BatchUpdateFindings per i clienti - AWS Security Hub

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

BatchUpdateFindings per i clienti

I clienti di Security Hub e le entità che agiscono per loro conto possono utilizzare l'BatchUpdateFindingsoperazione per aggiornare le informazioni relative all'elaborazione da parte del cliente dei risultati del Security Hub tramite la ricerca dei fornitori. Questa operazione può essere utilizzata da un cliente o da uno strumento SIEM, di ticketing, gestione degli incidenti o SOAR che opera per conto di un cliente.

Non è possibile utilizzarlo BatchUpdateFindings per creare nuove scoperte. Puoi usarlo per aggiornare fino a 100 risultati alla volta. Nella richiesta, specifichi quali campi del AWS Security Finding Format (ASFF) desideri aggiornare.

Quando Security Hub riceve una BatchUpdateFindings richiesta di aggiornamento di un risultato, genera automaticamente un Security Hub Findings - Importedevento in Amazon EventBridge. Puoi intraprendere azioni automatiche su quell'evento. Per informazioni, consultare Utilizzo EventBridge per la risposta e la correzione automatizzate.

BatchUpdateFindingsnon modifica il UpdatedAt campo per la ricerca. UpdatedAtriflette l'aggiornamento più recente del fornitore dei risultati.

Campi disponibili per BatchUpdateFindings

Se hai effettuato l'accesso a un account amministratore di Security Hub, puoi BatchUpdateFindings utilizzarlo per aggiornare i risultati generati dall'account amministratore o dagli account dei membri. Gli account dei membri possono essere utilizzati BatchUpdateFindings per aggiornare i risultati solo per il proprio account.

I clienti possono utilizzare BatchUpdateFindings per aggiornare i seguenti campi e oggetti:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Configurazione dell'accesso a BatchUpdateFindings

È possibile configurare le policy AWS Identity and Access Management (IAM) per limitare l'accesso all'utilizzo per BatchUpdateFindings aggiornare i campi di ricerca e i valori dei campi.

In un'istruzione a cui limitare l'accessoBatchUpdateFindings, utilizza i seguenti valori:

  • Action è securityhub:BatchUpdateFindings

  • Effect è Deny

  • InfattiCondition, puoi rifiutare una BatchUpdateFindings richiesta in base a quanto segue:

    • La scoperta include un campo specifico.

    • Il risultato include un valore di campo specifico.

Chiavi di condizione

Queste sono le chiavi condizionali per limitare l'accesso aBatchUpdateFindings.

Campo ASFF

La chiave di condizione per un campo ASFF è la seguente:

securityhub:ASFFSyntaxPath/<fieldName>

Sostituisci <fieldName> con il campo ASFF. Quando configuri l'accesso aBatchUpdateFindings, includi uno o più campi ASFF specifici nella tua policy IAM anziché un campo a livello principale. Ad esempio, per limitare l'accesso al Workflow.Status campo, devi includere securityhub:ASFFSyntaxPath/Workflow.Status nella tua policy anziché il campo a livello principale. Workflow

Impedire tutti gli aggiornamenti a un campo

Per impedire a un utente di apportare aggiornamenti a un campo specifico, utilizza una condizione come questa:

"Condition": { "Null": { "securityhub:ASFFSyntaxPath/<fieldName>": "false" } }

Ad esempio, la seguente dichiarazione indica che non BatchUpdateFindings può essere utilizzata per aggiornare il Workflow.Status campo dei risultati.

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Workflow.Status": "false" } } }

Non consentire valori di campo specifici

Per impedire a un utente di impostare un campo su un valore specifico, usa una condizione come questa:

"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>" } }

Ad esempio, la seguente istruzione indica che non BatchUpdateFindings può essere utilizzata per Workflow.Status impostare suSUPPRESSED.

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } }

Puoi anche fornire un elenco di valori non consentiti.

"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ] } }

Ad esempio, la seguente dichiarazione indica che non BatchUpdateFindings può essere utilizzata per Workflow.Status impostare uno dei due RESOLVED valoriSUPPRESSED.

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": [ "RESOLVED", "NOTIFIED" ] } }