Définition des critères et des actions des règles Spécification de l'ordre des règles Critères de règle et actions de règle disponibles

Comprendre les règles d'automatisation dans Security Hub

Vous pouvez utiliser les règles d'automatisation pour mettre à jour automatiquement les résultats dans AWS Security Hub. Au fur et à mesure qu'il ingère les résultats, Security Hub peut appliquer diverses règles, telles que la suppression des résultats, la modification de leur gravité et l'ajout de notes. Ces actions de règle modifient les résultats qui correspondent aux critères que vous avez spécifiés.

Voici des exemples de cas d'utilisation des règles d'automatisation :

Augmenter la gravité d'une constatation jusqu'à ce CRITICAL que son identifiant de ressource fasse référence à une ressource critique pour l'entreprise.
Augmenter la gravité d'une constatation de HIGH à CRITICAL si la constatation affecte les ressources dans des comptes de production spécifiques.
Attribuer des résultats spécifiques présentant un statut de SUPPRESSED flux de INFORMATIONAL travail grave.

Vous pouvez créer et gérer des règles d'automatisation uniquement à partir d'un compte administrateur Security Hub.

Les règles s'appliquent à la fois aux nouvelles découvertes et aux découvertes mises à jour. Vous pouvez créer une règle personnalisée à partir de zéro ou utiliser un modèle de règle fourni par Security Hub. Vous pouvez également commencer par un modèle et le modifier selon vos besoins.

Définition des critères et des actions des règles

À partir d'un compte administrateur Security Hub, vous pouvez créer une règle d'automatisation en définissant un ou plusieurs critères de règle et une ou plusieurs actions de règle. Lorsqu'un résultat correspond aux critères définis, Security Hub lui applique les actions de règle. Pour plus d'informations sur les critères et actions disponibles, consultezCritères de règle et actions de règle disponibles.

Security Hub prend actuellement en charge un maximum de 100 règles d'automatisation pour chaque compte administrateur.

Le compte administrateur du Security Hub peut également modifier, afficher et supprimer les règles d'automatisation. Une règle s'applique à la correspondance des résultats dans le compte administrateur et dans tous ses comptes membres. En fournissant un compte membre IDs comme critère de règle, les administrateurs de Security Hub peuvent également utiliser des règles d'automatisation pour mettre à jour ou supprimer les résultats de comptes de membres spécifiques.

Une règle d'automatisation s'applique uniquement dans le Région AWS dans lequel il a été créé. Pour appliquer une règle dans plusieurs régions, l'administrateur doit créer la règle dans chaque région. Cela peut être effectué via la console Security Hub, Security Hub API ou AWS CloudFormation. Vous pouvez également utiliser un script de déploiement multirégional.

Important

Les règles d'automatisation s'appliquent aux découvertes nouvelles et mises à jour que Security Hub génère ou ingère une fois que vous avez créé la règle. Security Hub met à jour les résultats des contrôles toutes les 12 à 24 heures ou lorsque l'état de la ressource associée change. Pour plus d'informations, consultez Planification de l'exécution des vérifications de sécurité. Les règles d'automatisation évaluent les champs de recherche originaux fournis par le fournisseur. Les règles ne sont pas déclenchées lorsque vous mettez à jour les champs de recherche après leur création via BatchUpdateFindings.

Spécification de l'ordre des règles

Lorsque vous créez des règles d'automatisation, vous attribuez un ordre à chaque règle. Cela détermine l'ordre dans lequel Security Hub applique vos règles d'automatisation, et cela devient important lorsque plusieurs règles se rapportent au même champ de recherche ou de recherche.

Lorsque plusieurs actions de règle concernent le même résultat ou le même champ de recherche, la règle ayant la valeur numérique la plus élevée pour l'ordre des règles s'applique en dernier lieu et produit l'effet final.

Lorsque vous créez une règle dans la console Security Hub, Security Hub attribue automatiquement l'ordre des règles en fonction de l'ordre de création des règles. La dernière règle créée possède la valeur numérique la plus faible pour l'ordre des règles et s'applique donc en premier. Security Hub applique les règles suivantes par ordre croissant.

Lorsque vous créez une règle via le Security Hub API ou AWS CLI, Security Hub applique la règle dont la valeur numérique la plus faible est la RuleOrder première. Il applique ensuite les règles suivantes par ordre croissant. Si plusieurs résultats sont identiquesRuleOrder, Security Hub applique d'abord une règle avec une valeur antérieure pour le UpdatedAt champ (c'est-à-dire que la règle la plus récemment modifiée s'applique en dernier lieu).

Vous pouvez modifier l'ordre des règles à tout moment.

Exemple d'ordre des règles :

Règle A (l'ordre des règles est1) :

Critères de la règle A
- ProductName = Security Hub
- Resources.Type est S3 Bucket
- Compliance.Status = FAILED
- RecordState est NEW
- Workflow.Status = ACTIVE
Actions de la règle A
- Mettre à jour Confidence vers 95
- Mettre à jour Severity vers CRITICAL

Règle B (l'ordre des règles est2) :

Critères de la règle B
- AwsAccountId = 123456789012
Actions relevant de la règle B
- Mettre à jour Severity vers INFORMATIONAL

Les actions de la règle A s'appliquent d'abord aux résultats du Security Hub qui répondent aux critères de la règle A. Ensuite, les actions de la règle B s'appliquent aux résultats du Security Hub avec l'ID de compte spécifié. Dans cet exemple, étant donné que la règle B s'applique Severity en dernier, la valeur finale des résultats provenant de l'ID de compte spécifié estINFORMATIONAL. Sur la base de l'action de la règle A, la valeur Confidence finale des résultats correspondants est95.

Critères de règle et actions de règle disponibles

Procédez comme suit : AWS Les champs Security Finding Format (ASFF) sont actuellement pris en charge en tant que critères pour les règles d'automatisation :

ASFFchamp	Filtres	Type de champ
`AwsAccountId`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`AwsAccountName`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`CompanyName`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`ComplianceAssociatedStandardsId`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`ComplianceSecurityControlId`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`ComplianceStatus`	`Is, Is Not`	Sélectionnez : [`FAILED`,`NOT_AVAILABLE`,`PASSED`,`WARNING`]
`Confidence`	`Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)`	Nombre
`CreatedAt`	`Start, End, DateRange`	Date (formatée au format : ÷ 12-01T 21:47:39.269 Z)
`Criticality`	`Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal)`	Nombre
`Description`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`FirstObservedAt`	`Start, End, DateRange`	Date (formatée au format : ÷ 12-01T 21:47:39.269 Z)
`GeneratorId`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`Id`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`LastObservedAt`	`Start, End, DateRange`	Date (formatée au format : ÷ 12-01T 21:47:39.269 Z)
`NoteText`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`NoteUpdatedAt`	`Start, End, DateRange`	Date (formatée au format : ÷ 12-01T 21:47:39.269 Z)
`NoteUpdatedBy`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`ProductArn`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`ProductName`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`RecordState`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`RelatedFindingsId`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`RelatedFindingsProductArn`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`ResourceApplicationArn`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`ResourceApplicationName`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`ResourceDetailsOther`	`CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS`	Map
`ResourceId`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`ResourcePartition`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`ResourceRegion`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`ResourceTags`	`CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS`	Map
`ResourceType`	`Is, Is Not`	Sélectionnez (voir Ressources prises en charge parASFF)
`SeverityLabel`	`Is, Is Not`	Sélectionnez : [`CRITICAL`,`HIGH`,`MEDIUM`,`LOW`,`INFORMATIONAL`]
`SourceUrl`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`Title`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`Type`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`UpdatedAt`	`Start, End, DateRange`	Date (formatée au format : ÷ 12-01T 21:47:39.269 Z)
`UserDefinedFields`	`CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS`	Map
`VerificationState`	`CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS`	Chaîne
`WorkflowStatus`	`Is, Is Not`	Sélectionnez : [`NEW`,`NOTIFIED`,`RESOLVED`,`SUPPRESSED`]

Pour les critères étiquetés sous forme de champs de chaîne, l'utilisation de différents opérateurs de filtre sur le même champ affecte la logique d'évaluation. Pour plus d’informations, consultez .StringFilter dans le .AWS Security Hub APIRéférence.

Chaque critère prend en charge un nombre maximum de valeurs pouvant être utilisées pour filtrer les résultats correspondants. Pour les limites de chaque critère, voir AutomationRulesFindingFilters dans le .AWS Security Hub APIRéférence.

Les ASFF champs suivants sont actuellement pris en charge en tant qu'actions pour les règles d'automatisation :

Confidence
Criticality
Note
RelatedFindings
Severity
Types
UserDefinedFields
VerificationState
Workflow

Pour plus d'informations sur des ASFF champs spécifiques, voir AWS Syntaxe et ASFFexemples du format Security Finding Format (ASFF).

Astuce

Si vous souhaitez que Security Hub cesse de générer des résultats pour un contrôle spécifique, nous vous recommandons de désactiver le contrôle au lieu d'utiliser une règle d'automatisation. Lorsque vous désactivez un contrôle, Security Hub arrête d'effectuer des contrôles de sécurité sur celui-ci et de générer des résultats pour celui-ci. Vous n'avez donc pas à payer de frais pour ce contrôle. Nous vous recommandons d'utiliser des règles d'automatisation pour modifier les valeurs de ASFF champs spécifiques pour les résultats correspondant à des critères définis. Pour plus d'informations sur la désactivation des contrôles, consultezConfiguration des contrôles selon les normes.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Automatisations

Création et gestion de règles d'automatisation