お客様の BatchUpdateFindings - AWS Security Hub
BatchUpdateFindings の使用可能なフィールドBatchUpdateFindings へのアクセスの設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

お客様の BatchUpdateFindings

Security Hub のお客様、およびお客様に代わって行動するエンティティは、 BatchUpdateFindings オペレーションを使用して、検出結果プロバイダーからの Security Hub の検出結果のお客様の処理に関連する情報を更新できます。お客様や、お客様の代行として動作する SIEM、チケット発券、インシデント管理、または SOAR ツールがこのオペレーションを使用できます。

BatchUpdateFindings を使用して、新しい検出結果を作成することはできません。これを使用すると、一度に 100 件までの検出結果を更新できます。リクエストでは、更新する AWS Security Finding Format (ASFF) フィールドを指定します。

Security Hub が検出結果を更新する BatchUpdateFindings リクエストを受信すると、Amazon EventBridgeで Security Hub Findings - Imported イベントが自動的に生成されます。そのイベントに対して自動アクションを実行できます。詳細については、 EventBridge を使用した自動対応と修復 を参照してください。

BatchUpdateFindings は、検出結果の UpdatedAt フィールドを変更しません。UpdatedAt は、検出結果プロバイダーからの最新の更新を反映します。

BatchUpdateFindings の使用可能なフィールド

Security Hub 管理者アカウントにサインインしている場合は、 BatchUpdateFindings を使用して、管理者アカウントまたはメンバーアカウントによって生成された検出結果を更新できます。メンバーアカウントは、BatchUpdateFindings を使用して、自分のアカウントのみの検出結果を更新できます。

お客様は BatchUpdateFindings を使用して、以下のフィールドとオブジェクトを更新できます。

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

BatchUpdateFindings へのアクセスの設定

AWS Identity and Access Management (IAM) ポリシーを設定して、 BatchUpdateFindingsを使用して検出結果フィールドとフィールド値を更新するアクセスを制限できます。

BatchUpdateFindings へのアクセスを制限するステートメントで、以下の値を使用します:

  • Actionsecurityhub:BatchUpdateFindings

  • EffectDeny

  • Condition では、以下に基づいて BatchUpdateFindings リクエストを拒否できます。

    • 結果に特定のフィールドが含まれる。

    • 結果に特定のフィールド値が含まれる。

条件キー

これらは、BatchUpdateFindings へのアクセスを制限するための条件キーです。

ASFF フィールド

ASFF フィールドの条件キーは以下のとおりです:

securityhub:ASFFSyntaxPath/<fieldName>

<fieldName> を ASFF フィールドで置き換えます。BatchUpdateFindings へのアクセスを設定する場合は、1 つの親レベルのフィールドではなく、IAM ポリシーに 1 つ以上の特定の ASFF フィールドを含めます。例えば、Workflow.Status フィールドへのアクセスを制限するには、Workflow 親レベルフィールドの代わりに securityhub:ASFFSyntaxPath/Workflow.Status をポリシーに含める必要があります。

フィールドに対するすべての更新を禁止する

ユーザーが特定のフィールドを更新できないようにするには、以下のような条件を使用します。

 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

例えば、以下のステートメントは、BatchUpdateFindings を使用して検出結果の Workflow.Status フィールドを更新できないことを示しています。

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

特定のフィールド値の許可を禁止する

ユーザーがフィールドを特定の値に設定できないようにするには、以下のような条件を使用します:

"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

例えば、以下のステートメントは、BatchUpdateFindings を使用して Workflow.StatusSUPPRESSED を設定できないことを示しています。

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

許可されていない値のリストを提供することもできます。

 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

例えば、以下のステートメントは、BatchUpdateFindings を使用して Workflow.StatusRESOLVED または SUPPRESSED に設定できないことを示しています。

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}