "Comparison":Security Hub
""
}], "ComplianceStatus": [{ "Value":EQUALS
""
, "Comparison":FAILED
""
}], "RecordState": [{ "Value":EQUALS
""
, "Comparison":ACTIVE
""
}], "WorkflowStatus": [{ "Value":EQUALS
""
, "Comparison":NEW
""
}], "ResourceId": [{ "Value":EQUALS
""arn:aws:
, "Comparison":s3:::examplebucket/developers/design_info.doc
""
}] }' \ --actions '[{ "Type":EQUALS
""FINDING_FIELDS_UPDATE"
, "FindingFieldsUpdate": { "Severity": { "Label":"
}, "Note": { "Text":CRITICAL
""
, "UpdatedBy":This is a critical resource. Please review ASAP.
""
} } }]' \ --regionsechub-automation
"
us-east-1
Elevare la severità dei risultati relativi alle risorse negli account di produzione
In questo esempio, i criteri della regola vengono soddisfatti quando viene generato un risultato di HIGH
gravità in conti di produzione specifici. L'azione della regola consiste nel modificare la gravità dei risultati corrispondenti in. CRITICAL
Esempio di richiesta API:
{ "IsTerminal":
false
, "RuleName": "Elevate severity for production accounts
", "RuleOrder":1
, "RuleStatus": "ENABLED
", "Description": "Elevate finding severity from
", "Criteria": { "ProductName": [{ "Value": "HIGH
toCRITICAL
for findings that relate to resources in specific production accountsSecurity Hub
", "Comparison": "EQUALS
" }], "ComplianceStatus": [{ "Value": "FAILED
", "Comparison": "EQUALS
" }], "RecordState": [{ "Value": "ACTIVE
", "Comparison": "EQUALS
" }], "WorkflowStatus": [{ "Value": "NEW
", "Comparison": "EQUALS
" }], "SeverityLabel": [{ "Value": "HIGH
", "Comparison": "EQUALS
" }], "AwsAccountId": [ { "Value": "111122223333
", "Comparison": "EQUALS
" }, { "Value": "123456789012
", "Comparison": "EQUALS
" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Severity": { "Label": "CRITICAL
" }, "Note": { "Text": "A resource in production accounts is at risk. Please review ASAP.
", "UpdatedBy": "sechub-automation
" } } }] }
Esempio di comando CLI:
aws securityhub create-automation-rule \ --no-is-terminal \ --rule-name
"
\ --rule-orderElevate severity of findings that relate to resources in production accounts
"\ --rule-status
1
"
\ --descriptionENABLED
""
\ --criteria '{ "ProductName": [{ "Value":Elevate finding severity from
"HIGH
toCRITICAL
for findings that relate to resources in specific production accounts"
, "Comparison":Security Hub
""
}], "ComplianceStatus": [{ "Value":EQUALS
""
, "Comparison":FAILED
""
}], "RecordState": [{ "Value":EQUALS
""
, "Comparison":ACTIVE
""
}], "SeverityLabel": [{ "Value":EQUALS
""
, "Comparison":HIGH
""
}], "AwsAccountId": [ { "Value":EQUALS
""
, "Comparison":111122223333
""
}, { "Value":EQUALS
""
, "Comparison":123456789012
""
}] }' \ --actions '[{ "Type":EQUALS
""FINDING_FIELDS_UPDATE"
, "FindingFieldsUpdate": { "Severity": { "Label":"
}, "Note": { "Text":CRITICAL
""
, "UpdatedBy":A resource in production accounts is at risk. Please review ASAP.
""
} } }]' \ --regionsechub-automation
"
us-east-1
Sopprime i risultati informativi
In questo esempio, i criteri della regola vengono rispettati per i risultati di INFORMATIONAL
gravità inviati a Security Hub da Amazon GuardDuty. L'azione della regola consiste nel modificare lo stato del flusso di lavoro dei risultati corrispondenti in. SUPPRESSED
Esempio di richiesta API:
{ "IsTerminal":
false
, "RuleName": "Suppress informational findings
", "RuleOrder":1
, "RuleStatus": "ENABLED
", "Description": "Suppress GuardDuty findings with
", "Criteria": { "ProductName": [{ "Value": "INFORMATIONAL
severityGuardDuty
", "Comparison": "EQUALS
" }], "RecordState": [{ "Value": "ACTIVE
", "Comparison": "EQUALS
" }], "WorkflowStatus": [{ "Value": "NEW
", "Comparison": "EQUALS
" }], "SeverityLabel": [{ "Value": "INFORMATIONAL
", "Comparison": "EQUALS
" }] }, "Actions": [{ "Type": "FINDING_FIELDS_UPDATE", "FindingFieldsUpdate": { "Workflow": { "Status": "SUPPRESSED
" }, "Note": { "Text": "Automatically suppress GuardDuty findings with
", "UpdatedBy": "INFORMATIONAL
severitysechub-automation
" } } }] }
Esempio di comando CLI:
aws securityhub create-automation-rule \ --no-is-terminal \ --rule-name
"
\ --rule-orderSuppress informational findings
"\ --rule-status
1
"
\ --descriptionENABLED
""
\ --criteria '{ "ProductName": [{ "Value":Suppress GuardDuty findings with
"INFORMATIONAL
severity"
, "Comparison":GuardDuty
""
}], "ComplianceStatus": [{ "Value":EQUALS
""
, "Comparison":FAILED
""
}], "RecordState": [{ "Value":EQUALS
""
, "Comparison":ACTIVE
""
}], "WorkflowStatus": [{ "Value":EQUALS
""
, "Comparison":NEW
""
}], "SeverityLabel": [{ "Value":EQUALS
""
, "Comparison":INFORMATIONAL
""
}] }' \ --actions '[{ "Type":EQUALS
""FINDING_FIELDS_UPDATE"
, "FindingFieldsUpdate": { "Workflow": { "Status":"
}, "Note": { "Text":SUPPRESSED
""
, "UpdatedBy":Automatically suppress GuardDuty findings with
"INFORMATIONAL
severity"
} } }]' \ --regionsechub-automation
"
us-east-1