BatchUpdateFindings para clientes - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

BatchUpdateFindings para clientes

Los clientes de Security Hub y las entidades que actúen en su nombre pueden utilizar la operación BatchUpdateFindings para actualizar la información relacionada con el procesamiento de un cliente de los resultados de Security Hub a partir de los proveedores de resultados. Un cliente o una herramienta de SIEM, de creación de tickets, de administración de incidentes o de SOAR que funcione en nombre de un cliente puede utilizar esta operación.

No se puede usar BatchUpdateFindings para crear nuevos resultados. Se puede utilizar para actualizar hasta 100 resultados a la vez. En su solicitud, especifique qué campos del formato de búsqueda de AWS seguridad (ASFF) desea actualizar.

Cuando Security Hub recibe una BatchUpdateFindings solicitud para actualizar un hallazgo, genera automáticamente un Security Hub Findings - Importedevento en Amazon EventBridge. Puede tomar medidas automatizadas en relación con ese evento. Para obtener más información, consulte Uso EventBridge para respuesta y remediación automatizadas.

BatchUpdateFindings no cambia el campo UpdatedAt para el resultado. UpdatedAt refleja la actualización más reciente del proveedor de resultados.

Campos disponibles para BatchUpdateFindings

Si inició sesión en una cuenta de administrador de Security Hub, puede utilizar BatchUpdateFindings para actualizar los resultados que generó la cuenta de administrador o las cuentas de los miembros. Las cuentas de miembro pueden utilizar BatchUpdateFindings para actualizar los resultados solo para su cuenta.

Los clientes pueden usar BatchUpdateFindings para actualizar los siguientes campos y objetos:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Configurar el acceso a BatchUpdateFindings

Puede configurar políticas AWS Identity and Access Management (de IAM) para restringir el acceso y utilizarlas BatchUpdateFindings para actualizar los campos de búsqueda y los valores de los campos.

En una declaración para restringir el acceso a BatchUpdateFindings, utilice los siguientes valores:

  • Action es securityhub:BatchUpdateFindings

  • Effect es Deny

  • Para Condition, puede denegar una solicitud BatchUpdateFindings en función de lo siguiente:

    • El resultado incluye un campo específico.

    • El resultado incluye un valor de campo específico.

Claves de condición

Estas son las claves de condición para restringir el acceso a BatchUpdateFindings.

Campo de ASFF

La clave de condición de un campo de ASFF es la siguiente:

securityhub:ASFFSyntaxPath/<fieldName>

Sustituya <fieldName> por el campo de ASFF. Al configurar el acceso a BatchUpdateFindings, incluya uno o más campos de ASFF específicos en su política de IAM en lugar de un campo de nivel principal. Por ejemplo, para restringir el acceso al campo Workflow.Status, debe incluir securityhub:ASFFSyntaxPath/Workflow.Status en su política en lugar del campo de nivel principal Workflow.

Cómo no permitir todas las actualizaciones de un campo

Para evitar que un usuario actualice un campo específico, utilice una condición como esta:

"Condition": { "Null": { "securityhub:ASFFSyntaxPath/<fieldName>": "false" } }

Por ejemplo, la siguiente declaración indica que no se puede usar BatchUpdateFindings para actualizar el campo de resultados Workflow.Status.

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Workflow.Status": "false" } } }

Cómo no permitir valores de campo específicos

Para evitar que un usuario establezca un campo en un valor específico, utilice una condición como esta:

"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>" } }

Por ejemplo, la siguiente declaración indica que no se puede usar BatchUpdateFindings para establecer Workflow.Status como SUPPRESSED.

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } }

También puede proporcionar una lista de valores que no están permitidos.

"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ] } }

Por ejemplo, la siguiente declaración indica que no se puede usar BatchUpdateFindings para establecer Workflow.Status como RESOLVED o SUPPRESSED.

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": [ "RESOLVED", "NOTIFIED" ] } }