BatchUpdateFindings を使用して結果を更新する - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

BatchUpdateFindings を使用して結果を更新する

BatchUpdateFindingsは、プロバイダーの検索による調査結果の顧客による処理に関連する情報を更新するために使用されます。これは、お客様、SIEM、チケット発行、インシデント管理、または SOAR ツールでも使用できます。BatchUpdateFindings新しい結果を作成することはできません。これは、一度に 100 件までの結果を更新するために使用できます。

Security Hub がBatchUpdateFindings検索情報の更新を要求すると、自動的に生成されるSecurity Hub Findings - ImportedAmazon EventBridge でのイベント。「自動化された対応と修復」を参照してください

BatchUpdateFindings は、結果の UpdatedAt フィールドを変更しません。UpdatedAt は、結果プロバイダーからの最新の更新のみを反映します。

の指定できるフィールドBatchUpdateFindings

管理者アカウントはBatchUpdateFindingsアカウントまたはメンバーアカウントの検出結果を更新する。メンバーアカウントはBatchUpdateFindingsアカウントの調査結果を更新してください。

お客様のみ使用可能BatchUpdateFindingsをクリックして、以下のフィールドとオブジェクトを更新します。

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

デフォルトでは、管理者アカウントとメンバーアカウントは、上記のすべてのフィールドとフィールド値にアクセスできます。Security Hub では、フィールドとフィールド値へのアクセスを制限するためのコンテキストキーも用意されています。

たとえば、メンバーアカウントの設定のみを許可するとしますWorkflow.StatusRESOLVED。または、メンバーアカウントの変更を許可したくない場合があります。Severity.Label

へのアクセスの設定BatchUpdateFindings

アクセスを制限するように IAM ポリシーを設定できます。BatchUpdateFindingsをクリックし、フィールドとフィールド値を更新します。

アクセスを制限するステートメントでBatchUpdateFindings、以下の値を使用します。

  • Actionsecurityhub:BatchUpdateFindings

  • EffectDeny

  • を使用する場合Conditionとすれば、否定できるBatchUpdateFindings以下に基づいてリクエストします。

    • 結果には特定のフィールドが含まれます。

    • 結果には、特定のフィールド値が含まれます。

条件キー

これらは、へのアクセスを制限するための条件キーです。BatchUpdateFindings

ASFF フィールド

ASFF フィールドの条件キーは次のとおりです。

securityhub:ASFFSyntaxPath/<fieldName>

置換<fieldName>ASFF フィールドを使用します。

たとえば、へのアクセスを制限するにはWorkflow.Statusフィールド、使用 securityhub:ASFFSyntaxPath/Workflow.Status

フィールドに対するすべての更新を許可しない

ユーザーが特定のフィールドを更新できないようにするには、次のような条件を使用します。

"Condition": { "Null": { "securityhub:ASFFSyntaxPath/<fieldName>": "false" } }

たとえば、次のステートメントは、BatchUpdateFindingsは、ワークフローステータスの更新には使用できません。

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Workflow.Status": "false" } } }

特定のフィールド値の許可の禁止

ユーザーがフィールドを特定の値に設定できないようにするには、次のような条件を使用します。

"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>" } }

たとえば、次のステートメントは、BatchUpdateFindings設定に使用することはできません。Workflow.StatusSUPPRESSED

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } }

許可されていない値のリストを指定することもできます。

"Condition": { "ForAnyValue:StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ] } }

たとえば、次のステートメントは、BatchUpdateFindings設定に使用することはできません。Workflow.Statusのどちらかを実行しますRESOLVEDまたはSUPPRESSED

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": [ "RESOLVED", "NOTIFIED" ] } }

の使用 batch-update-findingsからコマンドを実行するAWS CLI

左AWS Command Line Interfaceとすると、batch-update-findingsコマンドを実行して、結果を更新します。

検索結果を更新するたびに、結果を生成した製品の検索 ID と ARN の両方を指定します。

--finding-identifiers ID="<findingID1>",ProductArn="<productARN>" ID="<findingID2>",ProductArn="<productARN2>"

更新する属性を指定するときは、JSON 形式またはショートカット形式を使用できます。

以下に、への更新の例を示します。NoteJSON 形式を使用するオブジェクト:

--note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}'

ショートカット形式を使用する同じアップデートを次に示します。

--note Text="Known issue that is not a risk.",UpdatedBy="user1"

-AWS CLIコマンドリファレンスは、各フィールドの JSON とショートカットの構文を提供します。

以下のようになりますbatch-update-findings例では、2 つの結果を更新して、メモを追加し、重大度ラベルを変更し、それらを解決します。

aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}' --severity '{"Label": "LOW"}' --workflow '{"Status": "RESOLVED"}'

これは同じ例ですが、JSON の代わりにショートカットを使用します。

aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --note Text="Known issue that is not a risk.",UpdatedBy="user1" --severity Label="LOW" --workflow Status="RESOLVED"