Campos disponíveis para BatchUpdateFindings Configurando o acesso ao BatchUpdateFindings

BatchUpdateFindings para clientes

Os clientes do Security Hub e as entidades que trabalham para ele podem usar a operação BatchUpdateFindings para atualizar as informações relacionadas ao processamento das descobertas do Security Hub fornecidas por provedores de descobertas. Um cliente ou uma a ferramenta de SIEM, emissão de bilhetes, gerenciamento de incidentes ou SOAR que trabalha para o cliente.

Você não pode usar BatchUpdateFindings para criar novas descobertas. Você pode usá-lo para atualizar até 100 descobertas por vez. Em sua solicitação, você especifica quais campos do Formato de Descoberta de AWS Segurança (ASFF) você deseja atualizar.

Quando o Security Hub recebe uma BatchUpdateFindings solicitação para atualizar uma descoberta, ele gera automaticamente um Security Hub Findings - Importedevento na Amazon EventBridge. Você pode realizar ações automatizadas em relação a esse evento. Para ter mais informações, consulte Usando EventBridge para resposta e remediação automatizadas.

BatchUpdateFindings não altera o campo UpdatedAt da descoberta. UpdatedAt apenas reflete a atualização mais recente do provedor de descobertas.

Campos disponíveis para BatchUpdateFindings

Se você estiver conectado a uma conta de administrador do Security Hub, poderá usar BatchUpdateFindings para atualizar as descobertas geradas via conta do administrador ou contas-membros. As contas-membro só podem usar BatchUpdateFindings para atualizar descobertas para sua própria conta.

Os clientes podem usar BatchUpdateFindings para atualizar os seguintes campos e objetos:

Confidence
Criticality
Note
RelatedFindings
Severity
Types
UserDefinedFields
VerificationState
Workflow

Configurando o acesso ao BatchUpdateFindings

Você pode configurar políticas AWS Identity and Access Management (IAM) para restringir o acesso ao uso BatchUpdateFindings para atualizar campos de busca e valores de campo.

Em uma declaração para restringir o acesso ao BatchUpdateFindings, use os seguintes valores:

Action é securityhub:BatchUpdateFindings
Effect é Deny
Para Condition, você pode negar uma solicitação BatchUpdateFindings com base no seguinte:
- A descoberta inclui um campo específico.
- A descoberta inclui um valor de campo específico.

Chaves de condição

Essas são as principais condições para restringir o acesso ao BatchUpdateFindings.

Campo do ASFF

A principal condição para um campo do ASFF é a seguinte:


securityhub:ASFFSyntaxPath/<fieldName>

Substitua <fieldName> pelo campo do ASFF. Ao configurar o acesso ao BatchUpdateFindings, inclua um ou mais campos do ASFF específicos em sua política do IAM em vez de um campo de nível principal. Por exemplo, para restringir o acesso ao campo Workflow.Status, você deve incluir securityhub:ASFFSyntaxPath/Workflow.Status em sua política em vez do campo de nível principal Workflow.

Proibir atualizações em um campo

Para impedir que um usuário faça qualquer atualização em um campo específico, use uma condição como esta:


 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

Por exemplo, a instrução a seguir indica que BatchUpdateFindings não pode ser usado para atualizar o campo Workflow.Status das descobertas.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

Proibir valores de campo específicos

Para impedir que um usuário configure um campo para um valor específico, use uma condição como esta:


"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

Por exemplo, a declaração a seguir indica que BatchUpdateFindings não pode ser usado para configurar Workflow.Status para SUPPRESSED.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

Você também pode fornecer uma lista de valores que não são permitidos.


 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

Por exemplo, a declaração a seguir indica que BatchUpdateFindings não pode ser usado para configurar Workflow.Status para RESOLVED ou SUPPRESSED.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

BatchImportFindings para encontrar fornecedores

Revisar os detalhes e o histórico das descobertas