Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memahami aturan otomatisasi di Security Hub CSPM
Anda dapat menggunakan aturan otomatisasi untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Saat mencerna temuan, Security Hub CSPM dapat menerapkan berbagai tindakan aturan, seperti menekan temuan, mengubah tingkat keparahannya, dan menambahkan catatan. Tindakan aturan tersebut mengubah temuan yang sesuai dengan kriteria yang Anda tentukan.
Contoh kasus penggunaan untuk aturan otomatisasi meliputi:
+ Meningkatkan keparahan temuan `CRITICAL` jika ID sumber daya temuan mengacu pada sumber daya bisnis yang penting.
+ Meningkatkan keparahan temuan dari `HIGH` `CRITICAL` jika temuan tersebut memengaruhi sumber daya dalam akun produksi tertentu.
+ Menetapkan temuan spesifik yang memiliki tingkat keparahan status `INFORMATIONAL` `SUPPRESSED` alur kerja.
Anda dapat membuat dan mengelola aturan otomatisasi hanya dari akun administrator CSPM Security Hub.
Aturan berlaku untuk temuan baru dan temuan terbaru. Anda dapat membuat aturan kustom dari awal, atau menggunakan templat aturan yang disediakan oleh Security Hub CSPM. Anda juga dapat memulai dengan template dan memodifikasinya sesuai kebutuhan.
## Mendefinisikan kriteria aturan dan tindakan aturan
*Dari akun administrator CSPM Security Hub, Anda dapat membuat aturan otomatisasi dengan menentukan satu atau beberapa *kriteria* aturan dan satu atau beberapa tindakan aturan.* Ketika temuan cocok dengan kriteria yang ditentukan, Security Hub CSPM menerapkan tindakan aturan untuk itu. Untuk informasi selengkapnya tentang kriteria dan tindakan yang tersedia, lihat[Kriteria aturan dan tindakan aturan yang tersedia](#automation-rules-criteria-actions).
Security Hub CSPM saat ini mendukung maksimal 100 aturan otomatisasi untuk setiap akun administrator.
Akun administrator CSPM Security Hub juga dapat mengedit, melihat, dan menghapus aturan otomatisasi. Aturan berlaku untuk pencocokan temuan di akun administrator dan semua akun anggotanya. Dengan menyediakan akun anggota IDs sebagai kriteria aturan, administrator CSPM Security Hub juga dapat menggunakan aturan otomatisasi untuk memperbarui atau menekan temuan di akun anggota tertentu.
Aturan otomatisasi hanya berlaku Wilayah AWS di tempat pembuatannya. Untuk menerapkan aturan di beberapa Wilayah, administrator harus membuat aturan di setiap Wilayah. Ini dapat dilakukan melalui konsol CSPM Security Hub, Security Hub CSPM API, atau. [AWS CloudFormation](creating-resources-with-cloudformation.md) Anda juga dapat menggunakan skrip [penyebaran Multi-wilayah](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules).
## Kriteria aturan dan tindakan aturan yang tersedia
Bidang AWS Security Finding Format (ASFF) berikut saat ini didukung sebagai kriteria untuk aturan otomatisasi:
| Kriteria aturan | Operator filter | Jenis bidang |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ComplianceStatus | Is, Is Not | Pilih: [FAILED,NOT\$1AVAILABLE,PASSED,WARNING] |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Bilangan |
| CreatedAt | Start, End, DateRange | Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Bilangan |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| FirstObservedAt | Start, End, DateRange | Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| LastObservedAt | Start, End, DateRange | Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| NoteUpdatedAt | Start, End, DateRange | Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Peta |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Peta |
| ResourceType | Is, Is Not | Pilih (lihat [Sumber](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) yang didukung oleh ASFF) |
| SeverityLabel | Is, Is Not | Pilih: [CRITICAL,HIGH,MEDIUM,LOW,INFORMATIONAL] |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| UpdatedAt | Start, End, DateRange | Tanggal (diformat sebagai 2022-12-01T 21:47:39.269 Z) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Peta |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| WorkflowStatus | Is, Is Not | Pilih: [NEW,NOTIFIED,RESOLVED,SUPPRESSED] |
Untuk kriteria yang diberi label sebagai bidang string, menggunakan operator filter yang berbeda pada bidang yang sama memengaruhi logika evaluasi. Untuk informasi selengkapnya, lihat [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)di Referensi *API CSPM AWS Security Hub*.
Setiap kriteria mendukung jumlah maksimum nilai yang dapat digunakan untuk menyaring temuan yang cocok. Untuk batasan pada setiap kriteria, lihat [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)di Referensi API *CSPM AWS Security Hub*.
Bidang ASFF berikut saat ini didukung sebagai tindakan untuk aturan otomatisasi:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
Untuk informasi selengkapnya tentang bidang ASFF tertentu, lihat sintaks [AWS Security Finding Format (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).
**Tip**
Jika Anda ingin Security Hub CSPM berhenti menghasilkan temuan untuk kontrol tertentu, sebaiknya nonaktifkan kontrol daripada menggunakan aturan otomatisasi. Ketika Anda menonaktifkan kontrol, Security Hub CSPM berhenti menjalankan pemeriksaan keamanan di atasnya dan berhenti menghasilkan temuan untuk itu, sehingga Anda tidak akan dikenakan biaya untuk kontrol itu. Sebaiknya gunakan aturan otomatisasi untuk mengubah nilai bidang ASFF tertentu untuk temuan yang sesuai dengan kriteria yang ditentukan. Untuk informasi selengkapnya tentang menonaktifkan kontrol, lihat. [Menonaktifkan kontrol di Security Hub CSPM](disable-controls-overview.md)
## Temuan yang dievaluasi oleh aturan otomatisasi
Aturan otomatisasi mengevaluasi temuan baru dan terbaru yang dihasilkan atau dicerna oleh Security Hub CSPM melalui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)operasi *setelah* Anda membuat aturan. Security Hub CSPM memperbarui temuan kontrol setiap 12-24 jam atau ketika sumber daya terkait berubah status. Untuk informasi selengkapnya, lihat [Jadwal untuk menjalankan pemeriksaan keamanan](securityhub-standards-schedule.md).
Aturan otomatisasi mengevaluasi temuan asli yang disediakan penyedia. Penyedia dapat menyediakan temuan baru dan memperbarui temuan yang ada dengan menggunakan `BatchImportFindings` pengoperasian Security Hub CSPM API. Jika bidang berikut tidak ada dalam temuan asli, Security Hub CSPM secara otomatis mengisi bidang dan kemudian menggunakan nilai yang diisi dalam evaluasi dengan aturan otomatisasi:
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
Setelah Anda membuat satu atau beberapa aturan otomatisasi, aturan tidak akan dipicu jika Anda memperbarui bidang pencarian menggunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operasi. Jika Anda membuat aturan otomatisasi dan membuat `BatchUpdateFindings` pembaruan yang memengaruhi bidang temuan yang sama, pembaruan terakhir akan menetapkan nilai untuk bidang tersebut. Ambil contoh berikut:
1. Anda menggunakan `BatchUpdateFindings` operasi untuk mengubah nilai `Workflow.Status` bidang temuan dari `NEW` ke`NOTIFIED`.
1. Jika Anda menelepon`GetFindings`, `Workflow.Status` bidang sekarang memiliki nilai`NOTIFIED`.
1. Anda membuat aturan otomatisasi yang mengubah `Workflow.Status` bidang temuan dari `NEW` ke`SUPPRESSED`. (Ingat bahwa aturan mengabaikan pembaruan yang dibuat menggunakan `BatchUpdateFindings` operasi.)
1. Penyedia temuan menggunakan `BatchImportFindings` operasi untuk memperbarui temuan dan mengubah nilai untuk `Workflow.Status` bidang temuan ke`NEW`.
1. Jika Anda menelepon`GetFindings`, `Workflow.Status` bidang sekarang memiliki nilai`SUPPRESSED`. Ini adalah kasus karena aturan otomatisasi diterapkan, dan aturan adalah tindakan terakhir yang diambil pada temuan tersebut.
Saat Anda membuat atau mengedit aturan di konsol CSPM Security Hub, konsol akan menampilkan beta temuan yang sesuai dengan kriteria aturan. Sementara aturan otomatisasi mengevaluasi temuan asli yang dikirim oleh penyedia temuan, beta konsol mencerminkan temuan dalam keadaan akhir mereka karena akan ditampilkan dalam respons terhadap [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)operasi (yaitu, setelah tindakan aturan atau pembaruan lain diterapkan pada temuan).
## Cara kerja urutan aturan
Saat membuat aturan otomatisasi, Anda menetapkan setiap aturan pesanan. Ini menentukan urutan di mana Security Hub CSPM menerapkan aturan otomatisasi Anda, dan menjadi penting ketika beberapa aturan terkait dengan bidang temuan atau pencarian yang sama.
Ketika beberapa tindakan aturan berhubungan dengan bidang temuan atau pencarian yang sama, aturan dengan nilai numerik tertinggi untuk urutan aturan berlaku terakhir dan memiliki efek akhir.
Saat Anda membuat aturan di konsol CSPM Security Hub, Security Hub CSPM secara otomatis menetapkan urutan aturan berdasarkan urutan pembuatan aturan. Aturan yang paling baru dibuat memiliki nilai numerik terendah untuk urutan aturan dan oleh karena itu berlaku terlebih dahulu. Security Hub CSPM menerapkan aturan berikutnya dalam urutan menaik.
Bila Anda membuat aturan melalui Security Hub CSPM API atau AWS CLI, Security Hub CSPM menerapkan aturan dengan nilai numerik terendah untuk pertama. `RuleOrder` Ini kemudian menerapkan aturan selanjutnya dalam urutan menaik. Jika beberapa temuan memiliki hal yang sama`RuleOrder`, Security Hub CSPM menerapkan aturan dengan nilai sebelumnya untuk `UpdatedAt` bidang terlebih dahulu (yaitu, aturan yang terakhir diedit berlaku terakhir).
Anda dapat mengubah urutan aturan kapan saja.
**Contoh urutan aturan**:
**Aturan A (urutan aturan adalah`1`)**:
+ Kriteria Aturan A
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type`adalah `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState`adalah `NEW`
+ `Workflow.Status` = `ACTIVE`
+ Aturan A tindakan
+ Perbarui `Confidence` ke `95`
+ Perbarui `Severity` ke `CRITICAL`
**Aturan B (urutan aturan adalah`2`)**:
+ Kriteria aturan B
+ `AwsAccountId` = `123456789012`
+ Tindakan aturan B
+ Perbarui `Severity` ke `INFORMATIONAL`
Aturan Tindakan diterapkan terlebih dahulu pada temuan CSPM Security Hub yang cocok dengan kriteria Aturan A. Selanjutnya, tindakan Aturan B berlaku untuk temuan CSPM Security Hub dengan ID akun yang ditentukan. Dalam contoh ini, karena Aturan B berlaku terakhir, nilai akhir `Severity` dalam temuan dari ID akun yang ditentukan adalah`INFORMATIONAL`. Berdasarkan tindakan Aturan A, nilai akhir dari temuan `Confidence` yang cocok adalah`95`.
# Membuat aturan otomatisasi
Aturan otomatisasi dapat digunakan untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Anda dapat membuat aturan otomatisasi kustom dari awal atau, di konsol CSPM Security Hub, gunakan templat aturan yang telah diisi sebelumnya. Untuk informasi latar belakang tentang cara kerja aturan otomatisasi, lihat[Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md).
Anda hanya dapat membuat satu aturan otomatisasi pada satu waktu. Untuk membuat beberapa aturan otomatisasi, ikuti prosedur konsol beberapa kali, atau panggil API atau perintah beberapa kali dengan parameter yang Anda inginkan.
Anda harus membuat aturan otomatisasi di setiap Wilayah dan akun di mana Anda ingin aturan tersebut diterapkan pada temuan.
Saat Anda membuat aturan otomatisasi di konsol CSPM Security Hub, Security Hub CSPM menunjukkan versi beta dari temuan yang diterapkan aturan Anda. Beta saat ini tidak didukung jika kriteria aturan Anda menyertakan filter CONTAINS atau NOT\$1CONTAINS. Anda dapat memilih filter ini untuk jenis bidang peta dan string.
**penting**
AWS merekomendasikan agar Anda tidak menyertakan informasi identitas pribadi, rahasia, atau sensitif dalam nama aturan, deskripsi, atau bidang lainnya.
## Membuat aturan otomatisasi khusus
Pilih metode pilihan Anda, dan selesaikan langkah-langkah berikut untuk membuat aturan otomatisasi kustom.
------
#### [ Console ]
**Untuk membuat aturan otomatisasi kustom (konsol)**
1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pilih **Otomatisasi**.
1. Pilih **Buat aturan**. Untuk **Jenis Aturan**, pilih **Buat aturan kustom**.
1. Di bagian **Aturan**, berikan nama aturan unik dan deskripsi untuk aturan Anda.
1. Untuk **Kriteria**, gunakan menu drop-down **Kunci**, **Operator**, dan **Nilai** untuk menentukan kriteria aturan Anda. Anda harus menentukan setidaknya satu kriteria aturan.
Jika didukung untuk kriteria yang Anda pilih, konsol akan menampilkan beta temuan yang sesuai dengan kriteria Anda.
1. Untuk **tindakan Otomatis**, gunakan menu tarik-turun untuk menentukan bidang pencarian mana yang akan diperbarui saat temuan cocok dengan kriteria aturan Anda. Anda harus menentukan setidaknya satu tindakan aturan.
1. Untuk **status Aturan**, pilih apakah Anda ingin aturan **Diaktifkan** atau **Dinonaktifkan** setelah dibuat.
1. (Opsional) Perluas bagian **Pengaturan tambahan**. Pilih **Abaikan aturan berikutnya untuk temuan yang cocok dengan kriteria ini** jika Anda ingin aturan ini menjadi aturan terakhir yang diterapkan pada temuan yang cocok dengan kriteria aturan.
1. (Opsional) Untuk **Tag**, tambahkan tag sebagai pasangan nilai kunci untuk membantu Anda mengidentifikasi aturan dengan mudah.
1. Pilih **Buat aturan**.
------
#### [ API ]
**Untuk membuat aturan otomatisasi kustom (API)**
1. Jalankan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)dari akun administrator CSPM Security Hub. API ini membuat aturan dengan Amazon Resource Name (ARN) tertentu.
1. Sediakan nama dan deskripsi untuk aturan.
1. Tetapkan `IsTerminal` parameter ke `true` jika Anda ingin aturan ini menjadi aturan terakhir yang diterapkan pada temuan yang cocok dengan kriteria aturan.
1. Untuk `RuleOrder` parameter, berikan urutan aturan. Security Hub CSPM menerapkan aturan dengan nilai numerik yang lebih rendah untuk parameter ini terlebih dahulu.
1. Untuk `RuleStatus` parameter, tentukan apakah Anda ingin CSPM Security Hub mengaktifkan dan mulai menerapkan aturan ke temuan setelah pembuatan. Jika tidak ada nilai yang ditentukan, nilai defaultnya adalah `ENABLED`. Nilai `DISABLED` berarti bahwa aturan dijeda setelah penciptaan.
1. Untuk `Criteria` parameternya, berikan kriteria yang ingin digunakan CSPM Security Hub untuk memfilter temuan Anda. Tindakan aturan akan berlaku untuk temuan yang sesuai dengan kriteria. Untuk daftar kriteria yang didukung, lihat[Kriteria aturan dan tindakan aturan yang tersedia](automation-rules.md#automation-rules-criteria-actions).
1. Untuk `Actions` parameternya, berikan tindakan yang ingin dilakukan CSPM Security Hub saat ada kecocokan antara temuan dan kriteria yang ditentukan. Untuk daftar tindakan yang didukung, lihat[Kriteria aturan dan tindakan aturan yang tersedia](automation-rules.md#automation-rules-criteria-actions).
Contoh AWS CLI perintah berikut membuat aturan otomatisasi memperbarui status alur kerja dan catatan temuan yang cocok. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## Membuat aturan otomatisasi dari template (hanya konsol)
Template aturan mencerminkan kasus penggunaan umum untuk aturan otomatisasi. Saat ini, hanya konsol CSPM Security Hub yang mendukung template aturan. Selesaikan langkah-langkah berikut untuk membuat aturan otomatisasi dari templat di konsol.
**Untuk membuat aturan otomatisasi dari template (konsol)**
1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pilih **Otomatisasi**.
1. Pilih **Buat aturan**. Untuk **Jenis Aturan**, pilih **Buat aturan dari templat**.
1. Pilih template aturan dari menu drop-down.
1. (Opsional) Jika perlu untuk kasus penggunaan Anda, ubah bagian **Aturan**, **Kriteria**, dan **Tindakan Otomatis**. Anda harus menentukan setidaknya satu kriteria aturan dan satu tindakan aturan.
Jika didukung untuk kriteria yang Anda pilih, konsol akan menampilkan beta temuan yang sesuai dengan kriteria Anda.
1. Untuk **status Aturan**, pilih apakah Anda ingin aturan **Diaktifkan** atau **Dinonaktifkan** setelah dibuat.
1. (Opsional) Perluas bagian **Pengaturan tambahan**. Pilih **Abaikan aturan berikutnya untuk temuan yang cocok dengan kriteria ini** jika Anda ingin aturan ini menjadi aturan terakhir yang diterapkan pada temuan yang cocok dengan kriteria aturan.
1. (Opsional) Untuk **Tag**, tambahkan tag sebagai pasangan nilai kunci untuk membantu Anda mengidentifikasi aturan dengan mudah.
1. Pilih **Buat aturan**.
# Melihat aturan otomatisasi
Aturan otomatisasi dapat digunakan untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Untuk informasi latar belakang tentang cara kerja aturan otomatisasi, lihat[Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md).
Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk melihat aturan otomatisasi yang ada dan detail setiap aturan.
Untuk melihat riwayat bagaimana aturan otomatisasi telah mengubah temuan Anda, lihat[Meninjau detail dan riwayat penemuan di Security Hub CSPM](securityhub-findings-viewing.md).
------
#### [ Console ]
**Untuk melihat aturan otomatisasi (konsol)**
1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pilih **Otomatisasi**.
1. Pilih nama aturan. Atau, pilih aturan.
1. Pilih **Tindakan** dan **Tampilan**.
------
#### [ API ]
**Untuk melihat aturan otomatisasi (API)**
1. Untuk melihat aturan otomatisasi akun Anda, jalankan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html)dari akun administrator CSPM Security Hub. API ini mengembalikan aturan ARNs dan metadata lainnya untuk aturan Anda. Tidak ada parameter input yang diperlukan untuk API ini, tetapi Anda dapat secara opsional menyediakan `MaxResults` untuk membatasi jumlah hasil dan `NextToken` sebagai parameter pagination. Nilai awal `NextToken` harus`NULL`.
1. Untuk detail aturan tambahan, termasuk kriteria dan tindakan untuk aturan, jalankan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html)dari akun administrator CSPM Security Hub. Berikan aturan ARNs otomatisasi yang Anda inginkan detailnya.
Contoh berikut mengambil rincian untuk aturan otomatisasi yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# Mengedit aturan otomatisasi
Aturan otomatisasi dapat digunakan untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Untuk informasi latar belakang tentang cara kerja aturan otomatisasi, lihat[Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md).
Setelah membuat aturan otomatisasi, administrator CSPM Security Hub yang didelegasikan dapat mengedit aturan. Saat Anda mengedit aturan otomatisasi, perubahan tersebut berlaku untuk temuan baru dan terbaru yang dihasilkan atau dikonsumsi CSPM Security Hub setelah aturan diedit.
Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk mengedit konten aturan otomatisasi. Anda dapat mengedit satu atau beberapa aturan dengan satu permintaan. Untuk petunjuk tentang urutan aturan pengeditan, lihat[Mengedit urutan aturan otomatisasi](edit-rule-order.md).
------
#### [ Console ]
**Untuk mengedit aturan otomatisasi (konsol)**
1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pilih **Otomatisasi**.
1. Pilih aturan yang ingin Anda edit. Pilih **Tindakan** dan **Edit**.
1. Ubah aturan sesuai keinginan, dan pilih **Simpan perubahan**.
------
#### [ API ]
**Untuk mengedit aturan otomatisasi (API)**
1. Jalankan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)dari akun administrator CSPM Security Hub.
1. Untuk `RuleArn` parameternya, berikan ARN dari aturan yang ingin Anda edit.
1. Berikan nilai baru untuk parameter yang ingin Anda edit. Anda dapat mengedit parameter apa pun kecuali`RuleArn`.
Contoh berikut memperbarui aturan otomatisasi yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# Mengedit urutan aturan otomatisasi
Aturan otomatisasi dapat digunakan untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Untuk informasi latar belakang tentang cara kerja aturan otomatisasi, lihat[Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md).
Setelah membuat aturan otomatisasi, administrator CSPM Security Hub yang didelegasikan dapat mengedit aturan.
Jika Anda ingin menjaga kriteria aturan dan tindakan tetap sama, tetapi mengubah urutan di mana Security Hub CSPM menerapkan aturan otomatisasi, Anda dapat mengedit hanya urutan aturan. Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk mengedit urutan aturan.
Untuk petunjuk tentang mengedit kriteria atau tindakan aturan otomatisasi, lihat[Mengedit aturan otomatisasi](edit-automation-rules.md).
------
#### [ Console ]
**Untuk mengedit urutan aturan otomatisasi (konsol)**
1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pilih **Otomatisasi**.
1. Pilih aturan yang urutannya ingin Anda ubah. Pilih **Edit prioritas**.
1. Pilih **Pindah ke atas** untuk meningkatkan prioritas aturan dengan satu unit. Pilih **Pindah ke bawah** untuk mengurangi prioritas aturan sebanyak satu unit. Pilih **Pindah ke atas** untuk menetapkan aturan urutan **1** (ini memberikan aturan lebih diutamakan daripada aturan lain yang ada).
**catatan**
Saat Anda membuat aturan di konsol CSPM Security Hub, Security Hub CSPM secara otomatis menetapkan urutan aturan berdasarkan urutan pembuatan aturan. Aturan yang paling baru dibuat memiliki nilai numerik terendah untuk urutan aturan dan oleh karena itu berlaku terlebih dahulu.
------
#### [ API ]
**Untuk mengedit urutan aturan otomatisasi (API)**
1. Gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)operasi dari akun administrator CSPM Security Hub.
1. Untuk `RuleArn` parameternya, berikan ARN dari aturan yang urutannya ingin Anda edit.
1. Ubah nilai `RuleOrder` bidang.
**catatan**
Jika beberapa aturan memiliki hal yang sama`RuleOrder`, Security Hub CSPM menerapkan aturan dengan nilai sebelumnya untuk `UpdatedAt` bidang terlebih dahulu (yaitu, aturan yang terakhir diedit berlaku terakhir).
------
# Menghapus atau menonaktifkan aturan otomatisasi
Aturan otomatisasi dapat digunakan untuk memperbarui temuan secara otomatis di AWS Security Hub CSPM. Untuk informasi latar belakang tentang cara kerja aturan otomatisasi, lihat[Memahami aturan otomatisasi di Security Hub CSPM](automation-rules.md).
Saat Anda menghapus aturan otomatisasi, Security Hub CSPM menghapusnya dari akun Anda dan tidak lagi menerapkan aturan tersebut pada temuan. Sebagai alternatif untuk penghapusan, Anda dapat *menonaktifkan aturan*. Ini mempertahankan aturan untuk penggunaan di masa mendatang, tetapi CSPM Security Hub tidak akan menerapkan aturan tersebut pada temuan yang cocok sampai Anda mengaktifkannya.
Pilih metode pilihan Anda, dan ikuti langkah-langkah untuk menghapus aturan otomatisasi. Anda dapat menghapus satu atau beberapa aturan dalam satu permintaan.
------
#### [ Console ]
**Untuk menghapus atau menonaktifkan aturan otomatisasi (konsol)**
1. Menggunakan kredensi administrator CSPM Security Hub, buka konsol CSPM Security Hub AWS di. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Di panel navigasi, pilih **Otomatisasi**.
1. Pilih aturan yang ingin Anda hapus. Pilih **Tindakan** dan **Hapus** (untuk mempertahankan aturan, tetapi nonaktifkan sementara, pilih **Nonaktifkan**).
1. Konfirmasikan pilihan Anda, dan pilih **Hapus**.
------
#### [ API ]
**Untuk menghapus atau menonaktifkan aturan otomatisasi (API)**
1. Gunakan [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html)operasi dari akun administrator CSPM Security Hub.
1. Untuk `AutomationRulesArns` parameter, berikan ARN dari aturan yang ingin Anda hapus (untuk mempertahankan aturan, tetapi nonaktifkan sementara, sediakan `DISABLED` `RuleStatus` parameternya).
Contoh berikut menghapus aturan otomatisasi yang ditentukan. Contoh ini diformat untuk Linux, macOS, atau Unix, dan menggunakan karakter garis miring terbalik (\$1) untuk meningkatkan keterbacaan.
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# Contoh aturan otomatisasi
Bagian ini memberikan contoh aturan otomatisasi untuk kasus penggunaan CSPM Security Hub umum. Contoh-contoh ini sesuai dengan template aturan yang tersedia di konsol CSPM Security Hub.
## Tingkatkan tingkat keparahan menjadi Kritis saat sumber daya tertentu seperti bucket S3 berisiko
Dalam contoh ini, kriteria aturan dicocokkan ketika `ResourceId` dalam temuan adalah bucket Amazon Simple Storage Service (Amazon S3) tertentu. Tindakan aturannya adalah mengubah tingkat keparahan temuan yang cocok menjadi`CRITICAL`. Anda dapat memodifikasi template ini untuk diterapkan ke sumber daya lain.
**Contoh permintaan API**:
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Contoh perintah CLI:**
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Meningkatkan keparahan temuan yang berhubungan dengan sumber daya dalam akun produksi
Dalam contoh ini, kriteria aturan dicocokkan ketika temuan `HIGH` tingkat keparahan dihasilkan di akun produksi tertentu. Tindakan aturannya adalah mengubah tingkat keparahan temuan yang cocok menjadi`CRITICAL`.
**Contoh permintaan API**:
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Contoh perintah CLI**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Menekan temuan informasi
Dalam contoh ini, kriteria aturan dicocokkan untuk temuan `INFORMATIONAL` tingkat keparahan yang dikirim ke Security Hub CSPM dari Amazon. GuardDuty Tindakan aturannya adalah mengubah status alur kerja dari temuan yang cocok menjadi. `SUPPRESSED`
**Contoh permintaan API**:
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Contoh perintah CLI**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```