Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Descripción de las reglas de automatización en Security Hub
Puede utilizar las reglas de automatización para actualizar automáticamente los resultados en AWS Security Hub. A medida que incorpora los hallazgos, Security Hub puede aplicar una variedad de acciones de reglas, como suprimir los hallazgos, cambiar su gravedad y agregar notas. Estas acciones de regla modifican las conclusiones que coinciden con los criterios especificados.
Entre los ejemplos de casos de uso de las reglas de automatización se incluyen los siguientes:
-
Elevar la gravedad de un resultado a
CRITICALsi el ID de recurso del resultado se refiere a un recurso crítico para la empresa. -
Elevar la gravedad de un resultado de
HIGHaCRITICALsi el resultado afecta a recursos en cuentas de producción específicas. -
Asignar resultados específicos que tengan una gravedad
INFORMATIONALun estado de flujo de trabajoSUPPRESSED.
Puede crear y gestionar reglas de automatización únicamente desde una cuenta de administrador de Security Hub.
Las reglas se aplican a los resultados tanto nuevos como actualizados. Puede crear una regla personalizada de cero o utilizar una plantilla de regla proporcionada por Security Hub. También puede empezar con una plantilla y modificarla según sea necesario.
Definir los criterios y las acciones de las reglas
Desde una cuenta de administrador de Security Hub, puede crear una regla de automatización definiendo uno o más criterios de regla y una o más acciones de regla. Cuando un hallazgo coincide con los criterios definidos, Security Hub le aplica las acciones de la regla. Para obtener más información sobre los criterios y acciones disponibles, consulte Criterios de regla y acciones de regla disponibles.
Actualmente, Security Hub admite un máximo de 100 reglas de automatización para cada cuenta de administrador.
La cuenta de administrador de Security Hub también puede editar, ver y eliminar reglas de automatización. Se aplica una regla a las coincidencias entre la cuenta de administrador y todas sus cuentas de miembros. Al proporcionar la cuenta de miembro IDs como criterio de regla, los administradores de Security Hub también pueden usar reglas de automatización para actualizar o suprimir los hallazgos en cuentas de miembros específicas.
Una regla de automatización solo se aplica en Región de AWS en el que se creó. Para aplicar una regla en varias regiones, el administrador debe crear la regla en cada región. Esto se puede hacer a través de la consola Security Hub, Security Hub API o AWS CloudFormation. También puede utilizar un script de despliegue multirregional
importante
Las reglas de automatización se aplican a los resultados nuevos y actualizados que Security Hub genere o ingiera después de crearse la regla. Security Hub actualiza los resultados de control cada 12-24 horas o cuando el recurso asociado cambia de estado. Para obtener más información, consulte Programación para ejecución de controles de seguridad. Las reglas de automatización evalúan los campos de búsqueda originales proporcionados por el proveedor. Las reglas no se activan al actualizar los campos de búsqueda tras la creación de la regla BatchUpdateFindings.
Especificar el orden de las reglas
Al crear reglas de automatización, usted asigna a cada regla un orden. Esto determina el orden en que Security Hub aplica sus reglas de automatización y adquiere importancia cuando varias reglas se relacionan con el mismo resultado o campo de resultado.
Cuando varias acciones de reglas se refieren al mismo resultado o campo de resultado, la regla con el valor numérico más alto de orden de reglas se aplica en último lugar y tiene el efecto definitivo.
Al crear una regla en la consola de Security Hub, Security Hub asigna automáticamente el orden de las reglas según el orden de creación de las mismas. La regla creada más recientemente tiene el valor numérico más bajo de orden de reglas y, por lo tanto, se aplica primero. Security Hub aplica las reglas subsiguientes en orden ascendente.
Al crear una regla a través del Security Hub API o AWS CLI, Security Hub aplica RuleOrder primero la regla con el valor numérico más bajo. Luego aplica las reglas subsiguientes en orden ascendente. Si varios resultados tienen el mismo RuleOrder, Security Hub aplica primero una regla con un valor anterior del campo UpdatedAt (es decir, la regla que se editó más recientemente se aplica en último lugar).
Puede modificar el orden de las reglas en cualquier momento.
Ejemplo de orden de reglas:
Regla A (el orden de la regla es1):
-
Criterios de la regla A
-
ProductName=Security Hub -
Resources.TypeesS3 Bucket -
Compliance.Status=FAILED -
RecordStateesNEW -
Workflow.Status=ACTIVE
-
-
Acciones de la regla A
-
Actualizar
Confidencea95 -
Actualizar
SeverityaCRITICAL
-
Regla B (el orden de la regla es2):
-
Criterios de la regla B
-
AwsAccountId=123456789012
-
-
Acciones de la regla B
-
Actualizar
SeverityaINFORMATIONAL
-
Las acciones de la regla A se aplican primero a los resultados de Security Hub que coincidan con los criterios de la regla A. A continuación, se aplican las acciones de la regla B a los resultados de Security Hub con el ID de cuenta especificado. En este ejemplo, como la regla B se aplica en último lugar, el valor final de Severity en los resultados del ID de cuenta especificado es INFORMATIONAL. Según la acción de la regla A, el valor final de Confidence en los resultados coincidentes es 95.
Criterios de regla y acciones de regla disponibles
Los siguientes ejemplos de AWS Los campos Security Finding Format (ASFF) se admiten actualmente como criterios para las reglas de automatización:
| ASFFcampo | Filtros | Tipo de campo |
|---|---|---|
AwsAccountId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
AwsAccountName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
CompanyName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ComplianceAssociatedStandardsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ComplianceSecurityControlId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ComplianceStatus
|
Is, Is Not
|
Selección: [FAILED, NOT_AVAILABLE, PASSED, WARNING] |
Confidence
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Número |
CreatedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
Criticality
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Número |
Description
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
FirstObservedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
GeneratorId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
Id
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
LastObservedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
NoteText
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
NoteUpdatedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
NoteUpdatedBy
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ProductName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
RecordState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
RelatedFindingsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
RelatedFindingsProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceApplicationArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceApplicationName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceDetailsOther
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Asignación |
ResourceId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourcePartition
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceRegion
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceTags
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Asignación |
ResourceType
|
Is, Is Not
|
Seleccione (consulte los recursos compatibles conASFF) |
SeverityLabel
|
Is, Is Not
|
Selección: [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL] |
SourceUrl
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
Title
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
Type
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
UpdatedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
UserDefinedFields
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Asignación |
VerificationState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
WorkflowStatus
|
Is, Is Not
|
Selección: [NEW, NOTIFIED, RESOLVED, SUPPRESSED] |
En el caso de los criterios etiquetados como campos de cadena, el uso de diferentes operadores de filtro en el mismo campo afecta a la lógica de evaluación. Para obtener más información, consulte StringFilter en la AWS Security Hub APIReferencia.
Cada criterio admite un número máximo de valores que se pueden utilizar para filtrar las conclusiones coincidentes. Para conocer los límites de cada criterio, consulte AutomationRulesFindingFilters en la AWS Security Hub APIReferencia.
Los siguientes ASFF campos se admiten actualmente como acciones para las reglas de automatización:
-
Confidence -
Criticality -
Note -
RelatedFindings -
Severity -
Types -
UserDefinedFields -
VerificationState -
Workflow
Para obtener más información sobre ASFF campos específicos, consulte AWS Sintaxis y ASFFejemplos de Security Finding Format (ASFF).
sugerencia
Si desea que Security Hub deje de generar resultados para un control específico, le recomendamos deshabilitar el control en lugar de utilizar una regla de automatización. Al deshabilitar un control, Security Hub deja de ejecutar controles de seguridad en él y deja de generar resultados para él, por lo que no incurrirá en cargos por ese control. Recomendamos usar reglas de automatización para cambiar los valores de ASFF campos específicos para encontrar resultados que coincidan con los criterios definidos. Para obtener más información sobre cómo deshabilitar controles, consulte Configuración de controles en todos los estándares.
