Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comprendre les règles d'automatisation dans Security Hub
Vous pouvez utiliser les règles d'automatisation pour mettre à jour automatiquement les résultats dans AWS Security Hub. Au fur et à mesure qu'il ingère les résultats, Security Hub peut appliquer diverses règles, telles que la suppression des résultats, la modification de leur gravité et l'ajout de notes. Ces actions de règle modifient les résultats qui correspondent aux critères que vous avez spécifiés.
Voici des exemples de cas d'utilisation des règles d'automatisation :
-
Augmenter la gravité d'une constatation jusqu'à ce
CRITICAL
que son identifiant de ressource fasse référence à une ressource critique pour l'entreprise. -
Augmenter la gravité d'une constatation de
HIGH
àCRITICAL
si la constatation affecte les ressources dans des comptes de production spécifiques. -
Attribuer des résultats spécifiques présentant un statut de
SUPPRESSED
flux deINFORMATIONAL
travail grave.
Vous pouvez créer et gérer des règles d'automatisation uniquement à partir d'un compte administrateur Security Hub.
Les règles s'appliquent à la fois aux nouvelles découvertes et aux découvertes mises à jour. Vous pouvez créer une règle personnalisée à partir de zéro ou utiliser un modèle de règle fourni par Security Hub. Vous pouvez également commencer par un modèle et le modifier selon vos besoins.
Définition des critères et des actions des règles
À partir d'un compte administrateur Security Hub, vous pouvez créer une règle d'automatisation en définissant un ou plusieurs critères de règle et une ou plusieurs actions de règle. Lorsqu'un résultat correspond aux critères définis, Security Hub lui applique les actions de règle. Pour plus d'informations sur les critères et les actions disponibles, consultezCritères de règle et actions de règle disponibles.
Security Hub prend actuellement en charge un maximum de 100 règles d'automatisation pour chaque compte administrateur.
Le compte administrateur du Security Hub peut également modifier, afficher et supprimer les règles d'automatisation. Une règle s'applique à la mise en correspondance des résultats dans le compte administrateur et dans tous ses comptes membres. En fournissant un compte membre IDs comme critère de règle, les administrateurs de Security Hub peuvent également utiliser des règles d'automatisation pour mettre à jour ou supprimer les résultats de comptes de membres spécifiques.
Une règle d'automatisation s'applique uniquement dans le Région AWS pays dans lequel elle a été créée. Pour appliquer une règle dans plusieurs régions, l'administrateur doit créer la règle dans chaque région. Cela peut être effectué via la console Security Hub, Security Hub API ou AWS CloudFormation. Vous pouvez également utiliser un script de déploiement multirégional
Critères de règle et actions de règle disponibles
Les champs AWS Security Finding Format (ASFF) suivants sont actuellement pris en charge en tant que critères pour les règles d'automatisation :
ASFFchamp | Filtres | Type de champ |
---|---|---|
AwsAccountId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
AwsAccountName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
CompanyName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ComplianceAssociatedStandardsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ComplianceSecurityControlId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ComplianceStatus
|
Is, Is Not
|
Sélectionnez : [FAILED ,NOT_AVAILABLE ,PASSED ,WARNING ] |
Confidence
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Nombre |
CreatedAt
|
Start, End, DateRange
|
Date (formatée au format : ÷ 12-01T 21:47:39.269 Z) |
Criticality
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Nombre |
Description
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
FirstObservedAt
|
Start, End, DateRange
|
Date (formatée au format : ÷ 12-01T 21:47:39.269 Z) |
GeneratorId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
Id
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
LastObservedAt
|
Start, End, DateRange
|
Date (formatée au format : ÷ 12-01T 21:47:39.269 Z) |
NoteText
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
NoteUpdatedAt
|
Start, End, DateRange
|
Date (formatée au format : ÷ 12-01T 21:47:39.269 Z) |
NoteUpdatedBy
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ProductName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
RecordState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
RelatedFindingsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
RelatedFindingsProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ResourceApplicationArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ResourceApplicationName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ResourceDetailsOther
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Map |
ResourceId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ResourcePartition
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ResourceRegion
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ResourceTags
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Map |
ResourceType
|
Is, Is Not
|
Sélectionnez (voir Ressources prises en charge parASFF) |
SeverityLabel
|
Is, Is Not
|
Sélectionnez : [CRITICAL ,HIGH ,MEDIUM ,LOW ,INFORMATIONAL ] |
SourceUrl
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
Title
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
Type
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
UpdatedAt
|
Start, End, DateRange
|
Date (formatée au format : ÷ 12-01T 21:47:39.269 Z) |
UserDefinedFields
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Map |
VerificationState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
WorkflowStatus
|
Is, Is Not
|
Sélectionnez : [NEW ,NOTIFIED ,RESOLVED ,SUPPRESSED ] |
Pour les critères étiquetés sous forme de champs de chaîne, l'utilisation de différents opérateurs de filtre sur le même champ affecte la logique d'évaluation. Pour plus d’informations, consultez .StringFilterdans la AWS Security Hub APIréférence.
Chaque critère prend en charge un nombre maximum de valeurs pouvant être utilisées pour filtrer les résultats correspondants. Pour les limites de chaque critère, voir AutomationRulesFindingFiltersdans la AWS Security Hub APIréférence.
Les ASFF champs suivants sont actuellement pris en charge en tant qu'actions pour les règles d'automatisation :
-
Confidence
-
Criticality
-
Note
-
RelatedFindings
-
Severity
-
Types
-
UserDefinedFields
-
VerificationState
-
Workflow
Pour plus d'informations sur des ASFF champs spécifiques, voir Syntaxe et ASFFexemples de AWS Security Finding Format (ASFF).
Astuce
Si vous souhaitez que Security Hub cesse de générer des résultats pour un contrôle spécifique, nous vous recommandons de désactiver le contrôle au lieu d'utiliser une règle d'automatisation. Lorsque vous désactivez un contrôle, Security Hub arrête d'effectuer des contrôles de sécurité sur celui-ci et de générer des résultats pour celui-ci. Vous n'avez donc pas à payer de frais pour ce contrôle. Nous vous recommandons d'utiliser des règles d'automatisation pour modifier les valeurs de ASFF champs spécifiques pour les résultats correspondant à des critères définis. Pour plus d'informations sur la désactivation des contrôles, consultezActivation des contrôles dans Security Hub.
Résultats évalués par les règles d'automatisation
Une règle d'automatisation évalue les découvertes nouvelles et mises à jour que Security Hub génère ou ingère via le BatchImportFindingsopération après avoir créé la règle. Security Hub met à jour les résultats des contrôles toutes les 12 à 24 heures ou lorsque l'état de la ressource associée change. Pour plus d'informations, consultez Planification de l'exécution des vérifications de sécurité.
Les règles d'automatisation évaluent les résultats originaux fournis par le fournisseur. Les fournisseurs peuvent fournir de nouveaux résultats et mettre à jour les résultats existants grâce au BatchImportFindings
fonctionnement du Security HubAPI. Les règles ne sont pas déclenchées lorsque vous mettez à jour les champs de recherche après leur création via BatchUpdateFindingsopération. Si vous créez une règle d'automatisation et effectuez une BatchUpdateFindings
mise à jour qui affectent le même champ de recherche, la dernière mise à jour définit la valeur de ce champ. Prenons l'exemple suivant :
Vous l'utilisez
BatchUpdateFindings
pour mettre à jour leWorkflow.Status
champ d'une constatation deNEW
àNOTIFIED
.Si vous appelez
GetFindings
, leWorkflow.Status
champ a désormais une valeur deNOTIFIED
.Vous créez une règle d'automatisation qui fait passer le
Workflow.Status
champ du résultat deNEW
àSUPPRESSED
(rappelez-vous que les règles ignorent les mises à jour effectuées avecBatchUpdateFindings
).Le fournisseur de recherche met
BatchImportFindings
à jour le résultat et remplace leWorkflow.Status
champ parNEW
.Si vous appelez
GetFindings
, leWorkflow.Status
champ possède désormais une valeur deSUPPRESSED
parce que la règle d'automatisation a été appliquée et que la règle est la dernière action entreprise sur la base du résultat.
Lorsque vous créez ou modifiez une règle sur la console Security Hub, celle-ci affiche un aperçu des résultats correspondant aux critères de la règle. Alors que les règles d'automatisation évaluent les résultats originaux envoyés par le fournisseur de recherche, l'aperçu de la console reflète les résultats dans leur état final, tels qu'ils seraient affichés dans une réponse au GetFindingsAPIopération (c'est-à-dire après que des actions de règles ou d'autres mises à jour ont été appliquées au résultat).
Comment fonctionne l'ordre des règles
Lorsque vous créez des règles d'automatisation, vous attribuez un ordre à chaque règle. Cela détermine l'ordre dans lequel Security Hub applique vos règles d'automatisation, et cela devient important lorsque plusieurs règles se rapportent au même champ de recherche ou de recherche.
Lorsque plusieurs actions de règle concernent le même résultat ou le même champ de recherche, la règle ayant la valeur numérique la plus élevée pour l'ordre des règles s'applique en dernier lieu et produit l'effet final.
Lorsque vous créez une règle dans la console Security Hub, Security Hub attribue automatiquement l'ordre des règles en fonction de l'ordre de création des règles. La dernière règle créée possède la valeur numérique la plus faible pour l'ordre des règles et s'applique donc en premier. Security Hub applique les règles suivantes par ordre croissant.
Lorsque vous créez une règle par le biais du Security Hub API ou AWS CLI, Security Hub applique la règle dont la valeur numérique la plus faible est la RuleOrder
première. Il applique ensuite les règles suivantes par ordre croissant. Si plusieurs résultats sont identiquesRuleOrder
, Security Hub applique d'abord une règle avec une valeur antérieure pour le UpdatedAt
champ (c'est-à-dire que la règle la plus récemment modifiée s'applique en dernier lieu).
Vous pouvez modifier l'ordre des règles à tout moment.
Exemple d'ordre des règles :
Règle A (l'ordre des règles est1
) :
-
Critères de la règle A
-
ProductName
=Security Hub
-
Resources.Type
estS3 Bucket
-
Compliance.Status
=FAILED
-
RecordState
estNEW
-
Workflow.Status
=ACTIVE
-
-
Actions en vertu de la règle A
-
Mettre à jour
Confidence
vers95
-
Mettre à jour
Severity
versCRITICAL
-
Règle B (l'ordre des règles est2
) :
-
Critères de la règle B
-
AwsAccountId
=123456789012
-
-
Actions relevant de la règle B
-
Mettre à jour
Severity
versINFORMATIONAL
-
Les actions de la règle A s'appliquent d'abord aux résultats du Security Hub qui répondent aux critères de la règle A. Ensuite, les actions de la règle B s'appliquent aux résultats du Security Hub avec l'ID de compte spécifié. Dans cet exemple, étant donné que la règle B s'applique Severity
en dernier, la valeur finale des résultats provenant de l'ID de compte spécifié estINFORMATIONAL
. Sur la base de l'action de la règle A, la valeur Confidence
finale des résultats correspondants est95
.