Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memahami aturan otomatisasi di Security Hub
Anda dapat menggunakan aturan otomatisasi untuk memperbarui temuan secara otomatis AWS Security Hub. Saat menyerap temuan, Security Hub dapat menerapkan berbagai tindakan aturan, seperti menekan temuan, mengubah tingkat keparahannya, dan menambahkan catatan. Tindakan aturan tersebut mengubah temuan yang sesuai dengan kriteria yang Anda tentukan.
Contoh kasus penggunaan untuk aturan otomatisasi meliputi:
-
Meningkatkan keparahan temuan
CRITICALjika ID sumber daya temuan mengacu pada sumber daya bisnis yang penting. -
Meningkatkan keparahan temuan dari
HIGHCRITICALjika temuan tersebut memengaruhi sumber daya dalam akun produksi tertentu. -
Menetapkan temuan spesifik yang memiliki tingkat keparahan status
INFORMATIONALSUPPRESSEDalur kerja.
Anda dapat membuat dan mengelola aturan otomatisasi hanya dari akun administrator Security Hub.
Aturan berlaku untuk temuan baru dan temuan terbaru. Anda dapat membuat aturan kustom dari awal, atau menggunakan templat aturan yang disediakan oleh Security Hub. Anda juga dapat memulai dengan template dan memodifikasinya sesuai kebutuhan.
Mendefinisikan kriteria aturan dan tindakan aturan
Dari akun administrator Security Hub, Anda dapat membuat aturan otomatisasi dengan menentukan satu atau beberapa kriteria aturan dan satu atau beberapa tindakan aturan. Jika temuan cocok dengan kriteria yang ditentukan, Security Hub menerapkan tindakan aturan padanya. Untuk informasi selengkapnya tentang kriteria dan tindakan yang tersedia, lihatKriteria aturan dan tindakan aturan yang tersedia.
Security Hub saat ini mendukung maksimal 100 aturan otomatisasi untuk setiap akun administrator.
Akun administrator Security Hub juga dapat mengedit, melihat, dan menghapus aturan otomatisasi. Aturan berlaku untuk pencocokan temuan di akun administrator dan semua akun anggotanya. Dengan menyediakan akun anggota IDs sebagai kriteria aturan, administrator Security Hub juga dapat menggunakan aturan otomatisasi untuk memperbarui atau menekan temuan di akun anggota tertentu.
Aturan otomatisasi hanya berlaku di Wilayah AWS di mana ia diciptakan. Untuk menerapkan aturan di beberapa Wilayah, administrator harus membuat aturan di setiap Wilayah. Ini dapat dilakukan melalui konsol Security Hub, Security HubAPI, atau AWS CloudFormation. Anda juga dapat menggunakan skrip penyebaran Multi-wilayah
penting
Aturan otomatisasi berlaku untuk temuan baru dan terbaru yang dihasilkan atau dikonsumsi oleh Security Hub setelah Anda membuat aturan. Security Hub memperbarui temuan kontrol setiap 12-24 jam atau ketika sumber daya terkait berubah status. Untuk informasi selengkapnya, lihat Menjadwalkan untuk menjalankan pemeriksaan keamanan. Aturan otomatisasi mengevaluasi bidang temuan asli yang disediakan penyedia. Aturan tidak dipicu saat Anda memperbarui bidang pencarian setelah pembuatan aturan melalui BatchUpdateFindings.
Menentukan urutan aturan
Saat membuat aturan otomatisasi, Anda menetapkan setiap aturan pesanan. Ini menentukan urutan di mana Security Hub menerapkan aturan otomatisasi Anda, dan menjadi penting ketika beberapa aturan terkait dengan bidang temuan atau pencarian yang sama.
Ketika beberapa tindakan aturan berhubungan dengan bidang temuan atau pencarian yang sama, aturan dengan nilai numerik tertinggi untuk urutan aturan berlaku terakhir dan memiliki efek akhir.
Saat Anda membuat aturan di konsol Security Hub, Security Hub secara otomatis menetapkan urutan aturan berdasarkan urutan pembuatan aturan. Aturan yang paling baru dibuat memiliki nilai numerik terendah untuk urutan aturan dan oleh karena itu berlaku terlebih dahulu. Security Hub menerapkan aturan berikutnya dalam urutan menaik.
Saat Anda membuat aturan melalui Security Hub API atau AWS CLI Security Hub menerapkan aturan dengan nilai numerik terendah untuk RuleOrder pertama. Ini kemudian menerapkan aturan selanjutnya dalam urutan menaik. Jika beberapa temuan memiliki hal yang samaRuleOrder, Security Hub menerapkan aturan dengan nilai sebelumnya untuk UpdatedAt bidang terlebih dahulu (yaitu, aturan yang terakhir diedit berlaku terakhir).
Anda dapat mengubah urutan aturan kapan saja.
Contoh urutan aturan:
Aturan A (urutan aturan adalah1):
-
Kriteria Aturan A
-
ProductName=Security Hub -
Resources.TypeadalahS3 Bucket -
Compliance.Status=FAILED -
RecordStateadalahNEW -
Workflow.Status=ACTIVE
-
-
Aturan A tindakan
-
Perbarui
Confidenceke95 -
Perbarui
SeveritykeCRITICAL
-
Aturan B (urutan aturan adalah2):
-
Kriteria aturan B
-
AwsAccountId=123456789012
-
-
Tindakan aturan B
-
Perbarui
SeveritykeINFORMATIONAL
-
Aturan Tindakan diterapkan terlebih dahulu pada temuan Security Hub yang cocok dengan kriteria Aturan A. Selanjutnya, tindakan Aturan B berlaku untuk temuan Security Hub dengan ID akun yang ditentukan. Dalam contoh ini, karena Aturan B berlaku terakhir, nilai akhir Severity dalam temuan dari ID akun yang ditentukan adalahINFORMATIONAL. Berdasarkan tindakan Aturan A, nilai akhir dari temuan Confidence yang cocok adalah95.
Kriteria aturan dan tindakan aturan yang tersedia
Berikut ini AWS Bidang Security Finding Format (ASFF) saat ini didukung sebagai kriteria untuk aturan otomatisasi:
| ASFFlapangan | Filter | Jenis bidang |
|---|---|---|
AwsAccountId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
AwsAccountName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
CompanyName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
ComplianceAssociatedStandardsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
ComplianceSecurityControlId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
ComplianceStatus
|
Is, Is Not
|
Pilih: [FAILED,NOT_AVAILABLE,PASSED,WARNING] |
Confidence
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Jumlah |
CreatedAt
|
Start, End, DateRange
|
Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z) |
Criticality
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Jumlah |
Description
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
FirstObservedAt
|
Start, End, DateRange
|
Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z) |
GeneratorId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
Id
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
LastObservedAt
|
Start, End, DateRange
|
Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z) |
NoteText
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
NoteUpdatedAt
|
Start, End, DateRange
|
Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z) |
NoteUpdatedBy
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
ProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
ProductName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
RecordState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
RelatedFindingsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
RelatedFindingsProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
ResourceApplicationArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
ResourceApplicationName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
ResourceDetailsOther
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Peta |
ResourceId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
ResourcePartition
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
ResourceRegion
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
ResourceTags
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Peta |
ResourceType
|
Is, Is Not
|
Pilih (lihat Sumber yang didukung olehASFF) |
SeverityLabel
|
Is, Is Not
|
Pilih: [CRITICAL,HIGH,MEDIUM,LOW,INFORMATIONAL] |
SourceUrl
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
Title
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
Type
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
UpdatedAt
|
Start, End, DateRange
|
Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z) |
UserDefinedFields
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Peta |
VerificationState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
String |
WorkflowStatus
|
Is, Is Not
|
Pilih: [NEW,NOTIFIED,RESOLVED,SUPPRESSED] |
Untuk kriteria yang diberi label sebagai bidang string, menggunakan operator filter yang berbeda pada bidang yang sama memengaruhi logika evaluasi. Untuk informasi selengkapnya, silakan lihat StringFilterdi AWS Security Hub APIReferensi.
Setiap kriteria mendukung jumlah maksimum nilai yang dapat digunakan untuk menyaring temuan yang cocok. Untuk batasan pada setiap kriteria, lihat AutomationRulesFindingFiltersdi AWS Security Hub APIReferensi.
ASFFBidang berikut saat ini didukung sebagai tindakan untuk aturan otomatisasi:
-
Confidence -
Criticality -
Note -
RelatedFindings -
Severity -
Types -
UserDefinedFields -
VerificationState -
Workflow
Untuk informasi selengkapnya tentang ASFF bidang tertentu, lihat AWS Security Finding Format (ASFF) sintaks dan ASFFcontoh.
Tip
Jika Anda ingin Security Hub berhenti menghasilkan temuan untuk kontrol tertentu, sebaiknya nonaktifkan kontrol alih-alih menggunakan aturan otomatisasi. Saat Anda menonaktifkan kontrol, Security Hub berhenti menjalankan pemeriksaan keamanan dan berhenti menghasilkan temuan untuk itu, sehingga Anda tidak akan dikenakan biaya untuk kontrol tersebut. Sebaiknya gunakan aturan otomatisasi untuk mengubah nilai ASFF bidang tertentu untuk temuan yang sesuai dengan kriteria yang ditentukan. Untuk informasi selengkapnya tentang menonaktifkan kontrol, lihat. Mengkonfigurasi kontrol di seluruh standar
