Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Descripción de las reglas de automatización en Security Hub
Puede utilizar las reglas de automatización para actualizar de manera automática los resultados en AWS Security Hub. A medida que se ingieren resultados, Security Hub puede aplicar una variedad de acciones de reglas, como suprimir resultados, cambiar su gravedad y agregar notas. Estas acciones de reglas modifican los resultados que coinciden con criterios específicos.
Algunos ejemplos de casos de uso de reglas de automatización son los siguientes:
-
Elevar la gravedad de un resultado a
CRITICALsi el ID de recurso del resultado se refiere a un recurso crítico para la empresa. -
Elevar la gravedad de un resultado de
HIGHaCRITICALsi el resultado afecta a recursos en cuentas de producción específicas. -
Asignar resultados específicos que tengan una gravedad
INFORMATIONALun estado de flujo de trabajoSUPPRESSED.
Solo puede crear y administrar reglas de automatización desde una cuenta de administrador de Security Hub.
Las reglas se aplican a los resultados tanto nuevos como actualizados. Puede crear una regla personalizada de cero o utilizar una plantilla de regla proporcionada por Security Hub. Además, puede empezar con una plantilla y modificarla según sea necesario.
Definición de criterios de regla y acciones de regla
Desde una cuenta de administrador de Security Hub, puede crear una regla de automatización mediante la definición de uno o más criterios de reglas y una o más acciones de reglas. Cuando un resultado coincide con los criterios definidos, Security Hub aplica las acciones de reglas. Para obtener más información sobre los criterios y acciones disponibles, consulte Criterios de regla y acciones de regla disponibles.
En la actualidad, Security Hub admite un máximo de 100 reglas de automatización para cada cuenta de administrador.
La cuenta de administrador de Security Hub también puede editar, ver y eliminar reglas de automatización. Una regla se aplica a los resultados que coinciden en la cuenta de administrador y en todas las cuentas de miembro. Al proporcionar la cuenta de miembro IDs como criterio de regla, los administradores de Security Hub también pueden usar reglas de automatización para actualizar o suprimir los hallazgos en cuentas de miembros específicas.
Una regla de automatización solo se aplica en el Región de AWS lugar en el que se creó. Para aplicar una regla en varias regiones, el administrador debe crear la regla en cada región. Esto se puede hacer a través de la consola Security Hub, Security Hub API o AWS CloudFormation. También puede utilizar un script de implementación en varias regiones
Criterios de regla y acciones de regla disponibles
Los siguientes campos del formato de búsqueda de AWS seguridad (ASFF) se admiten actualmente como criterios para las reglas de automatización:
| Criterio de regla | Operadores de filtro | Tipo de campo |
|---|---|---|
AwsAccountId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
AwsAccountName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
CompanyName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ComplianceAssociatedStandardsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ComplianceSecurityControlId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ComplianceStatus
|
Is, Is Not
|
Selección: [FAILED, NOT_AVAILABLE, PASSED, WARNING] |
Confidence
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Número |
CreatedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
Criticality
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Número |
Description
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
FirstObservedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
GeneratorId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
Id
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
LastObservedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
NoteText
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
NoteUpdatedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
NoteUpdatedBy
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ProductName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
RecordState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
RelatedFindingsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
RelatedFindingsProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceApplicationArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceApplicationName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceDetailsOther
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Asignación |
ResourceId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourcePartition
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceRegion
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceTags
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Asignación |
ResourceType
|
Is, Is Not
|
Seleccione (consulte los recursos compatibles conASFF) |
SeverityLabel
|
Is, Is Not
|
Selección: [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL] |
SourceUrl
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
Title
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
Type
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
UpdatedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
UserDefinedFields
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Asignación |
VerificationState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
WorkflowStatus
|
Is, Is Not
|
Selección: [NEW, NOTIFIED, RESOLVED, SUPPRESSED] |
En el caso de los criterios etiquetados como campos de cadena, el uso de diferentes operadores de filtro en un mismo campo afecta a la lógica de evaluación. Para obtener más información, consulte StringFilteren la AWS Security Hub APIReferencia.
Cada criterio admite una cantidad máxima de valores que se pueden utilizar para filtrar los resultados que coinciden. Para conocer los límites de cada criterio, consulte AutomationRulesFindingFiltersen la AWS Security Hub APIReferencia.
Los siguientes ASFF campos se admiten actualmente como acciones para las reglas de automatización:
-
Confidence -
Criticality -
Note -
RelatedFindings -
Severity -
Types -
UserDefinedFields -
VerificationState -
Workflow
Para obtener más información sobre ASFF campos específicos, consulte la sintaxis del formato de búsqueda de AWS seguridad (ASFF).
sugerencia
Si desea que Security Hub deje de generar resultados para un control específico, le recomendamos deshabilitar el control en lugar de utilizar una regla de automatización. Al deshabilitar un control, Security Hub deja de ejecutar controles de seguridad en él y deja de generar resultados para él, por lo que no incurrirá en cargos por ese control. Recomendamos usar reglas de automatización para cambiar los valores de ASFF campos específicos para encontrar resultados que coincidan con los criterios definidos. Para obtener más información sobre cómo deshabilitar controles, consulte Deshabilitar controles en Security Hub.
Resultados que las reglas de automatización evalúan
Una regla de automatización evalúa los hallazgos nuevos y actualizados que Security Hub genera o ingiere a través del BatchImportFindingsoperación después de crear la regla. Security Hub actualiza los resultados de control cada 12-24 horas o cuando el recurso asociado cambia de estado. Para obtener más información, consulte Programación para ejecución de controles de seguridad.
Las reglas de automatización evalúan los resultados originales proporcionados por el proveedor. Los proveedores pueden proporcionar nuevos hallazgos y actualizar los existentes a través del BatchImportFindings funcionamiento del Security HubAPI. Las reglas no se activan cuando se actualizan los campos de búsqueda tras la creación de la regla mediante el BatchUpdateFindingsoperación. Si crea una regla de automatización y realiza una actualización BatchUpdateFindings que afecten al mismo campo de resultado, la última actualización establecerá el valor de ese campo. Vea el siguiente ejemplo:
Se utiliza
BatchUpdateFindingspara actualizar el campoWorkflow.Statusde un resultado deNEWaNOTIFIED.Si llama a
GetFindings, el campoWorkflow.Statusahora tendrá un valor deNOTIFIED.Se crea una regla de automatización que cambia el campo
Workflow.Statusdel resultado deNEWaSUPPRESSED(recuerde que las reglas ignoran las actualizaciones realizadas conBatchUpdateFindings).El proveedor de resultados utiliza
BatchImportFindingspara actualizar el resultado y cambia el campoWorkflow.StatusaNEW.Si llama a
GetFindings, el campoWorkflow.Statusahora tendrá un valor deSUPPRESSED, ya que se aplicará la regla de automatización y la regla será la última acción que se realice en el resultado.
Cuando crea o edita una regla en la consola de Security Hub, la consola muestra una vista previa de los resultados que coinciden con los criterios de la regla. Mientras que las reglas de automatización evalúan las conclusiones originales enviadas por el proveedor de la búsqueda, la vista previa de la consola refleja las conclusiones en su estado final, tal como se mostrarían en una respuesta a la GetFindingsAPIoperación (es decir, después de aplicar las acciones de la regla u otras actualizaciones al hallazgo).
Cómo funciona el orden de las reglas
Al crear reglas de automatización, usted asigna a cada regla un orden. Esto determina el orden en que Security Hub aplica sus reglas de automatización y adquiere importancia cuando varias reglas se relacionan con el mismo resultado o campo de resultado.
Cuando varias acciones de reglas se refieren al mismo resultado o campo de resultado, la regla con el valor numérico más alto de orden de reglas se aplica en último lugar y tiene el efecto definitivo.
Al crear una regla en la consola de Security Hub, Security Hub asigna automáticamente el orden de las reglas según el orden de creación de las mismas. La regla creada más recientemente tiene el valor numérico más bajo de orden de reglas y, por lo tanto, se aplica primero. Security Hub aplica las reglas subsiguientes en orden ascendente.
Al crear una regla a través del Security Hub API o AWS CLI, Security Hub aplica RuleOrder primero la regla con el valor numérico más bajo. Luego aplica las reglas subsiguientes en orden ascendente. Si varios resultados tienen el mismo RuleOrder, Security Hub aplica primero una regla con un valor anterior del campo UpdatedAt (es decir, la regla que se editó más recientemente se aplica en último lugar).
Puede modificar el orden de las reglas en cualquier momento.
Ejemplo de orden de reglas:
Regla A (el orden de la regla es1):
-
Criterios de la regla A
-
ProductName=Security Hub -
Resources.TypeesS3 Bucket -
Compliance.Status=FAILED -
RecordStateesNEW -
Workflow.Status=ACTIVE
-
-
Acciones de la regla A
-
Actualizar
Confidencea95 -
Actualizar
SeverityaCRITICAL
-
Regla B (el orden de la regla es2):
-
Criterios de la regla B
-
AwsAccountId=123456789012
-
-
Acciones de la regla B
-
Actualizar
SeverityaINFORMATIONAL
-
Las acciones de la regla A se aplican primero a los resultados de Security Hub que coincidan con los criterios de la regla A. A continuación, se aplican las acciones de la regla B a los resultados de Security Hub con el ID de cuenta especificado. En este ejemplo, como la regla B se aplica en último lugar, el valor final de Severity en los resultados del ID de cuenta especificado es INFORMATIONAL. Según la acción de la regla A, el valor final de Confidence en los resultados coincidentes es 95.
