Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM
Sie können Automatisierungsregeln verwenden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Bei der Erfassung der Ergebnisse kann Security Hub CSPM eine Vielzahl von Regelaktionen anwenden, z. B. das Unterdrücken von Ergebnissen, das Ändern ihres Schweregrads und das Hinzufügen von Notizen. Solche Regelaktionen ändern Ergebnisse, die Ihren angegebenen Kriterien entsprechen.
Zu den Anwendungsfällen für Automatisierungsregeln gehören unter anderem die folgenden:
+ Erhöhung des Schweregrads eines Ergebnisses auf den Wert, `CRITICAL` wenn sich die Ressourcen-ID des Ergebnisses auf eine geschäftskritische Ressource bezieht.
+ Erhöhung des Schweregrads eines Ergebnisses von bis `HIGH` zu, `CRITICAL` wenn das Ergebnis Ressourcen in bestimmten Produktionskonten betrifft.
+ Zuweisen bestimmter Ergebnisse, deren Schweregrad einem `INFORMATIONAL` `SUPPRESSED` Workflow-Status entspricht.
Sie können Automatisierungsregeln nur über ein Security Hub CSPM-Administratorkonto erstellen und verwalten.
Die Regeln gelten sowohl für neue als auch für aktualisierte Ergebnisse. Sie können eine benutzerdefinierte Regel von Grund auf neu erstellen oder eine von Security Hub CSPM bereitgestellte Regelvorlage verwenden. Sie können auch mit einer Vorlage beginnen und diese nach Bedarf ändern.
## Definition von Regelkriterien und Regelaktionen
*Von einem Security Hub CSPM-Administratorkonto aus können Sie eine Automatisierungsregel erstellen, indem Sie ein oder mehrere *Regelkriterien* und eine oder mehrere Regelaktionen definieren.* Wenn ein Ergebnis den definierten Kriterien entspricht, wendet Security Hub CSPM die Regelaktionen darauf an. Weitere Informationen zu verfügbaren Kriterien und Aktionen finden Sie unter. [Verfügbare Regelkriterien und Regelaktionen](#automation-rules-criteria-actions)
Security Hub CSPM unterstützt derzeit maximal 100 Automatisierungsregeln für jedes Administratorkonto.
Das Security Hub CSPM-Administratorkonto kann auch Automatisierungsregeln bearbeiten, anzeigen und löschen. Eine Regel gilt für den Abgleich von Ergebnissen im Administratorkonto und all seinen Mitgliedskonten. Durch die Angabe des Mitgliedskontos IDs als Regelkriterium können Security Hub CSPM-Administratoren auch Automatisierungsregeln verwenden, um Ergebnisse in bestimmten Mitgliedskonten zu aktualisieren oder zu unterdrücken.
Eine Automatisierungsregel gilt nur in dem Land, AWS-Region in dem sie erstellt wurde. Um eine Regel in mehreren Regionen anzuwenden, muss der Administrator die Regel in jeder Region erstellen. Dies kann über die Security Hub CSPM-Konsole, die Security Hub CSPM-API oder erfolgen. [AWS CloudFormation](creating-resources-with-cloudformation.md) [Sie können auch ein Bereitstellungsskript für mehrere Regionen verwenden.](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules)
## Verfügbare Regelkriterien und Regelaktionen
Die folgenden ASFF-Felder ( AWS Security Finding Format) werden derzeit als Kriterien für Automatisierungsregeln unterstützt:
| Regelkriterium | Filteroperatoren | Feldtyp |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ComplianceStatus | Is, Is Not | Wählen Sie: [FAILED,NOT\$1AVAILABLE,PASSED,WARNING] |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Zahl |
| CreatedAt | Start, End, DateRange | Datum (formatiert als 2021-12-01T 21:47:39.269 Z) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Zahl |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| FirstObservedAt | Start, End, DateRange | Datum (formatiert als 2021-12-01T 21:47:39.269 Z) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| LastObservedAt | Start, End, DateRange | Datum (formatiert als 2021-12-01T 21:47:39.269 Z) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| NoteUpdatedAt | Start, End, DateRange | Datum (formatiert als 2021-12-01T 21:47:39.269 Z) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Zuordnung |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Zuordnung |
| ResourceType | Is, Is Not | Wählen Sie ([siehe](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) Von ASFF unterstützte Ressourcen) |
| SeverityLabel | Is, Is Not | Wählen Sie: [CRITICAL,HIGH,, MEDIUMLOW,INFORMATIONAL] |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| UpdatedAt | Start, End, DateRange | Datum (formatiert als 2021-12-01T 21:47:39.269 Z) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Zuordnung |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Zeichenfolge |
| WorkflowStatus | Is, Is Not | Wählen Sie NEW NOTIFIEDRESOLVED: [,,,SUPPRESSED] |
Bei Kriterien, die als Zeichenkettenfelder gekennzeichnet sind, wirkt sich die Verwendung verschiedener Filteroperatoren für dasselbe Feld auf die Bewertungslogik aus. Weitere Informationen finden Sie [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)in der *AWS Security Hub CSPM API-Referenz*.
Jedes Kriterium unterstützt eine maximale Anzahl von Werten, anhand derer übereinstimmende Ergebnisse gefiltert werden können. Die Grenzwerte für die einzelnen Kriterien finden Sie [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)in der *AWS Security Hub CSPM API-Referenz*.
Die folgenden ASFF-Felder werden derzeit als Aktionen für Automatisierungsregeln unterstützt:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
Weitere Informationen zu bestimmten ASFF-Feldern finden Sie unter Syntax des [AWS Security Finding Format (ASFF](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)).
**Tipp**
Wenn Sie möchten, dass Security Hub CSPM keine Ergebnisse für ein bestimmtes Steuerelement generiert, empfehlen wir, das Steuerelement zu deaktivieren, anstatt eine Automatisierungsregel zu verwenden. Wenn Sie eine Kontrolle deaktivieren, beendet Security Hub CSPM die Durchführung von Sicherheitsüberprüfungen und generiert keine Ergebnisse mehr dafür, sodass Ihnen für diese Kontrolle keine Gebühren entstehen. Wir empfehlen die Verwendung von Automatisierungsregeln, um die Werte bestimmter ASFF-Felder für Ergebnisse zu ändern, die definierten Kriterien entsprechen. Weitere Informationen zum Deaktivieren von Steuerelementen finden Sie unter. [Steuerelemente in Security Hub CSPM deaktivieren](disable-controls-overview.md)
## Ergebnisse, die durch Automatisierungsregeln bewertet werden
Eine Automatisierungsregel wertet neue und aktualisierte Ergebnisse aus, die Security Hub CSPM im Rahmen des [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)Vorgangs generiert oder aufnimmt, *nachdem* Sie die Regel erstellt haben. Security Hub CSPM-Updates kontrollieren die Ergebnisse alle 12 bis 24 Stunden oder wenn sich der Status der zugehörigen Ressource ändert. Weitere Informationen finden Sie unter [Zeitplan für die Ausführung von Sicherheitsprüfungen](securityhub-standards-schedule.md).
Automatisierungsregeln bewerten die ursprünglichen Ergebnisse, die vom Anbieter bereitgestellt wurden. Anbieter können mithilfe der Security Hub CSPM-API neue Erkenntnisse bereitstellen und bestehende Ergebnisse aktualisieren. `BatchImportFindings` Wenn die folgenden Felder im ursprünglichen Ergebnis nicht vorhanden sind, füllt Security Hub CSPM die Felder automatisch aus und verwendet dann die ausgefüllten Werte bei der Auswertung durch die Automatisierungsregel:
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
Nachdem Sie eine oder mehrere Automatisierungsregeln erstellt haben, werden die Regeln nicht ausgelöst, wenn Sie Suchfelder mithilfe des Vorgangs aktualisieren. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) Wenn Sie eine Automatisierungsregel erstellen und eine `BatchUpdateFindings` Aktualisierung vornehmen, die sich beide auf dasselbe Ergebnisfeld auswirken, legt die letzte Aktualisierung den Wert für dieses Feld fest. Nehmen wir das folgende Beispiel:
1. Sie verwenden die `BatchUpdateFindings` Operation, um den Wert für das `Workflow.Status` Feld eines Ergebnisses von bis `NEW` zu zu ändern`NOTIFIED`.
1. Wenn Sie aufrufen`GetFindings`, hat das `Workflow.Status` Feld jetzt den Wert`NOTIFIED`.
1. Sie erstellen eine Automatisierungsregel, die das `Workflow.Status` Feld des Ergebnisses von `NEW` zu ändert`SUPPRESSED`. (Denken Sie daran, dass Regeln Aktualisierungen ignorieren, die mithilfe des `BatchUpdateFindings` Vorgangs vorgenommen wurden.)
1. Der Suchprovider verwendet den `BatchImportFindings` Vorgang, um den Befund zu aktualisieren, und ändert den Wert für das `Workflow.Status` Feld des Ergebnisses in`NEW`.
1. Wenn Sie aufrufen`GetFindings`, hat das `Workflow.Status` Feld jetzt den Wert`SUPPRESSED`. Dies ist der Fall, weil die Automatisierungsregel angewendet wurde und die Regel die letzte Aktion war, die aufgrund des Ergebnisses ausgeführt wurde.
Wenn Sie eine Regel auf der Security Hub CSPM-Konsole erstellen oder bearbeiten, zeigt die Konsole eine Beta-Version der Ergebnisse an, die den Regelkriterien entsprechen. Während Automatisierungsregeln die ursprünglichen Ergebnisse auswerten, die vom Finding-Anbieter gesendet wurden, gibt die Beta-Version der Konsole die Ergebnisse in ihrem endgültigen Zustand wieder, so wie sie als Reaktion auf den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)Vorgang angezeigt würden (d. h. nachdem Regelaktionen oder andere Updates auf das Ergebnis angewendet wurden).
## Wie funktioniert die Reihenfolge der Regeln
Beim Erstellen von Automatisierungsregeln weisen Sie jeder Regel eine Reihenfolge zu. Dies bestimmt die Reihenfolge, in der Security Hub CSPM Ihre Automatisierungsregeln anwendet, und ist wichtig, wenn sich mehrere Regeln auf dasselbe Such- oder Findungsfeld beziehen.
Wenn sich mehrere Regelaktionen auf dasselbe Befund- oder Findungsfeld beziehen, gilt die Regel mit dem höchsten numerischen Wert für die Reihenfolge der Regeln zuletzt und hat die endgültige Wirkung.
Wenn Sie eine Regel in der Security Hub CSPM-Konsole erstellen, weist Security Hub CSPM automatisch die Regelreihenfolge auf der Grundlage der Reihenfolge der Regelerstellung zu. Die zuletzt erstellte Regel hat den niedrigsten numerischen Wert für die Regelreihenfolge und gilt daher zuerst. Security Hub CSPM wendet nachfolgende Regeln in aufsteigender Reihenfolge an.
Wenn Sie eine Regel über die Security Hub CSPM API oder erstellen AWS CLI, wendet Security Hub CSPM zuerst die Regel mit dem niedrigsten numerischen Wert an. `RuleOrder` Anschließend werden die nachfolgenden Regeln in aufsteigender Reihenfolge angewendet. Wenn mehrere Ergebnisse identisch sind`RuleOrder`, wendet Security Hub CSPM zuerst eine Regel mit einem früheren Wert für das `UpdatedAt` Feld an (d. h. die Regel, die zuletzt bearbeitet wurde, gilt zuletzt).
Sie können die Reihenfolge der Regeln jederzeit ändern.
**Beispiel für die Reihenfolge der Regeln**:
**Regel A (Regelreihenfolge ist`1`)**:
+ Kriterien für Regel A
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type` ist `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState` ist `NEW`
+ `Workflow.Status` = `ACTIVE`
+ Aktionen nach Regel A
+ Update `Confidence` auf `95`
+ Aktualisieren `Severity` auf `CRITICAL`
**Regel B (Reihenfolge der Regeln ist`2`)**:
+ Kriterien für Regel B
+ `AwsAccountId` = `123456789012`
+ Aktionen nach Regel B
+ Update `Severity` auf `INFORMATIONAL`
Aktionen nach Regel A gelten zuerst für Security Hub CSPM-Ergebnisse, die den Kriterien von Regel A entsprechen. Als Nächstes gelten die Aktionen nach Regel B für Security Hub CSPM-Ergebnisse mit der angegebenen Konto-ID. Da Regel B in diesem Beispiel zuletzt gilt, lautet der Endwert für Ergebnisse aus `Severity` der angegebenen Konto-ID. `INFORMATIONAL` Basierend auf der Regel A-Aktion ist der Endwert von `Confidence` in übereinstimmenden Ergebnissen`95`.
# Automatisierungsregeln erstellen
Eine Automatisierungsregel kann verwendet werden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Sie können eine benutzerdefinierte Automatisierungsregel von Grund auf neu erstellen oder auf der Security Hub CSPM-Konsole eine vorab ausgefüllte Regelvorlage verwenden. Hintergrundinformationen zur Funktionsweise von Automatisierungsregeln finden Sie unter. [Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md)
Sie können jeweils nur eine Automatisierungsregel erstellen. Um mehrere Automatisierungsregeln zu erstellen, folgen Sie den Konsolenprozeduren mehrmals oder rufen Sie die API oder den Befehl mehrmals mit den gewünschten Parametern auf.
Sie müssen in jeder Region und jedem Konto, in dem die Regel auf Ergebnisse angewendet werden soll, eine Automatisierungsregel erstellen.
Wenn Sie eine Automatisierungsregel in der Security Hub CSPM-Konsole erstellen, zeigt Ihnen Security Hub CSPM eine Betaversion der Ergebnisse, für die Ihre Regel gilt. Die Betaversion wird derzeit nicht unterstützt, wenn Ihre Regelkriterien einen CONTAINS- oder NOT\$1CONTAINS-Filter beinhalten. Sie können diese Filter für Zuordnungs- und Zeichenkettenfeldtypen auswählen.
**Wichtig**
AWS empfiehlt, keine personenbezogenen, vertraulichen oder sensiblen Informationen in den Regelnamen, die Beschreibung oder andere Felder aufzunehmen.
## Eine benutzerdefinierte Automatisierungsregel erstellen
Wählen Sie Ihre bevorzugte Methode und führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Automatisierungsregel zu erstellen.
------
#### [ Console ]
**So erstellen Sie eine benutzerdefinierte Automatisierungsregel (Konsole)**
1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich Automations aus.**
1. Wählen Sie **Regel erstellen** aus. Wählen Sie für **Regeltyp** die Option **Benutzerdefinierte Regel erstellen** aus.
1. Geben Sie im Abschnitt **Regel** einen eindeutigen Regelnamen und eine Beschreibung für Ihre Regel ein.
1. Verwenden Sie für **Kriterien** die Dropdownmenüs **Schlüssel**, **Operator** und **Wert**, um Ihre Regelkriterien anzugeben. Sie müssen mindestens ein Regelkriterium angeben.
Wenn die von Ihnen ausgewählten Kriterien unterstützt werden, zeigt Ihnen die Konsole eine Betaversion der Ergebnisse, die Ihren Kriterien entsprechen.
1. Verwenden Sie für **automatisierte Aktionen** die Dropdownmenüs, um anzugeben, welche Ergebnisfelder aktualisiert werden sollen, wenn die Ergebnisse Ihren Regelkriterien entsprechen. Sie müssen mindestens eine Regelaktion angeben.
1. Wählen Sie **unter Regelstatus** aus, ob die Regel nach ihrer Erstellung **aktiviert** oder **deaktiviert** werden soll.
1. (Optional) Erweitern Sie den Abschnitt **Zusätzliche Einstellungen**. Wählen Sie **Nachfolgende Regeln für Ergebnisse ignorieren, die diesen Kriterien entsprechen**, wenn diese Regel die letzte Regel sein soll, die auf Ergebnisse angewendet wird, die den Regelkriterien entsprechen.
1. (Optional) Fügen Sie für **Tags Tags** als Schlüssel-Wert-Paare hinzu, damit Sie die Regel leichter identifizieren können.
1. Wählen Sie **Regel erstellen** aus.
------
#### [ API ]
**Um eine benutzerdefinierte Automatisierungsregel (API) zu erstellen**
1. Führen Sie die Ausführung [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)über das Security Hub CSPM-Administratorkonto aus. Diese API erstellt eine Regel mit einem bestimmten Amazon-Ressourcennamen (ARN).
1. Geben Sie einen Namen und eine Beschreibung für die Regel ein.
1. Legen Sie den `IsTerminal` Parameter auf fest, `true` wenn diese Regel die letzte Regel sein soll, die auf Ergebnisse angewendet wird, die den Regelkriterien entsprechen.
1. Geben Sie für den `RuleOrder` Parameter die Reihenfolge der Regel an. Security Hub CSPM wendet zuerst Regeln mit einem niedrigeren numerischen Wert für diesen Parameter an.
1. Geben Sie für den `RuleStatus` Parameter an, ob Security Hub CSPM die Regel aktivieren und nach der Erstellung auf Ergebnisse anwenden soll. Der Standardwert ist `ENABLED`, wenn kein Wert angegeben wird. Der Wert von `DISABLED` bedeutet, dass die Regel nach der Erstellung angehalten wird.
1. Geben Sie für den `Criteria` Parameter die Kriterien an, nach denen Security Hub CSPM Ihre Ergebnisse filtern soll. Die Regelaktion gilt für Ergebnisse, die den Kriterien entsprechen. Eine Liste der unterstützten Kriterien finden Sie unter[Verfügbare Regelkriterien und Regelaktionen](automation-rules.md#automation-rules-criteria-actions).
1. Geben Sie für den `Actions` Parameter die Aktionen an, die Security Hub CSPM ausführen soll, wenn eine Übereinstimmung zwischen einem Ergebnis und Ihren definierten Kriterien besteht. Eine Liste der unterstützten Aktionen finden Sie unter. [Verfügbare Regelkriterien und Regelaktionen](automation-rules.md#automation-rules-criteria-actions)
Mit dem folgenden AWS CLI Beispielbefehl wird eine Automatisierungsregel erstellt, die den Workflow-Status und die Notiz der übereinstimmenden Ergebnisse aktualisiert. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## Eine Automatisierungsregel anhand einer Vorlage erstellen (nur Konsole)
Regelvorlagen spiegeln gängige Anwendungsfälle für Automatisierungsregeln wider. Derzeit unterstützt nur die Security Hub CSPM-Konsole Regelvorlagen. Gehen Sie wie folgt vor, um eine Automatisierungsregel aus einer Vorlage in der Konsole zu erstellen.
**Um eine Automatisierungsregel aus einer Vorlage (Konsole) zu erstellen**
1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich Automations aus.**
1. Wählen Sie **Regel erstellen** aus. Wählen Sie als **Regeltyp** die Option **Regel aus Vorlage erstellen aus**.
1. Wählen Sie im Dropdownmenü eine Regelvorlage aus.
1. (Optional) Falls für Ihren Anwendungsfall erforderlich, ändern Sie die Abschnitte **Regel**, **Kriterien** und **Automatisierte Aktion**. Sie müssen mindestens ein Regelkriterium und eine Regelaktion angeben.
Wenn die von Ihnen ausgewählten Kriterien unterstützt werden, zeigt Ihnen die Konsole eine Betaversion der Ergebnisse, die Ihren Kriterien entsprechen.
1. Wählen Sie **unter Regelstatus** aus, ob die Regel nach ihrer Erstellung **aktiviert** oder **deaktiviert** werden soll.
1. (Optional) Erweitern Sie den Abschnitt **Zusätzliche Einstellungen**. Wählen Sie **Nachfolgende Regeln für Ergebnisse ignorieren, die diesen Kriterien entsprechen**, wenn diese Regel die letzte Regel sein soll, die auf Ergebnisse angewendet wird, die den Regelkriterien entsprechen.
1. (Optional) Fügen Sie für **Tags Tags** als Schlüssel-Wert-Paare hinzu, damit Sie die Regel leichter identifizieren können.
1. Wählen Sie **Regel erstellen** aus.
# Automatisierungsregeln anzeigen
Eine Automatisierungsregel kann verwendet werden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Hintergrundinformationen zur Funktionsweise von Automatisierungsregeln finden Sie unter. [Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md)
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um Ihre vorhandenen Automatisierungsregeln und die Details jeder Regel einzusehen.
Einen Überblick darüber, wie Automatisierungsregeln Ihre Ergebnisse verändert haben, finden Sie unter[Überprüfung der Funddetails und des Verlaufs in Security Hub CSPM](securityhub-findings-viewing.md).
------
#### [ Console ]
**So zeigen Sie Automatisierungsregeln an (Konsole)**
1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich Automations aus.**
1. Wählen Sie einen Regelnamen. Wählen Sie alternativ eine Regel aus.
1. Wählen Sie **Aktionen** und **Ansicht** aus.
------
#### [ API ]
**Um Automatisierungsregeln (API) anzuzeigen**
1. Um die Automatisierungsregeln für Ihr Konto einzusehen, führen Sie es [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html)vom Security Hub CSPM-Administratorkonto aus. Diese API gibt die Regel ARNs und andere Metadaten für Ihre Regeln zurück. Für diese API sind keine Eingabeparameter erforderlich, Sie können diese jedoch optional `NextToken` als Paginierungsparameter angeben, `MaxResults` um die Anzahl der Ergebnisse zu begrenzen. Der Anfangswert von `NextToken` sollte sein. `NULL`
1. Weitere Regeldetails, einschließlich der Kriterien und Aktionen für eine Regel, erhalten Sie [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html)über das Security Hub CSPM-Administratorkonto. Geben Sie ARNs die Automatisierungsregeln an, für die Sie Details benötigen.
Im folgenden Beispiel werden Details für die angegebenen Automatisierungsregeln abgerufen. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# Automatisierungsregeln bearbeiten
Eine Automatisierungsregel kann verwendet werden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Hintergrundinformationen zur Funktionsweise von Automatisierungsregeln finden Sie unter. [Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md)
Nach der Erstellung einer Automatisierungsregel kann der delegierte Security Hub CSPM-Administrator die Regel bearbeiten. Wenn Sie eine Automatisierungsregel bearbeiten, gelten die Änderungen für neue und aktualisierte Ergebnisse, die Security Hub CSPM nach der Regelbearbeitung generiert oder aufnimmt.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um den Inhalt einer Automatisierungsregel zu bearbeiten. Sie können eine oder mehrere Regeln mit einer einzigen Anfrage bearbeiten. Anweisungen zum Bearbeiten der Regelreihenfolge finden Sie unter[Reihenfolge der Automatisierungsregeln bearbeiten](edit-rule-order.md).
------
#### [ Console ]
**So bearbeiten Sie Automatisierungsregeln (Konsole)**
1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich Automations aus.**
1. Wählen Sie die Regel aus, die Sie bearbeiten möchten. Wählen Sie **Aktion** und **Bearbeiten**.
1. Ändern Sie die Regel wie gewünscht und wählen Sie **Änderungen speichern**.
------
#### [ API ]
**Um Automatisierungsregeln (API) zu bearbeiten**
1. Führen Sie die Ausführung [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)über das Security Hub CSPM-Administratorkonto aus.
1. Geben Sie für den `RuleArn` Parameter den ARN der Regel (n) an, die Sie bearbeiten möchten.
1. Geben Sie die neuen Werte für die Parameter an, die Sie bearbeiten möchten. Sie können jeden Parameter bearbeiten, außer`RuleArn`.
Im folgenden Beispiel für wird die angegebene Automatisierungsregel aktualisiert. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# Reihenfolge der Automatisierungsregeln bearbeiten
Eine Automatisierungsregel kann verwendet werden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Hintergrundinformationen zur Funktionsweise von Automatisierungsregeln finden Sie unter. [Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md)
Nach der Erstellung einer Automatisierungsregel kann der delegierte Security Hub CSPM-Administrator die Regel bearbeiten.
Wenn Sie die Regelkriterien und Aktionen unverändert lassen möchten, aber die Reihenfolge ändern möchten, in der Security Hub CSPM eine Automatisierungsregel anwendet, können Sie nur die Reihenfolge der Regeln bearbeiten. Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten, um die Reihenfolge der Regeln zu bearbeiten.
Anweisungen zum Bearbeiten der Kriterien oder Aktionen einer Automatisierungsregel finden Sie unter[Automatisierungsregeln bearbeiten](edit-automation-rules.md).
------
#### [ Console ]
**So bearbeiten Sie die Reihenfolge der Automatisierungsregeln (Konsole)**
1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich Automations aus.**
1. Wählen Sie die Regel aus, deren Reihenfolge Sie ändern möchten. Wählen Sie **Priorität bearbeiten**.
1. Wählen **Sie Nach oben**, um die Priorität der Regel um eine Einheit zu erhöhen. Wählen **Sie Nach unten**, um die Priorität der Regel um eine Einheit zu verringern. Wählen **Sie „Nach oben“**, um der Regel die Reihenfolge **1** zuzuweisen (dadurch hat die Regel Vorrang vor anderen bestehenden Regeln).
**Anmerkung**
Wenn Sie eine Regel in der Security Hub CSPM-Konsole erstellen, weist Security Hub CSPM automatisch die Regelreihenfolge auf der Grundlage der Reihenfolge der Regelerstellung zu. Die zuletzt erstellte Regel hat den niedrigsten numerischen Wert für die Regelreihenfolge und gilt daher zuerst.
------
#### [ API ]
**Um die Reihenfolge der Automatisierungsregeln (API) zu bearbeiten**
1. Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)Vorgang vom Security Hub CSPM-Administratorkonto aus.
1. Geben Sie für den `RuleArn` Parameter den ARN der Regel (n) an, deren Reihenfolge Sie bearbeiten möchten.
1. Ändern Sie den Wert des `RuleOrder` Felds.
**Anmerkung**
Wenn mehrere Regeln dasselbe haben`RuleOrder`, wendet Security Hub CSPM zuerst eine Regel mit einem früheren Wert für das `UpdatedAt` Feld an (d. h. die Regel, die zuletzt bearbeitet wurde, gilt zuletzt).
------
# Automatisierungsregeln löschen oder deaktivieren
Eine Automatisierungsregel kann verwendet werden, um Ergebnisse in AWS Security Hub CSPM automatisch zu aktualisieren. Hintergrundinformationen zur Funktionsweise von Automatisierungsregeln finden Sie unter. [Grundlegendes zu den Automatisierungsregeln in Security Hub CSPM](automation-rules.md)
Wenn Sie eine Automatisierungsregel löschen, entfernt Security Hub CSPM sie aus Ihrem Konto und wendet die Regel nicht mehr auf Ergebnisse an. Als Alternative zum Löschen können Sie eine Regel *deaktivieren*. Dadurch wird die Regel für die future Verwendung beibehalten, aber Security Hub CSPM wendet die Regel erst auf übereinstimmende Ergebnisse an, wenn Sie sie aktivieren.
Wählen Sie Ihre bevorzugte Methode und folgen Sie den Schritten zum Löschen einer Automatisierungsregel. Sie können eine oder mehrere Regeln in einer einzigen Anfrage löschen.
------
#### [ Console ]
**Um Automatisierungsregeln zu löschen oder zu deaktivieren (Konsole)**
1. Öffnen Sie mit den Anmeldeinformationen des Security Hub CSPM-Administrators die AWS Security Hub CSPM-Konsole unter. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Wählen Sie im Navigationsbereich Automations aus.**
1. Wählen Sie die Regel (n) aus, die Sie löschen möchten. Wählen Sie **Aktion** und **Löschen** (um eine Regel beizubehalten, sie aber vorübergehend zu deaktivieren, wählen Sie **Deaktivieren**).
1. Bestätigen Sie Ihre Wahl und wählen Sie **Delete (Löschen)** aus.
------
#### [ API ]
**Um Automatisierungsregeln (API) zu löschen oder zu deaktivieren**
1. Verwenden Sie den [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html)Vorgang vom Security Hub CSPM-Administratorkonto aus.
1. Geben Sie für den `AutomationRulesArns` Parameter den ARN der Regel (n) an, die Sie löschen möchten (um eine Regel beizubehalten, sie aber vorübergehend zu deaktivieren, geben `DISABLED` Sie den `RuleStatus` Parameter an).
Im folgenden Beispiel für wird die angegebene Automatisierungsregel gelöscht. Dieses Beispiel ist für Linux, macOS oder Unix formatiert und verwendet den umgekehrten Schrägstrich (\$1) zur Verbesserung der Lesbarkeit.
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# Beispiele für Automatisierungsregeln
Dieser Abschnitt enthält Beispiele für Automatisierungsregeln für gängige Security Hub CSPM-Anwendungsfälle. Diese Beispiele entsprechen Regelvorlagen, die auf der Security Hub CSPM-Konsole verfügbar sind.
## Erhöhen Sie den Schweregrad auf Kritisch, wenn eine bestimmte Ressource, z. B. ein S3-Bucket, gefährdet ist
In diesem Beispiel werden die Regelkriterien erfüllt, wenn es sich `ResourceId` bei einem Ergebnis um einen bestimmten Amazon Simple Storage Service (Amazon S3) -Bucket handelt. Die Regelaktion besteht darin, den Schweregrad der übereinstimmenden Ergebnisse auf zu ändern`CRITICAL`. Sie können diese Vorlage ändern, um sie auf andere Ressourcen anzuwenden.
**Beispiel für eine API-Anfrage**:
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Beispiel für einen CLI-Befehl:**
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Erhöhen Sie den Schweregrad von Feststellungen, die sich auf Ressourcen in Produktionskonten beziehen
In diesem Beispiel werden die Regelkriterien erfüllt, wenn in bestimmten Produktionskonten ein `HIGH` Schweregrad festgestellt wird. Die Regelaktion besteht darin, den Schweregrad der übereinstimmenden Ergebnisse auf zu ändern`CRITICAL`.
**Beispiel für eine API-Anfrage**:
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Beispiel für einen CLI-Befehl**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Informative Ergebnisse unterdrücken
In diesem Beispiel werden die Regelkriterien für die Ergebnisse des `INFORMATIONAL` Schweregrads, die von Amazon an Security Hub CSPM gesendet wurden, abgeglichen. GuardDuty Die Regelaktion besteht darin, den Workflow-Status der übereinstimmenden Ergebnisse auf zu ändern. `SUPPRESSED`
**Beispiel für eine API-Anfrage**:
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Beispiel für einen CLI-Befehl**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```