BatchUpdateFindings 顧客向け - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

BatchUpdateFindings 顧客向け

Security Hub の顧客、およびユーザーに代わって行動するエンティティは、 BatchUpdateFindingsオペレーションを使用して、検出結果プロバイダーからの Security Hub の検出結果の顧客の処理に関連する情報を更新できます。お客様、またはお客様に代わって機能する SIEM、チケット発行、インシデント管理、またはSOARツールがこのオペレーションを使用できます。

BatchUpdateFindings を使用して、新しい検出結果を作成することはできません。これを使用すると、一度に 100 件までの検出結果を更新できます。リクエストでは、 を指定します。 AWS 更新する Security Finding 形式 (ASFF) フィールド。

Security Hub は、結果の更新BatchUpdateFindingsリクエストを受信すると、自動的に を生成します。 Security Hub Findings - Imported Amazon の イベント EventBridge。そのイベントに対して自動アクションを実行できます。詳細については、 EventBridge を使用した自動対応と修復 を参照してください。

BatchUpdateFindings は検出結果の UpdatedAtフィールドを変更しません。 は検出結果プロバイダーからの最新の更新UpdatedAtを反映します。

で使用できるフィールド BatchUpdateFindings

Security Hub 管理者アカウントにサインインしている場合は、 BatchUpdateFindingsを使用して、管理者アカウントまたはメンバーアカウントによって生成された結果を更新できます。メンバーアカウントは、 BatchUpdateFindingsを使用して自分のアカウントの結果のみを更新できます。

お客様は BatchUpdateFindingsを使用して、次のフィールドとオブジェクトを更新できます。

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

へのアクセスの設定 BatchUpdateFindings

を設定できます。 AWS Identity and Access Management (IAM) ポリシーは、 を使用して検出結果フィールドとフィールド値を更新するアクセスを制限BatchUpdateFindingsします。

BatchUpdateFindings へのアクセスを制限するステートメントで、以下の値を使用します:

  • Actionsecurityhub:BatchUpdateFindings

  • EffectDeny

  • Condition では、以下に基づいて BatchUpdateFindings リクエストを拒否できます。

    • 結果に特定のフィールドが含まれる。

    • 結果に特定のフィールド値が含まれる。

条件キー

これらは、BatchUpdateFindings へのアクセスを制限するための条件キーです。

ASFF フィールド

ASFF フィールドの条件キーは次のとおりです。

securityhub:ASFFSyntaxPath/<fieldName>

を ASFFフィールド<fieldName>に置き換えます。へのアクセスを設定するときはBatchUpdateFindings、親レベルのASFFフィールドではなく、1 つ以上の特定のフィールドをIAMポリシーに含めます。例えば、Workflow.Status フィールドへのアクセスを制限するには、Workflow 親レベルフィールドの代わりに securityhub:ASFFSyntaxPath/Workflow.Status をポリシーに含める必要があります。

フィールドに対するすべての更新を禁止する

ユーザーが特定のフィールドを更新できないようにするには、以下のような条件を使用します。

"Condition": { "Null": { "securityhub:ASFFSyntaxPath/<fieldName>": "false" } }

例えば、次のステートメントは、 BatchUpdateFindingsを使用して検出結果のWorkflow.Statusフィールドを更新できないことを示しています。

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Workflow.Status": "false" } } }

特定のフィールド値の許可を禁止する

ユーザーがフィールドを特定の値に設定できないようにするには、以下のような条件を使用します:

"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>" } }

例えば、以下のステートメントは、BatchUpdateFindings を使用して Workflow.StatusSUPPRESSED を設定できないことを示しています。

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } }

許可されていない値のリストを提供することもできます。

"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ] } }

例えば、以下のステートメントは、BatchUpdateFindings を使用して Workflow.StatusRESOLVED または SUPPRESSED に設定できないことを示しています。

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": [ "RESOLVED", "NOTIFIED" ] } }