Regole di automazione in Security Hub

Nota

Security Hub è in versione di anteprima ed è soggetto a modifiche.

Le regole di automazione di Security Hub sono una versione più estensibile e configurabile delle regole di automazione CSPM di Security Hub. Security Hub si è evoluto da un sistema di automazione specifico per la ricerca a una piattaforma di configurazione più ampia. Mentre Security Hub CSPM supporta ASFF, Security Hub introduce il supporto per OCSF e pone le basi per ulteriori configurazioni. Una delle caratteristiche principali delle regole di automazione per Security Hub è la sua integrazione con la configurazione dell'aggregatore. Ciò offre la possibilità di ottimizzare e distribuire in modo granulare le configurazioni su un set di configurazioni collegate, pur Regioni AWS mantenendo la flessibilità necessaria per configurare l'esperienza regionale tramite Unlinked una alla volta. Regioni AWS

Le risorse del Security Hub presenti nel tuo Account AWS Regione AWS territorio, comprese le regole di automazione, i connettori e gli aggregatori, smetteranno di funzionare negli scenari seguenti.

• La versione standalone Account AWS diventa membro di un' AWS organizzazione con un amministratore delegato

• L'account di gestione AWS dell'organizzazione rimuove l'amministratore delegato dell'organizzazione e ne imposta un nuovo amministratore delegato

• La configurazione dell'aggregatore dell'amministratore delegato o autonomo Account AWS viene modificata per rendere una regione non collegata una regione collegata

In questi scenari, l'account membro può ancora gestire queste risorse tramite operazioni di elenco, acquisizione ed eliminazione in modalità only. AWS CLI Quando un'area non collegata diventa un'area collegata, l'amministratore delegato o l' AWS account autonomo può comunque gestire le vecchie risorse in un'area collegata tramite le operazioni di elenco, recupero ed eliminazione.

Miglioramenti chiave

Le regole di automazione in Security Hub CSPM sono regionali e si applicano solo ai risultati nel Regioni AWS luogo in cui sono state create. Le regole di automazione in Security Hub possono essere configurate una volta in una Regione AWS (regione di aggregazione) e quindi applicate in tutte le regioni configurate Regioni AWS (regioni collegate) tramite l'impostazione Aggregator V2. Uno dei vantaggi di questa funzionalità è la possibilità di automatizzare e correggere i risultati di sicurezza in più parti Regioni AWS semplicemente configurandone una. Regione AWS Ciò significa che, se un risultato viene generato in una regione collegata, può essere risolto automaticamente in base alla configurazione della regione di aggregazione.

Integrazione esterna

Le regole di automazione in Security Hub supportano un tipo di azione per la creazione di ticket ITSM. Ciò consente ai clienti di indirizzare determinati risultati OCSF direttamente a una o più integrazioni ITSM configurate. Se un risultato OCSF corrisponde ai criteri, puoi creare un ticket in o. Jira Cloud ServiceNow ITSM Per ulteriori informazioni, consulta Integrazioni di terze parti per Security Hub.

Criteri supportati da OCSF

Security Hub CSPM supporta la valutazione dei campi ASFF in base ai risultati, mentre Security Hub corrisponde ai campi OCSF. Ad esempio, il set di filtri supportati per il Criteria parametro utilizzato nelle regole di automazione V2 corrisponde al set di filtri supportati per il parametro utilizzato in. Criteria GetFindingsV2 Ciò significa che i filtri utilizzati per recuperare i risultati V2 possono essere utilizzati in una regola di automazione V2 che corrisponde ai risultati.

Campi OCSF per AutomationRulesFindingFieldsUpdate

L'elenco dei campi che possono essere aggiornati AutomationRulesFindingFieldsUpdatein Security Hub CSPM è cambiato in Security Hub. AutomationRulesFindingFieldsUpdateV2L'elenco dei campi che possono essere aggiornati include quanto segue:

• Comment

• SeverityId

• StatusId