Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comprendre les règles d'automatisation dans Security Hub
Vous pouvez utiliser les règles d'automatisation pour mettre à jour automatiquement les résultats dans AWS Security Hub. Au fur et à mesure qu'il ingère les résultats, Security Hub peut appliquer diverses règles, telles que la suppression des résultats, la modification de leur gravité et l'ajout de notes. Ces actions de règle modifient les résultats qui correspondent aux critères que vous avez spécifiés.
Voici des exemples de cas d'utilisation des règles d'automatisation :
-
Augmenter la gravité d'une constatation jusqu'à ce
CRITICAL
que son identifiant de ressource fasse référence à une ressource critique pour l'entreprise. -
Augmenter la gravité d'une constatation de
HIGH
àCRITICAL
si la constatation affecte les ressources dans des comptes de production spécifiques. -
Attribuer des résultats spécifiques présentant un statut de
SUPPRESSED
flux deINFORMATIONAL
travail grave.
Vous pouvez créer et gérer des règles d'automatisation uniquement à partir d'un compte administrateur Security Hub.
Les règles s'appliquent à la fois aux nouvelles découvertes et aux découvertes mises à jour. Vous pouvez créer une règle personnalisée à partir de zéro ou utiliser un modèle de règle fourni par Security Hub. Vous pouvez également commencer par un modèle et le modifier selon vos besoins.
Définition des critères et des actions des règles
À partir d'un compte administrateur Security Hub, vous pouvez créer une règle d'automatisation en définissant un ou plusieurs critères de règle et une ou plusieurs actions de règle. Lorsqu'un résultat correspond aux critères définis, Security Hub lui applique les actions de règle. Pour plus d'informations sur les critères et actions disponibles, consultezCritères de règle et actions de règle disponibles.
Security Hub prend actuellement en charge un maximum de 100 règles d'automatisation pour chaque compte administrateur.
Le compte administrateur du Security Hub peut également modifier, afficher et supprimer les règles d'automatisation. Une règle s'applique à la correspondance des résultats dans le compte administrateur et dans tous ses comptes membres. En fournissant un compte membre IDs comme critère de règle, les administrateurs de Security Hub peuvent également utiliser des règles d'automatisation pour mettre à jour ou supprimer les résultats de comptes de membres spécifiques.
Une règle d'automatisation s'applique uniquement dans le Région AWS dans lequel il a été créé. Pour appliquer une règle dans plusieurs régions, l'administrateur doit créer la règle dans chaque région. Cela peut être effectué via la console Security Hub, Security Hub API ou AWS CloudFormation. Vous pouvez également utiliser un script de déploiement multirégional
Important
Les règles d'automatisation s'appliquent aux découvertes nouvelles et mises à jour que Security Hub génère ou ingère une fois que vous avez créé la règle. Security Hub met à jour les résultats des contrôles toutes les 12 à 24 heures ou lorsque l'état de la ressource associée change. Pour plus d'informations, consultez Planification de l'exécution des vérifications de sécurité. Les règles d'automatisation évaluent les champs de recherche originaux fournis par le fournisseur. Les règles ne sont pas déclenchées lorsque vous mettez à jour les champs de recherche après leur création via BatchUpdateFindings.
Spécification de l'ordre des règles
Lorsque vous créez des règles d'automatisation, vous attribuez un ordre à chaque règle. Cela détermine l'ordre dans lequel Security Hub applique vos règles d'automatisation, et cela devient important lorsque plusieurs règles se rapportent au même champ de recherche ou de recherche.
Lorsque plusieurs actions de règle concernent le même résultat ou le même champ de recherche, la règle ayant la valeur numérique la plus élevée pour l'ordre des règles s'applique en dernier lieu et produit l'effet final.
Lorsque vous créez une règle dans la console Security Hub, Security Hub attribue automatiquement l'ordre des règles en fonction de l'ordre de création des règles. La dernière règle créée possède la valeur numérique la plus faible pour l'ordre des règles et s'applique donc en premier. Security Hub applique les règles suivantes par ordre croissant.
Lorsque vous créez une règle via le Security Hub API ou AWS CLI, Security Hub applique la règle dont la valeur numérique la plus faible est la RuleOrder
première. Il applique ensuite les règles suivantes par ordre croissant. Si plusieurs résultats sont identiquesRuleOrder
, Security Hub applique d'abord une règle avec une valeur antérieure pour le UpdatedAt
champ (c'est-à-dire que la règle la plus récemment modifiée s'applique en dernier lieu).
Vous pouvez modifier l'ordre des règles à tout moment.
Exemple d'ordre des règles :
Règle A (l'ordre des règles est1
) :
-
Critères de la règle A
-
ProductName
=Security Hub
-
Resources.Type
estS3 Bucket
-
Compliance.Status
=FAILED
-
RecordState
estNEW
-
Workflow.Status
=ACTIVE
-
-
Actions de la règle A
-
Mettre à jour
Confidence
vers95
-
Mettre à jour
Severity
versCRITICAL
-
Règle B (l'ordre des règles est2
) :
-
Critères de la règle B
-
AwsAccountId
=123456789012
-
-
Actions relevant de la règle B
-
Mettre à jour
Severity
versINFORMATIONAL
-
Les actions de la règle A s'appliquent d'abord aux résultats du Security Hub qui répondent aux critères de la règle A. Ensuite, les actions de la règle B s'appliquent aux résultats du Security Hub avec l'ID de compte spécifié. Dans cet exemple, étant donné que la règle B s'applique Severity
en dernier, la valeur finale des résultats provenant de l'ID de compte spécifié estINFORMATIONAL
. Sur la base de l'action de la règle A, la valeur Confidence
finale des résultats correspondants est95
.
Critères de règle et actions de règle disponibles
Procédez comme suit : AWS Les champs Security Finding Format (ASFF) sont actuellement pris en charge en tant que critères pour les règles d'automatisation :
ASFFchamp | Filtres | Type de champ |
---|---|---|
AwsAccountId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
AwsAccountName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
CompanyName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ComplianceAssociatedStandardsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ComplianceSecurityControlId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ComplianceStatus
|
Is, Is Not
|
Sélectionnez : [FAILED ,NOT_AVAILABLE ,PASSED ,WARNING ] |
Confidence
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Nombre |
CreatedAt
|
Start, End, DateRange
|
Date (formatée au format : ÷ 12-01T 21:47:39.269 Z) |
Criticality
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Nombre |
Description
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
FirstObservedAt
|
Start, End, DateRange
|
Date (formatée au format : ÷ 12-01T 21:47:39.269 Z) |
GeneratorId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
Id
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
LastObservedAt
|
Start, End, DateRange
|
Date (formatée au format : ÷ 12-01T 21:47:39.269 Z) |
NoteText
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
NoteUpdatedAt
|
Start, End, DateRange
|
Date (formatée au format : ÷ 12-01T 21:47:39.269 Z) |
NoteUpdatedBy
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ProductName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
RecordState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
RelatedFindingsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
RelatedFindingsProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ResourceApplicationArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ResourceApplicationName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ResourceDetailsOther
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Map |
ResourceId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ResourcePartition
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ResourceRegion
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
ResourceTags
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Map |
ResourceType
|
Is, Is Not
|
Sélectionnez (voir Ressources prises en charge parASFF) |
SeverityLabel
|
Is, Is Not
|
Sélectionnez : [CRITICAL ,HIGH ,MEDIUM ,LOW ,INFORMATIONAL ] |
SourceUrl
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
Title
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
Type
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
UpdatedAt
|
Start, End, DateRange
|
Date (formatée au format : ÷ 12-01T 21:47:39.269 Z) |
UserDefinedFields
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Map |
VerificationState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Chaîne |
WorkflowStatus
|
Is, Is Not
|
Sélectionnez : [NEW ,NOTIFIED ,RESOLVED ,SUPPRESSED ] |
Pour les critères étiquetés sous forme de champs de chaîne, l'utilisation de différents opérateurs de filtre sur le même champ affecte la logique d'évaluation. Pour plus d’informations, consultez .StringFilter dans le .AWS Security Hub APIRéférence.
Chaque critère prend en charge un nombre maximum de valeurs pouvant être utilisées pour filtrer les résultats correspondants. Pour les limites de chaque critère, voir AutomationRulesFindingFilters dans le .AWS Security Hub APIRéférence.
Les ASFF champs suivants sont actuellement pris en charge en tant qu'actions pour les règles d'automatisation :
-
Confidence
-
Criticality
-
Note
-
RelatedFindings
-
Severity
-
Types
-
UserDefinedFields
-
VerificationState
-
Workflow
Pour plus d'informations sur des ASFF champs spécifiques, voir AWS Syntaxe et ASFFexemples du format Security Finding Format (ASFF).
Astuce
Si vous souhaitez que Security Hub cesse de générer des résultats pour un contrôle spécifique, nous vous recommandons de désactiver le contrôle au lieu d'utiliser une règle d'automatisation. Lorsque vous désactivez un contrôle, Security Hub arrête d'effectuer des contrôles de sécurité sur celui-ci et de générer des résultats pour celui-ci. Vous n'avez donc pas à payer de frais pour ce contrôle. Nous vous recommandons d'utiliser des règles d'automatisation pour modifier les valeurs de ASFF champs spécifiques pour les résultats correspondant à des critères définis. Pour plus d'informations sur la désactivation des contrôles, consultezConfiguration des contrôles selon les normes.