Comprendere le regole di automazione in Security Hub - AWS Security Hub
Definizione dei criteri e delle azioni delle regoleSpecificare l'ordine delle regoleCriteri e azioni delle regole disponibili

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Comprendere le regole di automazione in Security Hub

Puoi utilizzare le regole di automazione per aggiornare automaticamente i risultati in AWS Security Hub. Man mano che acquisisce i risultati, Security Hub può applicare una serie di azioni relative alle regole, come sopprimere i risultati, modificarne la gravità e aggiungere note. Tali azioni relative alle regole modificano i risultati che corrispondono ai criteri specificati.

Di seguito sono riportati alcuni esempi di casi d'uso per le regole di automazione:

  • Elevare il livello di gravità di un risultato a CRITICAL se l'ID della risorsa del risultato si riferisce a una risorsa fondamentale per l'azienda.

  • Elevare la gravità di un risultato HIGH da CRITICAL se il risultato influisce sulle risorse di specifici account di produzione.

  • Assegnazione di risultati specifici che hanno la stessa gravità dello stato del SUPPRESSED flusso INFORMATIONAL di lavoro.

È possibile creare e gestire le regole di automazione solo da un account amministratore di Security Hub.

Le regole si applicano sia ai nuovi risultati che ai risultati aggiornati. È possibile creare una regola personalizzata partendo da zero o utilizzare un modello di regola fornito da Security Hub. Puoi anche iniziare con un modello e modificarlo secondo necessità.

Definizione dei criteri e delle azioni delle regole

Da un account amministratore di Security Hub, è possibile creare una regola di automazione definendo uno o più criteri di regola e una o più azioni delle regole. Quando un risultato corrisponde ai criteri definiti, Security Hub applica le azioni della regola ad esso. Per ulteriori informazioni sui criteri e le azioni disponibili, vedereCriteri e azioni delle regole disponibili.

Security Hub attualmente supporta un massimo di 100 regole di automazione per ogni account amministratore.

L'account amministratore di Security Hub può anche modificare, visualizzare ed eliminare le regole di automazione. Una regola si applica ai risultati corrispondenti nell'account amministratore e in tutti i relativi account membri. Fornendo l'account membro IDs come criterio di regola, gli amministratori di Security Hub possono anche utilizzare le regole di automazione per aggiornare o eliminare i risultati in account membri specifici.

Una regola di automazione si applica solo in Regione AWS in cui è stata creata. Per applicare una regola in più regioni, l'amministratore deve creare la regola in ciascuna regione. Questa operazione può essere eseguita tramite la console Security Hub, Security Hub API o AWS CloudFormation. È inoltre possibile utilizzare uno script di distribuzione multiregionale.

Importante

Le regole di automazione si applicano ai risultati nuovi e aggiornati generati o acquisiti da Security Hub dopo la creazione della regola. Gli aggiornamenti di Security Hub controllano i risultati ogni 12-24 ore o quando la risorsa associata cambia stato. Per ulteriori informazioni, consulta Pianificazione dell'esecuzione dei controlli di sicurezza. Le regole di automazione valutano i campi di ricerca originali forniti dal provider. Le regole non vengono attivate quando si aggiornano i campi di ricerca dopo la creazione delle regole tramite BatchUpdateFindings.

Specificare l'ordine delle regole

Quando si creano regole di automazione, si assegna a ciascuna regola un ordine. Ciò determina l'ordine in cui Security Hub applica le regole di automazione e diventa importante quando più regole si riferiscono allo stesso campo di ricerca o ricerca.

Quando più azioni delle regole si riferiscono allo stesso campo di ricerca o di ricerca, la regola con il valore numerico più alto per l'ordine delle regole si applica per ultima e ha l'effetto finale.

Quando si crea una regola nella console di Security Hub, Security Hub assegna automaticamente l'ordine delle regole in base all'ordine di creazione delle regole. La regola creata più di recente ha il valore numerico più basso per l'ordine delle regole e pertanto viene applicata per prima. Security Hub applica le regole successive in ordine crescente.

Quando crei una regola tramite il Security Hub API o AWS CLI, Security Hub applica per RuleOrder primo la regola con il valore numerico più basso. Quindi applica le regole successive in ordine crescente. Se più risultati sono ugualiRuleOrder, Security Hub applica prima una regola con un valore precedente per il UpdatedAt campo (ovvero, la regola che è stata modificata più di recente si applica per ultima).

È possibile modificare l'ordine delle regole in qualsiasi momento.

Esempio di ordine delle regole:

Regola A (l'ordine delle regole è1):

  • Criteri della regola A

    • ProductName = Security Hub

    • Resources.Type è S3 Bucket

    • Compliance.Status = FAILED

    • RecordState è NEW

    • Workflow.Status = ACTIVE

  • Azioni della regola A

    • Aggiorna Confidence a 95

    • Aggiorna Severity a CRITICAL

Regola B (l'ordine delle regole è2):

  • Criteri della regola B

    • AwsAccountId = 123456789012

  • Azioni della regola B

    • Aggiorna Severity a INFORMATIONAL

Le azioni della Regola A si applicano innanzitutto ai risultati del Security Hub che soddisfano i criteri della Regola A. Successivamente, le azioni della Regola B si applicano ai risultati del Security Hub con l'ID account specificato. In questo esempio, poiché la regola B si applica per ultima, il valore finale dei Severity risultati derivanti dall'ID account specificato èINFORMATIONAL. In base all'azione della Regola A, il valore finale dei Confidence risultati corrispondenti è95.

Criteri e azioni delle regole disponibili

I seguenti AWS I campi Security Finding Format (ASFF) sono attualmente supportati come criteri per le regole di automazione:

ASFFcampo Filtri Tipo di campo
AwsAccountId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
AwsAccountName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
CompanyName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ComplianceAssociatedStandardsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ComplianceSecurityControlId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ComplianceStatus Is, Is Not Seleziona: [FAILED,NOT_AVAILABLE,PASSED,WARNING]
Confidence Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Numero
CreatedAt Start, End, DateRange Data (formattata come 2022-12-01T 21:47:39.269 Z)
Criticality Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Numero
Description CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
FirstObservedAt Start, End, DateRange Data (formattata come 2022-12-01T 21:47:39.269 Z)
GeneratorId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
Id CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
LastObservedAt Start, End, DateRange Data (formattata come 2022-12-01T 21:47:39.269 Z)
NoteText CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
NoteUpdatedAt Start, End, DateRange Data (formattata come 2022-12-01T 21:47:39.269 Z)
NoteUpdatedBy CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ProductName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
RecordState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
RelatedFindingsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
RelatedFindingsProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ResourceApplicationArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ResourceApplicationName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ResourceDetailsOther CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Eseguire la mappatura
ResourceId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ResourcePartition CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ResourceRegion CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
ResourceTags CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Eseguire la mappatura
ResourceType Is, Is Not Seleziona (vedi Risorse supportate da) ASFF
SeverityLabel Is, Is Not Seleziona: [CRITICAL,HIGH,MEDIUM,LOW,INFORMATIONAL]
SourceUrl CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
Title CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
Type CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
UpdatedAt Start, End, DateRange Data (formattata come 2022-12-01T 21:47:39.269 Z)
UserDefinedFields CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Eseguire la mappatura
VerificationState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS Stringa
WorkflowStatus Is, Is Not Seleziona NEWRESOLVED: [NOTIFIED,,] SUPPRESSED

Per i criteri etichettati come campi stringa, l'utilizzo di operatori di filtro diversi sullo stesso campo influisce sulla logica di valutazione. Per ulteriori informazioni, consulta StringFilter nella AWS Security Hub APIRiferimento.

Ogni criterio supporta un numero massimo di valori che possono essere utilizzati per filtrare i risultati corrispondenti. Per i limiti di ogni criterio, vedere AutomationRulesFindingFilters nella AWS Security Hub APIRiferimento.

I seguenti ASFF campi sono attualmente supportati come azioni per le regole di automazione:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Per ulteriori informazioni su ASFF campi specifici, vedere AWS Sintassi ed ASFFesempi di Security Finding Format (ASFF).

Suggerimento

Se desideri che Security Hub smetta di generare risultati per un controllo specifico, ti consigliamo di disabilitare il controllo anziché utilizzare una regola di automazione. Quando disabiliti un controllo, Security Hub interrompe l'esecuzione dei controlli di sicurezza e la generazione dei relativi risultati, in modo da non incorrere in costi per tale controllo. Ti consigliamo di utilizzare le regole di automazione per modificare i valori di ASFF campi specifici per i risultati che soddisfano i criteri definiti. Per ulteriori informazioni sulla disabilitazione dei controlli, consultaConfigurazione dei controlli tra gli standard.