Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Comprendere le regole di automazione in Security Hub
Puoi utilizzare le regole di automazione per aggiornare automaticamente i risultati in AWS Security Hub. Man mano che acquisisce i risultati, Security Hub può applicare una serie di azioni relative alle regole, come sopprimere i risultati, modificarne la gravità e aggiungere note. Tali azioni relative alle regole modificano i risultati che corrispondono ai criteri specificati.
Di seguito sono riportati alcuni esempi di casi d'uso per le regole di automazione:
-
Elevare il livello di gravità di un risultato a
CRITICAL
se l'ID della risorsa del risultato si riferisce a una risorsa fondamentale per l'azienda. -
Elevare la gravità di un risultato
HIGH
daCRITICAL
se il risultato influisce sulle risorse di specifici account di produzione. -
Assegnazione di risultati specifici che hanno la stessa gravità dello stato del
SUPPRESSED
flussoINFORMATIONAL
di lavoro.
È possibile creare e gestire le regole di automazione solo da un account amministratore di Security Hub.
Le regole si applicano sia ai nuovi risultati che ai risultati aggiornati. È possibile creare una regola personalizzata partendo da zero o utilizzare un modello di regola fornito da Security Hub. Puoi anche iniziare con un modello e modificarlo secondo necessità.
Definizione dei criteri e delle azioni delle regole
Da un account amministratore di Security Hub, è possibile creare una regola di automazione definendo uno o più criteri di regola e una o più azioni delle regole. Quando un risultato corrisponde ai criteri definiti, Security Hub applica le azioni della regola ad esso. Per ulteriori informazioni sui criteri e le azioni disponibili, vedereCriteri e azioni delle regole disponibili.
Security Hub attualmente supporta un massimo di 100 regole di automazione per ogni account amministratore.
L'account amministratore di Security Hub può anche modificare, visualizzare ed eliminare le regole di automazione. Una regola si applica ai risultati corrispondenti nell'account amministratore e in tutti i relativi account membri. Fornendo l'account membro IDs come criterio di regola, gli amministratori di Security Hub possono anche utilizzare le regole di automazione per aggiornare o eliminare i risultati in account membri specifici.
Una regola di automazione si applica solo in Regione AWS in cui è stata creata. Per applicare una regola in più regioni, l'amministratore deve creare la regola in ciascuna regione. Questa operazione può essere eseguita tramite la console Security Hub, Security Hub API o AWS CloudFormation. È inoltre possibile utilizzare uno script di distribuzione multiregionale
Importante
Le regole di automazione si applicano ai risultati nuovi e aggiornati generati o acquisiti da Security Hub dopo la creazione della regola. Gli aggiornamenti di Security Hub controllano i risultati ogni 12-24 ore o quando la risorsa associata cambia stato. Per ulteriori informazioni, consulta Pianificazione dell'esecuzione dei controlli di sicurezza. Le regole di automazione valutano i campi di ricerca originali forniti dal provider. Le regole non vengono attivate quando si aggiornano i campi di ricerca dopo la creazione delle regole tramite BatchUpdateFindings.
Specificare l'ordine delle regole
Quando si creano regole di automazione, si assegna a ciascuna regola un ordine. Ciò determina l'ordine in cui Security Hub applica le regole di automazione e diventa importante quando più regole si riferiscono allo stesso campo di ricerca o ricerca.
Quando più azioni delle regole si riferiscono allo stesso campo di ricerca o di ricerca, la regola con il valore numerico più alto per l'ordine delle regole si applica per ultima e ha l'effetto finale.
Quando si crea una regola nella console di Security Hub, Security Hub assegna automaticamente l'ordine delle regole in base all'ordine di creazione delle regole. La regola creata più di recente ha il valore numerico più basso per l'ordine delle regole e pertanto viene applicata per prima. Security Hub applica le regole successive in ordine crescente.
Quando crei una regola tramite il Security Hub API o AWS CLI, Security Hub applica per RuleOrder
primo la regola con il valore numerico più basso. Quindi applica le regole successive in ordine crescente. Se più risultati sono ugualiRuleOrder
, Security Hub applica prima una regola con un valore precedente per il UpdatedAt
campo (ovvero, la regola che è stata modificata più di recente si applica per ultima).
È possibile modificare l'ordine delle regole in qualsiasi momento.
Esempio di ordine delle regole:
Regola A (l'ordine delle regole è1
):
-
Criteri della regola A
-
ProductName
=Security Hub
-
Resources.Type
èS3 Bucket
-
Compliance.Status
=FAILED
-
RecordState
èNEW
-
Workflow.Status
=ACTIVE
-
-
Azioni della regola A
-
Aggiorna
Confidence
a95
-
Aggiorna
Severity
aCRITICAL
-
Regola B (l'ordine delle regole è2
):
-
Criteri della regola B
-
AwsAccountId
=123456789012
-
-
Azioni della regola B
-
Aggiorna
Severity
aINFORMATIONAL
-
Le azioni della Regola A si applicano innanzitutto ai risultati del Security Hub che soddisfano i criteri della Regola A. Successivamente, le azioni della Regola B si applicano ai risultati del Security Hub con l'ID account specificato. In questo esempio, poiché la regola B si applica per ultima, il valore finale dei Severity
risultati derivanti dall'ID account specificato èINFORMATIONAL
. In base all'azione della Regola A, il valore finale dei Confidence
risultati corrispondenti è95
.
Criteri e azioni delle regole disponibili
I seguenti AWS I campi Security Finding Format (ASFF) sono attualmente supportati come criteri per le regole di automazione:
ASFFcampo | Filtri | Tipo di campo |
---|---|---|
AwsAccountId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
AwsAccountName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
CompanyName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ComplianceAssociatedStandardsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ComplianceSecurityControlId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ComplianceStatus
|
Is, Is Not
|
Seleziona: [FAILED ,NOT_AVAILABLE ,PASSED ,WARNING ] |
Confidence
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Numero |
CreatedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
Criticality
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Numero |
Description
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
FirstObservedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
GeneratorId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
Id
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
LastObservedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
NoteText
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
NoteUpdatedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
NoteUpdatedBy
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ProductName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
RecordState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
RelatedFindingsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
RelatedFindingsProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceApplicationArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceApplicationName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceDetailsOther
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Eseguire la mappatura |
ResourceId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourcePartition
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceRegion
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceTags
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Eseguire la mappatura |
ResourceType
|
Is, Is Not
|
Seleziona (vedi Risorse supportate da) ASFF |
SeverityLabel
|
Is, Is Not
|
Seleziona: [CRITICAL ,HIGH ,MEDIUM ,LOW ,INFORMATIONAL ] |
SourceUrl
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
Title
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
Type
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
UpdatedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
UserDefinedFields
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Eseguire la mappatura |
VerificationState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
WorkflowStatus
|
Is, Is Not
|
Seleziona NEW RESOLVED : [NOTIFIED ,,] SUPPRESSED |
Per i criteri etichettati come campi stringa, l'utilizzo di operatori di filtro diversi sullo stesso campo influisce sulla logica di valutazione. Per ulteriori informazioni, consulta StringFilter nella AWS Security Hub APIRiferimento.
Ogni criterio supporta un numero massimo di valori che possono essere utilizzati per filtrare i risultati corrispondenti. Per i limiti di ogni criterio, vedere AutomationRulesFindingFilters nella AWS Security Hub APIRiferimento.
I seguenti ASFF campi sono attualmente supportati come azioni per le regole di automazione:
-
Confidence
-
Criticality
-
Note
-
RelatedFindings
-
Severity
-
Types
-
UserDefinedFields
-
VerificationState
-
Workflow
Per ulteriori informazioni su ASFF campi specifici, vedere AWS Sintassi ed ASFFesempi di Security Finding Format (ASFF).
Suggerimento
Se desideri che Security Hub smetta di generare risultati per un controllo specifico, ti consigliamo di disabilitare il controllo anziché utilizzare una regola di automazione. Quando disabiliti un controllo, Security Hub interrompe l'esecuzione dei controlli di sicurezza e la generazione dei relativi risultati, in modo da non incorrere in costi per tale controllo. Ti consigliamo di utilizzare le regole di automazione per modificare i valori di ASFF campi specifici per i risultati che soddisfano i criteri definiti. Per ulteriori informazioni sulla disabilitazione dei controlli, consultaConfigurazione dei controlli tra gli standard.