Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
BatchUpdateFindings para clientes
Los clientes de Security Hub y las entidades que actúen en su nombre pueden utilizar la operación BatchUpdateFindings
para actualizar la información relacionada con el procesamiento de un cliente de los resultados de Security Hub a partir de los proveedores de resultados. Un cliente o una herramienta de SIEM, de creación de tickets, de administración de incidentes o de SOAR que funcione en nombre de un cliente puede utilizar esta operación.
No se puede usar BatchUpdateFindings
para crear nuevos resultados. Se puede utilizar para actualizar hasta 100 resultados a la vez. En su solicitud, especifique qué campos del formato de búsqueda de AWS seguridad (ASFF) desea actualizar.
Cuando Security Hub recibe una BatchUpdateFindings
solicitud para actualizar un hallazgo, genera automáticamente un Security Hub Findings
- Importedevento en Amazon EventBridge. Puede tomar medidas automatizadas en relación con ese evento. Para obtener más información, consulte Uso EventBridge para respuesta y remediación automatizadas.
BatchUpdateFindings
no cambia el campo UpdatedAt
para el resultado. UpdatedAt
refleja la actualización más reciente del proveedor de resultados.
Campos disponibles para BatchUpdateFindings
Si inició sesión en una cuenta de administrador de Security Hub, puede utilizar BatchUpdateFindings
para actualizar los resultados que generó la cuenta de administrador o las cuentas de los miembros. Las cuentas de miembro pueden utilizar BatchUpdateFindings
para actualizar los resultados solo para su cuenta.
Los clientes pueden usar BatchUpdateFindings
para actualizar los siguientes campos y objetos:
-
Confidence
-
Criticality
-
Note
-
RelatedFindings
-
Severity
-
Types
-
UserDefinedFields
-
VerificationState
-
Workflow
Configurar el acceso a BatchUpdateFindings
Puede configurar políticas AWS Identity and Access Management (de IAM) para restringir el acceso y utilizarlas BatchUpdateFindings
para actualizar los campos de búsqueda y los valores de los campos.
En una declaración para restringir el acceso a BatchUpdateFindings
, utilice los siguientes valores:
-
Action
essecurityhub:BatchUpdateFindings
-
Effect
esDeny
-
Para
Condition
, puede denegar una solicitudBatchUpdateFindings
en función de lo siguiente:-
El resultado incluye un campo específico.
-
El resultado incluye un valor de campo específico.
-
Claves de condición
Estas son las claves de condición para restringir el acceso a BatchUpdateFindings
.
- Campo de ASFF
-
La clave de condición de un campo de ASFF es la siguiente:
securityhub:ASFFSyntaxPath/
<fieldName>
Sustituya
por el campo de ASFF. Al configurar el acceso a<fieldName>
BatchUpdateFindings
, incluya uno o más campos de ASFF específicos en su política de IAM en lugar de un campo de nivel principal. Por ejemplo, para restringir el acceso al campoWorkflow.Status
, debe incluirsecurityhub:ASFFSyntaxPath/Workflow.Status
en su política en lugar del campo de nivel principalWorkflow
.
Cómo no permitir todas las actualizaciones de un campo
Para evitar que un usuario actualice un campo específico, utilice una condición como esta:
"Condition": { "Null": { "securityhub:ASFFSyntaxPath/
<fieldName>
": "false" } }
Por ejemplo, la siguiente declaración indica que no se puede usar BatchUpdateFindings
para actualizar el campo de resultados Workflow.Status
.
{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Workflow.Status": "false" } } }
Cómo no permitir valores de campo específicos
Para evitar que un usuario establezca un campo en un valor específico, utilice una condición como esta:
"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/
<fieldName>
": "<fieldValue>" } }
Por ejemplo, la siguiente declaración indica que no se puede usar BatchUpdateFindings
para establecer Workflow.Status
como SUPPRESSED
.
{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } }
También puede proporcionar una lista de valores que no están permitidos.
"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": [ "
<fieldValue1>
", "<fieldValue2>
", "<fieldValuen>
" ] } }
Por ejemplo, la siguiente declaración indica que no se puede usar BatchUpdateFindings
para establecer Workflow.Status
como RESOLVED
o SUPPRESSED
.
{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": [ "RESOLVED", "NOTIFIED" ] } }