Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Comprensione delle regole di automazione in Security Hub CSPM
È possibile utilizzare le regole di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. Man mano che acquisisce i risultati, Security Hub CSPM può applicare una serie di azioni relative alle regole, come sopprimere i risultati, modificarne la gravità e aggiungere note. Tali azioni relative alle regole modificano i risultati che corrispondono ai criteri specificati.
Di seguito sono riportati alcuni esempi di casi d'uso per le regole di automazione:
+ Elevare il livello di gravità di un risultato a `CRITICAL` se l'ID della risorsa del risultato si riferisce a una risorsa fondamentale per l'azienda.
+ Elevare la gravità di un risultato `HIGH` da `CRITICAL` se il risultato influisce sulle risorse di specifici account di produzione.
+ Assegnazione di risultati specifici che hanno la stessa gravità dello stato del `SUPPRESSED` flusso `INFORMATIONAL` di lavoro.
È possibile creare e gestire le regole di automazione solo da un account amministratore CSPM di Security Hub.
Le regole si applicano sia ai nuovi risultati che ai risultati aggiornati. È possibile creare una regola personalizzata da zero o utilizzare un modello di regola fornito da Security Hub CSPM. Puoi anche iniziare con un modello e modificarlo secondo necessità.
## Definizione dei criteri e delle azioni delle regole
*Da un account amministratore CSPM di Security Hub, è possibile creare una regola di automazione definendo uno o più *criteri* di regola e una o più azioni delle regole.* Quando un risultato corrisponde ai criteri definiti, Security Hub CSPM applica le azioni della regola ad esso. Per ulteriori informazioni sui criteri e le azioni disponibili, vedere. [Criteri e azioni delle regole disponibili](#automation-rules-criteria-actions)
Security Hub CSPM attualmente supporta un massimo di 100 regole di automazione per ogni account amministratore.
L'account amministratore CSPM di Security Hub può anche modificare, visualizzare ed eliminare le regole di automazione. Una regola si applica ai risultati corrispondenti nell'account amministratore e in tutti i relativi account membri. Fornendo l'account membro IDs come criterio di regola, gli amministratori CSPM di Security Hub possono anche utilizzare le regole di automazione per aggiornare o eliminare i risultati in account membri specifici.
Una regola di automazione si applica solo nel luogo Regione AWS in cui è stata creata. Per applicare una regola in più regioni, l'amministratore deve creare la regola in ciascuna regione. Questa operazione può essere eseguita tramite la console CSPM di Security Hub, l'API CSPM di Security Hub o. [AWS CloudFormation](creating-resources-with-cloudformation.md) [È inoltre possibile utilizzare uno script di distribuzione multiregionale.](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules)
## Criteri e azioni delle regole disponibili
I seguenti campi ASFF ( AWS Security Finding Format) sono attualmente supportati come criteri per le regole di automazione:
| Criterio della regola | Operatori di filtro | Tipo di campo |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ComplianceStatus | Is, Is Not | Seleziona: [FAILED,,NOT\$1AVAILABLE,PASSED] WARNING |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Numero |
| CreatedAt | Start, End, DateRange | Data (formattata come 2022-12-01T 21:47:39.269 Z) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Numero |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| FirstObservedAt | Start, End, DateRange | Data (formattata come 2022-12-01T 21:47:39.269 Z) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| LastObservedAt | Start, End, DateRange | Data (formattata come 2022-12-01T 21:47:39.269 Z) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| NoteUpdatedAt | Start, End, DateRange | Data (formattata come 2022-12-01T 21:47:39.269 Z) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Eseguire la mappatura |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Eseguire la mappatura |
| ResourceType | Is, Is Not | Seleziona ([vedi](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) Risorse supportate da ASFF) |
| SeverityLabel | Is, Is Not | Seleziona: [CRITICAL,HIGH, MEDIUMLOW,INFORMATIONAL] |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| UpdatedAt | Start, End, DateRange | Data (formattata come 2022-12-01T 21:47:39.269 Z) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Eseguire la mappatura |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| WorkflowStatus | Is, Is Not | Seleziona NEWRESOLVED: [NOTIFIED,,] SUPPRESSED |
Per i criteri etichettati come campi stringa, l'utilizzo di operatori di filtro diversi sullo stesso campo influisce sulla logica di valutazione. Per ulteriori informazioni, consulta il riferimento [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)all'*API CSPM AWS di Security Hub*.
Ogni criterio supporta un numero massimo di valori che possono essere utilizzati per filtrare i risultati corrispondenti. Per i limiti di ogni criterio, vedere [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)il riferimento all'API *CSPM AWS di Security Hub*.
I seguenti campi ASFF sono attualmente supportati come azioni per le regole di automazione:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
Per ulteriori informazioni su campi ASFF specifici, vedere la sintassi del [AWS Security Finding Format (ASFF](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)).
**Suggerimento**
Se desideri che Security Hub CSPM smetta di generare risultati per un controllo specifico, ti consigliamo di disabilitare il controllo anziché utilizzare una regola di automazione. Quando disabiliti un controllo, Security Hub CSPM interrompe l'esecuzione dei controlli di sicurezza e la generazione dei relativi risultati, in modo da non incorrere in costi per tale controllo. Consigliamo di utilizzare le regole di automazione per modificare i valori di campi ASFF specifici per i risultati che soddisfano i criteri definiti. Per ulteriori informazioni sulla disabilitazione dei controlli, consulta. [Disabilitazione dei controlli in Security Hub CSPM](disable-controls-overview.md)
## Risultati valutati dalle regole di automazione
Una regola di automazione valuta i risultati nuovi e aggiornati che Security Hub CSPM genera o inserisce tramite l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)operazione *dopo* la creazione della regola. Security Hub CSPM aggiorna i risultati del controllo ogni 12-24 ore o quando la risorsa associata cambia stato. Per ulteriori informazioni, consulta [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md).
Le regole di automazione valutano i risultati originali forniti dal provider. I provider possono fornire nuovi risultati e aggiornare i risultati esistenti utilizzando il `BatchImportFindings` funzionamento dell'API CSPM Security Hub. Se i seguenti campi non esistono nel risultato originale, Security Hub CSPM popola automaticamente i campi e quindi utilizza i valori popolati nella valutazione mediante la regola di automazione:
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
Dopo aver creato una o più regole di automazione, le regole non vengono attivate se si aggiornano i campi di ricerca utilizzando l'operazione. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) Se crei una regola di automazione e apporti un `BatchUpdateFindings` aggiornamento che influiscono entrambi sullo stesso campo di ricerca, l'ultimo aggiornamento imposta il valore per quel campo. Prendiamo l'esempio seguente:
1. Si utilizza l'`BatchUpdateFindings`operazione per modificare il valore del `Workflow.Status` campo di un risultato da `NEW` a`NOTIFIED`.
1. Se chiami`GetFindings`, il `Workflow.Status` campo ora ha un valore di`NOTIFIED`.
1. Si crea una regola di automazione che modifica il `Workflow.Status` campo del risultato da `NEW` a`SUPPRESSED`. (Ricorda che le regole ignorano gli aggiornamenti effettuati utilizzando l'`BatchUpdateFindings`operazione.)
1. Il fornitore dei risultati utilizza l'`BatchImportFindings`operazione per aggiornare il risultato e modifica il valore del `Workflow.Status` campo del risultato in`NEW`.
1. Se chiami`GetFindings`, il `Workflow.Status` campo ora ha un valore di`SUPPRESSED`. Ciò è dovuto al fatto che è stata applicata la regola di automazione e la regola è stata l'ultima azione intrapresa sul risultato.
Quando si crea o si modifica una regola sulla console CSPM di Security Hub, la console visualizza una versione beta dei risultati che corrispondono ai criteri della regola. Mentre le regole di automazione valutano i risultati originali inviati dal provider dei risultati, la versione beta della console riflette i risultati nel loro stato finale così come sarebbero mostrati in risposta all'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)operazione (ovvero dopo l'applicazione delle azioni delle regole o di altri aggiornamenti al risultato).
## Come funziona l'ordine delle regole
Quando si creano regole di automazione, si assegna a ciascuna regola un ordine. Ciò determina l'ordine in cui Security Hub CSPM applica le regole di automazione e diventa importante quando più regole si riferiscono allo stesso campo di ricerca o ricerca.
Quando più azioni delle regole si riferiscono allo stesso campo di ricerca o ricerca, la regola con il valore numerico più alto per l'ordine delle regole si applica per ultima e ha l'effetto finale.
Quando si crea una regola nella console CSPM di Security Hub, Security Hub CSPM assegna automaticamente l'ordine delle regole in base all'ordine di creazione delle regole. La regola creata più di recente ha il valore numerico più basso per l'ordine delle regole e pertanto viene applicata per prima. Security Hub CSPM applica le regole successive in ordine crescente.
Quando si crea una regola tramite l'API CSPM di Security Hub o AWS CLI, Security Hub CSPM, applica per prima la regola con il valore numerico più basso. `RuleOrder` Quindi applica le regole successive in ordine crescente. Se più risultati sono uguali`RuleOrder`, Security Hub CSPM applica prima una regola con un valore precedente per il `UpdatedAt` campo (ovvero, la regola che è stata modificata più di recente si applica per ultima).
È possibile modificare l'ordine delle regole in qualsiasi momento.
**Esempio di ordine delle regole**:
**Regola A (l'ordine delle regole è`1`)**:
+ Criteri della regola A
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type` è `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState` è `NEW`
+ `Workflow.Status` = `ACTIVE`
+ Azioni della regola A
+ Aggiorna `Confidence` a `95`
+ Aggiorna `Severity` a `CRITICAL`
**Regola B (l'ordine delle regole è`2`)**:
+ Criteri della regola B
+ `AwsAccountId` = `123456789012`
+ Azioni della regola B
+ Aggiorna `Severity` a `INFORMATIONAL`
Le azioni della Regola A si applicano innanzitutto ai risultati CSPM di Security Hub che soddisfano i criteri della Regola A. Successivamente, le azioni della Regola B si applicano ai risultati CSPM di Security Hub con l'ID account specificato. In questo esempio, poiché la regola B si applica per ultima, il valore finale dei `Severity` risultati derivanti dall'ID account specificato è. `INFORMATIONAL` In base all'azione della Regola A, il valore finale dei `Confidence` risultati corrispondenti è`95`.
# Creazione di regole di automazione
È possibile utilizzare una regola di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. È possibile creare una regola di automazione personalizzata partendo da zero o, nella console CSPM di Security Hub, utilizzare un modello di regola precompilato. Per informazioni di base sul funzionamento delle regole di automazione, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)
È possibile creare una sola regola di automazione alla volta. Per creare più regole di automazione, segui le procedure della console più volte oppure chiama l'API o il comando più volte con i parametri desiderati.
È necessario creare una regola di automazione in ogni regione e account in cui si desidera che la regola si applichi ai risultati.
Quando si crea una regola di automazione nella console CSPM di Security Hub, Security Hub CSPM mostra una versione beta dei risultati a cui si applica la regola. La versione beta non è attualmente supportata se i criteri della regola includono un filtro CONTAINS o NOT\$1CONTAINS. Puoi scegliere questi filtri per i tipi di campi di tipo map e string.
**Importante**
AWS consiglia di non includere informazioni di identificazione personale, riservate o sensibili nel nome della regola, nella descrizione o in altri campi.
## Creazione di una regola di automazione personalizzata
Scegli il tuo metodo preferito e completa i passaggi seguenti per creare una regola di automazione personalizzata.
------
#### [ Console ]
**Per creare una regola di automazione personalizzata (console)**
1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Nel riquadro di navigazione, scegli Automazioni.**
1. Scegli **Crea regola**. Per **Tipo di regola**, scegli **Crea regola personalizzata**.
1. Nella sezione **Regola**, fornisci un nome e una descrizione univoci per la regola.
1. Per **Criteri**, utilizza i menu a discesa **Chiave**, **Operatore** e **Valore** per specificare i criteri della regola. È necessario specificare almeno un criterio di regola.
Se i criteri selezionati sono supportati, la console mostra una versione beta dei risultati che corrispondono ai criteri specificati.
1. Per l'**azione automatizzata**, utilizza i menu a discesa per specificare quali campi di ricerca aggiornare quando i risultati soddisfano i criteri delle regole. È necessario specificare almeno un'azione relativa alla regola.
1. Per **lo stato della regola**, scegli se desideri che la regola sia **abilitata** **o disabilitata** dopo la creazione.
1. (Facoltativo) Espandi la sezione **Impostazioni aggiuntive**. Seleziona **Ignora le regole successive per i risultati che corrispondono a questi criteri** se desideri che questa regola sia l'ultima regola applicata ai risultati che soddisfano i criteri della regola.
1. (Facoltativo) Per i **tag**, aggiungi i tag come coppie chiave-valore per aiutarti a identificare facilmente la regola.
1. Scegli **Crea regola**.
------
#### [ API ]
**Per creare una regola di automazione (API) personalizzata**
1. Esegui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)dall'account amministratore CSPM di Security Hub. Questa API crea una regola con un Amazon Resource Name (ARN) specifico.
1. Fornisci un nome e una descrizione per la regola.
1. Imposta il `IsTerminal` parametro su `true` se desideri che questa regola sia l'ultima regola applicata ai risultati che soddisfano i criteri della regola.
1. Per il `RuleOrder` parametro, specificate l'ordine della regola. Security Hub CSPM applica prima le regole con un valore numerico inferiore per questo parametro.
1. Per il `RuleStatus` parametro, specificate se desiderate abilitare Security Hub CSPM e iniziate ad applicare la regola ai risultati dopo la creazione. Se non viene specificato alcun valore, il valore predefinito è `ENABLED`. Un valore di `DISABLED` indica che la regola viene messa in pausa dopo la creazione.
1. Per il `Criteria` parametro, fornite i criteri che desiderate che Security Hub CSPM utilizzi per filtrare i risultati. L'azione della regola si applicherà ai risultati che corrispondono ai criteri. Per un elenco dei criteri supportati, vedere[Criteri e azioni delle regole disponibili](automation-rules.md#automation-rules-criteria-actions).
1. Per il `Actions` parametro, specificate le azioni che desiderate che Security Hub CSPM intraprenda quando c'è una corrispondenza tra un risultato e i criteri definiti. Per un elenco delle azioni supportate, consulta. [Criteri e azioni delle regole disponibili](automation-rules.md#automation-rules-criteria-actions)
Il AWS CLI comando di esempio seguente crea una regola di automazione che aggiorna lo stato del flusso di lavoro e la nota dei risultati corrispondenti. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## Creazione di una regola di automazione da un modello (solo console)
I modelli di regole riflettono i casi d'uso comuni delle regole di automazione. Attualmente, solo la console CSPM di Security Hub supporta i modelli di regole. Completa i seguenti passaggi per creare una regola di automazione da un modello nella console.
**Per creare una regola di automazione da un modello (console)**
1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Nel riquadro di navigazione, scegli Automazioni.**
1. Scegli **Crea regola**. Per **Tipo di regola**, scegli **Crea una regola dal modello**.
1. Seleziona un modello di regola dal menu a discesa.
1. (Facoltativo) Se necessario per il tuo caso d'uso, modifica le sezioni **Regola**, **Criteri** e **Azione automatizzata**. È necessario specificare almeno un criterio di regola e un'azione della regola.
Se i criteri selezionati sono supportati, la console mostra una versione beta dei risultati che corrispondono ai criteri specificati.
1. Per **lo stato della regola**, scegli se desideri che la regola sia **abilitata** o **disabilitata** dopo la sua creazione.
1. (Facoltativo) Espandi la sezione **Impostazioni aggiuntive**. Seleziona **Ignora le regole successive per i risultati che corrispondono a questi criteri** se desideri che questa regola sia l'ultima regola applicata ai risultati che soddisfano i criteri della regola.
1. (Facoltativo) Per i **tag**, aggiungi i tag come coppie chiave-valore per aiutarti a identificare facilmente la regola.
1. Scegli **Crea regola**.
# Visualizzazione delle regole di automazione
È possibile utilizzare una regola di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. Per informazioni di base sul funzionamento delle regole di automazione, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)
Scegli il tuo metodo preferito e segui i passaggi per visualizzare le regole di automazione esistenti e i dettagli di ciascuna regola.
Per visualizzare una cronologia di come le regole di automazione hanno modificato i risultati, consulta[Analisi dei dettagli e della cronologia dei risultati in Security Hub CSPM](securityhub-findings-viewing.md).
------
#### [ Console ]
**Per visualizzare le regole di automazione (console)**
1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Nel riquadro di navigazione, scegli Automazioni.**
1. Scegli il nome di una regola. In alternativa, seleziona una regola.
1. Scegli **Azioni** e **Visualizza**.
------
#### [ API ]
**Per visualizzare le regole di automazione (API)**
1. Per visualizzare le regole di automazione per il tuo account, esegui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html)dall'account amministratore CSPM di Security Hub. Questa API restituisce la regola ARNs e altri metadati per le tue regole. Non sono richiesti parametri di input per questa API, ma puoi facoltativamente fornire un limite `MaxResults` al numero di risultati e `NextToken` come parametro di paginazione. Il valore iniziale di `NextToken` dovrebbe essere. `NULL`
1. Per ulteriori dettagli sulla regola, inclusi i criteri e le azioni per una regola, esegui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html)dall'account amministratore CSPM di Security Hub. Fornisci le regole ARNs di automazione per le quali desideri i dettagli.
L'esempio seguente recupera i dettagli per le regole di automazione specificate. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# Modifica delle regole di automazione
È possibile utilizzare una regola di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. Per informazioni di base sul funzionamento delle regole di automazione, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)
Dopo aver creato una regola di automazione, l'amministratore CSPM di Security Hub delegato può modificare la regola. Quando si modifica una regola di automazione, le modifiche si applicano ai risultati nuovi e aggiornati che Security Hub CSPM genera o inserisce dopo la modifica della regola.
Scegli il tuo metodo preferito e segui i passaggi per modificare il contenuto di una regola di automazione. Puoi modificare una o più regole con una sola richiesta. Per istruzioni sulla modifica dell'ordine delle regole, vedere[Modifica dell'ordine delle regole di automazione](edit-rule-order.md).
------
#### [ Console ]
**Per modificare le regole di automazione (console)**
1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Nel riquadro di navigazione, scegli Automazioni.**
1. Seleziona la regola che desideri modificare. Scegli **Azione** e **Modifica**.
1. Modifica la regola come desideri e scegli **Salva modifiche**.
------
#### [ API ]
**Per modificare le regole di automazione (API)**
1. Esegui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)dall'account amministratore CSPM di Security Hub.
1. Per il `RuleArn` parametro, fornite l'ARN delle regole che desiderate modificare.
1. Fornite i nuovi valori per i parametri che desiderate modificare. È possibile modificare qualsiasi parametro tranne`RuleArn`.
L’esempio seguente aggiornala regola di automazione specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# Modifica dell'ordine delle regole di automazione
È possibile utilizzare una regola di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. Per informazioni di base sul funzionamento delle regole di automazione, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)
Dopo aver creato una regola di automazione, l'amministratore CSPM di Security Hub delegato può modificare la regola.
Se desideri mantenere invariati i criteri e le azioni della regola, ma modificare l'ordine in cui Security Hub CSPM applica una regola di automazione, puoi modificare solo l'ordine delle regole. Scegli il tuo metodo preferito e segui i passaggi per modificare l'ordine delle regole.
Per istruzioni sulla modifica dei criteri o delle azioni di una regola di automazione, consulta[Modifica delle regole di automazione](edit-automation-rules.md).
------
#### [ Console ]
**Per modificare l'ordine delle regole di automazione (console)**
1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Nel riquadro di navigazione, scegli Automazioni.**
1. Seleziona la regola di cui desideri modificare l'ordine. Scegli **Modifica priorità**.
1. Scegli **Sposta su** per aumentare la priorità della regola di un'unità. Scegli **Sposta giù** per ridurre la priorità della regola di un'unità. Scegli **Sposta in alto** per assegnare alla regola un ordine pari a **1** (in questo modo la regola ha la precedenza sulle altre regole esistenti).
**Nota**
Quando si crea una regola nella console CSPM di Security Hub, Security Hub CSPM assegna automaticamente l'ordine delle regole in base all'ordine di creazione delle regole. La regola creata più di recente ha il valore numerico più basso per l'ordine delle regole e pertanto viene applicata per prima.
------
#### [ API ]
**Per modificare l'ordine delle regole di automazione (API)**
1. Usa l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)operazione dall'account amministratore CSPM di Security Hub.
1. Per il `RuleArn` parametro, fornite l'ARN delle regole di cui desiderate modificare l'ordine.
1. Modifica il valore del `RuleOrder` campo.
**Nota**
Se più regole hanno le stesse`RuleOrder`, Security Hub CSPM applica prima una regola con un valore precedente per il `UpdatedAt` campo (ovvero, la regola che è stata modificata più di recente si applica per ultima).
------
# Eliminazione o disabilitazione delle regole di automazione
È possibile utilizzare una regola di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. Per informazioni di base sul funzionamento delle regole di automazione, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)
Quando elimini una regola di automazione, Security Hub CSPM la rimuove dal tuo account e non applica più la regola ai risultati. In alternativa all'eliminazione, puoi *disabilitare una regola*. Ciò mantiene la regola per utilizzi futuri, ma Security Hub CSPM non applicherà la regola a nessun risultato corrispondente finché non lo abiliti.
Scegli il tuo metodo preferito e segui i passaggi per eliminare una regola di automazione. Puoi eliminare una o più regole in un'unica richiesta.
------
#### [ Console ]
**Per eliminare o disabilitare le regole di automazione (console)**
1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Nel riquadro di navigazione, scegli Automazioni.**
1. Seleziona le regole che desideri eliminare. Scegliete **Azione** ed **Elimina** (per mantenere una regola, ma disattivarla temporaneamente, scegliete **Disabilita**).
1. Conferma la scelta e seleziona **Delete (Elimina)**.
------
#### [ API ]
**Per eliminare o disabilitare le regole di automazione (API)**
1. Usa l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html)operazione dall'account amministratore CSPM di Security Hub.
1. Per il `AutomationRulesArns` parametro, fornisci l'ARN delle regole che desideri eliminare (per mantenere una regola, ma disabilitarla temporaneamente, inserisci `DISABLED` il `RuleStatus` parametro).
L’esempio seguente elimina la regola di automazione specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# Esempi di regole di automazione
Questa sezione fornisce esempi di regole di automazione per i casi d'uso CSPM più comuni di Security Hub. Questi esempi corrispondono ai modelli di regole disponibili nella console CSPM di Security Hub.
## Elevate la severità a Critica quando una risorsa specifica, come un bucket S3, è a rischio
In questo esempio, i criteri della regola vengono soddisfatti quando il `ResourceId` risultato è un bucket Amazon Simple Storage Service (Amazon S3) specifico. L'azione della regola consiste nel modificare la gravità dei risultati corrispondenti in. `CRITICAL` È possibile modificare questo modello per applicarlo ad altre risorse.
**Esempio di richiesta API**:
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Esempio di comando CLI:**
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Elevare la severità dei risultati relativi alle risorse negli account di produzione
In questo esempio, i criteri della regola vengono soddisfatti quando viene generato un risultato di `HIGH` gravità in conti di produzione specifici. L'azione della regola consiste nel modificare la gravità dei risultati corrispondenti in. `CRITICAL`
**Esempio di richiesta API**:
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Esempio di comando CLI:**
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Sopprime i risultati informativi
In questo esempio, i criteri della regola vengono soddisfatti per i risultati di `INFORMATIONAL` gravità inviati a Security Hub CSPM da Amazon. GuardDuty L'azione della regola consiste nel modificare lo stato del flusso di lavoro dei risultati corrispondenti in. `SUPPRESSED`
**Esempio di richiesta API**:
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Esempio di comando CLI:**
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```