Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Comprendere le regole di automazione in Security Hub
È possibile utilizzare le regole di automazione per aggiornare automaticamente i risultati in AWS Security Hub. Man mano che acquisisce i risultati, Security Hub può applicare una serie di azioni relative alle regole, come sopprimere i risultati, modificarne la gravità e aggiungere note. Tali azioni relative alle regole modificano i risultati che corrispondono ai criteri specificati.
Di seguito sono riportati alcuni esempi di casi d'uso per le regole di automazione:
-
Elevare il livello di gravità di un risultato a
CRITICALse l'ID della risorsa del risultato si riferisce a una risorsa fondamentale per l'azienda. -
Elevare la gravità di un risultato
HIGHdaCRITICALse il risultato influisce sulle risorse di specifici account di produzione. -
Assegnazione di risultati specifici che hanno la stessa gravità dello stato del
SUPPRESSEDflussoINFORMATIONALdi lavoro.
È possibile creare e gestire le regole di automazione solo da un account amministratore di Security Hub.
Le regole si applicano sia ai nuovi risultati che ai risultati aggiornati. È possibile creare una regola personalizzata partendo da zero o utilizzare un modello di regola fornito da Security Hub. Puoi anche iniziare con un modello e modificarlo secondo necessità.
Definizione dei criteri e delle azioni delle regole
Da un account amministratore di Security Hub, è possibile creare una regola di automazione definendo uno o più criteri di regola e una o più azioni delle regole. Quando un risultato corrisponde ai criteri definiti, Security Hub applica le azioni della regola ad esso. Per ulteriori informazioni sui criteri e le azioni disponibili, vedereCriteri e azioni delle regole disponibili.
Security Hub attualmente supporta un massimo di 100 regole di automazione per ogni account amministratore.
L'account amministratore di Security Hub può anche modificare, visualizzare ed eliminare le regole di automazione. Una regola si applica ai risultati corrispondenti nell'account amministratore e in tutti i relativi account membri. Fornendo l'account membro IDs come criterio di regola, gli amministratori di Security Hub possono anche utilizzare le regole di automazione per aggiornare o eliminare i risultati in account membri specifici.
Una regola di automazione si applica solo nel luogo Regione AWS in cui è stata creata. Per applicare una regola in più regioni, l'amministratore deve creare la regola in ciascuna regione. Questa operazione può essere eseguita tramite la console Security Hub, Security Hub API o AWS CloudFormation. È inoltre possibile utilizzare uno script di distribuzione multiregionale
Criteri e azioni delle regole disponibili
I seguenti campi AWS Security Finding Format (ASFF) sono attualmente supportati come criteri per le regole di automazione:
| Criterio della regola | Operatori di filtro | Tipo di campo |
|---|---|---|
AwsAccountId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
AwsAccountName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
CompanyName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ComplianceAssociatedStandardsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ComplianceSecurityControlId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ComplianceStatus
|
Is, Is Not
|
Seleziona: [FAILED,NOT_AVAILABLE,PASSED,WARNING] |
Confidence
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Numero |
CreatedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
Criticality
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Numero |
Description
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
FirstObservedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
GeneratorId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
Id
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
LastObservedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
NoteText
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
NoteUpdatedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
NoteUpdatedBy
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ProductName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
RecordState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
RelatedFindingsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
RelatedFindingsProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceApplicationArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceApplicationName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceDetailsOther
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Eseguire la mappatura |
ResourceId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourcePartition
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceRegion
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
ResourceTags
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Eseguire la mappatura |
ResourceType
|
Is, Is Not
|
Seleziona (vedi Risorse supportate da) ASFF |
SeverityLabel
|
Is, Is Not
|
Seleziona: [CRITICAL,HIGH,MEDIUM,LOW,INFORMATIONAL] |
SourceUrl
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
Title
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
Type
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
UpdatedAt
|
Start, End, DateRange
|
Data (formattata come 2022-12-01T 21:47:39.269 Z) |
UserDefinedFields
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Eseguire la mappatura |
VerificationState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Stringa |
WorkflowStatus
|
Is, Is Not
|
Seleziona NEWRESOLVED: [NOTIFIED,,] SUPPRESSED |
Per i criteri etichettati come campi stringa, l'utilizzo di operatori di filtro diversi sullo stesso campo influisce sulla logica di valutazione. Per ulteriori informazioni, consulta StringFilternel AWS Security Hub APIriferimento.
Ogni criterio supporta un numero massimo di valori che possono essere utilizzati per filtrare i risultati corrispondenti. Per i limiti di ogni criterio, vedere AutomationRulesFindingFiltersnel riferimento.AWS Security Hub API
I seguenti ASFF campi sono attualmente supportati come azioni per le regole di automazione:
-
Confidence -
Criticality -
Note -
RelatedFindings -
Severity -
Types -
UserDefinedFields -
VerificationState -
Workflow
Per ulteriori informazioni su ASFF campi specifici, vedete la sintassi AWS Security Finding Format (ASFF).
Suggerimento
Se desideri che Security Hub smetta di generare risultati per un controllo specifico, ti consigliamo di disabilitare il controllo anziché utilizzare una regola di automazione. Quando disabiliti un controllo, Security Hub interrompe l'esecuzione dei controlli di sicurezza e la generazione dei relativi risultati, in modo da non incorrere in costi per tale controllo. Ti consigliamo di utilizzare le regole di automazione per modificare i valori di ASFF campi specifici per i risultati che corrispondono a criteri definiti. Per ulteriori informazioni sulla disabilitazione dei controlli, consultaDisabilitazione dei controlli in Security Hub.
Risultati valutati dalle regole di automazione
Una regola di automazione valuta i risultati nuovi e aggiornati che Security Hub genera o acquisisce tramite BatchImportFindingsoperazione dopo la creazione della regola. Gli aggiornamenti di Security Hub controllano i risultati ogni 12-24 ore o quando la risorsa associata cambia stato. Per ulteriori informazioni, consulta Pianificazione dell'esecuzione dei controlli di sicurezza.
Le regole di automazione valutano i risultati originali forniti dal provider. I provider possono fornire nuovi risultati e aggiornare i risultati esistenti attraverso il BatchImportFindings funzionamento del Security HubAPI. Le regole non vengono attivate quando si aggiornano i campi di ricerca dopo la creazione delle regole tramite il BatchUpdateFindingsoperazione. Se si crea una regola di automazione e si effettua un BatchUpdateFindings aggiornamento che influiscono entrambi sullo stesso campo di ricerca, l'ultimo aggiornamento imposta il valore per quel campo. Prendiamo l'esempio seguente:
Si usa
BatchUpdateFindingsper aggiornare ilWorkflow.Statuscampo di un risultato daNEWaNOTIFIED.Se chiami
GetFindings, ilWorkflow.Statuscampo ora ha un valore diNOTIFIED.Crei una regola di automazione che modifica il
Workflow.Statuscampo del risultato daNEWaSUPPRESSED(ricorda che le regole ignorano gli aggiornamenti effettuati conBatchUpdateFindings).Il provider di ricerca lo utilizza
BatchImportFindingsper aggiornare il risultato e modifica ilWorkflow.Statuscampo inNEW.Se si chiama
GetFindings, ilWorkflow.Statuscampo ora ha un valore pari aSUPPRESSEDperché è stata applicata la regola di automazione e la regola è stata l'ultima azione intrapresa sul risultato.
Quando si crea o si modifica una regola sulla console Security Hub, la console mostra un'anteprima dei risultati che corrispondono ai criteri della regola. Mentre le regole di automazione valutano i risultati originali inviati dal fornitore dei risultati, l'anteprima della console riflette i risultati nel loro stato finale, così come verrebbero mostrati in risposta al GetFindingsAPIoperazione (ovvero dopo l'applicazione al risultato delle azioni delle regole o di altri aggiornamenti).
Come funziona l'ordine delle regole
Quando si creano regole di automazione, si assegna a ciascuna regola un ordine. Ciò determina l'ordine in cui Security Hub applica le regole di automazione e diventa importante quando più regole si riferiscono allo stesso campo di ricerca o ricerca.
Quando più azioni delle regole si riferiscono allo stesso campo di ricerca o di ricerca, la regola con il valore numerico più alto per l'ordine delle regole si applica per ultima e ha l'effetto finale.
Quando si crea una regola nella console di Security Hub, Security Hub assegna automaticamente l'ordine delle regole in base all'ordine di creazione delle regole. La regola creata più di recente ha il valore numerico più basso per l'ordine delle regole e pertanto viene applicata per prima. Security Hub applica le regole successive in ordine crescente.
Quando si crea una regola tramite Security Hub API o AWS CLI, Security Hub applica per RuleOrder prima la regola con il valore numerico più basso. Quindi applica le regole successive in ordine crescente. Se più risultati sono ugualiRuleOrder, Security Hub applica prima una regola con un valore precedente per il UpdatedAt campo (ovvero, la regola che è stata modificata più di recente si applica per ultima).
È possibile modificare l'ordine delle regole in qualsiasi momento.
Esempio di ordine delle regole:
Regola A (l'ordine delle regole è1):
-
Criteri della regola A
-
ProductName=Security Hub -
Resources.TypeèS3 Bucket -
Compliance.Status=FAILED -
RecordStateèNEW -
Workflow.Status=ACTIVE
-
-
Azioni della regola A
-
Aggiorna
Confidencea95 -
Aggiorna
SeverityaCRITICAL
-
Regola B (l'ordine delle regole è2):
-
Criteri della regola B
-
AwsAccountId=123456789012
-
-
Azioni della regola B
-
Aggiorna
SeverityaINFORMATIONAL
-
Le azioni della Regola A si applicano innanzitutto ai risultati del Security Hub che soddisfano i criteri della Regola A. Successivamente, le azioni della Regola B si applicano ai risultati del Security Hub con l'ID account specificato. In questo esempio, poiché la regola B si applica per ultima, il valore finale dei Severity risultati derivanti dall'ID account specificato èINFORMATIONAL. In base all'azione della Regola A, il valore finale dei Confidence risultati corrispondenti è95.
