결과를 업데이트하기 위한 BatchUpdateFindings 사용 - AWS Security Hub
BatchUpdateFindings에 사용 가능한 필드BatchUpdateFindings에 대한 액세스 구성에서 제공하는 batch-update-findings 명령 사용 AWS CLI

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

결과를 업데이트하기 위한 BatchUpdateFindings 사용

BatchUpdateFindings 작업은 조사 결과 공급자의 조사 결과에 대한 고객의 처리와 관련된 정보를 업데이트하는 데 사용됩니다. 고객 또는 고객을 대신하여 작동하는 티켓팅, 사고 관리 또는 SOAR 도구에서 사용할 수 있습니다. SIEM 를 BatchUpdateFindings 사용하여 AWS 보안 검색 형식 () ASFF 의 특정 필드를 업데이트할 수 있습니다.

새 조사 결과를 만드는 데는 BatchUpdateFindings을 사용할 수 없습니다. 한 번에 최대 100개의 조사 결과를 업데이트하는 데 사용할 수 있습니다.

Security Hub는 검색 결과 업데이트 BatchUpdateFindings 요청을 받을 때마다 Amazon에서 자동으로 Security Hub Findings - Imported이벤트를 생성합니다 EventBridge. 자동 응답 및 해결을 참조하세요.

BatchUpdateFindings검색 결과 UpdatedAt 필드를 변경하지 않습니다. UpdatedAt검색 제공자의 최신 업데이트만 반영합니다.

BatchUpdateFindings에 사용 가능한 필드

관리자 계정은 자체 계정이나 멤버 계정에 대한 조사 결과를 업데이트하는 데 >BatchUpdateFindings를 사용할 수 있습니다. 멤버 계정은 멤버 계정에 대한 조사 결과를 업데이트하는 데 >BatchUpdateFindings를 사용할 수 있습니다.

고객은 >BatchUpdateFindings만 사용하여 다음 필드와 객체를 업데이트할 수 있습니다.

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

기본적으로 관리자 및 멤버 계정은 위의 모든 필드와 필드 값에 액세스할 수 있습니다. 또한 Security Hub는 필드 및 필드 값에 대한 액세스를 제한할 수 있는 컨텍스트 키를 제공합니다.

예를 들어 멤버 계정만 Workflow.StatusRESOLVED로 설정하도록 허용할 수 있습니다. 또는 멤버 계정을 Severity.Label로 변경하는 것을 허용하지 않을 수도 있습니다.

BatchUpdateFindings에 대한 액세스 구성

를 사용하여 필드 및 필드 값을 업데이트하도록 액세스를 BatchUpdateFindings 제한하도록 IAM 정책을 구성할 수 있습니다.

액세스를 BatchUpdateFindings로 제한하는 문에는 다음 값을 사용하십시오.

  • Actionsecurityhub:BatchUpdateFindings

  • EffectDeny

  • Condition의 경우, 다음을 기준으로 BatchUpdateFindings 요청을 거부할 수 있습니다.

    • 결과에 특정 필드가 포함됩니다.

    • 결과에 특정 필드 값이 포함됩니다.

조건 키

액세스를 BatchUpdateFindings로 제한하기 위한 조건 키입니다.

ASFF필드

ASFF필드의 조건 키는 다음과 같습니다.

securityhub:ASFFSyntaxPath/<fieldName>

<fieldName>ASFF필드로 바꾸십시오. 에 BatchUpdateFindings 대한 액세스를 구성할 때 부모 수준 필드 대신 하나 이상의 특정 ASFF 필드를 IAM 정책에 포함시키십시오. 예를 들어 Workflow.Status 필드에 대한 액세스를 제한하려면 Workflow 상위 수준 필드 대신 정책에 securityhub:ASFFSyntaxPath/Workflow.Status을 포함해야 합니다.

필드에 대한 모든 업데이트 허용 안 함

사용자가 특정 필드를 업데이트하지 못하게 하려면 다음과 같은 조건을 사용하십시오.

 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

예를 들어 다음 문장은 워크플로 상태를 업데이트하는 데 BatchUpdateFindings를 사용할 수 없음을 나타냅니다.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

특정 필드 값 허용 안 함

사용자가 필드를 특정 값으로 설정하는 것을 방지하려면 다음과 같은 조건을 사용하십시오.

"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

예를 들어, 다음 명령문은 Workflow.StatusSUPPRESSED로 설정하는 데 BatchUpdateFindings를 사용할 수 없음을 나타냅니다.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

허용되지 않는 값 목록을 입력할 수도 있습니다.

 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

예를 들어, 다음 문은 Workflow.StatusRESOLVED 또는 SUPPRESSED 중 하나로 설정하는 데 BatchUpdateFindings를 사용할 수 없음을 나타냅니다.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}

에서 제공하는 batch-update-findings 명령 사용 AWS CLI

AWS Command Line Interface에서는 batch-update-findings명령을 사용하여 결과를 업데이트합니다.

업데이트할 각 검색 결과에 대해 검색 결과 ID와 해당 결과를 생성한 제품의 검색 결과 ID를 모두 제공합니다. ARN 

--finding-identifiers ID="<findingID1>",ProductArn="<productARN>" ID="<findingID2>",ProductArn="<productARN2>"

업데이트할 속성을 제공할 때는 JSON 형식 또는 바로가기 형식을 사용할 수 있습니다.

다음은 해당 JSON 형식을 사용하는 Note 객체에 대한 업데이트의 예입니다.

--note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}'

다음은 바로가기 형식을 사용하는 것과 동일한 업데이트입니다.

--note Text="Known issue that is not a risk.",UpdatedBy="user1"

AWS CLI 명령 참조서는 각 필드에 대한 JSON 및 단축키 구문을 제공합니다.

다음 >batch-update-findings 예제는 두 가지 조사 결과를 업데이트하여 메모를 추가하고, 심각도 레이블을 변경하고, 문제를 해결합니다.

aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}' --severity '{"Label": "LOW"}' --workflow '{"Status": "RESOLVED"}'

이 예제는 같지만 대신 JSON 단축키를 사용합니다.

aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --note Text="Known issue that is not a risk.",UpdatedBy="user1" --severity Label="LOW" --workflow Status="RESOLVED"