BatchUpdateFindings für Kunden - AWS Security Hub
Verfügbare Felder für BatchUpdateFindingsKonfiguration des Zugriffs auf BatchUpdateFindings

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

BatchUpdateFindings für Kunden

Security Hub-Kunden und in ihrem Namen handelnde Unternehmen können den BatchUpdateFindingsVorgang nutzen, um Informationen zu aktualisieren, die sich auf die Verarbeitung von Security Hub Hub-Ergebnissen durch einen Kunden beziehen, die sie von suchenden Anbietern erhalten haben. Ein Kunde oder ein SIEM-, Ticket-, Incident Management- oder SOAR-Tool, das im Auftrag eines Kunden arbeitet, können diesen Vorgang nutzen.

Sie können es nicht verwenden, BatchUpdateFindings um neue Erkenntnisse zu gewinnen. Sie können damit bis zu 100 Ergebnisse gleichzeitig aktualisieren. In Ihrer Anfrage geben Sie an, welche Felder im AWS Security Finding Format (ASFF) Sie aktualisieren möchten.

Wenn Security Hub eine BatchUpdateFindings Anfrage zur Aktualisierung eines Ergebnisses erhält, generiert es automatisch eine Security Hub Findings - ImportedVeranstaltung bei Amazon EventBridge. Sie können bei diesem Ereignis automatisierte Maßnahmen ergreifen. Weitere Informationen finden Sie unter Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen.

BatchUpdateFindingsändert das UpdatedAt Feld für den Befund nicht. UpdatedAtspiegelt das neueste Update des Findungsanbieters wider.

Verfügbare Felder für BatchUpdateFindings

Wenn Sie mit einem Security Hub-Administratorkonto angemeldet sind, können Sie BatchUpdateFindings damit Ergebnisse aktualisieren, die vom Administratorkonto oder den Mitgliedskonten generiert wurden. Mitgliedskonten können nur BatchUpdateFindings zur Aktualisierung der Ergebnisse für ihr Konto verwendet werden.

Kunden können BatchUpdateFindings damit die folgenden Felder und Objekte aktualisieren:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Konfiguration des Zugriffs auf BatchUpdateFindings

Sie können AWS Identity and Access Management (IAM-) Richtlinien konfigurieren, um den Zugriff auf die Verwendung BatchUpdateFindings zur Aktualisierung von Suchfeldern und Feldwerten einzuschränken.

Verwenden Sie in einer Anweisung, auf die der Zugriff beschränkt werden sollBatchUpdateFindings, die folgenden Werte:

  • Action ist securityhub:BatchUpdateFindings

  • Effect ist Deny

  • Denn Condition Sie können eine BatchUpdateFindings Anfrage auf folgender Grundlage ablehnen:

    • Das Ergebnis umfasst ein bestimmtes Feld.

    • Das Ergebnis beinhaltet einen bestimmten Feldwert.

Bedingungsschlüssel

Dies sind die Bedingungsschlüssel für die Einschränkung des Zugriffs aufBatchUpdateFindings.

ASFF-Feld

Der Bedingungsschlüssel für ein ASFF-Feld lautet wie folgt:

securityhub:ASFFSyntaxPath/<fieldName>

Ersetzen Sie es <fieldName> durch das ASFF-Feld. Fügen Sie bei der Konfiguration des Zugriffs auf BatchUpdateFindings ein oder mehrere spezifische ASFF-Felder in Ihre IAM-Richtlinie ein und nicht ein Feld auf übergeordneter Ebene. Um beispielsweise den Zugriff auf das Workflow.Status Feld einzuschränken, müssen Sie es securityhub:ASFFSyntaxPath/Workflow.Status in Ihre Richtlinie aufnehmen und nicht das Feld auf übergeordneter Ebene. Workflow

Alle Aktualisierungen eines Felds verbieten

Um zu verhindern, dass ein Benutzer ein bestimmtes Feld aktualisiert, verwenden Sie eine Bedingung wie die folgende:

 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

Die folgende Aussage weist beispielsweise darauf hin, dass das Workflow.Status Ergebnisfeld nicht aktualisiert werden BatchUpdateFindings kann.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

Bestimmte Feldwerte nicht zulassen

Um zu verhindern, dass ein Benutzer ein Feld auf einen bestimmten Wert setzt, verwenden Sie eine Bedingung wie die folgende:

"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

Die folgende Anweisung weist beispielsweise darauf hin, dass diese Einstellung nicht verwendet werden BatchUpdateFindings kann, um auf Workflow.Status zu setzenSUPPRESSED.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

Sie können auch eine Liste mit Werten angeben, die nicht zulässig sind.

 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

Die folgende Anweisung weist beispielsweise darauf hin, dass dieser Wert nicht verwendet werden BatchUpdateFindings kann, um entweder Workflow.Status auf RESOLVED oder zu setzenSUPPRESSED.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}