Grundlegendes zu den Automatisierungsregeln in Security Hub - AWS Security Hub
Definition von Regelkriterien und RegelaktionenVerfügbare Regelkriterien und RegelaktionenErgebnisse, die durch Automatisierungsregeln bewertet werdenSo funktioniert die Reihenfolge der Regeln

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Grundlegendes zu den Automatisierungsregeln in Security Hub

Sie können Automatisierungsregeln verwenden, um Ergebnisse automatisch zu aktualisieren AWS Security Hub. Bei der Erfassung der Ergebnisse kann Security Hub eine Vielzahl von Regelaktionen anwenden, z. B. Ergebnisse unterdrücken, ihren Schweregrad ändern und Notizen hinzufügen. Solche Regelaktionen ändern Ergebnisse, die Ihren angegebenen Kriterien entsprechen.

Zu den Anwendungsfällen für Automatisierungsregeln gehören unter anderem die folgenden:

  • Erhöhung des Schweregrads eines Ergebnisses auf den Wert, CRITICAL wenn sich die Ressourcen-ID des Ergebnisses auf eine geschäftskritische Ressource bezieht.

  • Erhöhung des Schweregrads eines Ergebnisses von bis HIGH zu, CRITICAL wenn das Ergebnis Ressourcen in bestimmten Produktionskonten betrifft.

  • Zuweisen bestimmter Ergebnisse, deren Schweregrad einem INFORMATIONAL SUPPRESSED Workflow-Status entspricht.

Sie können Automatisierungsregeln nur von einem Security Hub-Administratorkonto aus erstellen und verwalten.

Die Regeln gelten sowohl für neue als auch für aktualisierte Ergebnisse. Sie können eine benutzerdefinierte Regel von Grund auf neu erstellen oder eine von Security Hub bereitgestellte Regelvorlage verwenden. Sie können auch mit einer Vorlage beginnen und diese nach Bedarf ändern.

Definition von Regelkriterien und Regelaktionen

Von einem Security Hub-Administratorkonto aus können Sie eine Automatisierungsregel erstellen, indem Sie ein oder mehrere Regelkriterien und eine oder mehrere Regelaktionen definieren. Wenn ein Ergebnis den definierten Kriterien entspricht, wendet Security Hub die Regelaktionen darauf an. Weitere Informationen zu verfügbaren Kriterien und Aktionen finden Sie unterVerfügbare Regelkriterien und Regelaktionen.

Security Hub unterstützt derzeit maximal 100 Automatisierungsregeln für jedes Administratorkonto.

Das Security Hub-Administratorkonto kann auch Automatisierungsregeln bearbeiten, anzeigen und löschen. Eine Regel gilt für den Abgleich von Ergebnissen im Administratorkonto und all seinen Mitgliedskonten. Durch die Angabe des Mitgliedskontos IDs als Regelkriterium können Security Hub-Administratoren auch Automatisierungsregeln verwenden, um Ergebnisse in bestimmten Mitgliedskonten zu aktualisieren oder zu unterdrücken.

Eine Automatisierungsregel gilt nur in dem Land, AWS-Region in dem sie erstellt wurde. Um eine Regel in mehreren Regionen anzuwenden, muss der Administrator die Regel in jeder Region erstellen. Dies kann über die Security Hub-Konsole, Security Hub API oder erfolgen AWS CloudFormation. Sie können auch ein Bereitstellungsskript für mehrere Regionen verwenden.

Verfügbare Regelkriterien und Regelaktionen

Die folgenden Felder im AWS Security Finding Format (ASFF) werden derzeit als Kriterien für Automatisierungsregeln unterstützt:

Regelkriterium Operatoren filtern Feldtyp
AwsAccountId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
AwsAccountName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
CompanyName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ComplianceAssociatedStandardsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ComplianceSecurityControlId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ComplianceStatus Is, Is Not Wählen Sie: [FAILED,NOT_AVAILABLE,PASSED,WARNING]
Confidence Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Zahl
CreatedAt Start, End, DateRange Datum (formatiert als 2021-12-01T 21:47:39.269 Z)
Criticality Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Zahl
Description CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
FirstObservedAt Start, End, DateRange Datum (formatiert als 2021-12-01T 21:47:39.269 Z)
GeneratorId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
Id CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
LastObservedAt Start, End, DateRange Datum (formatiert als 2021-12-01T 21:47:39.269 Z)
NoteText CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
NoteUpdatedAt Start, End, DateRange Datum (formatiert als 2021-12-01T 21:47:39.269 Z)
NoteUpdatedBy CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ProductName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
RecordState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
RelatedFindingsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
RelatedFindingsProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ResourceApplicationArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ResourceApplicationName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceDetailsOther CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Zuordnung
ResourceId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourcePartition CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
ResourceRegion CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceTags CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Zuordnung
ResourceType Is, Is Not Wählen Sie (siehe Ressourcen, unterstützt vonASFF)
SeverityLabel Is, Is Not Wählen Sie: [CRITICAL,HIGH,MEDIUM,LOW,INFORMATIONAL]
SourceUrl CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
Title CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Zeichenfolge
Type CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
UpdatedAt Start, End, DateRange Datum (formatiert als 2021-12-01T 21:47:39.269 Z)
UserDefinedFields CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Zuordnung
VerificationState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
WorkflowStatus Is, Is Not Wählen Sie NEW NOTIFIEDRESOLVED: [,,,SUPPRESSED]

Bei Kriterien, die als Zeichenkettenfelder gekennzeichnet sind, wirkt sich die Verwendung verschiedener Filteroperatoren für dasselbe Feld auf die Bewertungslogik aus. Weitere Informationen finden Sie unter StringFilterin der AWS Security Hub APIReferenz.

Jedes Kriterium unterstützt eine maximale Anzahl von Werten, anhand derer übereinstimmende Ergebnisse gefiltert werden können. Die Grenzwerte für jedes Kriterium finden Sie unter AutomationRulesFindingFiltersin der AWS Security Hub APIReferenz.

Die folgenden ASFF Felder werden derzeit als Aktionen für Automatisierungsregeln unterstützt:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Weitere Informationen zu bestimmten ASFF Feldern finden Sie unter Syntax des AWS Security Finding Format (ASFF).

Tipp

Wenn Sie möchten, dass Security Hub keine Ergebnisse für ein bestimmtes Steuerelement generiert, empfehlen wir, das Steuerelement zu deaktivieren, anstatt eine Automatisierungsregel zu verwenden. Wenn Sie eine Kontrolle deaktivieren, beendet Security Hub die Durchführung von Sicherheitsüberprüfungen und generiert keine Ergebnisse mehr dafür, sodass Ihnen für diese Kontrolle keine Gebühren entstehen. Wir empfehlen die Verwendung von Automatisierungsregeln, um die Werte bestimmter ASFF Felder für Ergebnisse zu ändern, die definierten Kriterien entsprechen. Weitere Informationen zum Deaktivieren von Steuerelementen finden Sie unterSteuerelemente im Security Hub deaktivieren.

Ergebnisse, die durch Automatisierungsregeln bewertet werden

Eine Automatisierungsregel bewertet neue und aktualisierte Erkenntnisse, die Security Hub generiert oder aufnimmt über BatchImportFindingsVorgang, nachdem Sie die Regel erstellt haben. Security Hub Hub-Updates kontrollieren die Ergebnisse alle 12 bis 24 Stunden oder wenn sich der Status der zugehörigen Ressource ändert. Weitere Informationen finden Sie unterZeitplan für die Ausführung von Sicherheitsprüfungen.

Automatisierungsregeln bewerten die ursprünglichen Ergebnisse, die vom Anbieter bereitgestellt wurden. Anbieter können durch den BatchImportFindings Betrieb des Security Hub neue Erkenntnisse liefern und bestehende Erkenntnisse aktualisierenAPI. Regeln werden nicht ausgelöst, wenn Sie Suchfelder nach der Regelerstellung über den aktualisieren BatchUpdateFindingsVorgang. Wenn Sie eine Automatisierungsregel erstellen und eine BatchUpdateFindings Aktualisierung vornehmen, die beide dasselbe Ergebnisfeld betreffen, legt die letzte Aktualisierung den Wert für dieses Feld fest. Nehmen wir das folgende Beispiel:

  1. Sie verwendenBatchUpdateFindings, um das Workflow.Status Feld eines Befundes von bis NEW zu zu aktualisierenNOTIFIED.

  2. Wenn Sie aufrufenGetFindings, hat das Workflow.Status Feld jetzt den WertNOTIFIED.

  3. Sie erstellen eine Automatisierungsregel, die das Workflow.Status Feld des Ergebnisses von NEW zu ändert SUPPRESSED (denken Sie daran, dass Regeln Aktualisierungen ignorieren, die mit vorgenommen wurdenBatchUpdateFindings).

  4. Der Suchdienstleister verwendetBatchImportFindings, um den Befund zu aktualisieren, und ändert das Workflow.Status Feld inNEW.

  5. Wenn Sie aufrufenGetFindings, hat das Workflow.Status Feld jetzt den Wert, SUPPRESSED weil die Automatisierungsregel angewendet wurde und die Regel die letzte Aktion war, die für das Ergebnis ausgeführt wurde.

Wenn Sie eine Regel auf der Security Hub Hub-Konsole erstellen oder bearbeiten, zeigt die Konsole eine Vorschau der Ergebnisse an, die den Regelkriterien entsprechen. Während Automatisierungsregeln die ursprünglichen Ergebnisse auswerten, die vom Anbieter der Ergebnisse gesendet wurden, werden in der Konsolenvorschau die Ergebnisse in ihrem endgültigen Zustand so wiedergegeben, wie sie in einer Antwort auf die GetFindingsAPIVorgang (d. h. nachdem Regelaktionen oder andere Aktualisierungen auf das Ergebnis angewendet wurden).

So funktioniert die Reihenfolge der Regeln

Beim Erstellen von Automatisierungsregeln weisen Sie jeder Regel eine Reihenfolge zu. Dies bestimmt die Reihenfolge, in der Security Hub Ihre Automatisierungsregeln anwendet, und ist wichtig, wenn sich mehrere Regeln auf dasselbe Ergebnis oder Findungsfeld beziehen.

Wenn sich mehrere Regelaktionen auf dasselbe Befund- oder Findungsfeld beziehen, gilt die Regel mit dem höchsten numerischen Wert für die Reihenfolge der Regeln zuletzt und hat die endgültige Wirkung.

Wenn Sie eine Regel in der Security Hub-Konsole erstellen, weist Security Hub automatisch die Regelreihenfolge auf der Grundlage der Reihenfolge der Regelerstellung zu. Die zuletzt erstellte Regel hat den niedrigsten numerischen Wert für die Regelreihenfolge und gilt daher zuerst. Security Hub wendet nachfolgende Regeln in aufsteigender Reihenfolge an.

Wenn Sie eine Regel über den Security Hub API oder erstellen AWS CLI, wendet Security Hub RuleOrder zuerst die Regel mit dem niedrigsten numerischen Wert an. Anschließend werden die nachfolgenden Regeln in aufsteigender Reihenfolge angewendet. Wenn mehrere Ergebnisse identisch sindRuleOrder, wendet Security Hub zuerst eine Regel mit einem früheren Wert für das UpdatedAt Feld an (d. h. die Regel, die zuletzt bearbeitet wurde, gilt zuletzt).

Sie können die Reihenfolge der Regeln jederzeit ändern.

Beispiel für die Reihenfolge der Regeln:

Regel A (Regelreihenfolge ist1):

  • Kriterien für Regel A

    • ProductName = Security Hub

    • Resources.Type ist S3 Bucket

    • Compliance.Status = FAILED

    • RecordState ist NEW

    • Workflow.Status = ACTIVE

  • Aktionen nach Regel A

    • Update Confidence auf 95

    • Aktualisieren Severity auf CRITICAL

Regel B (Reihenfolge der Regeln ist2):

  • Kriterien für Regel B

    • AwsAccountId = 123456789012

  • Aktionen nach Regel B

    • Update Severity auf INFORMATIONAL

Regel-A-Aktionen gelten zuerst für Security Hub Hub-Ergebnisse, die den Kriterien von Regel A entsprechen. Als Nächstes gelten die Aktionen nach Regel B für Security Hub Hub-Ergebnisse mit der angegebenen Konto-ID. Da Regel B in diesem Beispiel zuletzt gilt, lautet der Endwert von Severity in findings from the specified account IDINFORMATIONAL. Basierend auf der Regel A-Aktion ist der Endwert von Confidence in übereinstimmenden Ergebnissen95.