Security Hub 中的自动化规则

注意

Security Hub 处于预览版，可能会发生变化。

Security Hub 自动化规则是 Security Hub CSPM 自动化规则中更具扩展性和可配置性的版本。Security Hub 从针对查找的自动化系统演变为更广泛的配置平台。虽然 Security Hub CSPM 支持 ASFF，但 Security Hub 引入了对 OCSF 的支持，为更多配置奠定了基础。Security Hub 自动化规则的关键功能之一是它与聚合器配置的集成。这提供了微调配置并将其精细部署到一组关联服务器的能力， AWS 区域 同时保持了通过非链接 AWS 区域 逐个设置区域体验的灵活性。

在以下情况下 AWS 区域，您的 AWS 账户 和中的 Security Hub 资源（包括自动化规则、连接器和聚合器）将停止工作。

• 独立版 AWS 账户 成为具有委派管理员的 AWS 组织的成员

• AWS 组织管理账户删除该组织的委派管理员并设置新的委托管理员

• 已更改委派管理员或独立 AWS 账户 管理员的聚合器配置，使未链接的区域成为链接区域

在这些情况下，成员账户仍然可以通过列出、获取和删除操作来管理这些 AWS CLI 资源。当未关联的区域成为关联区域时，委托的管理员或独立 AWS 账户仍然可以通过列表、获取和删除操作来管理链接区域中的旧资源。

主要增强功能

Security Hub CSPM 中的自动化规则是区域性的，仅适用于其创建 AWS 区域 地的发现。Security Hub 中的自动化规则可以在一个 AWS 区域 （聚合区域）中配置一次，然后通过 Aggregator V2 设置应用于所有已配置的 AWS 区域 （链接区域）。此功能的一个好处是， AWS 区域 只需设置一个 AWS 区域即可自动执行和修复多个安全发现。这意味着，如果在链接的区域中生成了调查结果，则可以根据聚合区域的配置自动对其进行修正。

外部集成

Security Hub 中的自动化规则支持创建 ITSM 票证的操作类型。这允许客户将选定的 OCSF 调查结果直接路由到一个或多个已配置的 ITSM 集成。如果 OCSF 的发现符合标准，则可以在Jira Cloud或ServiceNow ITSM中创建票证。有关更多信息，请参阅 Sec urity Hub 的第三方集成。

OCSF 支持的标准

Security Hub CSPM 支持根据发现结果评估 ASFF 字段，而 Security Hub 与 OCSF 字段匹配。例如，V2 自动化规则中使用的Criteria参数所支持的筛选器集与中GetFindingsV2使用的Criteria参数支持的筛选器集相匹配。这意味着用于检索 V2 结果的过滤器可用于匹配结果的 V2 自动化规则。

OCSF 字段为 AutomationRulesFindingFieldsUpdate

在 Security Hub CSPM AutomationRulesFindingFieldsUpdate中可以更新的字段列表已在 Security Hub 中更改。可以更新的字段列表包括以下内容：AutomationRulesFindingFieldsUpdateV2

• Comment

• SeverityId

• StatusId