BatchUpdateFindings pour les clients - AWS Security Hub
Champs disponibles pour BatchUpdateFindingsConfiguration de l'accès à BatchUpdateFindings

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

BatchUpdateFindings pour les clients

Les clients du Security Hub, et les entités agissant en leur nom, peuvent utiliser cette BatchUpdateFindingsopération pour mettre à jour les informations relatives au traitement par un client des conclusions du Security Hub issues de la recherche de fournisseurs. Un client ou un outil de billetterieSIEM, de gestion des incidents ou un SOAR outil travaillant pour le compte d'un client peut utiliser cette opération.

Vous ne pouvez pas l'utiliser BatchUpdateFindings pour créer de nouvelles découvertes. Vous pouvez l'utiliser pour mettre à jour jusqu'à 100 résultats à la fois. Dans votre demande, vous spécifiez les champs AWS Security Finding Format (ASFF) que vous souhaitez mettre à jour.

Lorsque Security Hub reçoit une BatchUpdateFindings demande de mise à jour d'un résultat, il génère automatiquement un Security Hub Findings - Importedévénement sur Amazon EventBridge. Vous pouvez prendre des mesures automatisées sur cet événement. Pour plus d’informations, veuillez consulter Utilisation EventBridge pour une réponse et une correction automatisées.

BatchUpdateFindingsne modifie pas le UpdatedAt champ pour le résultat. UpdatedAtreflète la mise à jour la plus récente du fournisseur de recherche.

Champs disponibles pour BatchUpdateFindings

Si vous êtes connecté à un compte administrateur Security Hub, vous pouvez l'utiliser BatchUpdateFindings pour mettre à jour les résultats générés par le compte administrateur ou les comptes membres. Les comptes des membres ne peuvent être utilisés BatchUpdateFindings que pour mettre à jour les résultats de leur compte.

Les clients peuvent utiliser BatchUpdateFindings pour mettre à jour les champs et objets suivants :

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Configuration de l'accès à BatchUpdateFindings

Vous pouvez configurer AWS Identity and Access Management (IAM) des politiques afin de restreindre l'accès à l'utilisation pour mettre BatchUpdateFindings à jour les champs de recherche et les valeurs des champs.

Dans une instruction pour restreindre l'accèsBatchUpdateFindings, utilisez les valeurs suivantes :

  • Action est securityhub:BatchUpdateFindings

  • Effect est Deny

  • En Condition effet, vous pouvez refuser une BatchUpdateFindings demande pour les raisons suivantes :

    • Le résultat inclut un champ spécifique.

    • Le résultat inclut une valeur de champ spécifique.

Clés de condition

Il s'agit des clés de condition permettant de restreindre l'accès àBatchUpdateFindings.

ASFFchamp

La clé de condition d'un ASFF champ est la suivante :

securityhub:ASFFSyntaxPath/<fieldName>

Remplacez <fieldName> par le ASFF champ. Lorsque vous configurez l'accès àBatchUpdateFindings, incluez un ou plusieurs ASFF champs spécifiques dans votre IAM politique plutôt qu'un champ au niveau du parent. Par exemple, pour restreindre l'accès au Workflow.Status champ, vous devez l'inclure securityhub:ASFFSyntaxPath/Workflow.Status dans votre politique plutôt que dans le champ au Workflow niveau du parent.

Interdire toutes les mises à jour d'un champ

Pour empêcher un utilisateur de mettre à jour un champ spécifique, utilisez une condition comme celle-ci :

 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

Par exemple, l'énoncé suivant indique que cela ne BatchUpdateFindings peut pas être utilisé pour mettre à jour le Workflow.Status champ de résultats.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

Interdire des valeurs de champ spécifiques

Pour empêcher un utilisateur de définir une valeur spécifique à un champ, utilisez une condition comme celle-ci :

"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

Par exemple, l'instruction suivante indique qu'il n'est pas BatchUpdateFindings possible de l'utiliser Workflow.Status pour définir surSUPPRESSED.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

Vous pouvez également fournir une liste de valeurs interdites.

 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

Par exemple, l'instruction suivante indique qu'il n'est pas BatchUpdateFindings possible de l'utiliser pour définir l'une RESOLVED ou Workflow.Status l'autre des valeursSUPPRESSED.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}