As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Noções básicas sobre as regras de automação do CSPM do Security Hub
Você pode usar regras de automação para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. À medida que ingere descobertas, o CSPM do Security Hub pode aplicar diversas ações de regra, como suprimir descobertas, alterar a gravidade e adicionar observações. Essas ações de regra modificam as descobertas que correspondem aos critérios que você especificou.
Exemplos de casos de uso de regras de automação incluem:
+ Elevar a gravidade de uma descoberta para `CRITICAL` se o ID do recurso da descoberta se referir a um recurso crítico para os negócios.
+ Elevar a gravidade de uma descoberta de `HIGH` para `CRITICAL` se a descoberta afetar recursos em contas de produção específicas.
+ Atribuir descobertas específicas que tenham um status de fluxo de trabalho com gravidade de `INFORMATIONAL` a `SUPPRESSED`.
Você só pode criar e gerenciar regras de automação em uma conta de administrador do CSPM do Security Hub.
As regras se aplicam às novas descobertas e às descobertas atualizadas. É possível criar uma regra personalizada do zero ou usar um modelo de regra fornecido pelo CSPM do Security Hub. Também é possível começar com um modelo e modificá-lo conforme o necessário.
## Definir os critérios da regra e as ações da regra
Em uma conta de administrador do CSPM do Security Hub, é possível criar uma regra de automação definindo um ou mais *critérios* da regra e uma ou mais *ações* da regra. Quando uma descoberta corresponde aos critérios definidos, o CSPM do Security Hub aplica a ela as ações da regra. Para obter mais informações sobre critérios e ações disponíveis, consulte [Critérios de regras e ações de regras disponíveis](#automation-rules-criteria-actions).
Atualmente, o CSPM do Security Hub aceita até 100 regras de automação para cada conta de administrador.
O administrador do CSPM do Security Hub também pode editar, visualizar e excluir as regras de automação. Uma regra se aplica as descobertas correspondentes à conta do administrador e a todas as suas contas de membro. Ao fornecer a conta do membro IDs como critério de regra, os administradores do CSPM do Security Hub também podem usar regras de automação para atualizar ou suprimir descobertas em contas de membros específicas.
Uma regra de automação se aplica somente Região da AWS no local em que foi criada. Para aplicar uma regra em várias regiões, o administrador deve criar a regra em cada uma delas. Isso pode ser feito por meio do console do CSPM do Security Hub, da API do CSPM do Security Hub ou do [AWS CloudFormation](creating-resources-with-cloudformation.md). Também é possível usar um [script de implantação multirregional](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules).
## Critérios de regras e ações de regras disponíveis
Atualmente, os seguintes campos do AWS Security Finding Format (ASFF) são aceitos como critérios para regras de automação:
| Critérios de regras | Operadores de filtro | Tipo de campo |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ComplianceStatus | Is, Is Not | Selecionar: [FAILED, NOT\$1AVAILABLE, PASSED, WARNING] |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Número |
| CreatedAt | Start, End, DateRange | Data (formatada como 2022-12-01T21:47:39.269Z) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Número |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| FirstObservedAt | Start, End, DateRange | Data (formatada como 2022-12-01T21:47:39.269Z) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| LastObservedAt | Start, End, DateRange | Data (formatada como 2022-12-01T21:47:39.269Z) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| NoteUpdatedAt | Start, End, DateRange | Data (formatada como 2022-12-01T21:47:39.269Z) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Mapa |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Mapa |
| ResourceType | Is, Is Not | Selecione (consulte [Recursos](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) aceitos pelo ASFF) |
| SeverityLabel | Is, Is Not | Selecione [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL] |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| UpdatedAt | Start, End, DateRange | Data (formatada como 2022-12-01T21:47:39.269Z) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Mapa |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| WorkflowStatus | Is, Is Not | Selecionar: [NEW, NOTIFIED, RESOLVED, SUPPRESSED] |
Para critérios rotulados como campos de string, o uso de diferentes operadores de filtro no mesmo campo afeta a lógica de avaliação. Para obter mais informações, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html) na *Referência de API CSPM do AWS Security Hub*.
Cada critério aceita um número máximo de valores que podem ser usados para filtrar as descobertas correspondentes. Para ver os limites de cada critério, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html) na *Referência de API do CSPM do AWS Security Hub*.
Atualmente, os seguintes campos do ASFF são aceitos como ações para regras de automação:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
Para obter mais informações sobre campos do ASFF específicos, consulte a [Sintaxe do Formato de Descobertas de Segurança da AWS](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).
**dica**
Se você quiser que o CSPM do Security Hub pare de gerar descobertas para um controle específico, recomendamos desabilitar o controle em vez de usar uma regra de automação. Quando você desabilita um controle, o CSPM do Security Hub para de executar verificações de segurança nele e para de gerar descobertas para ele, para que você não incorra em cobranças por esse controle. Recomendamos o uso de regras de automação para alterar os valores de campos específicos do ASFF para descobertas que correspondam aos critérios definidos. Para obter mais informações sobre como desabilitar controles, consulte [Desabilitação de controles no CSPM do Security Hub](disable-controls-overview.md).
## Descobertas que as regras de automação avaliam
Uma regra de automação avalia as descobertas novas e atualizadas que o CSPM do Security Hub gera ou ingere por meio da operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) *depois* que você cria a regra. O CSPM do Security Hub atualiza as descobertas do controle a cada 12 a 24 horas ou quando o recurso associado muda de estado. Para obter mais informações, consulte [Programar a execução de verificações de segurança](securityhub-standards-schedule.md).
As regras de automação avaliam as descobertas originais fornecidas por provedores. Os provedores podem fornecer novas descobertas e atualizar as descobertas existentes por meio da operação `BatchImportFindings` da API do CSPM do Security Hub. Se os campos a seguir não existirem na descoberta original, o CSPM do Security Hub preencherá automaticamente os campos e, em seguida, usará os valores preenchidos na avaliação pela regra de automação:
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
Depois de criar uma ou mais regras de automação, as regras não serão acionadas se você atualizar os campos de descoberta usando a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Se você criar uma regra de automação e fizer uma atualização de `BatchUpdateFindings` que afete o mesmo campo de descoberta, a última atualização definirá o valor desse campo. Veja o seguinte exemplo:
1. Você usa a operação `BatchUpdateFindings` para alterar o valor do campo `Workflow.Status` de uma descoberta de `NEW` para `NOTIFIED`.
1. Se você chamar `GetFindings`, o campo `Workflow.Status` passará a ter um valor de `NOTIFIED`.
1. Você cria uma regra de automação que altera o campo `Workflow.Status` da descoberta de `NEW` para `SUPPRESSED`. (Lembre-se de que as regras ignoram as atualizações feitas usando a operação `BatchUpdateFindings`.)
1. O provedor de descobertas usa a operação `BatchImportFindings` para atualizar a descoberta e altera o valor do campo `Workflow.Status` da descoberta para `NEW`.
1. Se você chamar `GetFindings`, o campo `Workflow.Status` passará a ter um valor de `SUPPRESSED`. Esse é o caso, pois a regra de automação foi aplicada e a regra foi a última ação realizada na descoberta.
Quando você cria ou edita uma regra no console do CSPM do Security Hub, o console exibe uma versão beta das descobertas que correspondam aos critérios da regra. Considerando que as regras de automação avaliam as descobertas originais enviadas pelo provedor de descobertas, a visualização beta no console reflete as descobertas em seu estado final, conforme elas seriam mostradas em uma resposta à operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) (ou seja, após as ações das regras ou outras atualizações serem aplicadas à descoberta).
## Como funciona a ordem das regras
Ao criar regras de automação, você atribui uma ordem a cada regra. Isso determina a ordem na qual o CSPM do Security Hub aplica suas regras de automação e se torna importante quando várias regras estão relacionadas à mesma descoberta ou campo de descoberta.
Quando várias ações de regra estão relacionadas à mesma descoberta ou campo de descoberta, a regra com o maior valor numérico para a ordem das regras se aplica por último e produz o efeito final.
Quando você cria uma regra no console do CSPM do Security Hub, o CSPM do Security Hub atribui automaticamente a ordem das regras com base na ordem de criação da regra. A regra criada mais recentemente tem o menor valor numérico para a ordem das regras e, portanto, se aplica primeiro. O CSPM do Security Hub aplica regras subsequentes em ordem ascendente.
Quando você cria uma regra por meio da API CSPM do Security Hub ou AWS CLI, o Security Hub CSPM aplica a regra com o menor valor numérico para a primeira. `RuleOrder` Em seguida, aplica regras subsequentes em ordem ascendente. Se várias descobertas tiverem a mesma `RuleOrder`, o CSPM do Security Hub aplica uma regra com um valor anterior primeiro para o campo `UpdatedAt` (ou seja, a regra que foi editada mais recentemente se aplica por último).
É possível modificar a ordem das regras a qualquer momento.
**Exemplo de ordem de regras**:
**Regra A (a ordem das regras é `1`)**:
+ Critérios da Regra A
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type` é `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState` é `NEW`
+ `Workflow.Status` = `ACTIVE`
+ Ações da Regra A
+ Atualizar `Confidence` para `95`
+ Atualizar `Severity` para `CRITICAL`
**Regra B (a ordem das regras é `2`)**:
+ Critérios da Regra B
+ `AwsAccountId` = `123456789012`
+ Ações de Regra B
+ Atualizar `Severity` para `INFORMATIONAL`
As ações da Regra A se aplicam primeiro às descobertas do CSPM do Security Hub que correspondem aos critérios da Regra A. Em seguida, as ações da Regra B se aplicam às descobertas do CSPM do Security Hub com o ID da conta especificado. Neste exemplo, como a Regra B se aplica por último, o valor final de `Severity` nas descobertas do ID da conta especificada é `INFORMATIONAL`. Com base na ação da Regra A, o valor final de `Confidence` nas descobertas correspondentes é `95`.
# Criar regras de automação
Uma regra de automação pode ser usada para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. É possível criar uma regra personalizada do zero ou usar um modelo de regra já preenchido no console do CSPM do Security Hub. Para obter informações contextuais sobre como as regras de automação funcionam, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md).
É possível criar apenas uma regra de automação por vez. Para criar várias regras de automação, siga os procedimentos do console várias vezes ou chame a API ou o comando várias vezes com os parâmetros desejados.
É necessário criar uma regra de automação em cada região e conta na qual deseja que a regra se aplique às descobertas.
Quando você cria uma regra de automação no console do CSPM do Security Hub, o CSPM do Security Hub mostra uma versão beta das descobertas às quais sua regra se aplica. No momento, não há suporte para a versão beta se os seus critérios de regra incluírem um filtro CONTAINS ou NOT\$1CONTAINS. É possível escolher esses filtros para os tipos de campo de mapa e segmento.
**Importante**
AWS recomenda que você não inclua informações de identificação pessoal, confidenciais ou sigilosas no nome, na descrição ou em outros campos da regra.
## Criar uma regra de automação personalizada
Escolha o método de sua preferência e siga as etapas a seguir para criar regras de automação personalizadas.
------
#### [ Console ]
**Para criar uma regra de autorização personalizada (console)**
1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. No painel de navegação à esquerda, escolha **Automação**.
1. Escolha **Criar regra**. Em **Tipo de regra**, escolha **Criar regra personalizada**.
1. Na seção **Regra**, forneça um nome de regra exclusivo e uma descrição para sua regra.
1. Em **Critérios**, use os menus suspensos **Chave**, **Operador** e **Valor** para especificar seus critérios de regra. É necessário especificar pelo menos um critério de regra.
Se houver suporte para os critérios selecionados, o console mostrará uma versão beta das descobertas que correspondam aos seus critérios.
1. Para **Ação automatizada**, use os menus suspensos para especificar quais campos de descoberta devem ser atualizados quando as descobertas corresponderem aos critérios da regra. É necessário especificar pelo menos uma ação de regra.
1. Em **Status da regra**, escolha se você deseja que a regra seja **Habilitada** ou **Desabilitada** depois de criada.
1. (Opcional) Expanda a seção **Configurações adicionais**. Selecione **Ignorar regras subsequentes para descobertas que correspondam a esses critérios** se quiser que essa regra seja a última regra aplicada às descobertas que correspondam aos critérios da regra.
1. (Opcional) Para **Tags**, adicione tags como pares de chave-valor para ajudar você a identificar facilmente a regra.
1. Escolha **Criar regra**.
------
#### [ API ]
**Para criar uma regra de autorização personalizada (API)**
1. Execute o comando [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html) na conta do administrador do CSPM do Security Hub. Essa API cria uma regra com um nome do recurso da Amazon (ARN) específico.
1. Forneça um nome e uma descrição para a regra.
1. Defina o parâmetro `IsTerminal` como `true` se você quiser que essa regra seja a última regra aplicada às descobertas que correspondam aos critérios da regra.
1. Para o parâmetro `RuleOrder`, forneça a ordem da regra. O CSPM do Security Hub aplica regras com um valor numérico menor primeiro para esse parâmetro.
1. Para o parâmetro `RuleStatus`, especifique se você deseja que o CSPM do Security Hub habilite e comece a aplicar a regra às descobertas após a criação. Se nenhum valor for especificado, o padrão será `ENABLED`. Um valor `DISABLED` significa que a regra é pausada após a criação.
1. Para o parâmetro `Criteria`, forneça os critérios que você deseja que o CSPM do Security Hub use para filtrar suas descobertas. A ação da regra se aplicará às descobertas que correspondam aos critérios. Para obter uma lista dos serviços compatíveis, consulte [Critérios de regras e ações de regras disponíveis](automation-rules.md#automation-rules-criteria-actions).
1. Para o parâmetro `Actions`, forneça as ações que você deseja que o CSPM do Security Hub execute quando houver uma correspondência entre uma descoberta e seus critérios definidos. Para ver uma de ações compatíveis, consulte [Critérios de regras e ações de regras disponíveis](automation-rules.md#automation-rules-criteria-actions).
O AWS CLI comando de exemplo a seguir cria uma regra de automação que atualiza o status do fluxo de trabalho e a nota das descobertas correspondentes. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## Criar uma regra de automação a partir de um modelo (console apenas)
Os modelos de regra refletem casos de uso comuns de regras de automação. Atualmente, somente o console do CSPM do Security Hub oferece suporte a modelos de regras. Conclua as etapas a seguir para criar uma regra de automação a partir de um modelo no console.
**Para criar uma regra de automação a partir de um modelo (console)**
1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. No painel de navegação à esquerda, escolha **Automação**.
1. Escolha **Criar regra**. Em **Tipo de regra**, escolha **Criar uma regra a partir do modelo**.
1. Selecione um modelo de regra no menu suspenso.
1. (Opcional) Se necessário para seu caso de uso, modifique as seções **Regra**, **Critérios** e **Ação automatizada**. Especifique pelo menos um critério de regra e uma ação de regra.
Se houver suporte para os critérios selecionados, o console mostrará uma versão beta das descobertas que correspondam aos seus critérios.
1. Em **Status da regra**, escolha se você deseja que a regra seja **Habilitada** ou **Desabilitada** depois de criada.
1. (Opcional) Expanda a seção **Configurações adicionais**. Selecione **Ignorar regras subsequentes para descobertas que correspondam a esses critérios** se quiser que essa regra seja a última regra aplicada às descobertas que correspondam aos critérios da regra.
1. (Opcional) Para **Tags**, adicione tags como pares de chave-valor para ajudar você a identificar facilmente a regra.
1. Escolha **Criar regra**.
# Visualizar regras de automação
Uma regra de automação pode ser usada para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. Para obter informações contextuais sobre como as regras de automação funcionam, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md).
Escolha seu método preferido e siga as etapas para visualizar as regras de automação existentes e os detalhes de cada regra.
Para visualizar um histórico de como as regras de automação alteraram suas descobertas, consulte [Análise de detalhes e históricos de descobertas no CSPM do Security Hub](securityhub-findings-viewing.md).
------
#### [ Console ]
**Para visualizar regras de automação (console)**
1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. No painel de navegação à esquerda, escolha **Automação**.
1. Escolha um nome de função. Como alternativa, selecione uma regra.
1. Escolha **Ações** e **Visualizar**.
------
#### [ API ]
**Para visualizar regras de automação (API)**
1. Para visualizar as regras de automação da sua conta, execute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html) a partir da conta de administrador do CSPM do Security Hub. Essa API retorna a regra ARNs e outros metadados das suas regras. Nenhum parâmetro de entrada é necessário para essa API, mas você pode fornecer opcionalmente `MaxResults` para limitar o número de resultados e `NextToken` como parâmetro de paginação. O valor inicial de `NextToken` deveria ser `NULL`.
1. Para obter detalhes adicionais da regra, incluindo os critérios e as ações de uma regra, execute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html) a partir da conta de administrador do CSPM do Security Hub. Forneça as regras ARNs de automação das quais você deseja obter detalhes.
O exemplo seguir recupera os detalhes das regras de automação especificadas. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# Editar regras de automação
Uma regra de automação pode ser usada para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. Para obter informações contextuais sobre como as regras de automação funcionam, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md).
Depois de criar uma regra de automação, o administrador delegado do CSPM do Security Hub poderá editá-la. Quando você edita uma regra de automação, as alterações se aplicam às descobertas novas e atualizadas que o CSPM do Security Hub gera ou recebe após a edição da regra.
Escolha seu método preferido e siga as etapas para editar o conteúdo de uma regra de automação. É possível editar uma ou mais regras com uma única solicitação. Para obter instruções sobre como editar a ordem das regras, consulte [Editar a ordem das regras de automação](edit-rule-order.md).
------
#### [ Console ]
**Para editar regras de automação (console)**
1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. No painel de navegação à esquerda, escolha **Automação**.
1. Selecione a regra a ser editada. Escolha **Ações** e **Editar**.
1. Altere a regra conforme desejado e escolha **Salvar alterações**.
------
#### [ API ]
**Para editar regras de automação (API)**
1. Execute o comando [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) na conta do administrador do CSPM do Security Hub.
1. Para o parâmetro `RuleArn`, forneça o ARN da(s) regra(s) que você deseja editar.
1. Forneça os novos valores dos parâmetros que você deseja editar. É possível editar qualquer parâmetro, exceto `RuleArn`.
O exemplo a seguir atualiza a regra de automação especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# Editar a ordem das regras de automação
Uma regra de automação pode ser usada para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. Para obter informações contextuais sobre como as regras de automação funcionam, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md).
Depois de criar uma regra de automação, o administrador delegado do CSPM do Security Hub poderá editá-la.
Se quiser manter os critérios e as ações da regra como estão, mas alterar a ordem na qual o CSPM do Security Hub aplica uma regra de automação, será possível editar a ordem da regra. Escolha seu método preferido e siga as etapas para editar a ordem das regras.
Para obter instruções sobre como editar os critérios ou as ações de uma regra de automação, consulte [Editar regras de automação](edit-automation-rules.md).
------
#### [ Console ]
**Para editar a ordem das regras de automação (console)**
1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. No painel de navegação à esquerda, escolha **Automação**.
1. Selecione a regra cuja ordem você deseja alterar. Escolha **Editar prioridade**.
1. Escolha **Mover para cima** para aumentar a prioridade da regra em uma unidade. Escolha **Mover para baixo** para diminuir a prioridade da regra em uma unidade. Escolha **Mover para cima** para atribuir à regra uma ordem de **1** (isso dá precedência a essa regra sobre outras regras existentes).
**nota**
Quando você cria uma regra no console do CSPM do Security Hub, o CSPM do Security Hub atribui automaticamente a ordem das regras com base na ordem de criação da regra. A regra criada mais recentemente tem o menor valor numérico para a ordem das regras e, portanto, se aplica primeiro.
------
#### [ API ]
**Para editar a ordem das regras de automação (API)**
1. Use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) na conta de administrador do CSPM do Security Hub.
1. Para o parâmetro `RuleArn`, forneça o ARN da(s) regra(s) cuja ordem você deseja editar.
1. Modifique o valor do campo `RuleOrder`.
**nota**
Se várias regras tiverem a mesma `RuleOrder`, o CSPM do Security Hub aplicará uma regra com um valor anterior primeiro para o campo `UpdatedAt` (ou seja, a regra que foi editada mais recentemente se aplica por último).
------
# Excluir ou desabilitar regras de automação
Uma regra de automação pode ser usada para atualizar automaticamente as descobertas no CSPM do AWS Security Hub. Para obter informações contextuais sobre como as regras de automação funcionam, consulte [Noções básicas sobre as regras de automação do CSPM do Security Hub](automation-rules.md).
Quando você exclui uma regra de automação, o CSPM do Security Hub a remove da sua conta e não aplica mais a regra às descobertas. Como alternativa à exclusão, você pode *desabilitar* uma regra. Isso retém a regra para uso futuro, mas o CSPM do Security Hub não aplicará a regra a nenhuma descoberta correspondente até que você a habilite.
Escolha seu método preferido e siga as etapas para excluir uma regra de automação. É possível excluir uma ou mais regras em uma única solicitação.
------
#### [ Console ]
**Para excluir ou desabilitar regras de automação (console)**
1. Usando as credenciais do administrador do CSPM do Security Hub, abra o console do CSPM do AWS Security Hub em. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. No painel de navegação à esquerda, escolha **Automação**.
1. Selecione a(s) regra(s) que deseja excluir. Escolha **Ação** e **Excluir** (para reter uma regra, mas desabilite-a temporariamente e escolha **Desabilitar**).
1. Confirme a sua decisão e escolha **Delete** (Excluir).
------
#### [ API ]
**Para excluir ou desabilitar regras de automação (API)**
1. Use a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html) na conta de administrador do CSPM do Security Hub.
1. Para o parâmetro `AutomationRulesArns`, forneça o ARN da(s) regra(s) que você deseja excluir (para reter uma regra, mas desabilite-a temporariamente e forneça `DISABLED` para o parâmetro `RuleStatus`).
O exemplo a seguir exclui a regra de automação especificada. Este exemplo está formatado para Linux, macOS ou Unix e usa o caractere de continuação de linha “barra invertida (\$1)” para melhorar a legibilidade.
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# Exemplos de regras de automação
Esta seção fornece exemplos de regras de automação para casos de uso comuns do CSPM do Security Hub. Estes exemplos correspondem aos modelos de regras disponíveis no console do CSPM do Security Hub.
## Eleve a gravidade para Crítica quando um recurso específico, como um bucket S3, estiver em risco
Neste exemplo, os critérios da regra são combinados quando o `ResourceId` em uma descoberta é um bucket específico do Amazon Simple Storage Service (Amazon S3). A ação da regra é alterar a gravidade das descobertas correspondentes para `CRITICAL`. É possível modificar esse modelo para aplicá-lo a outros recursos.
**Exemplo de solicitação de API**:
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Exemplo de comando da CLI:**
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Eleve a gravidade das descobertas relacionadas aos recursos nas contas de produção
Neste exemplo, os critérios da regra são correspondidos quando uma descoberta de gravidade `HIGH` é gerada em contas de produção específicas. A ação da regra é alterar a gravidade das descobertas correspondentes para `CRITICAL`.
**Exemplo de solicitação de API**:
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Exemplo de comando da CLI:**
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Suprimir descobertas informativas
Neste exemplo, os critérios da regra são comparados às constatações de `INFORMATIONAL` gravidade enviadas ao Security Hub CSPM da Amazon. GuardDuty A ação da regra é alterar o status do fluxo de trabalho das descobertas correspondentes para `SUPPRESSED`.
**Exemplo de solicitação de API**:
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Exemplo de comando da CLI:**
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```