Noções básicas sobre as regras de automação do CSPM do Security Hub - AWS Security Hub
Definir os critérios da regra e as ações da regraCritérios de regras e ações de regras disponíveisDescobertas que as regras de automação avaliamComo funciona a ordem das regras

Noções básicas sobre as regras de automação do CSPM do Security Hub

É possível usar uma regra de automação para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. À medida que ingere descobertas, o CSPM do Security Hub pode aplicar diversas ações de regra, como suprimir descobertas, alterar a gravidade e adicionar observações. Essas ações de regra modificam as descobertas que correspondem aos critérios que você especificou.

Exemplos de casos de uso de regras de automação incluem:

  • Elevar a gravidade de uma descoberta para CRITICAL se o ID do recurso da descoberta se referir a um recurso crítico para os negócios.

  • Elevar a gravidade de uma descoberta de HIGH para CRITICAL se a descoberta afetar recursos em contas de produção específicas.

  • Atribuir descobertas específicas que tenham um status de fluxo de trabalho com gravidade de INFORMATIONAL a SUPPRESSED.

Você só pode criar e gerenciar regras de automação em uma conta de administrador do CSPM do Security Hub.

As regras se aplicam às novas descobertas e às descobertas atualizadas. É possível criar uma regra personalizada do zero ou usar um modelo de regra fornecido pelo CSPM do Security Hub. Também é possível começar com um modelo e modificá-lo conforme o necessário.

Definir os critérios da regra e as ações da regra

Em uma conta de administrador do CSPM do Security Hub, é possível criar uma regra de automação definindo um ou mais critérios da regra e uma ou mais ações da regra. Quando uma descoberta corresponde aos critérios definidos, o CSPM do Security Hub aplica a ela as ações da regra. Para obter mais informações sobre critérios e ações disponíveis, consulte Critérios de regras e ações de regras disponíveis.

Atualmente, o CSPM do Security Hub aceita até 100 regras de automação para cada conta de administrador.

O administrador do CSPM do Security Hub também pode editar, visualizar e excluir as regras de automação. Uma regra se aplica as descobertas correspondentes à conta do administrador e a todas as suas contas de membro. Fornecendo os IDs das contas de membro como critério de uma regra, os administradores do CSPM do Security Hub também podem usar as regras de automação para atualizar ou suprimir descobertas em contas de membro específicas.

Uma regra de automação se aplica somente à Região da AWS em que foi criada. Para aplicar uma regra em várias regiões, o administrador deve criar a regra em cada uma delas. Isso pode ser feito por meio do console do CSPM do Security Hub, da API do CSPM do Security Hub ou do AWS CloudFormation. Também é possível usar um script de implantação multirregional.

Critérios de regras e ações de regras disponíveis

Atualmente, os seguintes campos do AWS Security Finding Format (ASFF) podem ser usados como critérios para as regras de automação:

Critérios de regras Operadores de filtro Tipo de campo
AwsAccountId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
AwsAccountName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
CompanyName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ComplianceAssociatedStandardsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ComplianceSecurityControlId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ComplianceStatus Is, Is Not Selecionar: [FAILED, NOT_AVAILABLE, PASSED, WARNING]
Confidence Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Número
CreatedAt Start, End, DateRange Data (formatada como 2022-12-01T21:47:39.269Z)
Criticality Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Número
Description CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
FirstObservedAt Start, End, DateRange Data (formatada como 2022-12-01T21:47:39.269Z)
GeneratorId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
Id CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
LastObservedAt Start, End, DateRange Data (formatada como 2022-12-01T21:47:39.269Z)
NoteText CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
NoteUpdatedAt Start, End, DateRange Data (formatada como 2022-12-01T21:47:39.269Z)
NoteUpdatedBy CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ProductName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
RecordState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
RelatedFindingsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
RelatedFindingsProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceApplicationArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceApplicationName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceDetailsOther CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Mapa
ResourceId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourcePartition CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceRegion CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceTags CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Mapa
ResourceType Is, Is Not Selecione (consulte Recursos aceitos pelo ASFF)
SeverityLabel Is, Is Not Selecione [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL]
SourceUrl CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
Title CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
Type CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
UpdatedAt Start, End, DateRange Data (formatada como 2022-12-01T21:47:39.269Z)
UserDefinedFields CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Mapa
VerificationState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
WorkflowStatus Is, Is Not Selecionar: [NEW, NOTIFIED, RESOLVED, SUPPRESSED]

Para critérios rotulados como campos de string, o uso de diferentes operadores de filtro no mesmo campo afeta a lógica de avaliação. Para obter mais informações, consulte StringFilter na Referência de API CSPM do AWS Security Hub.

Cada critério aceita um número máximo de valores que podem ser usados para filtrar as descobertas correspondentes. Para ver os limites de cada critério, consulte AutomationRulesFindingFilters na Referência de API do CSPM do AWS Security Hub.

Atualmente, os seguintes campos do ASFF são aceitos como ações para regras de automação:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Para obter mais informações sobre campos do ASFF específicos, consulte a Sintaxe do Formato de Descobertas de Segurança da AWS.

dica

Se você quiser que o CSPM do Security Hub pare de gerar descobertas para um controle específico, recomendamos desabilitar o controle em vez de usar uma regra de automação. Quando você desabilita um controle, o CSPM do Security Hub para de executar verificações de segurança nele e para de gerar descobertas para ele, para que você não incorra em cobranças por esse controle. Recomendamos o uso de regras de automação para alterar os valores de campos específicos do ASFF para descobertas que correspondam aos critérios definidos. Para obter mais informações sobre como desabilitar controles, consulte Desabilitação de controles no CSPM do Security Hub.

Descobertas que as regras de automação avaliam

Uma regra de automação avalia as descobertas novas e atualizadas que o CSPM do Security Hub gera ou ingere por meio da operação BatchImportFindings depois que você cria a regra. O CSPM do Security Hub atualiza as descobertas do controle a cada 12 a 24 horas ou quando o recurso associado muda de estado. Para obter mais informações, consulte Programar a execução de verificações de segurança.

As regras de automação avaliam as descobertas originais fornecidas por provedores. Os provedores podem fornecer novas descobertas e atualizar as descobertas existentes por meio da operação BatchImportFindings da API do CSPM do Security Hub. Se os campos a seguir não existirem na descoberta original, o CSPM do Security Hub preencherá automaticamente os campos e, em seguida, usará os valores preenchidos na avaliação pela regra de automação:

  • AwsAccountName

  • CompanyName

  • ProductName

  • Resource.Tags

  • Workflow.Status

Depois de criar uma ou mais regras de automação, as regras não serão acionadas se você atualizar os campos de descoberta usando a operação BatchUpdateFindings. Se você criar uma regra de automação e fizer uma atualização de BatchUpdateFindings que afete o mesmo campo de descoberta, a última atualização definirá o valor desse campo. Veja o seguinte exemplo:

  1. Você usa a operação BatchUpdateFindings para alterar o valor do campo Workflow.Status de uma descoberta de NEW para NOTIFIED.

  2. Se você chamar GetFindings, o campo Workflow.Status passará a ter um valor de NOTIFIED.

  3. Você cria uma regra de automação que altera o campo Workflow.Status da descoberta de NEW para SUPPRESSED. (Lembre-se de que as regras ignoram as atualizações feitas usando a operação BatchUpdateFindings.)

  4. O provedor de descobertas usa a operação BatchImportFindings para atualizar a descoberta e altera o valor do campo Workflow.Status da descoberta para NEW.

  5. Se você chamar GetFindings, o campo Workflow.Status passará a ter um valor de SUPPRESSED. Esse é o caso, pois a regra de automação foi aplicada e a regra foi a última ação realizada na descoberta.

Quando você cria ou edita uma regra no console do CSPM do Security Hub, o console exibe uma versão beta das descobertas que correspondam aos critérios da regra. Considerando que as regras de automação avaliam as descobertas originais enviadas pelo provedor de descobertas, a visualização beta no console reflete as descobertas em seu estado final, conforme elas seriam mostradas em uma resposta à operação GetFindings (ou seja, após as ações das regras ou outras atualizações serem aplicadas à descoberta).

Como funciona a ordem das regras

Ao criar regras de automação, você atribui uma ordem a cada regra. Isso determina a ordem na qual o CSPM do Security Hub aplica suas regras de automação e se torna importante quando várias regras estão relacionadas à mesma descoberta ou campo de descoberta.

Quando várias ações de regra estão relacionadas à mesma descoberta ou campo de descoberta, a regra com o maior valor numérico para a ordem das regras se aplica por último e produz o efeito final.

Quando você cria uma regra no console do CSPM do Security Hub, o CSPM do Security Hub atribui automaticamente a ordem das regras com base na ordem de criação da regra. A regra criada mais recentemente tem o menor valor numérico para a ordem das regras e, portanto, se aplica primeiro. O CSPM do Security Hub aplica regras subsequentes em ordem ascendente.

Quando você cria uma regra por meio da API do CSPM do Security Hub ou da AWS CLI, o CSPM do Security Hub aplica a regra com o menor valor numérico para a primeira RuleOrder. Em seguida, aplica regras subsequentes em ordem ascendente. Se várias descobertas tiverem a mesma RuleOrder, o CSPM do Security Hub aplica uma regra com um valor anterior primeiro para o campo UpdatedAt (ou seja, a regra que foi editada mais recentemente se aplica por último).

É possível modificar a ordem das regras a qualquer momento.

Exemplo de ordem de regras:

Regra A (a ordem das regras é 1):

  • Critérios da Regra A

    • ProductName = Security Hub CSPM

    • Resources.Type é S3 Bucket

    • Compliance.Status = FAILED

    • RecordState é NEW

    • Workflow.Status = ACTIVE

  • Ações da Regra A

    • Atualizar Confidence para 95

    • Atualizar Severity para CRITICAL

Regra B (a ordem das regras é 2):

  • Critérios da Regra B

    • AwsAccountId = 123456789012

  • Ações de Regra B

    • Atualizar Severity para INFORMATIONAL

As ações da Regra A se aplicam primeiro às descobertas do CSPM do Security Hub que correspondem aos critérios da Regra A. Em seguida, as ações da Regra B se aplicam às descobertas do CSPM do Security Hub com o ID da conta especificado. Neste exemplo, como a Regra B se aplica por último, o valor final de Severity nas descobertas do ID da conta especificada é INFORMATIONAL. Com base na ação da Regra A, o valor final de Confidence nas descobertas correspondentes é 95.