Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Modifica e azione automatica dei risultati in Security Hub CSPM
AWS Security Hub CSPM dispone di funzionalità che modificano e agiscono automaticamente sui risultati in base alle specifiche dell'utente.
Security Hub CSPM attualmente supporta due tipi di automazioni:
+ **Regole di automazione**: aggiorna e sopprime automaticamente i risultati quasi in tempo reale in base a criteri definiti dall'utente.
+ **Risposta e correzione automatizzate**: crea EventBridge regole Amazon personalizzate che definiscono azioni automatiche da intraprendere in base a risultati e approfondimenti specifici.
Le regole di automazione sono utili quando desideri aggiornare automaticamente i campi di ricerca nel AWS Security Finding Format (ASFF). Ad esempio, puoi utilizzare una regola di automazione per aggiornare il livello di gravità o lo stato del flusso di lavoro dei risultati di specifiche integrazioni di terze parti. L'utilizzo della regola di automazione elimina la necessità di aggiornare manualmente il livello di gravità o lo stato del flusso di lavoro di ogni risultato di questo prodotto di terze parti.
EventBridge le regole sono utili quando si desidera intraprendere azioni al di fuori di Security Hub CSPM in relazione a risultati specifici o inviare risultati specifici a strumenti di terze parti per la correzione o ulteriori indagini. Le regole possono essere utilizzate per attivare azioni supportate, come richiamare una AWS Lambda funzione o notificare un argomento di Amazon Simple Notification Service (Amazon SNS) su un risultato specifico.
Le regole di automazione entrano in vigore prima dell' EventBridge applicazione delle regole. In altre parole, le regole di automazione vengono attivate e aggiornano un risultato prima di EventBridge riceverlo. EventBridge le regole si applicano quindi al risultato aggiornato.
Quando configuri le automazioni per i controlli di sicurezza, consigliamo di filtrare in base all'ID del controllo anziché al titolo o alla descrizione. Sebbene Security Hub CSPM aggiorni occasionalmente i titoli e le descrizioni dei controlli, il controllo IDs rimane lo stesso.
**Topics**
+ [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)
+ [Utilizzo EventBridge per la risposta e la correzione automatizzate](securityhub-cloudwatch-events.md)
# Comprensione delle regole di automazione in Security Hub CSPM
È possibile utilizzare le regole di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. Man mano che acquisisce i risultati, Security Hub CSPM può applicare una serie di azioni relative alle regole, come sopprimere i risultati, modificarne la gravità e aggiungere note. Tali azioni relative alle regole modificano i risultati che corrispondono ai criteri specificati.
Di seguito sono riportati alcuni esempi di casi d'uso per le regole di automazione:
+ Elevare il livello di gravità di un risultato a `CRITICAL` se l'ID della risorsa del risultato si riferisce a una risorsa fondamentale per l'azienda.
+ Elevare la gravità di un risultato `HIGH` da `CRITICAL` se il risultato influisce sulle risorse di specifici account di produzione.
+ Assegnazione di risultati specifici che hanno la stessa gravità dello stato del `SUPPRESSED` flusso `INFORMATIONAL` di lavoro.
È possibile creare e gestire le regole di automazione solo da un account amministratore CSPM di Security Hub.
Le regole si applicano sia ai nuovi risultati che ai risultati aggiornati. È possibile creare una regola personalizzata da zero o utilizzare un modello di regola fornito da Security Hub CSPM. Puoi anche iniziare con un modello e modificarlo secondo necessità.
## Definizione dei criteri e delle azioni delle regole
*Da un account amministratore CSPM di Security Hub, è possibile creare una regola di automazione definendo uno o più *criteri* di regola e una o più azioni delle regole.* Quando un risultato corrisponde ai criteri definiti, Security Hub CSPM applica le azioni della regola ad esso. Per ulteriori informazioni sui criteri e le azioni disponibili, vedere. [Criteri e azioni delle regole disponibili](#automation-rules-criteria-actions)
Security Hub CSPM attualmente supporta un massimo di 100 regole di automazione per ogni account amministratore.
L'account amministratore CSPM di Security Hub può anche modificare, visualizzare ed eliminare le regole di automazione. Una regola si applica ai risultati corrispondenti nell'account amministratore e in tutti i relativi account membri. Fornendo l'account membro IDs come criterio di regola, gli amministratori CSPM di Security Hub possono anche utilizzare le regole di automazione per aggiornare o eliminare i risultati in account membri specifici.
Una regola di automazione si applica solo nel luogo Regione AWS in cui è stata creata. Per applicare una regola in più regioni, l'amministratore deve creare la regola in ciascuna regione. Questa operazione può essere eseguita tramite la console CSPM di Security Hub, l'API CSPM di Security Hub o. [AWS CloudFormation](creating-resources-with-cloudformation.md) [È inoltre possibile utilizzare uno script di distribuzione multiregionale.](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules)
## Criteri e azioni delle regole disponibili
I seguenti campi ASFF ( AWS Security Finding Format) sono attualmente supportati come criteri per le regole di automazione:
| Criterio della regola | Operatori di filtro | Tipo di campo |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ComplianceStatus | Is, Is Not | Seleziona: [FAILED,,NOT\$1AVAILABLE,PASSED] WARNING |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Numero |
| CreatedAt | Start, End, DateRange | Data (formattata come 2022-12-01T 21:47:39.269 Z) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Numero |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| FirstObservedAt | Start, End, DateRange | Data (formattata come 2022-12-01T 21:47:39.269 Z) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| LastObservedAt | Start, End, DateRange | Data (formattata come 2022-12-01T 21:47:39.269 Z) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| NoteUpdatedAt | Start, End, DateRange | Data (formattata come 2022-12-01T 21:47:39.269 Z) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Eseguire la mappatura |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Eseguire la mappatura |
| ResourceType | Is, Is Not | Seleziona ([vedi](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) Risorse supportate da ASFF) |
| SeverityLabel | Is, Is Not | Seleziona: [CRITICAL,HIGH, MEDIUMLOW,INFORMATIONAL] |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| UpdatedAt | Start, End, DateRange | Data (formattata come 2022-12-01T 21:47:39.269 Z) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Eseguire la mappatura |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Stringa |
| WorkflowStatus | Is, Is Not | Seleziona NEWRESOLVED: [NOTIFIED,,] SUPPRESSED |
Per i criteri etichettati come campi stringa, l'utilizzo di operatori di filtro diversi sullo stesso campo influisce sulla logica di valutazione. Per ulteriori informazioni, consulta il riferimento [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)all'*API CSPM AWS di Security Hub*.
Ogni criterio supporta un numero massimo di valori che possono essere utilizzati per filtrare i risultati corrispondenti. Per i limiti di ogni criterio, vedere [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)il riferimento all'API *CSPM AWS di Security Hub*.
I seguenti campi ASFF sono attualmente supportati come azioni per le regole di automazione:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
Per ulteriori informazioni su campi ASFF specifici, vedere la sintassi del [AWS Security Finding Format (ASFF](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)).
**Suggerimento**
Se desideri che Security Hub CSPM smetta di generare risultati per un controllo specifico, ti consigliamo di disabilitare il controllo anziché utilizzare una regola di automazione. Quando disabiliti un controllo, Security Hub CSPM interrompe l'esecuzione dei controlli di sicurezza e la generazione dei relativi risultati, in modo da non incorrere in costi per tale controllo. Consigliamo di utilizzare le regole di automazione per modificare i valori di campi ASFF specifici per i risultati che soddisfano i criteri definiti. Per ulteriori informazioni sulla disabilitazione dei controlli, consulta. [Disabilitazione dei controlli in Security Hub CSPM](disable-controls-overview.md)
## Risultati valutati dalle regole di automazione
Una regola di automazione valuta i risultati nuovi e aggiornati che Security Hub CSPM genera o inserisce tramite l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)operazione *dopo* la creazione della regola. Security Hub CSPM aggiorna i risultati del controllo ogni 12-24 ore o quando la risorsa associata cambia stato. Per ulteriori informazioni, consulta [Pianificazione dell'esecuzione dei controlli di sicurezza](securityhub-standards-schedule.md).
Le regole di automazione valutano i risultati originali forniti dal provider. I provider possono fornire nuovi risultati e aggiornare i risultati esistenti utilizzando il `BatchImportFindings` funzionamento dell'API CSPM Security Hub. Se i seguenti campi non esistono nel risultato originale, Security Hub CSPM popola automaticamente i campi e quindi utilizza i valori popolati nella valutazione mediante la regola di automazione:
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
Dopo aver creato una o più regole di automazione, le regole non vengono attivate se si aggiornano i campi di ricerca utilizzando l'operazione. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) Se crei una regola di automazione e apporti un `BatchUpdateFindings` aggiornamento che influiscono entrambi sullo stesso campo di ricerca, l'ultimo aggiornamento imposta il valore per quel campo. Prendiamo l'esempio seguente:
1. Si utilizza l'`BatchUpdateFindings`operazione per modificare il valore del `Workflow.Status` campo di un risultato da `NEW` a`NOTIFIED`.
1. Se chiami`GetFindings`, il `Workflow.Status` campo ora ha un valore di`NOTIFIED`.
1. Si crea una regola di automazione che modifica il `Workflow.Status` campo del risultato da `NEW` a`SUPPRESSED`. (Ricorda che le regole ignorano gli aggiornamenti effettuati utilizzando l'`BatchUpdateFindings`operazione.)
1. Il fornitore dei risultati utilizza l'`BatchImportFindings`operazione per aggiornare il risultato e modifica il valore del `Workflow.Status` campo del risultato in`NEW`.
1. Se chiami`GetFindings`, il `Workflow.Status` campo ora ha un valore di`SUPPRESSED`. Ciò è dovuto al fatto che è stata applicata la regola di automazione e la regola è stata l'ultima azione intrapresa sul risultato.
Quando si crea o si modifica una regola sulla console CSPM di Security Hub, la console visualizza una versione beta dei risultati che corrispondono ai criteri della regola. Mentre le regole di automazione valutano i risultati originali inviati dal provider dei risultati, la versione beta della console riflette i risultati nel loro stato finale così come sarebbero mostrati in risposta all'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)operazione (ovvero dopo l'applicazione delle azioni delle regole o di altri aggiornamenti al risultato).
## Come funziona l'ordine delle regole
Quando si creano regole di automazione, si assegna a ciascuna regola un ordine. Ciò determina l'ordine in cui Security Hub CSPM applica le regole di automazione e diventa importante quando più regole si riferiscono allo stesso campo di ricerca o ricerca.
Quando più azioni delle regole si riferiscono allo stesso campo di ricerca o ricerca, la regola con il valore numerico più alto per l'ordine delle regole si applica per ultima e ha l'effetto finale.
Quando si crea una regola nella console CSPM di Security Hub, Security Hub CSPM assegna automaticamente l'ordine delle regole in base all'ordine di creazione delle regole. La regola creata più di recente ha il valore numerico più basso per l'ordine delle regole e pertanto viene applicata per prima. Security Hub CSPM applica le regole successive in ordine crescente.
Quando si crea una regola tramite l'API CSPM di Security Hub o AWS CLI, Security Hub CSPM, applica per prima la regola con il valore numerico più basso. `RuleOrder` Quindi applica le regole successive in ordine crescente. Se più risultati sono uguali`RuleOrder`, Security Hub CSPM applica prima una regola con un valore precedente per il `UpdatedAt` campo (ovvero, la regola che è stata modificata più di recente si applica per ultima).
È possibile modificare l'ordine delle regole in qualsiasi momento.
**Esempio di ordine delle regole**:
**Regola A (l'ordine delle regole è`1`)**:
+ Criteri della regola A
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type` è `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState` è `NEW`
+ `Workflow.Status` = `ACTIVE`
+ Azioni della regola A
+ Aggiorna `Confidence` a `95`
+ Aggiorna `Severity` a `CRITICAL`
**Regola B (l'ordine delle regole è`2`)**:
+ Criteri della regola B
+ `AwsAccountId` = `123456789012`
+ Azioni della regola B
+ Aggiorna `Severity` a `INFORMATIONAL`
Le azioni della Regola A si applicano innanzitutto ai risultati CSPM di Security Hub che soddisfano i criteri della Regola A. Successivamente, le azioni della Regola B si applicano ai risultati CSPM di Security Hub con l'ID account specificato. In questo esempio, poiché la regola B si applica per ultima, il valore finale dei `Severity` risultati derivanti dall'ID account specificato è. `INFORMATIONAL` In base all'azione della Regola A, il valore finale dei `Confidence` risultati corrispondenti è`95`.
# Creazione di regole di automazione
È possibile utilizzare una regola di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. È possibile creare una regola di automazione personalizzata partendo da zero o, nella console CSPM di Security Hub, utilizzare un modello di regola precompilato. Per informazioni di base sul funzionamento delle regole di automazione, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)
È possibile creare una sola regola di automazione alla volta. Per creare più regole di automazione, segui le procedure della console più volte oppure chiama l'API o il comando più volte con i parametri desiderati.
È necessario creare una regola di automazione in ogni regione e account in cui si desidera che la regola si applichi ai risultati.
Quando si crea una regola di automazione nella console CSPM di Security Hub, Security Hub CSPM mostra una versione beta dei risultati a cui si applica la regola. La versione beta non è attualmente supportata se i criteri della regola includono un filtro CONTAINS o NOT\$1CONTAINS. Puoi scegliere questi filtri per i tipi di campi di tipo map e string.
**Importante**
AWS consiglia di non includere informazioni di identificazione personale, riservate o sensibili nel nome della regola, nella descrizione o in altri campi.
## Creazione di una regola di automazione personalizzata
Scegli il tuo metodo preferito e completa i passaggi seguenti per creare una regola di automazione personalizzata.
------
#### [ Console ]
**Per creare una regola di automazione personalizzata (console)**
1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Nel riquadro di navigazione, scegli Automazioni.**
1. Scegli **Crea regola**. Per **Tipo di regola**, scegli **Crea regola personalizzata**.
1. Nella sezione **Regola**, fornisci un nome e una descrizione univoci per la regola.
1. Per **Criteri**, utilizza i menu a discesa **Chiave**, **Operatore** e **Valore** per specificare i criteri della regola. È necessario specificare almeno un criterio di regola.
Se i criteri selezionati sono supportati, la console mostra una versione beta dei risultati che corrispondono ai criteri specificati.
1. Per l'**azione automatizzata**, utilizza i menu a discesa per specificare quali campi di ricerca aggiornare quando i risultati soddisfano i criteri delle regole. È necessario specificare almeno un'azione relativa alla regola.
1. Per **lo stato della regola**, scegli se desideri che la regola sia **abilitata** **o disabilitata** dopo la creazione.
1. (Facoltativo) Espandi la sezione **Impostazioni aggiuntive**. Seleziona **Ignora le regole successive per i risultati che corrispondono a questi criteri** se desideri che questa regola sia l'ultima regola applicata ai risultati che soddisfano i criteri della regola.
1. (Facoltativo) Per i **tag**, aggiungi i tag come coppie chiave-valore per aiutarti a identificare facilmente la regola.
1. Scegli **Crea regola**.
------
#### [ API ]
**Per creare una regola di automazione (API) personalizzata**
1. Esegui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)dall'account amministratore CSPM di Security Hub. Questa API crea una regola con un Amazon Resource Name (ARN) specifico.
1. Fornisci un nome e una descrizione per la regola.
1. Imposta il `IsTerminal` parametro su `true` se desideri che questa regola sia l'ultima regola applicata ai risultati che soddisfano i criteri della regola.
1. Per il `RuleOrder` parametro, specificate l'ordine della regola. Security Hub CSPM applica prima le regole con un valore numerico inferiore per questo parametro.
1. Per il `RuleStatus` parametro, specificate se desiderate abilitare Security Hub CSPM e iniziate ad applicare la regola ai risultati dopo la creazione. Se non viene specificato alcun valore, il valore predefinito è `ENABLED`. Un valore di `DISABLED` indica che la regola viene messa in pausa dopo la creazione.
1. Per il `Criteria` parametro, fornite i criteri che desiderate che Security Hub CSPM utilizzi per filtrare i risultati. L'azione della regola si applicherà ai risultati che corrispondono ai criteri. Per un elenco dei criteri supportati, vedere[Criteri e azioni delle regole disponibili](automation-rules.md#automation-rules-criteria-actions).
1. Per il `Actions` parametro, specificate le azioni che desiderate che Security Hub CSPM intraprenda quando c'è una corrispondenza tra un risultato e i criteri definiti. Per un elenco delle azioni supportate, consulta. [Criteri e azioni delle regole disponibili](automation-rules.md#automation-rules-criteria-actions)
Il AWS CLI comando di esempio seguente crea una regola di automazione che aggiorna lo stato del flusso di lavoro e la nota dei risultati corrispondenti. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## Creazione di una regola di automazione da un modello (solo console)
I modelli di regole riflettono i casi d'uso comuni delle regole di automazione. Attualmente, solo la console CSPM di Security Hub supporta i modelli di regole. Completa i seguenti passaggi per creare una regola di automazione da un modello nella console.
**Per creare una regola di automazione da un modello (console)**
1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Nel riquadro di navigazione, scegli Automazioni.**
1. Scegli **Crea regola**. Per **Tipo di regola**, scegli **Crea una regola dal modello**.
1. Seleziona un modello di regola dal menu a discesa.
1. (Facoltativo) Se necessario per il tuo caso d'uso, modifica le sezioni **Regola**, **Criteri** e **Azione automatizzata**. È necessario specificare almeno un criterio di regola e un'azione della regola.
Se i criteri selezionati sono supportati, la console mostra una versione beta dei risultati che corrispondono ai criteri specificati.
1. Per **lo stato della regola**, scegli se desideri che la regola sia **abilitata** o **disabilitata** dopo la sua creazione.
1. (Facoltativo) Espandi la sezione **Impostazioni aggiuntive**. Seleziona **Ignora le regole successive per i risultati che corrispondono a questi criteri** se desideri che questa regola sia l'ultima regola applicata ai risultati che soddisfano i criteri della regola.
1. (Facoltativo) Per i **tag**, aggiungi i tag come coppie chiave-valore per aiutarti a identificare facilmente la regola.
1. Scegli **Crea regola**.
# Visualizzazione delle regole di automazione
È possibile utilizzare una regola di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. Per informazioni di base sul funzionamento delle regole di automazione, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)
Scegli il tuo metodo preferito e segui i passaggi per visualizzare le regole di automazione esistenti e i dettagli di ciascuna regola.
Per visualizzare una cronologia di come le regole di automazione hanno modificato i risultati, consulta[Analisi dei dettagli e della cronologia dei risultati in Security Hub CSPM](securityhub-findings-viewing.md).
------
#### [ Console ]
**Per visualizzare le regole di automazione (console)**
1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Nel riquadro di navigazione, scegli Automazioni.**
1. Scegli il nome di una regola. In alternativa, seleziona una regola.
1. Scegli **Azioni** e **Visualizza**.
------
#### [ API ]
**Per visualizzare le regole di automazione (API)**
1. Per visualizzare le regole di automazione per il tuo account, esegui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html)dall'account amministratore CSPM di Security Hub. Questa API restituisce la regola ARNs e altri metadati per le tue regole. Non sono richiesti parametri di input per questa API, ma puoi facoltativamente fornire un limite `MaxResults` al numero di risultati e `NextToken` come parametro di paginazione. Il valore iniziale di `NextToken` dovrebbe essere. `NULL`
1. Per ulteriori dettagli sulla regola, inclusi i criteri e le azioni per una regola, esegui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html)dall'account amministratore CSPM di Security Hub. Fornisci le regole ARNs di automazione per le quali desideri i dettagli.
L'esempio seguente recupera i dettagli per le regole di automazione specificate. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# Modifica delle regole di automazione
È possibile utilizzare una regola di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. Per informazioni di base sul funzionamento delle regole di automazione, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)
Dopo aver creato una regola di automazione, l'amministratore CSPM di Security Hub delegato può modificare la regola. Quando si modifica una regola di automazione, le modifiche si applicano ai risultati nuovi e aggiornati che Security Hub CSPM genera o inserisce dopo la modifica della regola.
Scegli il tuo metodo preferito e segui i passaggi per modificare il contenuto di una regola di automazione. Puoi modificare una o più regole con una sola richiesta. Per istruzioni sulla modifica dell'ordine delle regole, vedere[Modifica dell'ordine delle regole di automazione](edit-rule-order.md).
------
#### [ Console ]
**Per modificare le regole di automazione (console)**
1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Nel riquadro di navigazione, scegli Automazioni.**
1. Seleziona la regola che desideri modificare. Scegli **Azione** e **Modifica**.
1. Modifica la regola come desideri e scegli **Salva modifiche**.
------
#### [ API ]
**Per modificare le regole di automazione (API)**
1. Esegui [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)dall'account amministratore CSPM di Security Hub.
1. Per il `RuleArn` parametro, fornite l'ARN delle regole che desiderate modificare.
1. Fornite i nuovi valori per i parametri che desiderate modificare. È possibile modificare qualsiasi parametro tranne`RuleArn`.
L’esempio seguente aggiornala regola di automazione specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# Modifica dell'ordine delle regole di automazione
È possibile utilizzare una regola di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. Per informazioni di base sul funzionamento delle regole di automazione, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)
Dopo aver creato una regola di automazione, l'amministratore CSPM di Security Hub delegato può modificare la regola.
Se desideri mantenere invariati i criteri e le azioni della regola, ma modificare l'ordine in cui Security Hub CSPM applica una regola di automazione, puoi modificare solo l'ordine delle regole. Scegli il tuo metodo preferito e segui i passaggi per modificare l'ordine delle regole.
Per istruzioni sulla modifica dei criteri o delle azioni di una regola di automazione, consulta[Modifica delle regole di automazione](edit-automation-rules.md).
------
#### [ Console ]
**Per modificare l'ordine delle regole di automazione (console)**
1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Nel riquadro di navigazione, scegli Automazioni.**
1. Seleziona la regola di cui desideri modificare l'ordine. Scegli **Modifica priorità**.
1. Scegli **Sposta su** per aumentare la priorità della regola di un'unità. Scegli **Sposta giù** per ridurre la priorità della regola di un'unità. Scegli **Sposta in alto** per assegnare alla regola un ordine pari a **1** (in questo modo la regola ha la precedenza sulle altre regole esistenti).
**Nota**
Quando si crea una regola nella console CSPM di Security Hub, Security Hub CSPM assegna automaticamente l'ordine delle regole in base all'ordine di creazione delle regole. La regola creata più di recente ha il valore numerico più basso per l'ordine delle regole e pertanto viene applicata per prima.
------
#### [ API ]
**Per modificare l'ordine delle regole di automazione (API)**
1. Usa l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)operazione dall'account amministratore CSPM di Security Hub.
1. Per il `RuleArn` parametro, fornite l'ARN delle regole di cui desiderate modificare l'ordine.
1. Modifica il valore del `RuleOrder` campo.
**Nota**
Se più regole hanno le stesse`RuleOrder`, Security Hub CSPM applica prima una regola con un valore precedente per il `UpdatedAt` campo (ovvero, la regola che è stata modificata più di recente si applica per ultima).
------
# Eliminazione o disabilitazione delle regole di automazione
È possibile utilizzare una regola di automazione per aggiornare automaticamente i risultati in AWS Security Hub CSPM. Per informazioni di base sul funzionamento delle regole di automazione, consulta. [Comprensione delle regole di automazione in Security Hub CSPM](automation-rules.md)
Quando elimini una regola di automazione, Security Hub CSPM la rimuove dal tuo account e non applica più la regola ai risultati. In alternativa all'eliminazione, puoi *disabilitare una regola*. Ciò mantiene la regola per utilizzi futuri, ma Security Hub CSPM non applicherà la regola a nessun risultato corrispondente finché non lo abiliti.
Scegli il tuo metodo preferito e segui i passaggi per eliminare una regola di automazione. Puoi eliminare una o più regole in un'unica richiesta.
------
#### [ Console ]
**Per eliminare o disabilitare le regole di automazione (console)**
1. Utilizzando le credenziali dell'amministratore CSPM di Security Hub, aprire la console CSPM di AWS Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. **Nel riquadro di navigazione, scegli Automazioni.**
1. Seleziona le regole che desideri eliminare. Scegliete **Azione** ed **Elimina** (per mantenere una regola, ma disattivarla temporaneamente, scegliete **Disabilita**).
1. Conferma la scelta e seleziona **Delete (Elimina)**.
------
#### [ API ]
**Per eliminare o disabilitare le regole di automazione (API)**
1. Usa l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html)operazione dall'account amministratore CSPM di Security Hub.
1. Per il `AutomationRulesArns` parametro, fornisci l'ARN delle regole che desideri eliminare (per mantenere una regola, ma disabilitarla temporaneamente, inserisci `DISABLED` il `RuleStatus` parametro).
L’esempio seguente elimina la regola di automazione specificata. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# Esempi di regole di automazione
Questa sezione fornisce esempi di regole di automazione per i casi d'uso CSPM più comuni di Security Hub. Questi esempi corrispondono ai modelli di regole disponibili nella console CSPM di Security Hub.
## Elevate la severità a Critica quando una risorsa specifica, come un bucket S3, è a rischio
In questo esempio, i criteri della regola vengono soddisfatti quando il `ResourceId` risultato è un bucket Amazon Simple Storage Service (Amazon S3) specifico. L'azione della regola consiste nel modificare la gravità dei risultati corrispondenti in. `CRITICAL` È possibile modificare questo modello per applicarlo ad altre risorse.
**Esempio di richiesta API**:
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Esempio di comando CLI:**
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Elevare la severità dei risultati relativi alle risorse negli account di produzione
In questo esempio, i criteri della regola vengono soddisfatti quando viene generato un risultato di `HIGH` gravità in conti di produzione specifici. L'azione della regola consiste nel modificare la gravità dei risultati corrispondenti in. `CRITICAL`
**Esempio di richiesta API**:
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Esempio di comando CLI:**
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Sopprime i risultati informativi
In questo esempio, i criteri della regola vengono soddisfatti per i risultati di `INFORMATIONAL` gravità inviati a Security Hub CSPM da Amazon. GuardDuty L'azione della regola consiste nel modificare lo stato del flusso di lavoro dei risultati corrispondenti in. `SUPPRESSED`
**Esempio di richiesta API**:
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Esempio di comando CLI:**
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
# Utilizzo EventBridge per la risposta e la correzione automatizzate
Creando regole in Amazon EventBridge, puoi rispondere automaticamente ai risultati del AWS Security Hub CSPM. Security Hub CSPM invia i risultati sotto forma di *eventi* EventBridge in tempo quasi reale. Puoi scrivere semplici regole per indicare a quali eventi sei interessato e quali azioni automatiche intraprendere quando un evento corrisponde a una regola. Le azioni che possono essere attivate automaticamente includono le seguenti:
+ Invocare una funzione AWS Lambda
+ Richiamo del comando run di Amazon EC2
+ Inoltro dell'evento a Amazon Kinesis Data Streams
+ Attivazione di una macchina a stati AWS Step Functions
+ Notifica di un argomento Amazon SNS o di una coda Amazon SQS
+ Invio di una ricerca a uno strumento di gestione di ticket, chat, SIEM o risposta agli incidenti di terze parti
Security Hub CSPM invia automaticamente tutti i nuovi risultati e tutti gli aggiornamenti ai risultati esistenti EventBridge come EventBridge eventi. È inoltre possibile creare azioni personalizzate che consentono di inviare risultati selezionati e risultati di approfondimenti a. EventBridge
Quindi configuri EventBridge le regole per rispondere a ogni tipo di evento.
Per ulteriori informazioni sull'utilizzo EventBridge, consulta la [https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html).
**Nota**
Come best practice, assicurati che le autorizzazioni concesse ai tuoi utenti per accedere EventBridge utilizzino politiche di least-privilege AWS Identity and Access Management (IAM) che concedono solo le autorizzazioni richieste.
Per ulteriori informazioni, consulta [Gestione delle identità e degli accessi in Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html).
In Soluzioni è disponibile anche un set di modelli per la risposta e la correzione automatizzate tra più account. AWS I modelli sfruttano le regole EventBridge degli eventi e le funzioni Lambda. La soluzione viene distribuita utilizzando e. CloudFormation AWS Systems Manager La soluzione può creare azioni di risposta e riparazione completamente automatizzate. Può anche utilizzare le azioni personalizzate CSPM di Security Hub per creare azioni di risposta e riparazione attivate dall'utente. Per i dettagli su come configurare e utilizzare la soluzione, consulta la pagina [Automated Security](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/) Response on solution. AWS
**Topics**
+ [Tipi di eventi CSPM di Security Hub in EventBridge](securityhub-cwe-integration-types.md)
+ [EventBridge formati di eventi per Security Hub CSPM](securityhub-cwe-event-formats.md)
+ [Configurazione di una EventBridge regola per i risultati CSPM di Security Hub](securityhub-cwe-all-findings.md)
+ [Utilizzo di azioni personalizzate per inviare risultati e approfondimenti a EventBridge](securityhub-cwe-custom-actions.md)
# Tipi di eventi CSPM di Security Hub in EventBridge
Security Hub CSPM utilizza i seguenti tipi di EventBridge eventi Amazon con cui integrarsi. EventBridge
Nella EventBridge dashboard di Security Hub CSPM, **All Events** include tutti questi tipi di eventi.
## Tutti i risultati (Security Hub Findings - Imported)
Security Hub CSPM invia automaticamente tutti i nuovi risultati e tutti gli aggiornamenti ai risultati esistenti EventBridge come **Security Hub Findings - Imported**eventi. Ogni **Security Hub Findings - Imported**evento contiene un singolo risultato.
Ogni [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)richiesta fa scattare un **Security Hub Findings - Imported**evento.
Per gli account amministratore, il feed degli eventi EventBridge include gli eventi relativi ai risultati sia del loro account che dei loro account membro.
In una regione di aggregazione, il feed degli eventi include gli eventi relativi ai risultati della regione di aggregazione e delle regioni collegate. I risultati interregionali sono inclusi nel feed degli eventi quasi in tempo reale. Per informazioni su come configurare l'aggregazione dei risultati, consulta. [Comprendere l'aggregazione interregionale in Security Hub CSPM](finding-aggregation.md)
È possibile definire regole EventBridge che indirizzino automaticamente i risultati a un flusso di lavoro di riparazione, a uno strumento di terze parti o a un [altro obiettivo supportato EventBridge ](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html). Le regole possono includere filtri che applicano la regola solo se il risultato ha valori di attributo specifici.
Si utilizza questo metodo per inviare automaticamente tutti i risultati, o tutti i risultati con caratteristiche specifiche, a un flusso di lavoro di risposta o correzione.
Per informazioni, consulta [Configurazione di una EventBridge regola per i risultati CSPM di Security Hub](securityhub-cwe-all-findings.md).
## Risultati per azioni personalizzate (Security Hub Findings - Custom Action)
Security Hub CSPM invia anche i risultati associati ad azioni personalizzate agli eventi EventBridge as **Security Hub Findings - Custom Action**.
Ciò è utile per gli analisti che lavorano con la console CSPM di Security Hub e desiderano inviare un risultato specifico, o un piccolo insieme di risultati, a un flusso di lavoro di risposta o correzione. È possibile selezionare un'operazione personalizzata per un massimo di 20 risultati alla volta. Ogni risultato viene inviato EventBridge come evento separato. EventBridge
Quando si crea un'azione personalizzata, le si assegna un ID di azione personalizzato. Puoi utilizzare questo ID per creare una EventBridge regola che esegua un'azione specifica dopo aver ricevuto un risultato associato a quell'ID di azione personalizzato.
Per informazioni, consulta [Utilizzo di azioni personalizzate per inviare risultati e approfondimenti a EventBridge](securityhub-cwe-custom-actions.md).
Ad esempio, è possibile creare un'azione personalizzata in Security Hub CSPM chiamata. `send_to_ticketing` Quindi EventBridge, si crea una regola che viene attivata quando si EventBridge riceve un risultato che include l'ID dell'azione `send_to_ticketing` personalizzato. La regola include la logica per inviare il risultato al sistema di ticket. È quindi possibile selezionare i risultati all'interno di Security Hub CSPM e utilizzare l'azione personalizzata in Security Hub CSPM per inviare manualmente i risultati al sistema di ticketing.
Per esempi su come inviare i risultati CSPM di Security Hub EventBridge per un'ulteriore elaborazione, consulta [Come integrare le azioni personalizzate CSPM di AWS Security Hub con PagerDuty e Come abilitare le azioni personalizzate](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/) [in AWS Security Hub CSPM](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/) sul blog AWS Partner Network (APN).
## Risultati di analisi per le operazioni personalizzate (Security Hub Insight Results)
Puoi anche utilizzare azioni personalizzate per inviare serie di risultati di analisi come eventi. EventBridge **Security Hub Insight Results** I risultati di Insight sono le risorse che corrispondono a un'intuizione. Tieni presente che quando invii i risultati degli approfondimenti a EventBridge, non invii i risultati a EventBridge. Stai inviando solo gli identificatori delle risorse associati ai risultati degli approfondimenti. È possibile inviare fino a 100 identificatori di risorse alla volta.
Analogamente alle azioni personalizzate per i risultati, devi prima creare l'azione personalizzata in Security Hub CSPM, quindi creare una regola in. EventBridge
Per informazioni, consulta [Utilizzo di azioni personalizzate per inviare risultati e approfondimenti a EventBridge](securityhub-cwe-custom-actions.md).
Ad esempio, supponiamo di vedere un particolare risultato di interesse approfondito che desideri condividere con un collega. In tal caso, puoi utilizzare un'azione personalizzata per inviare il risultato di tale analisi al collega tramite una chat o un sistema di ticketing.
# EventBridge formati di eventi per Security Hub CSPM
I tipi di **Security Hub Insight Results**eventi **Security Hub Findings - Imported**Security Findings - Custom Action****, e utilizzano i seguenti formati di evento.
Il formato dell'evento è il formato utilizzato quando Security Hub CSPM invia un evento a. EventBridge
## Security Hub Findings - Imported
**Security Hub Findings - Imported**eventi inviati da Security Hub CSPM per EventBridge utilizzare il seguente formato.
```
{
"version":"0",
"id":"CWE-event-id",
"detail-type":"Security Hub Findings - Imported",
"source":"aws.securityhub",
"account":"111122223333",
"time":"2019-04-11T21:52:17Z",
"region":"us-west-2",
"resources":[
"arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
],
"detail":{
"findings": [{
}]
}
}
```
``è il contenuto, in formato JSON, del risultato inviato dall'evento. Ogni evento invia un singolo risultato.
Per un elenco completo degli attributi di ricerca, vedere[AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md).
Per informazioni su come configurare EventBridge le regole attivate da questi eventi, vedere[Configurazione di una EventBridge regola per i risultati CSPM di Security Hub](securityhub-cwe-all-findings.md).
## Security Hub Findings - Custom Action
**Security Hub Findings - Custom Action**eventi inviati da Security Hub CSPM per EventBridge utilizzare il seguente formato. Ogni risultato viene inviato in un evento separato.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Findings - Custom Action",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2019-04-11T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
],
"detail": {
"actionName":"custom-action-name",
"actionDescription": "description of the action",
"findings": [
{
}
]
}
}
```
``è il contenuto, in formato JSON, del risultato inviato dall'evento. Ogni evento invia un singolo risultato.
Per un elenco completo degli attributi di ricerca, vedere[AWS Formato ASFF (Security Finding Format)](securityhub-findings-format.md).
Per informazioni su come configurare EventBridge le regole attivate da questi eventi, vedere[Utilizzo di azioni personalizzate per inviare risultati e approfondimenti a EventBridge](securityhub-cwe-custom-actions.md).
## Security Hub Insight Results
**Security Hub Insight Results**eventi inviati da Security Hub CSPM per EventBridge utilizzare il seguente formato.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Insight Results",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
],
"detail": {
"actionName":"name of the action",
"actionDescription":"description of the action",
"insightArn":"ARN of the insight",
"insightName":"Name of the insight",
"resultType":"ResourceAwsIamAccessKeyUserName",
"number of results":"number of results, max of 100",
"insightResults": [
{"result 1": 5},
{"result 2": 6}
]
}
}
```
Per informazioni su come creare una EventBridge regola attivata da questi eventi, vedere. [Utilizzo di azioni personalizzate per inviare risultati e approfondimenti a EventBridge](securityhub-cwe-custom-actions.md)
# Configurazione di una EventBridge regola per i risultati CSPM di Security Hub
Puoi creare una regola in Amazon EventBridge che definisce un'azione da intraprendere quando viene ricevuto un **Security Hub Findings - Imported**evento. **Security Hub Findings - Imported**gli eventi vengono attivati dagli aggiornamenti [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)delle operazioni [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)e.
Ogni regola contiene uno schema di eventi, che identifica gli eventi che attivano la regola. Il modello di evento contiene sempre l'origine dell'evento (`aws.securityhub`) e il tipo di evento (**Security Hub Findings - Imported**). Il modello di evento può anche specificare filtri per identificare i risultati a cui si applica la regola.
La regola dell'evento identifica quindi gli obiettivi della regola. Gli obiettivi sono le azioni da intraprendere quando EventBridge riceve un evento **Security Hub Findings - Imported** e il risultato corrisponde ai filtri.
Le istruzioni fornite qui utilizzano la EventBridge console. Quando usi la console, crea EventBridge automaticamente la policy basata sulle risorse richiesta che consente di scrivere su Amazon EventBridge Logs. CloudWatch
Puoi anche utilizzare il [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)funzionamento dell'API. EventBridge Tuttavia, se si utilizza l' EventBridge API, è necessario creare la politica basata sulle risorse. Per informazioni sulla politica richiesta, consulta [CloudWatch Logs permissions](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) nella *Amazon EventBridge User* Guide.
## Formato del modello di evento
Il formato del pattern di eventi per **Security Hub Findings - Imported** events è il seguente:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
}
}
}
```
+ `source`identifica Security Hub CSPM come il servizio che genera l'evento.
+ `detail-type`identifica il tipo di evento.
+ `detail`è facoltativo e fornisce i valori del filtro per il modello di evento. Se il modello di evento non contiene un `detail` campo, tutti i risultati attivano la regola.
È possibile filtrare i risultati in base a qualsiasi attributo di ricerca. Per ogni attributo, fornisci una matrice separata da virgole di uno o più valori.
```
"": [ "", ""]
```
Se si fornisce più di un valore per un attributo, tali valori vengono uniti. `OR` Un risultato corrisponde al filtro per un singolo attributo se il risultato contiene uno dei valori elencati. Ad esempio, se si forniscono entrambi `INFORMATIONAL` e `LOW` come valori per`Severity.Label`, il risultato corrisponde se ha un'etichetta di gravità pari `INFORMATIONAL` o uguale a uno dei due`LOW`.
Gli attributi sono uniti da`AND`. Una ricerca corrisponde se corrisponde ai criteri di filtro per tutti gli attributi forniti.
Quando si fornisce un valore di attributo, questo deve riflettere la posizione di tale attributo all'interno della struttura AWS Security Finding Format (ASFF).
**Suggerimento**
Quando si filtrano i risultati del controllo, si consiglia di utilizzare i [campi `SecurityControlId` o `SecurityControlArn` ASFF](securityhub-findings-format.md) come filtri, anziché o. `Title` `Description` Questi ultimi campi possono cambiare occasionalmente, mentre l'ID di controllo e l'ARN sono identificatori statici.
Nell'esempio seguente, il pattern di eventi fornisce valori di filtro per `ProductArn` e`Severity.Label`, quindi, una ricerca corrisponde se è stata generata da Amazon Inspector e ha un'etichetta di gravità pari o `INFORMATIONAL` uguale a quella indicata. `LOW`
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## Creazione di una regola di evento
È possibile utilizzare un pattern di eventi predefinito o un pattern di eventi personalizzato in EventBridge cui creare una regola. Se si seleziona un pattern predefinito, compila EventBridge automaticamente e. `source` `detail-type` EventBridge fornisce inoltre campi per specificare i valori di filtro per i seguenti attributi di ricerca:
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`
**Per creare una EventBridge regola (console)**
1. Apri la EventBridge console Amazon all'indirizzo [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Utilizzando i seguenti valori, crea una EventBridge regola che monitora la ricerca degli eventi:
+ Per **Tipo di regola**, scegli **Regola con un modello di eventi**.
+ Scegliete come creare lo schema degli eventi.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
+ Per **i tipi di Target**, scegli il **AWS servizio** e per **Seleziona una destinazione**, scegli una destinazione come un argomento o AWS Lambda una funzione di Amazon SNS. La destinazione viene attivata quando viene ricevuto un evento che corrisponde al modello di evento definito nella regola.
Per informazioni dettagliate sulla creazione di regole, consulta [la sezione Creazione di EventBridge regole Amazon che reagiscono agli eventi](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) nella *Amazon EventBridge User Guide*.
# Utilizzo di azioni personalizzate per inviare risultati e approfondimenti a EventBridge
Per utilizzare le azioni personalizzate AWS di Security Hub CSPM per inviare risultati o approfondimenti ad Amazon EventBridge, devi prima creare l'azione personalizzata in Security Hub CSPM. Quindi, puoi definire regole EventBridge che si applicano alle tue azioni personalizzate.
Puoi creare fino a 50 azioni personalizzate.
Se abiliti l'aggregazione tra regioni e gestisci i risultati dalla regione di aggregazione, crea azioni personalizzate nella regione di aggregazione.
La regola EventBridge utilizza l'Amazon Resource Name (ARN) dell'azione personalizzata.
# Creazione di un'azione personalizzata
Quando si crea un'azione personalizzata in AWS Security Hub CSPM, si specifica il nome, la descrizione e un identificatore univoco.
Un'azione personalizzata specifica le azioni da intraprendere quando un EventBridge evento corrisponde a una regola. EventBridge Security Hub CSPM invia ogni risultato EventBridge come evento.
Scegli il tuo metodo preferito e segui i passaggi per creare un'azione personalizzata.
------
#### [ Console ]
**Per creare un'azione personalizzata in Security Hub CSPM (console)**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Nel riquadro di navigazione, scegliere **Settings (Impostazioni)**, quindi **Custom actions (Operazioni personalizzate)**.
1. Scegliere **Create custom action (Crea operazione personalizzata)**.
1. Fornire **Name (Nome)**, **Description (Descrizione)** e **Custom action ID (ID operazione personalizzata)** per l'operazione.
Il campo **Name (Nome)** non deve contenere più di 20 caratteri.
L'**ID dell'azione personalizzata** deve essere unico per ogni AWS account.
1. Scegliere **Create custom action (Crea operazione personalizzata)**.
1. Prendere nota dell'**operazione ARN personalizzata**. È necessario utilizzare l'ARN quando si crea una regola da associare a questa operazione in EventBridge.
------
#### [ API ]
**Per creare un'azione personalizzata (API)**
Usa l'[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html)operazione. Se stai usando AWS CLI, esegui il [create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html)comando.
L'esempio seguente crea un'azione personalizzata per inviare i risultati a uno strumento di correzione. Questo esempio è formattato per Linux, macOS o Unix e utilizza il carattere di continuazione di barra rovesciata (\$1) per migliorare la leggibilità.
```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```
------
# Definizione di una regola in EventBridge
Per attivare un'azione personalizzata in Amazon EventBridge, devi creare una regola corrispondente in EventBridge. La definizione della regola include l'Amazon Resource Name (ARN) dell'azione personalizzata.
Il modello di evento per un evento **Security Hub Findings - Custom Action** ha il seguente formato:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Custom Action"
],
"resources": [ "" ]
}
```
Il modello di evento per un evento **Security Hub Insight Results** ha il seguente formato:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Insight Results"
],
"resources": [ "" ]
}
```
In entrambi i modelli, `` è l'ARN di un'azione personalizzata. È possibile configurare una regola che si applica a più di un'azione personalizzata.
Le istruzioni fornite qui si riferiscono alla EventBridge console. Quando si utilizza la console, crea EventBridge automaticamente la politica basata sulle risorse richiesta che consente la scrittura nei EventBridge registri. CloudWatch
Puoi anche utilizzare il funzionamento dell'[https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)API. EventBridge Tuttavia, se utilizzi l' EventBridge API, devi creare la politica basata sulle risorse. Per i dettagli sulla politica richiesta, consulta [CloudWatch Logs permissions](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) nella *Amazon EventBridge User* Guide.
**Per definire una regola in EventBridge (console) EventBridge**
1. Apri la EventBridge console Amazon all'indirizzo [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Nel pannello di navigazione, scegli **Regole**.
1. Scegli **Crea regola**.
1. Inserisci un nome e una descrizione per la regola.
1. Per **Router di eventi**, scegli quello che desideri associare a questa regola. Se vuoi che questa regola corrisponda agli eventi provenienti dal tuo account, seleziona **Predefinito**. Quando un servizio di AWS nell'account emette un evento, passa sempre al bus di eventi predefinito dell'account.
1. Per **Tipo di regola**, scegli **Regola con un modello di eventi**.
1. Scegli **Next (Successivo)**.
1. Per **Event source** (Origine eventi), seleziona **AWS events** (Eventi ).
1. Per **Modello di eventi**, scegli **Modulo di modello di eventi**.
1. Per **Origine evento**, scegli **Servizi AWS **.
1. Per l'**AWS assistenza**, scegli **Security Hub**.
1. Per **Tipo di evento**, procedere in uno dei seguenti modi:
+ Per creare una regola da applicare quando invii i risultati a un'azione personalizzata, scegli **Security Hub Findings - Azione personalizzata**.
+ Per creare una regola da applicare quando invii i risultati di analisi a un'azione personalizzata, scegli **Security Hub Insight Results**.
1. Scegli **Azione personalizzata specifica ARNs**, aggiungi un ARN di azione personalizzata.
Se la regola si applica a più azioni personalizzate, scegli **Aggiungi** per aggiungere altre azioni ARNs personalizzate.
1. Scegli **Next (Successivo)**.
1. In **Seleziona obiettivi**, scegli e configura l'obiettivo da richiamare quando viene rispettata questa regola.
1. Scegli **Next (Successivo)**.
1. (Facoltativo) Inserire uno o più tag per la regola. Per ulteriori informazioni, consulta i [ EventBridge tag Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) nella *Amazon EventBridge User Guide*.
1. Scegli **Next (Successivo)**.
1. Rivedi i dettagli della regola e scegli **Crea regola**.
Quando esegui un'azione personalizzata sui risultati di scoperte o approfondimenti nel tuo account, gli eventi vengono generati in EventBridge.
# Selezione di un'azione personalizzata per i risultati delle scoperte e degli approfondimenti
Dopo aver creato le azioni personalizzate CSPM e le EventBridge regole Amazon di AWS Security Hub, puoi inviare risultati e approfondimenti EventBridge per la gestione e l'elaborazione automatiche.
Gli eventi vengono inviati EventBridge solo all'account in cui vengono visualizzati. Se si visualizza un risultato utilizzando un account amministratore, l'evento viene inviato EventBridge all'account amministratore.
AWS Affinché le chiamate API siano efficaci, le implementazioni del codice di destinazione devono trasferire i ruoli negli account dei membri. Ciò significa anche che il ruolo a cui si passa deve essere assegnato a ciascun membro in cui è necessaria un'azione.
**Per inviare i risultati a EventBridge (console)**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Visualizza un elenco di risultati:
+ Da **Findings**, puoi visualizzare i risultati di tutte le integrazioni e i controlli di prodotto abilitati.
+ Da **Security standards**, puoi accedere a un elenco di risultati generati da un controllo specifico. Per ulteriori informazioni, consulta [Revisione dei dettagli dei controlli in Security Hub CSPM](securityhub-standards-control-details.md).
+ Da **Integrazioni**, puoi accedere a un elenco di risultati generati da un'integrazione abilitata. Per ulteriori informazioni, consulta [Visualizzazione dei risultati di un'integrazione CSPM di Security Hub](securityhub-integration-view-findings.md).
+ Da **Insights**, puoi accedere a un elenco di risultati per ottenere un risultato approfondito. Per ulteriori informazioni, consulta [Revisione e utilizzo degli approfondimenti in Security Hub CSPM](securityhub-insights-view-take-action.md).
1. Seleziona i risultati a cui inviarli EventBridge. È possibile selezionare fino a 20 risultati alla volta.
1. In **Azioni**, scegli l'azione personalizzata in linea con la EventBridge regola da applicare.
Security Hub CSPM invia un evento **Security Hub Findings - Custom Action** separato per ogni risultato.
**Per inviare i risultati degli approfondimenti a EventBridge (console)**
1. Aprire la console CSPM AWS di Security Hub all'indirizzo. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Nel riquadro di navigazione, seleziona **Informazioni dettagliate**.
1. Nella pagina **Insights**, scegli l'analisi che include i risultati a cui inviare. EventBridge
1. Seleziona i risultati degli approfondimenti a cui inviarli EventBridge. Puoi selezionare fino a 20 risultati alla volta.
1. In **Azioni**, scegli l'azione personalizzata in linea con la EventBridge regola da applicare.