Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Regole di automazione in Security Hub
<a name="securityhub-v2-automation-rules"></a>

 Con Security Hub, puoi automatizzare attività come l'aggiornamento dei dettagli delle ricerche e la creazione di ticket per integrazioni di terze parti. 

## Regole di automazione e Regioni AWS
<a name="automation-regions"></a>

 Le regole di automazione possono essere create in un'unica Regione AWS soluzione e quindi applicate in tutte le configurazioni Regioni AWS. Quando si utilizza l'aggregazione delle regioni, è possibile creare regole solo nella regione di origine. Quando si creano regole nella regione d'origine, qualsiasi regola definita viene applicata a tutte le aree collegate, a meno che i criteri delle regole non escludano una regione collegata specifica. È necessario creare una regola di automazione per qualsiasi regione che non sia un'area collegata. 

## Azioni e criteri delle regole
<a name="ocsf-fields"></a>

 Le regole di automazione in Security Hub utilizzano criteri per fare riferimento agli attributi OCSF nei risultati di Security Hub. Ad esempio, i filtri supportati per il `Criteria` parametro in [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRuleV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRuleV2.html)corrispondono ai filtri supportati per il `Criteria` parametro in. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html) Ciò significa che i filtri utilizzati nelle regole di automazione possono essere utilizzati per ottenere risultati. Security Hub supporta i seguenti campi OCSF per i criteri delle regole di automazione. 


| Campo OCSF | Valore del filtro della console | Operatori di filtro | Tipo di campo  | 
| --- | --- | --- | --- | 
| activity\$1name | Activity name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| class\$1name | Finding class name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| cloud.account.uid | Account ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| cloud.provider | Cloud provider | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| cloud.region | Region | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| comment | Comment | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| compliance.assessments.category | Assessment category | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| compliance.assessments.name | Assessment name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| compliance.control | Security control ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| compliance.standards | Applicable standards | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| compliance.status | Compliance status | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| finding\$1info.desc | Finding description | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| finding\$1info.related\$1events.product.uid | Related findings product ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| finding\$1info.related\$1events.title | Related findings title | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| finding\$1info.related\$1events.uid | Related findings ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| finding\$1info.src\$1url | Source URL | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| finding\$1info.types | Finding type | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| finding\$1info.uid | Provider ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| metadata.product.feature.uid | Generator ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| metadata.product.name | Product name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| metadata.product.uid | Product ARN | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| metadata.product.vendor\$1name | Company name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| metadata.uid | Finding ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| remediation.desc | Recommendation text | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| remediation.references | Recommendation URL | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| resources.cloud\$1partition | Resource partition | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| resources.name | Resource name | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| resources.region | Resource region | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| resources.type | Resource type | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| resources.uid | Resource ID | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| severity | Severity | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| status | Status | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| vulnerabilities.fix\$1coverage | Software vulnerabilities coverage | EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String | 
| finding\$1info.first\$1seen\$1time\$1dt | First observed at | Start, End, DateRange | Date (formatted as 2022-12-01T21:47:39.269Z) | 
| finding\$1info.last\$1seen\$1time\$1dt | Last observed at | Start, End, DateRange | Date (formatted as 2022-12-01T21:47:39.269Z) | 
| finding\$1info.modified\$1time\$1dt | Updated at | Start, End, DateRange | Date (formatted as 2022-12-01T21:47:39.269Z) | 
| compliance.assessments.meets\$1criteria | Compliance assessment meets criteria | True, False | Boolean | 
| vulnerabilities.is\$1exploit\$1available | Software vulnerabilities with exploit available | True, False | Boolean | 
| vulnerabilities.is\$1fix\$1available | Software vulnerabilities with fix available | True, False | Boolean | 
| activity\$1id | Activity ID | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number | 
| compliance.status\$1id | Compliance status ID | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number | 
| confidence\$1score | Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number | 
| severity\$1id | Severity ID | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number | 
| status\$1id | Status ID | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number | 
| finding\$1info.related\$1events\$1count | Related findings count | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number | 
| resources.tags | Resource tags | EQUALS | Map | 

 Per i criteri etichettati come campi stringa, l'utilizzo di operatori di filtro diversi sullo stesso campo influisce sulla logica di valutazione. Per ulteriori informazioni, consulta il *riferimento [StringFilter](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)all'API Security Hub*. 

 Ogni criterio supporta un numero massimo di valori che possono essere utilizzati per filtrare i risultati corrispondenti. Per i limiti di ogni criterio, vedere il riferimento [OcsfFindingFilters](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_OcsfFindingFilters.html)all'API *Security Hub* 

**Campi OCSF che possono essere aggiornati**  
 Di seguito sono riportati i campi OCSF che possono essere aggiornati utilizzando le regole di automazione. 
+  `Comment` 
+  `SeverityId` 
+  `StatusId` 

## In che modo le regole di automazione valutano i risultati
<a name="findings-evaluate"></a>

 Una regola di automazione valuta i risultati nuovi e aggiornati generati o acquisiti da Security Hub dopo la creazione della regola. 

 Le regole di automazione valutano i risultati originali forniti dal provider. I provider possono fornire nuovi risultati e aggiornare i risultati esistenti attraverso la loro integrazione con Security Hub. Le regole non vengono attivate quando aggiorni i campi di ricerca dopo la creazione della regola tramite l'`BatchUpdateFindingsV2`operazione. Se si crea una regola di automazione e si effettua un `BatchUpdateFindingsV2` aggiornamento che influiscono entrambi sullo stesso campo di ricerca, l'ultimo aggiornamento imposta il valore per quel campo. Prendiamo l'esempio seguente: 

 Si usa `BatchUpdateFindingsV2` per aggiornare il `Status` campo di un risultato da `New` a`In Process`. Se chiami`GetFindingsV2`, il `Status` campo ora ha un valore di`In Process`. Crei una regola di automazione che modifica il `Status` campo del risultato da `New` a `Suppressed` (ricorda che le regole ignorano gli aggiornamenti effettuati con`BatchUpdateFindingsV2`). Il provider di ricerca aggiorna il risultato e modifica il `Status` campo in`New`. Se si chiama`GetFindingsV2`, il `Status` campo ora ha un valore pari a `Suppressed` perché è stata applicata la regola di automazione e la regola è stata l'ultima azione intrapresa sul risultato. 

 Quando si crea o si modifica una regola sulla console Security Hub, la console mostra un'anteprima dei risultati che corrispondono ai criteri della regola. Mentre le regole di automazione valutano i risultati originali inviati dal provider dei risultati, l'anteprima della console riflette i risultati nel loro stato finale così come verrebbero visualizzati in risposta all'operazione dell'`GetFindingsV2`API (ovvero, dopo l'applicazione delle azioni delle regole o di altri aggiornamenti al risultato). 

## Come vengono ordinate le regole di automazione
<a name="automation-rule-order"></a>

 A ogni regola di automazione viene assegnato un ordine di regole. Ciò determina l'ordine in cui Security Hub applica le regole di automazione e diventa importante quando più regole si riferiscono allo stesso campo di ricerca o ricerca. 

 Quando più azioni delle regole si riferiscono allo stesso campo di ricerca o di ricerca, la regola con il valore numerico più alto per l'ordine delle regole si applica per ultima e ha l'effetto finale. 

 Quando si crea una regola nella console di Security Hub, Security Hub assegna automaticamente l'ordine delle regole in base all'ordine di creazione delle regole. La prima regola creata avrà un ordine di regole pari a 1. Se esistono più regole, ogni regola creata successivamente avrà il valore numerico immediatamente più alto disponibile per l'ordine delle regole. 

 Quando crei una regola tramite [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRuleV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRuleV2.html)API o AWS CLI, Security Hub applica per `RuleOrder` prima la regola con il valore numerico più basso. Quindi applica le regole successive in ordine crescente. Se più risultati sono uguali`RuleOrder`, Security Hub applica prima una regola con un valore precedente per il `UpdatedAt` campo (ovvero, la regola che è stata modificata più di recente si applica per ultima). 

 È possibile modificare l'ordine delle regole in qualsiasi momento. 

 **Esempio di ordine delle regole**: 

 **Regola A (l'ordine delle regole è`1`)**: 
+ Criteri della regola A
  + `ProductName` = `Security Hub CSPM`
  + `Resources.Type` è `S3 Bucket`
  + `Compliance.Status` = `FAILED`
  + `RecordState` è `NEW`
  + `Workflow.Status` = `ACTIVE`
+ Azioni della regola A
  + Aggiorna `Confidence` a `95`
  + Aggiorna `Severity` a `CRITICAL`
  + Aggiorna `Comment` a `This needs attention`

 **Regola B (l'ordine delle regole è`2`)**: 
+ Criteri della regola B
  + `AwsAccountId` = `123456789012`
+ Azioni della regola B
  + Aggiorna `Severity` a `INFORMATIONAL`

 Innanzitutto, le azioni della Regola A si applicano ai risultati del Security Hub che soddisfano i criteri della Regola A. Quindi, le azioni della Regola B si applicano ai risultati di Security Hub con l'ID account specificato. In questo esempio, poiché la regola B si applica per ultima, il valore finale dei `Severity` risultati derivanti dall'ID account specificato è`INFORMATIONAL`. In base all'azione della Regola A, il valore finale dei `Confidence` risultati corrispondenti è`95`. 

## Integrazioni con terze parti
<a name="integrations"></a>

 Puoi utilizzare le regole di automazione per creare ticket per le integrazioni con Jira Cloud e. ServiceNow ITSM Per ulteriori informazioni, consulta [Creazione di una regola per un'integrazione di terze parti](https://docs.aws.amazon.com/securityhub/latest/userguide/securithub-v2-automation-rules-create.html#integration). 

## Scenari in cui le regole di automazione non funzionano
<a name="scenarios"></a>

 Di seguito sono riportati gli scenari in cui le regole di automazione non funzionano. 
+  L'account autonomo diventa membro di un'organizzazione con un amministratore delegato 
+  L'account di gestione dell'organizzazione rimuove l'amministratore delegato e ne imposta un nuovo amministratore delegato 
+  La configurazione dell'aggregatore per l'amministratore delegato o l'account autonomo cambia quando un'area non collegata diventa un'area collegata 

 In questi scenari, un membro di un'organizzazione può gestire le regole di automazione con operazioni di elenco, acquisizione ed eliminazione in sala operatoria. AWS CLI APIs 

 Quando un'area non collegata diventa un'area collegata, l'amministratore delegato o l'account autonomo può gestire le risorse in un'area collegata con operazioni di elenco, acquisizione ed eliminazione.