BatchUpdateFindings per i clienti - AWS Security Hub
Campi disponibili per BatchUpdateFindingsConfigurazione dell'accesso a BatchUpdateFindings

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

BatchUpdateFindings per i clienti

I clienti di Security Hub e le entità che agiscono per loro conto possono utilizzare l'BatchUpdateFindingsoperazione per aggiornare le informazioni relative all'elaborazione da parte del cliente dei risultati del Security Hub tramite la ricerca dei fornitori. Questa operazione può essere utilizzata da un SIEM cliente o da SOAR uno strumento di ticketing, di gestione degli incidenti o che opera per conto di un cliente.

Non puoi usarla BatchUpdateFindings per creare nuove scoperte. Puoi usarlo per aggiornare fino a 100 risultati alla volta. Nella richiesta, specificate i campi del AWS Security Finding Format (ASFF) che desiderate aggiornare.

Quando Security Hub riceve una BatchUpdateFindings richiesta di aggiornamento di un risultato, genera automaticamente un Security Hub Findings - Importedevento in Amazon EventBridge. Puoi intraprendere azioni automatiche su quell'evento. Per informazioni, consultare Utilizzo EventBridge per la risposta e la correzione automatizzate.

BatchUpdateFindingsnon modifica il UpdatedAt campo per la ricerca. UpdatedAtriflette l'aggiornamento più recente del fornitore dei risultati.

Campi disponibili per BatchUpdateFindings

Se hai effettuato l'accesso a un account amministratore di Security Hub, puoi BatchUpdateFindings utilizzarlo per aggiornare i risultati generati dall'account amministratore o dagli account dei membri. Gli account dei membri possono essere utilizzati BatchUpdateFindings per aggiornare i risultati solo per il proprio account.

I clienti possono utilizzare BatchUpdateFindings per aggiornare i seguenti campi e oggetti:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Configurazione dell'accesso a BatchUpdateFindings

È possibile configurare le politiche AWS Identity and Access Management (IAM) per limitare l'accesso all'utilizzo per BatchUpdateFindings aggiornare i campi di ricerca e i valori dei campi.

In un'istruzione a cui limitare l'accessoBatchUpdateFindings, utilizzate i seguenti valori:

  • Action è securityhub:BatchUpdateFindings

  • Effect è Deny

  • InfattiCondition, puoi rifiutare una BatchUpdateFindings richiesta in base a quanto segue:

    • La scoperta include un campo specifico.

    • Il risultato include un valore di campo specifico.

Chiavi di condizione

Queste sono le chiavi condizionali per limitare l'accesso aBatchUpdateFindings.

ASFFcampo

La chiave di condizione per un ASFF campo è la seguente:

securityhub:ASFFSyntaxPath/<fieldName>

Sostituisci <fieldName> con il ASFF campo. Quando configuri l'accesso aBatchUpdateFindings, includi uno o più ASFF campi specifici nella tua IAM politica anziché un campo a livello principale. Ad esempio, per limitare l'accesso al Workflow.Status campo, è necessario includere securityhub:ASFFSyntaxPath/Workflow.Status nella politica anziché il campo a livello principale. Workflow

Impedire tutti gli aggiornamenti a un campo

Per impedire a un utente di apportare aggiornamenti a un campo specifico, utilizza una condizione come questa:

 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

Ad esempio, la seguente dichiarazione indica che non BatchUpdateFindings può essere utilizzata per aggiornare il Workflow.Status campo dei risultati.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

Non consentire valori di campo specifici

Per impedire a un utente di impostare un campo su un valore specifico, usa una condizione come questa:

"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

Ad esempio, la seguente istruzione indica che non BatchUpdateFindings può essere utilizzata per Workflow.Status impostare suSUPPRESSED.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

Puoi anche fornire un elenco di valori non consentiti.

 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

Ad esempio, la seguente dichiarazione indica che non BatchUpdateFindings può essere utilizzata per Workflow.Status impostare uno dei due RESOLVED valoriSUPPRESSED.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}