기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Security Hub CSPM의 자동화 규칙 이해
자동화 규칙을 사용하여 AWS Security Hub CSPM에서 조사 결과를 자동으로 업데이트할 수 있습니다. 조사 결과를 수집하면서 Security Hub CSPM은 조사 결과 숨김, 심각도 변경, 조사 결과에 메모 추가 등 다양한 규칙 작업을 적용할 수 있습니다. 이러한 규칙 작업은 지정된 기준과 일치하는 결과를 수정합니다.
자동화 규칙 사용 사례의 예제는 다음과 같습니다.
+ 조사 결과의 리소스 ID가 비즈니스에 중요한 리소스를 참조하는 경우, 조사 결과의 심각도를 `CRITICAL`(으)로 상향 조정합니다.
+ 조사 결과가 특정 프로덕션 계정의 리소스에 영향을 미치는 경우, 조사 결과의 심각도를 `HIGH`에서 `CRITICAL`(으)로 상향 조정합니다.
+ `INFORMATIONAL` 심각도를 지닌 특정 조사 결과를 `SUPPRESSED` 워크플로 상태에 할당합니다.
Security Hub CSPM 관리자 계정에서만 자동화 규칙을 생성하고 관리할 수 있습니다.
규칙은 새로운 조사 결과 및 업데이트된 조사 결과 모두에 적용됩니다. 사용자 지정 규칙을 처음부터 만들거나 Security Hub CSPM에서 제공하는 규칙 템플릿을 사용할 수 있습니다. 템플릿으로 시작하여 필요에 따라 수정할 수도 있습니다.
## 사용 가능한 규칙 기준 및 규칙 작업
Security Hub CSPM 관리자 계정에서 하나 이상의 규칙 *기준* 및 하나 이상의 규칙 *작업*을 정의하여 자동화 규칙을 생성할 수 있습니다. 조사 결과가 정의된 기준과 일치하면 Security Hub CSPM은 해당 결과에 규칙 작업을 적용합니다. 사용 가능한 기준 및 작업에 대한 자세한 내용은 [사용 가능한 규칙 기준 및 규칙 작업](#automation-rules-criteria-actions) 섹션을 참조하세요.
Security Hub CSPM은 현재 관리자 계정당 최대 100개의 자동화 규칙을 지원합니다.
Security Hub CSPM 관리자 계정은 또한 자동화 규칙을 편집, 보기, 및 삭제할 수 있습니다. 규칙은 관리자 계정과 그에 따른 모든 구성원 계정의 일치하는 조사 결과에 적용됩니다. 멤버 계정 ID를 규칙 기준으로 제공함으로써 Security Hub CSPM 관리자는 또한 자동화 규칙을 사용하여 특정 멤버 계정의 자동화 규칙을 업데이트하거나 조사 결과를 억제할 수 있습니다.
자동화 규칙은 해당 규칙이 생성된 AWS 리전 에만 적용됩니다. 여러 리전에 규칙을 적용하려면 관리자가 각 리전에 규칙을 생성해야 합니다. 이 작업은 Security Hub CSPM 콘솔, Security Hub CSPM API 또는 [AWS CloudFormation](creating-resources-with-cloudformation.md)을 통해 수행할 수 있습니다. [다중 리전 배포 스크립트](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules)를 사용할 수도 있습니다.
## 사용 가능한 규칙 기준 및 규칙 작업
현재 다음 AWS Security Finding Format(ASFF) 필드가 자동화 규칙의 기준으로 지원됩니다.
| 규칙 기준 | 필터 연산자 | 필드 유형 |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ComplianceStatus | Is, Is Not | 선택: [FAILED, NOT\$1AVAILABLE, PASSED, WARNING] |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | 숫자 |
| CreatedAt | Start, End, DateRange | 날짜(2022-12-01T21:47:39.269Z 형식) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | 숫자 |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| FirstObservedAt | Start, End, DateRange | 날짜(2022-12-01T21:47:39.269Z 형식) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| LastObservedAt | Start, End, DateRange | 날짜(2022-12-01T21:47:39.269Z 형식) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| NoteUpdatedAt | Start, End, DateRange | 날짜(2022-12-01T21:47:39.269Z 형식) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | 맵 |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | 맵 |
| ResourceType | Is, Is Not | 선택(ASFF에서 지원하는 [리소스](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) 참조) |
| SeverityLabel | Is, Is Not | 선택: [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL] |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| UpdatedAt | Start, End, DateRange | 날짜(2022-12-01T21:47:39.269Z 형식) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | 맵 |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 문자열 |
| WorkflowStatus | Is, Is Not | 선택: [NEW, NOTIFIED, RESOLVED, SUPPRESSED] |
문자열 필드로 레이블이 지정된 기준의 경우, 동일한 필드에 다른 필터 연산자를 사용하면 평가 로직에 영향을 미칩니다. 자세한 내용은 *AWS Security Hub CSPM API 참조*의 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)를 참조하세요.
각 기준은 일치하는 결과를 필터링하는 데 사용할 수 있는 최대 값 수를 지원합니다. 각 기준에 대한 제한은 *AWS Security Hub CSPM API 참조*의 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)를 참조하세요.
현재 자동화 규칙에 대한 작업으로 지원되는 ASFF 필드는 다음과 같습니다.
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
특정 ASFF 필드에 대한 자세한 내용은 [AWS Security Finding Format(ASFF) 구문](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)을 참조하세요.
**작은 정보**
Security Hub CSPM에서 특정 제어에 대한 조사 결과 생성을 중지하도록 하려면 자동화 규칙을 사용하는 대신 컨트롤을 사용하지 않도록 설정하는 것이 좋습니다. 제어를 사용하지 않도록 설정하면 Security Hub CSPM은 해당 제어에 대한 보안 검사 실행을 중지하고 조사 결과 생성을 중지하므로 해당 제어에 대한 요금이 발생하지 않습니다. 정의된 기준과 일치하는 조사 결과에 대한 특정 ASFF 필드 값을 변경하려면 자동화 규칙을 사용하는 것이 좋습니다. 컨트롤 비활성화에 대한 자세한 내용은 [Security Hub CSPM에서 제어 비활성화](disable-controls-overview.md) 섹션을 참조하세요.
## 자동화 규칙이 평가하는 조사 결과
자동화 규칙은 규칙을 생성한 *후* Security Hub CSPM이 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) 작업을 통해 생성하거나 수집하는 새로운 업데이트된 결과를 평가합니다. Security Hub CSPM은 12\$124시간마다 또는 관련 리소스의 상태가 변경될 때마다 제어 조사 결과를 업데이트합니다. 자세한 내용은 [보안 검사 실행 예약](securityhub-standards-schedule.md) 단원을 참조하십시오.
자동화 규칙은 공급자가 제공한 원본 조사 결과를 평가합니다. 공급자는 Security Hub CSPM API의 `BatchImportFindings` 작업을 사용하여 새로운 조사 결과를 제공하고 기존 조사 결과를 업데이트할 수 있습니다. 원래 조사 결과에 다음 필드가 없는 경우 Security Hub CSPM은 자동화 규칙에 따라 자동으로 필드를 채운 다음 평가에서 채워진 값을 사용합니다.
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
하나 이상의 자동화 규칙을 생성한 후 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html) 작업을 사용하여 조사 결과 필드를 업데이트하면 규칙이 트리거되지 않습니다. 자동화 규칙을 생성하고 동일한 결과 필드에 영향을 미치는 `BatchUpdateFindings` 업데이트를 수행하는 경우, 마지막 업데이트는 해당 필드의 값을 설정합니다. 다음의 예제를 참조하세요.
1. `BatchUpdateFindings` 작업을 사용하여 조사 결과 `Workflow.Status` 필드의 값을 `NEW`에서 `NOTIFIED`로 변경합니다.
1. `GetFindings`을(를) 직접 호출하는 경우, 이제 `Workflow.Status` 필드의 값은 `NOTIFIED`입니다.
1. 조사 결과의 `Workflow.Status` 필드를 `NEW`에서 `SUPPRESSED`로 변경하는 자동화 규칙을 생성합니다. (규칙은 `BatchUpdateFindings` 작업을 사용하여 적용된 업데이트를 무시합니다.)
1. 조사 결과 공급자는 `BatchImportFindings` 작업을 사용하여 결과를 업데이트하고 조사 결과 `Workflow.Status` 필드의 값을 `NEW`로 변경합니다.
1. `GetFindings`을(를) 직접 호출하는 경우, 이제 `Workflow.Status` 필드의 값은 `SUPPRESSED`입니다. 자동화 규칙이 적용되었고 규칙이 조사 결과에 대해 마지막으로 수행된 작업이기 때문입니다.
Security Hub CSPM 콘솔에서 규칙을 생성하거나 편집하면 콘솔에 규칙 기준과 일치하는 베타 조사 결과가 표시됩니다. 자동화 규칙은 결과 공급자가 보낸 원래 결과를 평가하는 반면 콘솔 베타는 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) 작업에 대한 응답에 표시되는 최종 상태의 결과를 반영합니다(즉, 규칙 작업 또는 기타 업데이트가 결과에 적용된 후).
## 규칙 순서 작동 방식
자동화 규칙을 생성할 때 각 규칙에 순서를 할당합니다. 이는 Security Hub CSPM이 자동화 규칙을 적용하는 순서를 결정하며, 여러 규칙이 동일한 결과 또는 결과 필드와 관련된 경우, 중요해집니다.
여러 규칙 작업이 동일한 결과 또는 결과 필드와 관련된 경우, 규칙 순서의 숫자 값이 가장 높은 규칙이 마지막에 적용되어 궁극적인 효과를 발휘합니다.
Security Hub CSPM 콘솔에서 규칙을 생성하면 Security Hub CSPM은 규칙 생성 순서에 따라 규칙 순서를 자동으로 할당합니다. 가장 최근에 만든 규칙이 규칙 순서 숫자 값이 가장 낮으므로 먼저 적용됩니다. Security Hub CSPM은 후속 규칙을 오름차순으로 적용합니다.
Security Hub CSPM API 또는를 통해 규칙을 생성하면 AWS CLI Security Hub CSPM은 `RuleOrder` 먼저에 대해 숫자 값이 가장 낮은 규칙을 적용합니다. 그런 다음 다음 규칙을 오름차순으로 적용합니다. 여러 조사 결과에 동일한 `RuleOrder`가 있는 경우, Security Hub CSPM은 `UpdatedAt` 필드에 이전 값이 있는 규칙을 먼저 적용합니다(즉, 가장 최근에 편집된 규칙이 마지막에 적용됨).
언제든지 규칙 순서를 변경할 수 있습니다.
**규칙 순서의 예제**:
**규칙 A(규칙 순서는 `1`)**:
+ 규칙 A 기준
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type`은(는) `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState`은(는) `NEW`
+ `Workflow.Status` = `ACTIVE`
+ 규칙 A 작업
+ `Confidence`을(를) `95`(으)로 업데이트
+ `Severity`을(를) `CRITICAL`(으)로 업데이트
**규칙 B(규칙 순서는 `2`)**:
+ 규칙 B 기준
+ `AwsAccountId` = `123456789012`
+ 규칙 B 작업
+ `Severity`을(를) `INFORMATIONAL`(으)로 업데이트
규칙 A 작업은 규칙 A 기준과 일치하는 Security Hub CSPM 조사 결과에 먼저 적용됩니다. 다음으로, 규칙 B 작업은 지정된 계정 ID를 가진 Security Hub CSPM 조사 결과에 적용됩니다. 이 예제에서는 규칙 B가 마지막에 적용되므로 지정된 계정 ID의 조사 결과에서 `Severity`의 최종 값은 `INFORMATIONAL`입니다. 규칙 A 작업에 따라 일치하는 조사 결과에서 `Confidence`의 최종 값은 `95`입니다.
# 자동화 규칙 생성
자동화 규칙을 사용하여 AWS Security Hub CSPM에서 조사 결과를 자동으로 업데이트할 수 있습니다. 사용자 지정 규칙을 처음부터 새로 만들거나 Security Hub CSPM 콘솔에서 미리 채워진 규칙 템플릿을 사용할 수 있습니다. 자동화 규칙의 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 자동화 규칙 이해](automation-rules.md) 섹션을 참조하세요.
한 번에 하나의 자동화 규칙만 생성할 수 있습니다. 자동화 규칙을 여러 개 만들려면 콘솔 절차를 여러 번 따르거나 원하는 파라미터를 사용하여 API 또는 명령을 여러 번 직접 호출하세요.
조사 결과에 규칙을 적용하려는 각 리전 및 계정에서 자동화 규칙을 생성해야 합니다.
Security Hub CSPM 콘솔에서 자동화 규칙을 만들면 Security Hub CSPM은 규칙이 적용되는 베타 조사 결과를 표시합니다. 규칙 기준에 CONTAINS 또는 NOT\$1CONTAINS 필터가 포함된 경우, 베타는 현재 지원되지 않습니다. 맵 및 문자열 필드 유형에 대해 이러한 필터를 선택할 수 있습니다.
**중요**
AWS 에서는 규칙 이름, 설명 또는 기타 필드에 개인 식별 정보, 기밀 정보 또는 민감한 정보를 포함하지 않을 것을 권장합니다.
## 사용자 지정 자동화 규칙 생성
원하는 방법을 선택하고 다음 단계를 완료하여 사용자 지정 자동화 규칙을 생성합니다.
------
#### [ Console ]
**사용자 지정 자동화 규칙을 생성하려면(콘솔)**
1. Security Hub CSPM 관리자의 자격 증명을 사용하여 [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **자동화**를 선택합니다.
1. **규칙 생성**을 선택합니다. **규칙 유형**에서 **사용자 지정 규칙 생성**을 선택합니다.
1. **규칙** 섹션에서 규칙에 대한 고유한 규칙 이름과 설명을 입력합니다.
1. **기준**에서 **키**, **연산자** 및 **값** 드롭다운 메뉴를 사용하여 규칙 기준을 지정합니다. 규칙 기준을 하나 이상 지정해야 합니다.
선택한 기준에 대해 지원되는 경우, 콘솔에 기준과 일치하는 베타 조사 결과가 표시됩니다.
1. **자동 작업**의 경우, 드롭다운 메뉴를 사용하여 조사 결과가 규칙 기준과 일치할 때 업데이트할 조사 결과 필드를 지정합니다. 규칙 작업을 최소 하나 이상 지정해야 합니다.
1. **규칙 상태**에서는 규칙을 생성한 후 해당 규칙을 **활성화**할지 또는 **비활성화**할지 선택합니다.
1. (선택 사항)**추가 설정** 섹션을 확장합니다. 이 규칙을 규칙 기준과 일치하는 조사 결과에 마지막으로 적용하려면 **이러한 기준과 일치하는 조사 결과에 대한 후속 규칙 무시**를 선택합니다.
1. (선택 사항)규칙을 쉽게 식별할 수 있도록 **태그**의 경우, 태그를 키-값 쌍으로 추가합니다.
1. **규칙 생성**을 선택합니다.
------
#### [ API ]
**사용자 지정 자동화 규칙을 생성하려면(API)**
1. Security Hub CSPM 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)을 실행합니다. 이 API는 특정 Amazon 리소스 이름(ARN)을 사용하여 규칙을 생성합니다.
1. 규칙의 이름 및 설명을 입력합니다.
1. 이 규칙이 규칙 기준과 일치하는 조사 결과에 적용되는 마지막 규칙이 되도록 하려면 `IsTerminal` 파라미터를 `true`(으)로 설정하세요.
1. `RuleOrder` 파라미터에 대해 규칙의 순서를 입력합니다. Security Hub CSPM은 이 파라미터에 더 낮은 번호의 규칙을 먼저 적용합니다.
1. `RuleStatus` 파라미터에서 Security Hub CSPM이 조사 결과 생성 후 규칙을 활성화하고 적용을 시작할지 여부를 지정합니다. 값을 지정하지 않을 경우, 기본값은 `ENABLED`입니다. `DISABLED` 값은 규칙이 생성된 후 일시 중지되는 것을 의미합니다.
1. `Criteria` 파라미터에 Security Hub CSPM이 조사 결과를 필터링하는 데 사용할 기준을 입력합니다. 규칙 작업은 기준과 일치하는 조사 결과에 적용됩니다. 지원되는 기준 목록은 [사용 가능한 규칙 기준 및 규칙 작업](automation-rules.md#automation-rules-criteria-actions) 섹션을 참조하세요.
1. `Actions` 파라미터에는 조사 결과와 정의된 기준 간에 일치하는 항목이 있을 때 Security Hub CSPM이 수행할 작업을 입력합니다. 지원되는 작업 목록은 [사용 가능한 규칙 기준 및 규칙 작업](automation-rules.md#automation-rules-criteria-actions)을 참조하세요.
다음 예제 AWS CLI 명령은 자동화 규칙을 생성하여 워크플로 상태를 업데이트하고 일치하는 조사 결과를 기록합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## 템플릿에서 규칙 생성(콘솔만 해당)
규칙 템플릿은 자동화 규칙에 대한 일반적인 사용 사례를 반영합니다. 현재는 Security Hub CSPM 콘솔에서만 규칙 템플릿을 지원합니다. 다음 단계를 완료하여 콘솔의 템플릿에서 자동화 규칙을 생성합니다.
**템플릿에서 자동화 규칙을 생성하려면(콘솔)**
1. Security Hub CSPM 관리자의 자격 증명을 사용하여 [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **자동화**를 선택합니다.
1. **규칙 생성**을 선택합니다. **규칙 유형**에서 **템플릿에서 규칙 생성**을 선택합니다.
1. 드롭다운 메뉴에서 규칙 템플릿을 선택합니다.
1. (선택 사항)사용 사례에 필요한 경우, **규칙**, **기준** 및 **자동 작업** 섹션을 수정하세요. 규칙 기준과 규칙 작업을 하나 이상 지정해야 합니다.
선택한 기준에 대해 지원되는 경우, 콘솔에 기준과 일치하는 베타 조사 결과가 표시됩니다.
1. **규칙 상태**에서는 규칙을 생성한 후 해당 규칙을 **활성화**할지 또는 **비활성화**할지 선택합니다.
1. (선택 사항)**추가 설정** 섹션을 확장합니다. 이 규칙을 규칙 기준과 일치하는 조사 결과에 마지막으로 적용하려면 **이러한 기준과 일치하는 조사 결과에 대한 후속 규칙 무시**를 선택합니다.
1. (선택 사항)규칙을 쉽게 식별할 수 있도록 **태그**의 경우, 태그를 키-값 쌍으로 추가합니다.
1. **규칙 생성**을 선택합니다.
# 자동화 규칙 보기
자동화 규칙을 사용하여 AWS Security Hub CSPM에서 조사 결과를 자동으로 업데이트할 수 있습니다. 자동화 규칙의 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 자동화 규칙 이해](automation-rules.md) 섹션을 참조하세요.
원하는 방법을 선택하고 단계에 따라 자동화 규칙과 각 규칙의 세부 정보를 확인하세요.
자동화 규칙으로 인해 조사 결과가 어떻게 변경되었는지에 대한 기록을 보려면 [Security Hub CSPM에서 조사 결과 세부 정보 및 기록 검토](securityhub-findings-viewing.md) 섹션을 참조하세요.
------
#### [ Console ]
**자동화 규칙을 보려면(콘솔)**
1. Security Hub CSPM 관리자의 자격 증명을 사용하여 [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **자동화**를 선택합니다.
1. 규칙 이름을 선택합니다. 아니면 규칙을 선택할 수도 있습니다.
1. **작업** 및 **보기**를 선택합니다.
------
#### [ API ]
**자동화 규칙을 보려면(API)**
1. 계정의 자동화 규칙을 보려면 Security Hub CSPM 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html)를 실행합니다. 이 API는 규칙에 대한 규칙 ARN 및 기타 메타데이터를 반환합니다. 이 API에는 입력 파라미터가 필요하지 않지만, 선택적으로 결과 수를 제한하기 위해 `MaxResults`을(를) 제공하고 `NextToken`을(를) 페이지 매김 파라미터로 제공할 수 있습니다. `NextToken`의 초기값은 `NULL`이어야 합니다.
1. 규칙의 기준 및 작업을 비롯한 추가 규칙 세부 정보를 보려면 Security Hub CSPM 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html)를 실행합니다. 세부 정보를 원하는 자동화 규칙의 ARN을 제공합니다.
다음 예제에서는 지정된 자동화 규칙에 대한 세부 정보를 검색합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# 자동화 규칙 편집
자동화 규칙을 사용하여 AWS Security Hub CSPM에서 조사 결과를 자동으로 업데이트할 수 있습니다. 자동화 규칙의 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 자동화 규칙 이해](automation-rules.md) 섹션을 참조하세요.
자동화 규칙을 생성한 후 위임된 Security Hub CSPM 관리자는 규칙을 편집할 수 있습니다. 자동화 규칙을 편집하면 규칙 편집 후 Security Hub CSPM가 생성하거나 수집한 새로운 및 업데이트된 조사 결과에 변경 사항이 적용됩니다.
원하는 방법을 선택하고 단계에 따라 자동화 규칙의 내용을 편집하세요. 요청 한 번으로 하나 이상의 규칙을 편집할 수 있습니다. 규칙 순서 편집에 대한 지침은 [자동화 규칙 순서 편집](edit-rule-order.md) 섹션을 참조하세요.
------
#### [ Console ]
**자동화 규칙을 편집하려면(콘솔)**
1. Security Hub CSPM 관리자의 자격 증명을 사용하여 [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **자동화**를 선택합니다.
1. 편집할 규칙을 선택합니다. **작업**을 선택한 후 **편집**을 선택합니다.
1. 원하는 대로 규칙을 변경하고 **변경 내용 저장**을 선택합니다.
------
#### [ API ]
**자동화 규칙 편집(API)**
1. Security Hub CSPM 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)을 실행합니다.
1. `RuleArn` 파라미터에는 편집하려는 규칙의 ARN을 입력합니다.
1. 편집하려는 파라미터의 새로운 값을 입력합니다. `RuleArn`을(를) 제외한 모든 파라미터를 편집할 수 있습니다.
다음 예제에서는 지정된 자동화 규칙을 업데이트합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# 자동화 규칙 순서 편집
자동화 규칙을 사용하여 AWS Security Hub CSPM에서 조사 결과를 자동으로 업데이트할 수 있습니다. 자동화 규칙의 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 자동화 규칙 이해](automation-rules.md) 섹션을 참조하세요.
자동화 규칙을 생성한 후 위임된 Security Hub CSPM 관리자는 규칙을 편집할 수 있습니다.
경우에 따라 규칙 기준과 작업은 그대로 유지하되 Security Hub CSPM에서 자동화 규칙을 적용하는 순서를 변경하길 원할 경우, 자동화 규칙만을 편집할 수 있습니다. 원하는 방법을 선택하고 단계에 따라 규칙 순서를 편집합니다.
자동화 규칙의 기준 또는 작업 편집에 대한 지침은 [자동화 규칙 편집](edit-automation-rules.md) 섹션을 참조하세요.
------
#### [ Console ]
**자동화 규칙 순서를 편집하려면(콘솔)**
1. Security Hub CSPM 관리자의 자격 증명을 사용하여 [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **자동화**를 선택합니다.
1. 순서를 변경할 규칙을 선택합니다. **우선 순위 편집**을 선택합니다.
1. **위로 이동**을 선택하여 규칙의 우선 순위를 한 단위 높입니다. **아래로 이동**을 선택하여 규칙 우선 순위를 한 단위 낮춥니다. **맨 위로 이동**을 선택하여 규칙에 순서를 **1**로 지정합니다(이렇게 하면 해당 규칙이 다른 기존 규칙보다 우선함)
**참고**
Security Hub CSPM 콘솔에서 규칙을 생성하면 Security Hub CSPM은 규칙 생성 순서에 따라 규칙 순서를 자동으로 할당합니다. 가장 최근에 만든 규칙이 규칙 순서 숫자 값이 가장 낮으므로 먼저 적용됩니다.
------
#### [ API ]
**자동화 규칙 순서를 편집하려면(API)**
1. Security Hub CSPM 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) 작업을 사용합니다.
1. `RuleArn` 파라미터에는 순서를 편집하려는 규칙의 ARN을 입력합니다.
1. `RuleOrder` 필드 값을 수정합니다.
**참고**
여러 규칙에 동일한 `RuleOrder`가 있는 경우, Security Hub CSPM은 `UpdatedAt` 필드에 이전 값이 있는 규칙을 먼저 적용합니다(즉, 가장 최근에 편집된 규칙이 마지막에 적용됨).
------
# 자동화 규칙 삭제 또는 비활성화
자동화 규칙을 사용하여 AWS Security Hub CSPM에서 조사 결과를 자동으로 업데이트할 수 있습니다. 자동화 규칙의 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 자동화 규칙 이해](automation-rules.md) 섹션을 참조하세요.
자동화 규칙을 삭제하면 Security Hub CSPM은 계정에서 해당 규칙을 삭제하고 조사 결과에 더 이상 규칙을 적용하지 않습니다. 규칙을 삭제하는 대신 규칙을 *비활성화*할 수 있습니다. 이렇게 하면 나중에 사용할 수 있도록 규칙이 유지되지만, Security Hub CSPM은 사용자가 활성화하기 전까지는 일치하는 조사 결과에 규칙을 적용하지 않습니다.
원하는 방법을 선택하고 단계에 따라 자동화 규칙을 삭제합니다. 단일 요청으로 하나 이상의 규칙을 삭제할 수 있습니다.
------
#### [ Console ]
**자동화 규칙을 삭제하거나 비활성화하려면(콘솔)**
1. Security Hub CSPM 관리자의 자격 증명을 사용하여 [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **자동화**를 선택합니다.
1. 삭제할 규칙을 선택합니다. **작업** 및 **삭제**를 선택합니다(규칙을 유지하지만 일시적으로 비활성화하려면 **비활성화** 선택).
1. 선택을 확인하고 **삭제**를 선택합니다.
------
#### [ API ]
**자동화 규칙을 삭제하거나 비활성화하려면(API)**
1. Security Hub CSPM 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html) 작업을 사용합니다.
1. `AutomationRulesArns` 파라미터에 삭제하려는 규칙의 ARN을 입력합니다(규칙을 유지하지만 일시적으로 비활성화하려면 `RuleStatus` 파라미터에 대한 `DISABLED`을(를) 입력).
다음 예제에서는 지정된 자동화 규칙을 삭제합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# 자동화 규칙 예제
이 섹션에서는 일반적인 Security Hub CSPM 사용 사례에 대한 자동화 규칙의 예제를 제공합니다. 이러한 예제는 Security Hub CSPM 콘솔에서 사용할 수 있는 규칙 템플릿에 해당합니다.
## S3 버킷과 같은 특정 리소스가 위험에 처한 경우, 심각도를 Critical로 상향 조정합니다.
이 예제에서는 결과의 `ResourceId`이(가) 특정 Amazon Simple Storage Service(S3) 버킷일 때 규칙 기준을 일치시킵니다. 규칙 작업은 일치하는 조사 결과의 심각도를 `CRITICAL`(으)로 변경하는 것입니다. 이 템플릿을 수정하여 다른 리소스에 적용할 수 있습니다.
**API 요청 예제**:
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**CLI 명령 예제**:
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## 프로덕션 계정의 리소스와 관련된 조사 결과의 심각도를 상향 조정합니다.
이 예제에서는 특정 프로덕션 계정에서 `HIGH` 심각도 조사 결과가 생성될 때 규칙 기준을 일치시킵니다. 규칙 작업은 일치하는 조사 결과의 심각도를 `CRITICAL`(으)로 변경하는 것입니다.
**API 요청 예제**:
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**CLI 명령 예제**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## 정보 조사 결과 표시 안 함
이 예제에서는 Amazon GuardDuty에서 Security Hub CSPM으로 전송한 `INFORMATIONAL` 심각도 조사 결과와 규칙 기준을 일치시킵니다. 규칙 작업은 일치하는 조사 결과의 워크플로 상태를 `SUPPRESSED`(으)로 변경하는 것입니다.
**API 요청 예제**:
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**CLI 명령 예제**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```