翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
BatchUpdateFindings 顧客向け
Security Hub の顧客、およびユーザーに代わって行動するエンティティは、 BatchUpdateFindings
オペレーションを使用して、検出結果プロバイダーからの Security Hub の検出結果の顧客の処理に関連する情報を更新できます。お客様、またはお客様に代わって機能する SIEM、チケット発行、インシデント管理、またはSOARツールがこのオペレーションを使用できます。
BatchUpdateFindings
を使用して、新しい検出結果を作成することはできません。これを使用すると、一度に 100 件までの検出結果を更新できます。リクエストでは、 を指定します。 AWS 更新する Security Finding 形式 (ASFF) フィールド。
Security Hub は、結果の更新BatchUpdateFindings
リクエストを受信すると、自動的に を生成します。 Security Hub Findings
- Imported Amazon の イベント EventBridge。そのイベントに対して自動アクションを実行できます。詳細については、 EventBridge を使用した自動対応と修復 を参照してください。
BatchUpdateFindings
は検出結果の UpdatedAt
フィールドを変更しません。 は検出結果プロバイダーからの最新の更新UpdatedAt
を反映します。
で使用できるフィールド BatchUpdateFindings
Security Hub 管理者アカウントにサインインしている場合は、 BatchUpdateFindings
を使用して、管理者アカウントまたはメンバーアカウントによって生成された結果を更新できます。メンバーアカウントは、 BatchUpdateFindings
を使用して自分のアカウントの結果のみを更新できます。
お客様は BatchUpdateFindings
を使用して、次のフィールドとオブジェクトを更新できます。
-
Confidence
-
Criticality
-
Note
-
RelatedFindings
-
Severity
-
Types
-
UserDefinedFields
-
VerificationState
-
Workflow
へのアクセスの設定 BatchUpdateFindings
を設定できます。 AWS Identity and Access Management (IAM) ポリシーは、 を使用して検出結果フィールドとフィールド値を更新するアクセスを制限BatchUpdateFindings
します。
BatchUpdateFindings
へのアクセスを制限するステートメントで、以下の値を使用します:
-
Action
はsecurityhub:BatchUpdateFindings
-
Effect
はDeny
。 -
Condition
では、以下に基づいてBatchUpdateFindings
リクエストを拒否できます。-
結果に特定のフィールドが含まれる。
-
結果に特定のフィールド値が含まれる。
-
条件キー
これらは、BatchUpdateFindings
へのアクセスを制限するための条件キーです。
- ASFF フィールド
-
ASFF フィールドの条件キーは次のとおりです。
securityhub:ASFFSyntaxPath/
<fieldName>
を ASFFフィールド
に置き換えます。へのアクセスを設定するときは<fieldName>
BatchUpdateFindings
、親レベルのASFFフィールドではなく、1 つ以上の特定のフィールドをIAMポリシーに含めます。例えば、Workflow.Status
フィールドへのアクセスを制限するには、Workflow
親レベルフィールドの代わりにsecurityhub:ASFFSyntaxPath/Workflow.Status
をポリシーに含める必要があります。
フィールドに対するすべての更新を禁止する
ユーザーが特定のフィールドを更新できないようにするには、以下のような条件を使用します。
"Condition": { "Null": { "securityhub:ASFFSyntaxPath/
<fieldName>
": "false" } }
例えば、次のステートメントは、 BatchUpdateFindings
を使用して検出結果のWorkflow.Status
フィールドを更新できないことを示しています。
{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Workflow.Status": "false" } } }
特定のフィールド値の許可を禁止する
ユーザーがフィールドを特定の値に設定できないようにするには、以下のような条件を使用します:
"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/
<fieldName>
": "<fieldValue>" } }
例えば、以下のステートメントは、BatchUpdateFindings
を使用して Workflow.Status
に SUPPRESSED
を設定できないことを示しています。
{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } }
許可されていない値のリストを提供することもできます。
"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": [ "
<fieldValue1>
", "<fieldValue2>
", "<fieldValuen>
" ] } }
例えば、以下のステートメントは、BatchUpdateFindings
を使用して Workflow.Status
を RESOLVED
または SUPPRESSED
に設定できないことを示しています。
{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": [ "RESOLVED", "NOTIFIED" ] } }