자동화 규칙 - AWS Security Hub
자동화 규칙 작동 방식사용 가능한 규칙 기준 및 규칙 작업자동화 규칙 생성자동화 규칙 보기자동화 규칙 편집자동화 규칙 삭제자동화 규칙 예

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

자동화 규칙

자동화 규칙을 사용하여 Security Hub의 조사 결과를 자동으로 업데이트할 수 있습니다. 조사 결과가 수집되면 Security Hub는 조사 결과 제외, 심각도 변경, 조사 결과에 메모 추가 등 다양한 규칙 작업을 적용할 수 있습니다. 이러한 규칙 작업은 조사 결과가 연결된 리소스 또는 계정 ID, 제목 등 지정된 기준과 일치할 때 적용됩니다.

자동화 규칙 사용 사례의 예는 다음과 같습니다.

  • 조사 결과의 리소스 ID가 비즈니스에 중요한 리소스를 참조하는 경우 조사 결과의 심각도를 CRITICAL로 상향 조정합니다.

  • 조사 결과가 특정 프로덕션 계정의 리소스에 영향을 미치는 경우 조사 결과의 심각도를 HIGH에서 CRITICAL로 상향 조정합니다.

  • INFORMATIONAL 심각도를 지닌 특정 조사 결과를 SUPPRESSED 워크플로우 상태에 할당합니다.

자동화 규칙을 사용하여 AWS 보안 검색 형식 (ASFF) 에서 선택한 검색 필드를 업데이트할 수 있습니다. 규칙은 새 조사 결과와 업데이트된 조사 결과 모두에 적용됩니다.

사용자 지정 규칙을 처음부터 만들거나 Security Hub에서 제공하는 규칙 템플릿을 사용할 수 있습니다. 규칙 템플릿을 사용하는 경우 사용 사례에 맞게 필요에 따라 수정할 수 있습니다.

자동화 규칙 작동 방식

Security Hub 관리자는 규칙 기준을 정의하여 자동화 규칙을 생성할 수 있습니다. 조사 결과가 정의된 기준과 일치하면 Security Hub는 해당 결과에 규칙 작업을 적용합니다. 사용 가능한 기준 및 작업에 대한 자세한 내용은 사용 가능한 규칙 기준 및 규칙 작업 섹션을 참조하세요.

Security Hub 관리자 계정만 자동화 규칙을 만들고, 삭제하고, 편집하고, 볼 수 있습니다. 관리자가 생성하는 규칙은 관리자 계정 및 모든 구성원 계정의 조사 결과에 적용됩니다. 구성원 계정 ID를 규칙 기준으로 제공함으로써 Security Hub 관리자는 자동화 규칙을 사용하여 조사 결과를 업데이트하거나 특정 구성원 계정의 조사 결과에 대해 조치를 취할 수도 있습니다.

자동화 규칙은 생성된 AWS 리전 위치에만 적용됩니다. 여러 리전에 규칙을 적용하려면 위임된 관리자가 각 리전에 규칙을 생성해야 합니다. 이 작업은 Security Hub 콘솔, Security Hub API 또는 AWS CloudFormation을 통해 수행할 수 있습니다. 다중 리전 배포 스크립트를 사용할 수도 있습니다.

자동화 규칙으로 인해 결과가 어떻게 변경되었는지에 대한 기록을 보려면 검색 결과 기록 검토 섹션을 참조하세요.

중요

자동화 규칙은 규칙을 만든 후 Security Hub에서 생성하거나 수집하는 신규 및 업데이트된 조사 결과에 적용됩니다. Security Hub는 12~24시간마다 또는 관련 리소스의 상태가 변경될 때마다 컨트롤 조사 결과를 업데이트합니다. 자세한 내용은 보안 검사 실행 일정을 참조하십시오. 자동화 규칙은 제공자가 제공한 원본 검색 필드를 평가합니다. 작업을 통해 규칙을 만든 후 검색 필드를 업데이트해도 규칙이 트리거되지 않습니다. BatchUpdateFindings

Security Hub는 현재 관리자 계정당 최대 100개의 자동화 규칙을 지원합니다.

규칙 순서

자동화 규칙을 생성할 때 각 규칙에 순서를 할당합니다. 이는 Security Hub에서 자동화 규칙을 적용하는 순서를 결정하며, 여러 규칙이 동일한 결과 또는 결과 필드와 관련된 경우 중요해집니다.

여러 규칙 작업이 동일한 결과 또는 결과 필드와 관련된 경우 규칙 순서의 숫자 값이 가장 높은 규칙이 마지막에 적용되어 궁극적인 효과를 발휘합니다.

Security Hub 콘솔에서 규칙을 생성하면 Security Hub는 규칙 생성 순서에 따라 규칙 순서를 자동으로 할당합니다. 가장 최근에 만든 규칙이 규칙 순서 숫자 값이 가장 낮으므로 먼저 적용됩니다. Security Hub는 후속 규칙을 오름차순으로 적용합니다.

Security Hub API 또는 AWS CLI을 통해 규칙을 생성하면 Security Hub는 가장 낮은 수치로 구성된 규칙을 먼저 적용합니다. RuleOrder 그런 다음 다음 규칙을 오름차순으로 적용합니다. 여러 조사 결과에 동일한 RuleOrder가 있는 경우 Security Hub는 UpdatedAt 필드에 이전 값이 있는 규칙을 먼저 적용합니다(즉, 가장 최근에 편집된 규칙이 마지막에 적용됨).

언제든지 규칙 순서를 변경할 수 있습니다.

규칙 순서의 예:

규칙 A(규칙 순서는 1):

  • 규칙 A 기준

    • ProductName = Security Hub

    • Resources.TypeS3 Bucket

    • Compliance.Status = FAILED

    • RecordStateNEW

    • Workflow.Status = ACTIVE

  • 규칙 A 작업

    • Confidence이(가) 95(으)로 업데이트되었습니다.

    • Severity이(가) CRITICAL(으)로 업데이트되었습니다.

규칙 B(규칙 순서는 2):

  • 규칙 B 기준

    • AwsAccountId = 123456789012

  • 규칙 B 작업

    • Severity이(가) INFORMATIONAL(으)로 업데이트되었습니다.

규칙 A 작업은 규칙 A 기준과 일치하는 Security Hub 조사 결과에 먼저 적용됩니다. 다음으로, 규칙 B 작업은 지정된 계정 ID를 가진 Security Hub 조사 결과에 적용됩니다. 이 예에서는 규칙 B가 마지막에 적용되므로 지정된 계정 ID의 조사 결과에서 Severity의 최종 값은 INFORMATIONAL입니다. 규칙 A 작업에 따라 일치하는 조사 결과에서 Confidence의 최종 값은 95입니다.

사용 가능한 규칙 기준 및 규칙 작업

다음 ASFF 필드는 현재 자동화 규칙의 기준으로 지원됩니다.

ASFF 필드 필터 필드 유형
AwsAccountId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
AwsAccountName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS 문자열
CompanyName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS 문자열
ComplianceAssociatedStandardsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS 문자열
ComplianceSecurityControlId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ComplianceStatus Is, Is Not Select: [FAILED, NOT_AVAILABLE, PASSED, WARNING]
Confidence Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) 숫자
CreatedAt Start, End, DateRange 날짜(2022-12-01T21:47:39.269Z 형식)
Criticality Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) 숫자
Description CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
FirstObservedAt Start, End, DateRange 날짜(2022-12-01T21:47:39.269Z 형식)
GeneratorId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
Id CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
LastObservedAt Start, End, DateRange 날짜(2022-12-01T21:47:39.269Z 형식)
NoteText CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
NoteUpdatedAt Start, End, DateRange 날짜(2022-12-01T21:47:39.269Z 형식)
NoteUpdatedBy CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS 문자열
ProductName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS 문자열
RecordState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS 문자열
RelatedFindingsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS 문자열
RelatedFindingsProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS 문자열
ResourceApplicationArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS 문자열
ResourceApplicationName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceDetailsOther CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
ResourceId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourcePartition CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS 문자열
ResourceRegion CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceTags CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
ResourceType Is, Is Not 선택(ASFF에서 지원하는 리소스 참조)
SeverityLabel Is, Is Not Select: [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL]
SourceUrl CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
Title CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS 문자열
Type CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
UpdatedAt Start, End, DateRange 날짜(2022-12-01T21:47:39.269Z 형식)
UserDefinedFields CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
VerificationState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
WorkflowStatus Is, Is Not Select: [NEW, NOTIFIED, RESOLVED, SUPPRESSED]

현재 자동화 규칙에 대한 작업으로 지원되는 ASFF 필드는 다음과 같습니다.

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

특정 ASFF 필드에 대한 자세한 내용은 AWS 보안 결과 형식 (ASFF) 구문ASFF 예를 참조하십시오.

작은 정보

Security Hub에서 특정 컨트롤에 대한 조사 결과 생성을 중지하도록 하려면 자동화 규칙을 사용하는 대신 컨트롤을 사용하지 않도록 설정하는 것이 좋습니다. 컨트롤을 사용하지 않도록 설정하면 Security Hub에서 해당 컨트롤에 대한 보안 검사 실행을 중지하고 해당 컨트롤에 대한 조사 결과 생성을 중지하므로 해당 컨트롤에 대한 요금이 발생하지 않습니다. 정의된 기준과 일치하는 조사 결과에 대한 특정 ASFF 필드 값을 변경하려면 자동화 규칙을 사용하는 것이 좋습니다. 컨트롤 비활성화에 대한 자세한 내용은 모든 표준에서 제어 활성화 및 비활성화을 참조하십시오.

자동화 규칙 생성

사용자 지정 규칙을 처음부터 새로 만들거나 미리 채워진 Security Hub 규칙 템플릿을 사용할 수 있습니다.

한 번에 하나의 자동화 규칙만 생성할 수 있습니다. 자동화 규칙을 여러 개 만들려면 콘솔 절차를 여러 번 따르거나 원하는 파라미터를 사용하여 API 또는 명령을 여러 번 직접 호출하십시오.

조사 결과에 규칙을 적용하려는 각 리전 및 계정에서 자동화 규칙을 생성해야 합니다.

Security Hub 콘솔에서 자동화 규칙을 만들면 Security Hub는 규칙이 적용되는 조사 결과의 미리 보기를 표시합니다. 규칙 기준에 CONTAINS 또는 NOT_CONTAINS 필터가 포함된 경우 미리보기는 현재 지원되지 않습니다. 맵 및 문자열 필드 유형에 대해 이러한 필터를 선택할 수 있습니다.

중요

AWS 규칙 이름, 설명 또는 기타 필드에 개인 식별 정보, 기밀 정보 또는 민감한 정보를 포함하지 말 것을 권장합니다.

템플릿에서 규칙 생성(콘솔만 해당)

현재는 Security Hub 콘솔에서만 규칙 템플릿을 지원합니다. 이러한 템플릿은 자동화 규칙의 일반적인 사용 사례를 반영하며 특성을 시작하는 데 도움이 될 수 있습니다. 다음 단계를 완료하여 콘솔의 템플릿에서 자동화 규칙을 생성합니다.

Console

  1. https://console.aws.amazon.com/securityhub/ 에서 AWS Security Hub 콘솔을 엽니다.

    Security Hub 관리자 계정에 로그인합니다.

  2. 탐색 창에서 자동화를 선택합니다.

  3. Create rule을 선택합니다. 규칙 유형에서 템플릿에서 규칙 생성을 선택합니다.

  4. 드롭다운 메뉴에서 규칙 템플릿을 선택합니다.

  5. (선택 사항) 사용 사례에 필요한 경우 규칙, 기준자동 작업 단원을 수정하십시오. 규칙 기준과 규칙 작업을 하나 이상 지정해야 합니다.

    선택한 기준에 대해 지원되는 경우 콘솔에 기준과 일치하는 조사 결과의 미리보기가 표시됩니다.

  6. 규칙 상태에서는 규칙을 생성한 후 해당 규칙을 활성화할지 또는 비활성화할지 선택합니다.

  7. (선택 사항) 추가 설정 섹션을 확장합니다. 이 규칙을 규칙 기준과 일치하는 조사 결과에 마지막으로 적용하려면 이러한 기준과 일치하는 조사 결과에 대한 후속 규칙 무시를 선택합니다.

  8. (선택 사항) 규칙을 쉽게 식별할 수 있도록 태그의 경우 태그를 키-값 쌍으로 추가합니다.

  9. Create rule을 선택합니다.

사용자 지정 규칙 생성

원하는 방법을 선택하고 다음 단계를 완료하여 사용자 지정 자동화 규칙을 생성합니다.

Console

  1. https://console.aws.amazon.com/securityhub/ 에서 AWS Security Hub 콘솔을 엽니다.

    Security Hub 관리자 계정에 로그인합니다.

  2. 탐색 창에서 자동화를 선택합니다.

  3. Create rule을 선택합니다. 규칙 유형에서 사용자 지정 규칙생성을 선택합니다.

  4. 규칙 단원에서 규칙에 대한 고유한 규칙 이름과 설명을 입력합니다.

  5. 기준의 경우 , 연산자 드롭다운 메뉴를 사용하여 규칙 기준을 지정합니다. 규칙 기준을 하나 이상 지정해야 합니다.

    선택한 기준에 대해 지원되는 경우 콘솔에 기준과 일치하는 조사 결과의 미리보기가 표시됩니다.

  6. 자동 작업의 경우 드롭다운 메뉴를 사용하여 조사 결과가 규칙 기준과 일치할 때 업데이트할 조사 결과 필드를 지정합니다. 규칙 작업을 최소 하나 이상 지정해야 합니다.

  7. 규칙 상태에서는 규칙을 생성한 후 해당 규칙을 활성화할지 또는 비활성화할지 선택합니다.

  8. (선택 사항) 추가 설정 섹션을 확장합니다. 이 규칙을 규칙 기준과 일치하는 조사 결과에 마지막으로 적용하려면 이러한 기준과 일치하는 조사 결과에 대한 후속 규칙 무시를 선택합니다.

  9. (선택 사항) 규칙을 쉽게 식별할 수 있도록 태그의 경우 태그를 키-값 쌍으로 추가합니다.

  10. Create rule을 선택합니다.

API

  1. Security Hub 관리자 계정에서 CreateAutomationRule (을)를 실행합니다. 이 API는 특정 Amazon 리소스 이름(ARN)을 사용하여 규칙을 생성합니다.

  2. 규칙의 이름 및 설명을 입력합니다.

  3. 이 규칙이 규칙 기준과 일치하는 조사 결과에 적용되는 마지막 규칙이 되도록 하려면 IsTerminal 파라미터를 true로 설정하십시오.

  4. RuleOrder 파라미터에 대해 규칙의 순서를 입력합니다. Security Hub는 이 파라미터에 더 낮은 숫자 값의 규칙을 먼저 적용합니다.

  5. RuleStatus 파라미터에 대해 Security Hub에서 조사 결과 생성 후 규칙을 활성화하고 적용을 시작할지 여부를 지정합니다. 값을 지정하지 않을 경우 기본값은 ENABLED입니다. DISABLED 값은 규칙이 생성된 후 일시 중지되는 것을 의미합니다.

  6. Security Hub에서 조사 결과를 필터링하는 데 사용할 기준을 Criteria 파라미터에 입력합니다. 규칙 작업은 기준과 일치하는 조사 결과에 적용됩니다. 지원되는 기준 목록은 사용 가능한 규칙 기준 및 규칙 작업을 참조하십시오.

  7. Actions 파라미터에는 조사 결과와 정의된 기준 간에 일치하는 항목이 있을 때 Security Hub에서 수행할 작업을 입력합니다. 지원되는 작업 목록은 사용 가능한 규칙 기준 및 규칙 작업을 참조하십시오.

API 요청 예:

{
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Workflow": {
                "Status": "SUPPRESSED"
            },
            "Note": {
                "Text": "Known issue that is not a risk.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }],
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "GeneratorId": [{
            "Value": "aws-foundational-security-best-practices/v/1.0.0/IAM.1",
            "Comparison": "EQUALS"
        }]
    },
    "Description": "Sample rule description",
    "IsTerminal": false,
    "RuleName": "sample-rule-name",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
}
AWS CLI

  1. Security Hub 관리자 계정에서 create-automation-rule 명령을 실행합니다. 이 명령은 특정 Amazon 리소스 이름(ARN)을 사용하여 규칙을 생성합니다.

  2. 규칙의 이름 및 설명을 입력합니다.

  3. 이 규칙이 규칙 기준과 일치하는 조사 결과에 적용되는 마지막 규칙이 되도록 하려면 is-terminal 파라미터를 포함시키십시오. 그렇지 않으면 no-is-terminal 파라미터를 포함시키십시오.

  4. rule-order 파라미터에 대해 규칙의 순서를 입력합니다. Security Hub는 이 파라미터에 더 낮은 숫자 값의 규칙을 먼저 적용합니다.

  5. rule-status 파라미터에 대해 Security Hub에서 조사 결과 생성 후 규칙을 활성화하고 적용을 시작할지 여부를 지정합니다. 값을 지정하지 않을 경우 기본값은 ENABLED입니다. DISABLED 값은 규칙이 생성된 후 일시 중지되는 것을 의미합니다.

  6. Security Hub에서 조사 결과를 필터링하는 데 사용할 기준을 criteria 파라미터에 입력합니다. 규칙 작업은 기준과 일치하는 조사 결과에 적용됩니다. 지원되는 기준 목록은 사용 가능한 규칙 기준 및 규칙 작업을 참조하십시오.

  7. actions 파라미터에는 조사 결과와 정의된 기준 간에 일치하는 항목이 있을 때 Security Hub에서 수행할 작업을 입력합니다. 지원되는 작업 목록은 사용 가능한 규칙 기준 및 규칙 작업을 참조하십시오.

명령 예:

aws securityhub create-automation-rule \
--actions '[{
 "Type": "FINDING_FIELDS_UPDATE",
 "FindingFieldsUpdate": {
 "Severity": {
 "Label": "HIGH"
 },
 "Note": {
 "Text": "Known issue that is a risk. Updated by automation rules",
 "UpdatedBy": "sechub-automation"
 }
 }
 }]' \
--criteria '{
 "SeverityLabel": [{
 "Value": "INFORMATIONAL",
 "Comparison": "EQUALS"
 }]
 }' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1

자동화 규칙 보기

원하는 방법을 선택하고 단계에 따라 자동화 규칙과 각 규칙의 세부 정보를 확인하십시오.

Console

  1. https://console.aws.amazon.com/securityhub/ 에서 AWS Security Hub 콘솔을 엽니다.

    Security Hub 관리자 계정에 로그인합니다.

  2. 탐색 창에서 자동화를 선택합니다.

  3. 규칙 이름을 선택합니다. 아니면 규칙을 선택할 수도 있습니다.

  4. 작업보기를 선택합니다.

API

  1. 계정의 자동화 규칙을 보려면 Security Hub 관리자 계정에서 ListAutomationRules을 실행합니다. 이 API는 규칙에 대한 규칙 ARN 및 기타 메타데이터를 반환합니다. 이 API에는 입력 파라미터가 필요하지 않지만, 선택적으로 결과 수를 제한하기 위해 MaxResults을 제공하고 NextToken를 페이지 매김 파라미터로 제공할 수 있습니다. NextToken의 초기값은 NULL이어야 합니다.

    API 요청 예:

    {
 "MaxResults": 50,
 "NextToken": "cVpdnSampleTokenYcXgTockBW44c"
}

  2. 규칙의 기준 및 작업을 비롯한 추가 규칙 세부 정보를 보려면 Security Hub 관리자 계정에서 BatchGetAutomationRules을 실행합니다.

    API 요청 예:

    {
    "AutomationRulesArns": [
      "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
      "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
      "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
      "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
    ]
}
AWS CLI

  1. 계정의 자동화 규칙을 보려면 Security Hub 관리자 계정에서 list-automation-rules 명령을 실행합니다. 이 명령은 규칙에 대한 규칙 ARN 및 기타 메타데이터를 반환합니다. 이 명령에는 입력 파라미터가 필요하지 않지만 선택적으로 결과 수를 제한하기 위해 max-results을 제공하고 페이지 매김 파라미터로 next-token를 제공할 수 있습니다.

    명령 예:

    aws securityhub list-automation-rules  \
--max-results 5 \
--next-token cVpdnSampleTokenYcXgTockBW44c \
--region us-east-1

  2. 규칙의 기준 및 작업을 비롯한 추가 규칙 세부 정보를 보려면 Security Hub 관리자 계정에서 batch-get-automation-rules 명령을 실행합니다.

    명령 예:

    aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1

자동화 규칙 편집

자동화 규칙을 편집하면 규칙 편집 후 Security Hub가 생성하거나 수집한 신규 및 업데이트된 조사 결과에 변경 사항이 적용됩니다.

원하는 방법을 선택하고 단계에 따라 자동화 규칙의 내용을 편집하십시오. 요청 한 번으로 하나 이상의 규칙을 편집할 수 있습니다. 규칙 순서 편집에 대한 지침은 규칙 순서 편집을 참조하십시오.

Console

  1. https://console.aws.amazon.com/securityhub/ 에서 AWS Security Hub 콘솔을 엽니다.

    Security Hub 관리자 계정에 로그인합니다.

  2. 탐색 창에서 자동화를 선택합니다.

  3. 편집할 규칙을 선택합니다. 작업을 선택한 후 편집을 선택합니다.

  4. 원하는 대로 규칙을 변경하고 변경 내용 저장을 선택합니다.

API

  1. Security Hub 관리자 계정에서 BatchUpdateAutomationRules (을)를 실행합니다.

  2. RuleArn 파라미터에는 편집하려는 규칙의 ARN을 입력합니다.

  3. 편집하려는 파라미터의 새 값을 입력합니다. RuleArn를 제외한 모든 파라미터를 편집할 수 있습니다.

API 요청 예:

{
    "UpdateAutomationRulesRequestItems": [
        {
            "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "RuleOrder": 15,
            "RuleStatus": "Enabled"
        },
        {
            "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
            "RuleStatus": "Disabled"
        }
    ]
}
AWS CLI

  1. Security Hub 관리자 계정에서 batch-update-automation-rules 명령을 실행합니다.

  2. RuleArn 파라미터에는 편집하려는 규칙의 ARN을 입력합니다.

  3. 편집하려는 파라미터의 새 값을 입력합니다. RuleArn를 제외한 모든 파라미터를 편집할 수 있습니다.

명령 예:

aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
    {
      "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
          "Note": {
            "Text": "Known issue that is a risk",
            "UpdatedBy": "sechub-automation"
          },
          "Workflow": {
            "Status": "NEW"
          }
        }
      }],
      "Criteria": {
        "SeverityLabel": [{
         "Value": "LOW",
         "Comparison": "EQUALS"
        }]
      },
      "RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
      "RuleOrder": 14,
      "RuleStatus": "DISABLED",
    }
  ]' \
--region us-east-1

규칙 순서 편집

경우에 따라 규칙 기준과 작업은 그대로 유지하되 Security Hub에서 자동화 규칙을 적용하는 순서를 변경해야 할 수 있습니다. 원하는 방법을 선택하고 단계에 따라 규칙 순서를 편집합니다.

Console

  1. https://console.aws.amazon.com/securityhub/ 에서 AWS Security Hub 콘솔을 엽니다.

    Security Hub 관리자 계정에 로그인합니다.

  2. 탐색 창에서 자동화를 선택합니다.

  3. 순서를 변경할 규칙을 선택합니다. 우선 순위 편집을 선택합니다.

  4. 위로 이동을 선택하여 규칙의 우선 순위를 한 단위 높입니다. 아래로 이동을 선택하여 규칙 우선 순위를 한 단위 낮춥니다. 맨 위로 이동을 선택하여 규칙에 순서를 1로 지정합니다(이렇게 하면 해당 규칙이 다른 기존 규칙보다 우선함)

참고

Security Hub 콘솔에서 규칙을 생성하면 Security Hub는 규칙 생성 순서에 따라 규칙 순서를 자동으로 할당합니다. 가장 최근에 만든 규칙이 규칙 순서 숫자 값이 가장 낮으므로 먼저 적용됩니다.

API

  1. Security Hub 관리자 계정에서 BatchUpdateAutomationRules (을)를 실행합니다.

  2. RuleArn 파라미터에는 순서를 편집하려는 규칙의 ARN을 입력합니다.

  3. RuleOrder 필드 값을 수정합니다.

참고

여러 규칙에 동일한 RuleOrder가 있는 경우 Security Hub는 UpdatedAt 필드에 이전 값이 있는 규칙을 먼저 적용합니다(즉, 가장 최근에 편집된 규칙이 마지막에 적용됨).

AWS CLI

  1. Security Hub 관리자 계정에서 batch-update-automation-rules 명령을 실행합니다.

  2. RuleArn 파라미터에는 순서를 편집하려는 규칙의 ARN을 입력합니다.

  3. RuleOrder 필드 값을 수정합니다.

참고

여러 규칙에 동일한 RuleOrder가 있는 경우 Security Hub는 UpdatedAt 필드에 이전 값이 있는 규칙을 먼저 적용합니다(즉, 가장 최근에 편집된 규칙이 마지막에 적용됨).

자동화 규칙 삭제

자동화 규칙을 삭제하면 Security Hub는 계정에서 해당 규칙을 삭제하고 조사 결과에 더 이상 규칙을 적용하지 않습니다.

원하는 방법을 선택하고 단계에 따라 자동화 규칙을 삭제합니다. 단일 요청으로 하나 이상의 규칙을 삭제할 수 있습니다.

작은 정보

규칙을 삭제하는 대신 규칙을 비활성화할 수 있습니다. 이렇게 하면 나중에 사용할 수 있도록 규칙이 유지되지만, Security Hub는 사용자가 사용하도록 활성화하기 전까지는 일치하는 조사 결과에 규칙을 적용하지 않습니다.

Console

  1. https://console.aws.amazon.com/securityhub/ 에서 AWS Security Hub 콘솔을 엽니다.

    Security Hub 관리자 계정에 로그인합니다.

  2. 탐색 창에서 자동화를 선택합니다.

  3. 삭제할 규칙을 선택합니다. 작업삭제를 선택합니다(규칙을 유지하지만 일시적으로 비활성화하려면 비활성화 선택).

  4. 선택을 확인하고 삭제를 선택합니다.

API

  1. Security Hub 관리자 계정에서 BatchDeleteAutomationRules (을)를 실행합니다.

  2. AutomationRulesArns 파라미터에 삭제하려는 규칙의 ARN을 입력합니다(규칙을 유지하지만 일시적으로 비활성화하려면 RuleStatus 파라미터에 대한 DISABLED를 입력).

API 요청 예:

{
    "AutomationRulesArns": [
        "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
        "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
        "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa"
    ]
}
AWS CLI

  1. Security Hub 관리자 계정에서 batch-delete-automation-rules 명령을 실행합니다.

  2. automation-rules-arns 파라미터에 삭제하려는 규칙의 ARN을 입력합니다(규칙을 유지하지만 일시적으로 비활성화하려면 RuleStatus 파라미터에 대한 DISABLED를 입력).

명령 예:

aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1

자동화 규칙 예

이 단원에는 일반 사용 사례에 대한 몇 가지 자동화 규칙 예가 포함되어 있습니다. 이러한 예는 Security Hub 콘솔의 규칙 템플릿에 해당합니다.

S3 버킷과 같은 특정 리소스가 위험에 처한 경우 심각도를 Critical로 상향 조정합니다.

이 예제에서는 결과의 ResourceId이 특정 Amazon Simple Storage Service(S3) 버킷일 때 규칙 기준을 일치시킵니다. 규칙 작업은 일치하는 조사 결과의 심각도를 CRITICAL로 변경하는 것입니다. 이 템플릿을 수정하여 다른 리소스에 적용할 수 있습니다.

API 요청 예:

{
    "IsTerminal": true,
    "RuleName": "Elevate severity of findings that relate to important resources",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "ResourceId": [{
            "Value": "arn:aws:s3:::examplebucket/developers/design_info.doc",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "This is a critical resource. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}

CLI 명령 예:


aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \

--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::examplebucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1

프로덕션 계정의 리소스와 관련된 조사 결과의 심각도를 상향 조정합니다.

이 예에서는 특정 프로덕션 계정에서 HIGH 심각도 조사 결과가 생성될 때 규칙 기준을 일치시킵니다. 규칙 작업은 일치하는 조사 결과의 심각도를 CRITICAL로 변경하는 것입니다.

API 요청 예:

{
    "IsTerminal": false,
    "RuleName": "Elevate severity for production accounts",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
    "Criteria": {
        "ProductName": [{
            "Value": "Security Hub",
            "Comparison": "EQUALS"
        }],
        "ComplianceStatus": [{
            "Value": "FAILED",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "HIGH",
            "Comparison": "EQUALS"
        }],
        "AwsAccountId": [
        {
            "Value": "111122223333",
            "Comparison": "EQUALS"
        },
        {
            "Value": "123456789012",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Severity": {
                "Label": "CRITICAL"
            },
            "Note": {
                "Text": "A resource in production accounts is at risk. Please review ASAP.",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}

CLI 명령 예:


aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1

정보 조사 결과 표시 안 함

이 예시에서는 Amazon에서 Security Hub로 전송한 INFORMATIONAL 심각도 조사 결과와 규칙 기준을 일치시킵니다 GuardDuty. 규칙 작업은 일치하는 조사 결과의 워크플로 상태를 SUPPRESSED로 변경하는 것입니다.

API 요청 예:

{
    "IsTerminal": false,
    "RuleName": "Suppress informational findings",
    "RuleOrder": 1,
    "RuleStatus": "ENABLED",
    "Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
    "Criteria": {
        "ProductName": [{
            "Value": "GuardDuty",
            "Comparison": "EQUALS"
        }],
        "RecordState": [{
            "Value": "ACTIVE",
            "Comparison": "EQUALS"
        }],
        "WorkflowStatus": [{
            "Value": "NEW",
            "Comparison": "EQUALS"
        }],
        "SeverityLabel": [{
            "Value": "INFORMATIONAL",
            "Comparison": "EQUALS"
        }]
    },
    "Actions": [{
        "Type": "FINDING_FIELDS_UPDATE",
        "FindingFieldsUpdate": {
            "Workflow": {
                "Status": "SUPPRESSED"
            },
            "Note": {
                "Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
                "UpdatedBy": "sechub-automation"
            }
        }
    }]
}

CLI 명령 예:


aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1