Entender as regras de automação no Security Hub - AWS Security Hub
Definir os critérios da regra e as ações da regraCritérios de regras e ações de regras disponíveisDescobertas que as regras de automação avaliamComo funciona a ordem das regras

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Entender as regras de automação no Security Hub

Você pode usar uma regra de automação para atualizar as descobertas no AWS Security Hub automaticamente. À medida ingere descobertas, o Security Hub pode aplicar diversas ações de regra, como suprimir descobertas, alterar a gravidade e adicionar observações. Essas ações de regra modificam as descobertas que correspondem aos critérios que você especificou.

Exemplos de casos de uso de regras de automação incluem:

  • Elevar a gravidade de uma descoberta para CRITICAL se o ID do recurso da descoberta se referir a um recurso crítico para os negócios.

  • Elevar a gravidade de uma descoberta de HIGH para CRITICAL se a descoberta afetar recursos em contas de produção específicas.

  • Atribuir descobertas específicas que tenham um status de fluxo de trabalho com gravidade de INFORMATIONAL a SUPPRESSED.

Você só pode criar e gerenciar regras de automação em uma conta de administrador do Security Hub.

As regras se aplicam às novas descobertas e às descobertas atualizadas. Você pode criar uma regra personalizada do zero ou usar um modelo de regra fornecido pelo Security Hub. Você também pode começar com um modelo e modificá-lo conforme o necessário.

Definir os critérios da regra e as ações da regra

Em uma conta de administrador do Security Hub, você pode criar uma regra de automação definindo um ou mais critérios da regra e uma ou mais ações da regra. Quando uma descoberta corresponde aos critérios definidos, o Security Hub aplica a ela as ações da regra. Para obter mais informações sobre critérios e ações disponíveis, consulte Critérios de regras e ações de regras disponíveis.

Atualmente, o Security Hub aceita até 100 regras de automação para cada conta de administrador.

O administrador do Security Hub também pode editar, visualizar e excluir as regras de automação. Uma regra se aplica as descobertas correspondentes à conta do administrador e a todas as suas contas-membro. Ao fornecer a conta do membro IDs como critério de regra, os administradores do Security Hub também podem usar regras de automação para atualizar ou suprimir descobertas em contas de membros específicas.

Uma regra de automação se aplica somente Região da AWS no local em que foi criada. Para aplicar uma regra em várias regiões, o administrador deve criar a regra em cada uma delas. Isso pode ser feito por meio do console do Security Hub, do Security Hub API ou AWS CloudFormation. Você também pode usar um script de implantação de várias regiões.

Critérios de regras e ações de regras disponíveis

Atualmente, os seguintes campos de formato de descoberta de AWS segurança (ASFF) são aceitos como critérios para regras de automação:

Critério da regra Operadores de filtro Tipo de campo
AwsAccountId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
AwsAccountName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
CompanyName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ComplianceAssociatedStandardsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ComplianceSecurityControlId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ComplianceStatus Is, Is Not Selecionar: [FAILED, NOT_AVAILABLE, PASSED, WARNING]
Confidence Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Número
CreatedAt Start, End, DateRange Data (formatada como 2022-12-01T21:47:39.269Z)
Criticality Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) Número
Description CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
FirstObservedAt Start, End, DateRange Data (formatada como 2022-12-01T21:47:39.269Z)
GeneratorId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
Id CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
LastObservedAt Start, End, DateRange Data (formatada como 2022-12-01T21:47:39.269Z)
NoteText CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
NoteUpdatedAt Start, End, DateRange Data (formatada como 2022-12-01T21:47:39.269Z)
NoteUpdatedBy CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ProductName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
RecordState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
RelatedFindingsId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
RelatedFindingsProductArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceApplicationArn CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceApplicationName CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceDetailsOther CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Mapa
ResourceId CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourcePartition CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceRegion CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
ResourceTags CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Mapa
ResourceType Is, Is Not Selecione (consulte Recursos suportados porASFF)
SeverityLabel Is, Is Not Selecione [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL]
SourceUrl CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
Title CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
Type CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
UpdatedAt Start, End, DateRange Data (formatada como 2022-12-01T21:47:39.269Z)
UserDefinedFields CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS Mapa
VerificationState CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS, PREFIX_NOT_EQUALS String
WorkflowStatus Is, Is Not Selecionar: [NEW, NOTIFIED, RESOLVED, SUPPRESSED]

Para critérios rotulados como campos de string, o uso de diferentes operadores de filtro no mesmo campo afeta a lógica de avaliação. Para ter mais informações, consulte StringFilterna AWS Security Hub APIReferência.

Cada critério aceita um número máximo de valores que podem ser usados para filtrar as descobertas correspondentes. Para os limites de cada critério, consulte AutomationRulesFindingFiltersna AWS Security Hub APIReferência.

Atualmente, os seguintes ASFF campos são suportados como ações para regras de automação:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

Para obter mais informações sobre ASFF campos específicos, consulte a sintaxe do AWS Security Finding Format (ASFF).

dica

Se você quiser que o Security Hub pare de gerar descobertas para um controle específico, recomendamos desativar o controle em vez de usar uma regra de automação. Quando você desativa um controle, o Security Hub para de executar verificações de segurança nele e para de gerar descobertas para ele, para que você não incorra em cobranças por esse controle. Recomendamos o uso de regras de automação para alterar os valores de ASFF campos específicos para descobertas que correspondam aos critérios definidos. Para obter mais informações sobre como desabilitar controles, consulte Desabilitar controles no Security Hub.

Descobertas que as regras de automação avaliam

Uma regra de automação avalia descobertas novas e atualizadas que o Security Hub gera ou ingere por meio do BatchImportFindingsoperação depois de criar a regra. O Security Hub atualiza as descobertas do controle a cada 12 a 24 horas ou quando o recurso associado muda de estado. Para obter mais informações, consulte Schedule for running security checks (Programar a execução de verificações de segurança).

As regras de automação avaliam as descobertas originais fornecidas por provedores. Os provedores podem fornecer novas descobertas e atualizar as descobertas existentes por meio da BatchImportFindings operação do Security HubAPI. As regras não são acionadas quando você atualiza os campos de busca após a criação da regra por meio do BatchUpdateFindingsoperação. Se você criar uma regra de automação e fizer uma atualização de BatchUpdateFindings que afete o mesmo campo de descoberta, a última atualização definirá o valor desse campo. Veja o seguinte exemplo:

  1. Você usa BatchUpdateFindings para atualizar o campo Workflow.Status de uma descoberta de NEW para NOTIFIED.

  2. Se você chamar GetFindings, o campo Workflow.Status passará a ter um valor de NOTIFIED.

  3. Você cria uma regra de automação que altera o campo Workflow.Status da descoberta de NEW para SUPPRESSED (lembre-se de que as regras ignoram as atualizações feitas com BatchUpdateFindings).

  4. O provedor de descobertas usa BatchImportFindings para atualizar a descoberta e alterar o campo Workflow.Status para NEW.

  5. Se você chamar GetFindings, o campo Workflow.Status passará a ter um valor de SUPPRESSED porque a regra de automação foi aplicada e a regra foi a última ação realizada na descoberta.

Quando você cria ou edita uma regra no console do Security Hub, o console exibe uma prévia das descobertas que correspondem aos critérios da regra. Enquanto as regras de automação avaliam as descobertas originais enviadas pelo provedor de descoberta, a prévia do console reflete as descobertas em seu estado final, como seriam mostradas em uma resposta à GetFindingsAPIoperação (ou seja, após ações de regras ou outras atualizações serem aplicadas à descoberta).

Como funciona a ordem das regras

Ao criar regras de automação, você atribui uma ordem a cada regra. Isso determina a ordem na qual o Security Hub aplica suas regras de automação e se torna importante quando várias regras estão relacionadas à mesma descoberta ou campo de descoberta.

Quando várias ações de regra estão relacionadas à mesma descoberta ou campo de descoberta, a regra com o maior valor numérico para a ordem das regras se aplica por último e produz o efeito final.

Quando você cria uma regra no console do Security Hub, o Security Hub atribui automaticamente a ordem das regras com base na ordem de criação da regra. A regra criada mais recentemente tem o menor valor numérico para a ordem das regras e, portanto, se aplica primeiro. O Security Hub aplica regras subsequentes em ordem ascendente.

Quando você cria uma regra por meio do Security Hub API ou AWS CLI, o Security Hub aplica a regra com o menor valor numérico para a RuleOrder primeira. Em seguida, aplica regras subsequentes em ordem ascendente. Se várias descobertas tiverem a mesma RuleOrder, o Security Hub aplica uma regra com um valor anterior primeiro para o campo UpdatedAt (ou seja, a regra que foi editada mais recentemente se aplica por último).

É possível modificar a ordem das regras a qualquer momento.

Exemplo de ordem de regras:

Regra A (a ordem das regras é 1):

  • Critérios da Regra A

    • ProductName = Security Hub

    • Resources.Type é S3 Bucket

    • Compliance.Status = FAILED

    • RecordState é NEW

    • Workflow.Status = ACTIVE

  • Ações da Regra A

    • Atualizar Confidence para 95

    • Atualizar Severity para CRITICAL

Regra B (a ordem das regras é 2):

  • Critérios da Regra B

    • AwsAccountId = 123456789012

  • Ações de Regra B

    • Atualizar Severity para INFORMATIONAL

As ações da Regra A se aplicam primeiro às descobertas do Security Hub que correspondem aos critérios da Regra A. Em seguida, as ações da Regra B se aplicam às descobertas do Security Hub com o ID da conta especificado. Neste exemplo, como a Regra B se aplica por último, o valor final de Severity nas descobertas do ID da conta especificada é INFORMATIONAL. Com base na ação da Regra A, o valor final de Confidence nas descobertas correspondentes é 95.