BatchUpdateFindings 顧客向け - AWS Security Hub
に使用できるフィールド BatchUpdateFindingsへのアクセスの設定 BatchUpdateFindings

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

BatchUpdateFindings 顧客向け

Security Hub のお客様、およびお客様に代わって行動するエンティティは、 BatchUpdateFindingsオペレーションを使用して、検出結果プロバイダーからの Security Hub の検出結果のお客様の処理に関連する情報を更新できます。お客様、またはお客様に代わって機能する SIEM、チケット発行、インシデント管理、またはSOARツールがこのオペレーションを使用できます。

BatchUpdateFindings を使用して、新しい検出結果を作成することはできません。これを使用すると、一度に 100 件までの検出結果を更新できます。リクエストで、更新する AWS セキュリティ検出結果形式 (ASFF) フィールドを指定します。

Security Hub は、検出結果の更新BatchUpdateFindingsリクエストを受信すると、自動的に を生成します。 Security Hub Findings - Imported Amazon のイベント EventBridge。そのイベントに対して自動アクションを実行できます。詳細については、自動レスポンスと修復 EventBridge のための の使用 を参照してください。

BatchUpdateFindings は検出結果のUpdatedAtフィールドを変更しません。 は検出結果プロバイダーからの最新の更新UpdatedAtを反映します。

に使用できるフィールド BatchUpdateFindings

Security Hub 管理者アカウントにサインインしている場合は、 BatchUpdateFindingsを使用して、管理者アカウントまたはメンバーアカウントによって生成された検出結果を更新できます。メンバーアカウントは、 BatchUpdateFindingsを使用してアカウントの調査結果のみを更新できます。

お客様は BatchUpdateFindings を使用して、次のフィールドとオブジェクトを更新できます。

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

へのアクセスの設定 BatchUpdateFindings

AWS Identity and Access Management (IAM) ポリシーを設定して、 BatchUpdateFindingsを使用して検出結果フィールドとフィールド値を更新するアクセスを制限できます。

BatchUpdateFindings へのアクセスを制限するステートメントで、以下の値を使用します:

  • Actionsecurityhub:BatchUpdateFindings

  • EffectDeny

  • Condition では、以下に基づいて BatchUpdateFindings リクエストを拒否できます。

    • 結果に特定のフィールドが含まれる。

    • 結果に特定のフィールド値が含まれる。

条件キー

これらは、BatchUpdateFindings へのアクセスを制限するための条件キーです。

ASFF フィールド

ASFF フィールドの条件キーは次のとおりです。

securityhub:ASFFSyntaxPath/<fieldName>

を ASFFフィールド<fieldName>に置き換えます。へのアクセスを設定するときはBatchUpdateFindings、親レベルのASFFフィールドではなく、IAMポリシーに 1 つ以上の特定のフィールドを含めます。例えば、Workflow.Status フィールドへのアクセスを制限するには、Workflow 親レベルフィールドの代わりに securityhub:ASFFSyntaxPath/Workflow.Status をポリシーに含める必要があります。

フィールドに対するすべての更新を禁止する

ユーザーが特定のフィールドを更新できないようにするには、以下のような条件を使用します。

 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

例えば、次のステートメントは、 BatchUpdateFindingsが検出結果のWorkflow.Statusフィールドを更新するために使用できないことを示しています。

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

特定のフィールド値の許可を禁止する

ユーザーがフィールドを特定の値に設定できないようにするには、以下のような条件を使用します:

"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

例えば、以下のステートメントは、BatchUpdateFindings を使用して Workflow.StatusSUPPRESSED を設定できないことを示しています。

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

許可されていない値のリストを提供することもできます。

 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

例えば、以下のステートメントは、BatchUpdateFindings を使用して Workflow.StatusRESOLVED または SUPPRESSED に設定できないことを示しています。

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}