Campos disponibles para BatchUpdateFindings Configurar el acceso a BatchUpdateFindings

BatchUpdateFindings para clientes

Los clientes de Security Hub y las entidades que actúen en su nombre pueden utilizar la BatchUpdateFindingsoperación para actualizar la información relacionada con el procesamiento por parte de un cliente de los hallazgos de Security Hub a partir de la búsqueda de proveedores. Un cliente o una SOAR herramienta de venta de entradasSIEM, gestión de incidentes o que funcione en nombre de un cliente pueden utilizar esta operación.

No se puede usar BatchUpdateFindings para crear nuevos resultados. Se puede utilizar para actualizar hasta 100 resultados a la vez. En su solicitud, especifique qué campos del formato de búsqueda de AWS seguridad (ASFF) desea actualizar.

Cuando Security Hub recibe una BatchUpdateFindings solicitud para actualizar un hallazgo, genera automáticamente un Security Hub Findings - Importedevento en Amazon EventBridge. Puedes realizar acciones automatizadas en relación con ese evento. Para obtener más información, consulte Uso EventBridge para respuesta y remediación automatizadas.

BatchUpdateFindingsno cambia el UpdatedAt campo del hallazgo. UpdatedAtrefleja la actualización más reciente del proveedor de búsquedas.

Campos disponibles para BatchUpdateFindings

Si ha iniciado sesión en una cuenta de administrador de Security Hub, puede utilizarla BatchUpdateFindings para actualizar las conclusiones generadas por la cuenta de administrador o las cuentas de los miembros. Las cuentas de los miembros solo se pueden utilizar BatchUpdateFindings para actualizar los resultados de su cuenta.

Los clientes pueden utilizar BatchUpdateFindings para actualizar los siguientes campos y objetos:

Confidence
Criticality
Note
RelatedFindings
Severity
Types
UserDefinedFields
VerificationState
Workflow

Configurar el acceso a BatchUpdateFindings

Puede configurar AWS Identity and Access Management (IAM) políticas para restringir el acceso y utilizarlas BatchUpdateFindings para actualizar los campos de búsqueda y los valores de los campos.

En una declaración para restringir el acceso a BatchUpdateFindings, utilice los siguientes valores:

Action es securityhub:BatchUpdateFindings
Effect es Deny
Para Condition, puede denegar una solicitud BatchUpdateFindings en función de lo siguiente:
- El resultado incluye un campo específico.
- El resultado incluye un valor de campo específico.

Claves de condición

Estas son las claves de condición para restringir el acceso a BatchUpdateFindings.

ASFFcampo

La clave de condición de un ASFF campo es la siguiente:


securityhub:ASFFSyntaxPath/<fieldName>

Reemplazar <fieldName> por el ASFF campo. Al configurar el acceso aBatchUpdateFindings, incluya uno o más ASFF campos específicos en su IAM política en lugar de un campo de nivel principal. Por ejemplo, para restringir el acceso al campo Workflow.Status, debe incluir securityhub:ASFFSyntaxPath/Workflow.Status en su política en lugar del campo de nivel principal Workflow.

Cómo no permitir todas las actualizaciones de un campo

Para evitar que un usuario actualice un campo específico, utilice una condición como esta:


 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

Por ejemplo, la siguiente afirmación indica que no se BatchUpdateFindings puede utilizar para actualizar el Workflow.Status campo de resultados.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

Cómo no permitir valores de campo específicos

Para evitar que un usuario establezca un campo en un valor específico, utilice una condición como esta:


"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

Por ejemplo, la siguiente declaración indica que no se puede usar BatchUpdateFindings para establecer Workflow.Status como SUPPRESSED.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

También puede proporcionar una lista de valores que no están permitidos.


 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

Por ejemplo, la siguiente declaración indica que no se puede usar BatchUpdateFindings para establecer Workflow.Status como RESOLVED o SUPPRESSED.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

BatchImportFindings para encontrar proveedores

Revisar los detalles y el historial de las búsquedas