Comprendre les règles d'automatisation dans Security Hub - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre les règles d'automatisation dans Security Hub

Vous pouvez utiliser les règles d'automatisation pour mettre à jour automatiquement les résultats dans AWS Security Hub. Au fur et à mesure qu'il ingère les résultats, Security Hub peut appliquer diverses règles, telles que la suppression des résultats, la modification de leur gravité et l'ajout de notes. Ces actions de règle modifient les résultats qui correspondent aux critères que vous avez spécifiés.

Voici des exemples de cas d'utilisation des règles d'automatisation :

  • Augmenter la gravité d'une constatation jusqu'à ce CRITICAL que son identifiant de ressource fasse référence à une ressource critique pour l'entreprise.

  • Augmenter la gravité d'une constatation de HIGH à CRITICAL si la constatation affecte les ressources dans des comptes de production spécifiques.

  • Attribuer des résultats spécifiques présentant un statut de SUPPRESSED flux de INFORMATIONAL travail grave.

Vous pouvez créer et gérer des règles d'automatisation uniquement à partir d'un compte administrateur Security Hub.

Les règles s'appliquent à la fois aux nouvelles découvertes et aux découvertes mises à jour. Vous pouvez créer une règle personnalisée à partir de zéro ou utiliser un modèle de règle fourni par Security Hub. Vous pouvez également commencer par un modèle et le modifier selon vos besoins.

Définition des critères et des actions des règles

À partir d'un compte administrateur Security Hub, vous pouvez créer une règle d'automatisation en définissant un ou plusieurs critères de règle et une ou plusieurs actions de règle. Lorsqu'un résultat correspond aux critères définis, Security Hub lui applique les actions de règle. Pour plus d'informations sur les critères et les actions disponibles, consultezCritères de règle et actions de règle disponibles.

Security Hub prend actuellement en charge un maximum de 100 règles d'automatisation pour chaque compte administrateur.

Le compte administrateur du Security Hub peut également modifier, afficher et supprimer les règles d'automatisation. Une règle s'applique à la mise en correspondance des résultats dans le compte administrateur et dans tous ses comptes membres. En fournissant un compte membre IDs comme critère de règle, les administrateurs de Security Hub peuvent également utiliser des règles d'automatisation pour mettre à jour ou supprimer les résultats de comptes de membres spécifiques.

Une règle d'automatisation s'applique uniquement dans le Région AWS pays dans lequel elle a été créée. Pour appliquer une règle dans plusieurs régions, l'administrateur doit créer la règle dans chaque région. Cela peut être effectué via la console Security Hub, Security Hub API ou AWS CloudFormation. Vous pouvez également utiliser un script de déploiement multirégional.

Critères de règle et actions de règle disponibles

Les champs AWS Security Finding Format (ASFF) suivants sont actuellement pris en charge en tant que critères pour les règles d'automatisation :

ASFFchamp Filtres Type de champ
AwsAccountId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
AwsAccountName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
CompanyName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ComplianceAssociatedStandardsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ComplianceSecurityControlId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ComplianceStatus Is, Is Not Sélectionnez : [FAILED,NOT_AVAILABLE,PASSED,WARNING]
Confidence Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Nombre
CreatedAt Start, End, DateRange Date (formatée au format : ÷ 12-01T 21:47:39.269 Z)
Criticality Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Nombre
Description CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
FirstObservedAt Start, End, DateRange Date (formatée au format : ÷ 12-01T 21:47:39.269 Z)
GeneratorId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
Id CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
LastObservedAt Start, End, DateRange Date (formatée au format : ÷ 12-01T 21:47:39.269 Z)
NoteText CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
NoteUpdatedAt Start, End, DateRange Date (formatée au format : ÷ 12-01T 21:47:39.269 Z)
NoteUpdatedBy CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ProductName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
RecordState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
RelatedFindingsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
RelatedFindingsProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourceApplicationArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourceApplicationName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourceDetailsOther CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Map
ResourceId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourcePartition CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourceRegion CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
ResourceTags CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Map
ResourceType Is, Is Not Sélectionnez (voir Ressources prises en charge parASFF)
SeverityLabel Is, Is Not Sélectionnez : [CRITICAL,HIGH,MEDIUM,LOW,INFORMATIONAL]
SourceUrl CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
Title CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
Type CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
UpdatedAt Start, End, DateRange Date (formatée au format : ÷ 12-01T 21:47:39.269 Z)
UserDefinedFields CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Map
VerificationState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Chaîne
WorkflowStatus Is, Is Not Sélectionnez : [NEW,NOTIFIED,RESOLVED,SUPPRESSED]

Pour les critères étiquetés sous forme de champs de chaîne, l'utilisation de différents opérateurs de filtre sur le même champ affecte la logique d'évaluation. Pour plus d’informations, consultez .StringFilterdans la AWS Security Hub APIréférence.

Chaque critère prend en charge un nombre maximum de valeurs pouvant être utilisées pour filtrer les résultats correspondants. Pour les limites de chaque critère, voir AutomationRulesFindingFiltersdans la AWS Security Hub APIréférence.

Les ASFF champs suivants sont actuellement pris en charge en tant qu'actions pour les règles d'automatisation :

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Pour plus d'informations sur des ASFF champs spécifiques, voir Syntaxe et ASFFexemples de AWS Security Finding Format (ASFF).

Astuce

Si vous souhaitez que Security Hub cesse de générer des résultats pour un contrôle spécifique, nous vous recommandons de désactiver le contrôle au lieu d'utiliser une règle d'automatisation. Lorsque vous désactivez un contrôle, Security Hub arrête d'effectuer des contrôles de sécurité sur celui-ci et de générer des résultats pour celui-ci. Vous n'avez donc pas à payer de frais pour ce contrôle. Nous vous recommandons d'utiliser des règles d'automatisation pour modifier les valeurs de ASFF champs spécifiques pour les résultats correspondant à des critères définis. Pour plus d'informations sur la désactivation des contrôles, consultezActivation des contrôles dans Security Hub.

Résultats évalués par les règles d'automatisation

Une règle d'automatisation évalue les découvertes nouvelles et mises à jour que Security Hub génère ou ingère via le BatchImportFindingsopération après avoir créé la règle. Security Hub met à jour les résultats des contrôles toutes les 12 à 24 heures ou lorsque l'état de la ressource associée change. Pour plus d'informations, consultez Planification de l'exécution des vérifications de sécurité.

Les règles d'automatisation évaluent les résultats originaux fournis par le fournisseur. Les fournisseurs peuvent fournir de nouveaux résultats et mettre à jour les résultats existants grâce au BatchImportFindings fonctionnement du Security HubAPI. Les règles ne sont pas déclenchées lorsque vous mettez à jour les champs de recherche après leur création via BatchUpdateFindingsopération. Si vous créez une règle d'automatisation et effectuez une BatchUpdateFindings mise à jour qui affectent le même champ de recherche, la dernière mise à jour définit la valeur de ce champ. Prenons l'exemple suivant :

  1. Vous l'utilisez BatchUpdateFindings pour mettre à jour le Workflow.Status champ d'une constatation de NEW àNOTIFIED.

  2. Si vous appelezGetFindings, le Workflow.Status champ a désormais une valeur deNOTIFIED.

  3. Vous créez une règle d'automatisation qui fait passer le Workflow.Status champ du résultat de NEW à SUPPRESSED (rappelez-vous que les règles ignorent les mises à jour effectuées avecBatchUpdateFindings).

  4. Le fournisseur de recherche met BatchImportFindings à jour le résultat et remplace le Workflow.Status champ parNEW.

  5. Si vous appelezGetFindings, le Workflow.Status champ possède désormais une valeur de SUPPRESSED parce que la règle d'automatisation a été appliquée et que la règle est la dernière action entreprise sur la base du résultat.

Lorsque vous créez ou modifiez une règle sur la console Security Hub, celle-ci affiche un aperçu des résultats correspondant aux critères de la règle. Alors que les règles d'automatisation évaluent les résultats originaux envoyés par le fournisseur de recherche, l'aperçu de la console reflète les résultats dans leur état final, tels qu'ils seraient affichés dans une réponse au GetFindingsAPIopération (c'est-à-dire après que des actions de règles ou d'autres mises à jour ont été appliquées au résultat).

Comment fonctionne l'ordre des règles

Lorsque vous créez des règles d'automatisation, vous attribuez un ordre à chaque règle. Cela détermine l'ordre dans lequel Security Hub applique vos règles d'automatisation, et cela devient important lorsque plusieurs règles se rapportent au même champ de recherche ou de recherche.

Lorsque plusieurs actions de règle concernent le même résultat ou le même champ de recherche, la règle ayant la valeur numérique la plus élevée pour l'ordre des règles s'applique en dernier lieu et produit l'effet final.

Lorsque vous créez une règle dans la console Security Hub, Security Hub attribue automatiquement l'ordre des règles en fonction de l'ordre de création des règles. La dernière règle créée possède la valeur numérique la plus faible pour l'ordre des règles et s'applique donc en premier. Security Hub applique les règles suivantes par ordre croissant.

Lorsque vous créez une règle par le biais du Security Hub API ou AWS CLI, Security Hub applique la règle dont la valeur numérique la plus faible est la RuleOrder première. Il applique ensuite les règles suivantes par ordre croissant. Si plusieurs résultats sont identiquesRuleOrder, Security Hub applique d'abord une règle avec une valeur antérieure pour le UpdatedAt champ (c'est-à-dire que la règle la plus récemment modifiée s'applique en dernier lieu).

Vous pouvez modifier l'ordre des règles à tout moment.

Exemple d'ordre des règles :

Règle A (l'ordre des règles est1) :

  • Critères de la règle A

    • ProductName = Security Hub

    • Resources.Type est S3 Bucket

    • Compliance.Status = FAILED

    • RecordState est NEW

    • Workflow.Status = ACTIVE

  • Actions en vertu de la règle A

    • Mettre à jour Confidence vers 95

    • Mettre à jour Severity vers CRITICAL

Règle B (l'ordre des règles est2) :

  • Critères de la règle B

    • AwsAccountId = 123456789012

  • Actions relevant de la règle B

    • Mettre à jour Severity vers INFORMATIONAL

Les actions de la règle A s'appliquent d'abord aux résultats du Security Hub qui répondent aux critères de la règle A. Ensuite, les actions de la règle B s'appliquent aux résultats du Security Hub avec l'ID de compte spécifié. Dans cet exemple, étant donné que la règle B s'applique Severity en dernier, la valeur finale des résultats provenant de l'ID de compte spécifié estINFORMATIONAL. Sur la base de l'action de la règle A, la valeur Confidence finale des résultats correspondants est95.