Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
BatchUpdateFindings per i clienti
I clienti di Security Hub e le entità che agiscono per loro conto possono utilizzare l'BatchUpdateFindings
operazione per aggiornare le informazioni relative all'elaborazione da parte del cliente dei risultati del Security Hub tramite la ricerca dei fornitori. Questa operazione può essere utilizzata da un cliente o da uno strumento SIEM, di ticketing, gestione degli incidenti o SOAR che opera per conto di un cliente.
Non è possibile utilizzarlo BatchUpdateFindings
per creare nuove scoperte. Puoi usarlo per aggiornare fino a 100 risultati alla volta. Nella richiesta, specifichi quali campi del AWS Security Finding Format (ASFF) desideri aggiornare.
Quando Security Hub riceve una BatchUpdateFindings
richiesta di aggiornamento di un risultato, genera automaticamente un Security Hub Findings
- Importedevento in Amazon EventBridge. Puoi intraprendere azioni automatiche su quell'evento. Per informazioni, consultare Utilizzo EventBridge per la risposta e la correzione automatizzate.
BatchUpdateFindings
non modifica il UpdatedAt
campo per la ricerca. UpdatedAt
riflette l'aggiornamento più recente del fornitore dei risultati.
Campi disponibili per BatchUpdateFindings
Se hai effettuato l'accesso a un account amministratore di Security Hub, puoi BatchUpdateFindings
utilizzarlo per aggiornare i risultati generati dall'account amministratore o dagli account dei membri. Gli account dei membri possono essere utilizzati BatchUpdateFindings
per aggiornare i risultati solo per il proprio account.
I clienti possono utilizzare BatchUpdateFindings
per aggiornare i seguenti campi e oggetti:
-
Confidence
-
Criticality
-
Note
-
RelatedFindings
-
Severity
-
Types
-
UserDefinedFields
-
VerificationState
-
Workflow
Configurazione dell'accesso a BatchUpdateFindings
È possibile configurare le policy AWS Identity and Access Management (IAM) per limitare l'accesso all'utilizzo per BatchUpdateFindings
aggiornare i campi di ricerca e i valori dei campi.
In un'istruzione a cui limitare l'accessoBatchUpdateFindings
, utilizza i seguenti valori:
-
Action
èsecurityhub:BatchUpdateFindings
-
Effect
èDeny
-
Infatti
Condition
, puoi rifiutare unaBatchUpdateFindings
richiesta in base a quanto segue:-
La scoperta include un campo specifico.
-
Il risultato include un valore di campo specifico.
-
Chiavi di condizione
Queste sono le chiavi condizionali per limitare l'accesso aBatchUpdateFindings
.
- Campo ASFF
-
La chiave di condizione per un campo ASFF è la seguente:
securityhub:ASFFSyntaxPath/
<fieldName>
Sostituisci
con il campo ASFF. Quando configuri l'accesso a<fieldName>
BatchUpdateFindings
, includi uno o più campi ASFF specifici nella tua policy IAM anziché un campo a livello principale. Ad esempio, per limitare l'accesso alWorkflow.Status
campo, devi includeresecurityhub:ASFFSyntaxPath/Workflow.Status
nella tua policy anziché il campo a livello principale.Workflow
Impedire tutti gli aggiornamenti a un campo
Per impedire a un utente di apportare aggiornamenti a un campo specifico, utilizza una condizione come questa:
"Condition": { "Null": { "securityhub:ASFFSyntaxPath/
<fieldName>
": "false" } }
Ad esempio, la seguente dichiarazione indica che non BatchUpdateFindings
può essere utilizzata per aggiornare il Workflow.Status
campo dei risultati.
{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Workflow.Status": "false" } } }
Non consentire valori di campo specifici
Per impedire a un utente di impostare un campo su un valore specifico, usa una condizione come questa:
"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/
<fieldName>
": "<fieldValue>" } }
Ad esempio, la seguente istruzione indica che non BatchUpdateFindings
può essere utilizzata per Workflow.Status
impostare suSUPPRESSED
.
{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } }
Puoi anche fornire un elenco di valori non consentiti.
"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": [ "
<fieldValue1>
", "<fieldValue2>
", "<fieldValuen>
" ] } }
Ad esempio, la seguente dichiarazione indica che non BatchUpdateFindings
può essere utilizzata per Workflow.Status
impostare uno dei due RESOLVED
valoriSUPPRESSED
.
{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": [ "RESOLVED", "NOTIFIED" ] } }