本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 了解 Security Hub CSPM 中的自動化規則
您可以使用自動化規則自動更新 AWS Security Hub CSPM 中的問題清單。擷取問題清單時,Security Hub CSPM 可以套用各種規則動作,例如隱藏問題清單、變更問題清單的嚴重性以及新增備註。這類規則動作會修改符合您指定條件的問題清單。
自動化規則的使用案例範例包括下列項目:
+ `CRITICAL` 如果問題清單的資源 ID 參考關鍵業務資源,請將問題清單的嚴重性提升為 。
+ `CRITICAL` 如果問題清單影響特定生產帳戶中的資源,請將問題清單的嚴重性從 提升`HIGH`為 。
+ 指派具有`INFORMATIONAL``SUPPRESSED`工作流程狀態嚴重性的特定問題清單。
您只能從 Security Hub CSPM 管理員帳戶建立和管理自動化規則。
規則同時適用於新的調查結果和更新的調查結果。您可以從頭開始建立自訂規則,或使用 Security Hub CSPM 提供的規則範本。您也可以從範本開始,並視需要修改。
## 定義規則條件和規則動作
從 Security Hub CSPM 管理員帳戶,您可以透過定義一或多個規則*條件*和一或多個規則*動作*來建立自動化規則。當問題清單符合定義的條件時,Security Hub CSPM 會將規則動作套用到其中。如需可用條件和動作的詳細資訊,請參閱 [可用的規則條件和規則動作](#automation-rules-criteria-actions)。
Security Hub CSPM 目前支援每個管理員帳戶最多 100 個自動化規則。
Security Hub CSPM 管理員帳戶也可以編輯、檢視和刪除自動化規則。規則適用於管理員帳戶及其所有成員帳戶中相符的問題清單。透過提供成員帳戶 IDs做為規則條件,Security Hub CSPM 管理員也可以使用自動化規則來更新或隱藏特定成員帳戶中的問題清單。
自動化規則僅適用於建立自動化規則 AWS 區域 的 。若要在多個區域中套用規則,管理員必須在每個區域中建立規則。這可以透過 Security Hub CSPM 主控台、Security Hub CSPM API 或 來完成[AWS CloudFormation](creating-resources-with-cloudformation.md)。您也可以使用[多區域部署指令碼](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules)。
## 可用的規則條件和規則動作
目前支援下列 AWS 安全調查結果格式 (ASFF) 欄位做為自動化規則的條件:
| 規則條件 | 篩選條件運算子 | 欄位類型 |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ComplianceStatus | Is, Is Not | 選取:【FAILED、NOT\$1AVAILABLE、PASSED、WARNING】 |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| CreatedAt | Start, End, DateRange | 日期 (格式為 2022-12-01T21:47:39.269Z) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| FirstObservedAt | Start, End, DateRange | 日期 (格式為 2022-12-01T21:47:39.269Z) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| LastObservedAt | Start, End, DateRange | 日期 (格式為 2022-12-01T21:47:39.269Z) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| NoteUpdatedAt | Start, End, DateRange | 日期 (格式為 2022-12-01T21:47:39.269Z) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Map |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Map |
| ResourceType | Is, Is Not | 選取 (請參閱 ASFF 支援[的資源](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html)) |
| SeverityLabel | Is, Is Not | 選取:【CRITICAL、HIGH、MEDIUMLOW、、INFORMATIONAL】 |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | 字串 |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| UpdatedAt | Start, End, DateRange | 日期 (格式為 2022-12-01T21:47:39.269Z) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Map |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | String |
| WorkflowStatus | Is, Is Not | 選取:【NEW、NOTIFIED、RESOLVED、SUPPRESSED】 |
對於標記為字串欄位的條件,在相同欄位上使用不同的篩選條件運算子會影響評估邏輯。如需詳細資訊,請參閱 *AWS Security Hub CSPM API 參考*[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)中的 。
每個條件都支援可用於篩選相符問題清單的最大值。如需每個條件的限制,請參閱 *AWS Security Hub CSPM API 參考*[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html)中的 。
下列 ASFF 欄位目前支援做為自動化規則的動作:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
如需特定 ASFF 欄位的詳細資訊,請參閱[AWS 安全調查結果格式 (ASFF) 語法](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html)。
**提示**
如果您希望 Security Hub CSPM 停止產生特定控制項的問題清單,建議您停用控制項,而不是使用自動化規則。當您停用控制項時,Security Hub CSPM 會停止對其執行安全檢查,並停止為其產生問題清單,因此您不需要為該控制項支付費用。我們建議您使用自動化規則,為符合定義條件的問題清單變更特定 ASFF 欄位的值。如需停用控制項的詳細資訊,請參閱 [在 Security Hub CSPM 中停用控制項](disable-controls-overview.md)。
## 自動化規則評估的問題清單
自動化規則會評估 Security Hub CSPM 在您建立規則*後*透過 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html)操作產生或擷取的新問題清單和更新的問題清單。Security Hub CSPM 每 12-24 小時或關聯資源變更狀態時更新控制問題清單。如需詳細資訊,請參閱[執行安全檢查的排程](securityhub-standards-schedule.md)。
自動化規則會評估原始供應商提供的調查結果。供應商可以使用 Security Hub CSPM API `BatchImportFindings`的操作,提供新的問題清單並更新現有的問題清單。如果原始調查結果中不存在下列欄位,Security Hub CSPM 會自動填入欄位,然後在自動化規則的評估中使用填入的值:
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
建立一或多個自動化規則之後,如果您使用 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html)操作更新問題清單欄位,則不會觸發規則。如果您建立自動化規則並進行會影響相同調查結果欄位的`BatchUpdateFindings`更新,則上次更新會設定該欄位的值。採用下列範例:
1. 您可以使用 `BatchUpdateFindings`操作,將調查結果`Workflow.Status`欄位的值從 變更為 `NEW` `NOTIFIED`。
1. 如果您呼叫 `GetFindings`, `Workflow.Status` 欄位現在的值為 `NOTIFIED`。
1. 您可以建立自動化規則,將調查結果`Workflow.Status`的欄位從 變更為 `NEW` `SUPPRESSED`。(請記住,規則會忽略使用 `BatchUpdateFindings`操作所做的更新。)
1. 調查結果提供者使用 `BatchImportFindings`操作來更新調查結果,並將調查結果`Workflow.Status`欄位的值變更為 `NEW`。
1. 如果您呼叫 `GetFindings`, `Workflow.Status` 欄位現在的值為 `SUPPRESSED`。這是因為已套用自動化規則,且規則是對調查結果採取的最後一個動作。
當您在 Security Hub CSPM 主控台上建立或編輯規則時,主控台會顯示符合規則條件的調查結果測試版。雖然自動化規則會評估問題清單提供者傳送的原始問題清單,但主控台 Beta 版會反映問題清單的最終狀態,如同回應[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html)操作時所示 (也就是套用規則動作或其他更新至問題清單之後)。
## 規則順序的運作方式
建立自動化規則時,您會為每個規則指派一個順序。這將決定 Security Hub CSPM 套用自動化規則的順序,並在多個規則與相同的調查結果或調查結果欄位相關時變得重要。
當多個規則動作與相同的調查結果或調查結果欄位相關時,具有規則順序最高數值的規則會最後套用,並具有最終效果。
當您在 Security Hub CSPM 主控台中建立規則時,Security Hub CSPM 會根據規則建立的順序自動指派規則順序。最近建立的規則具有最低的規則順序數值,因此會先套用。Security Hub CSPM 會以遞增順序套用後續規則。
當您透過 Security Hub CSPM API 或 建立規則時 AWS CLI,Security Hub CSPM 會先套用具有最低數值的規則`RuleOrder`。然後,它會以遞增順序套用後續規則。如果多個問題清單具有相同的 `RuleOrder`,Security Hub CSPM 會先為 `UpdatedAt` 欄位套用具有較早值的規則 (也就是說,最近編輯的規則會套用最後)。
您可以隨時修改規則順序。
**規則順序範例**:
**規則 A (規則順序為 `1`)**:
+ 規則 A 條件
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type` 是 `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState` 是 `NEW`
+ `Workflow.Status` = `ACTIVE`
+ 規則 A 動作
+ 更新`Confidence`至 `95`
+ 更新`Severity`至 `CRITICAL`
**規則 B (規則順序為 `2`)**:
+ 規則 B 條件
+ `AwsAccountId` = `123456789012`
+ 規則 B 動作
+ 更新`Severity`至 `INFORMATIONAL`
規則 動作會先套用至符合規則 A 條件的 Security Hub CSPM 調查結果。接下來,規則 B 動作適用於具有指定帳戶 ID 的 Security Hub CSPM 調查結果。在此範例中,由於規則 B 最後套用,因此來自指定帳戶 ID 之調查結果`Severity`中的 結束值為 `INFORMATIONAL`。根據規則 A 動作,相符調查結果`Confidence`中的 結束值為 `95`。
# 建立自動化規則
自動化規則可用來自動更新 AWS Security Hub CSPM 中的調查結果。您可以從頭開始建立自訂自動化規則,或在 Security Hub CSPM 主控台上使用預先填入的規則範本。如需自動化規則運作方式的背景資訊,請參閱 [了解 Security Hub CSPM 中的自動化規則](automation-rules.md)。
您一次只能建立一個自動化規則。若要建立多個自動化規則,請遵循主控台程序多次,或使用所需的參數多次呼叫 API 或命令。
您必須在您希望規則套用至問題清單的每個區域和帳戶中建立自動化規則。
當您在 Security Hub CSPM 主控台中建立自動化規則時,Security Hub CSPM 會顯示規則適用的調查結果測試版。如果您的規則條件包含 CONTAINS 或 NOT\$1CONTAINS 篩選條件,目前不支援 Beta。您可以針對映射和字串欄位類型選擇這些篩選條件。
**重要**
AWS 建議您不要在規則名稱、描述或其他欄位中包含個人識別、機密或敏感資訊。
## 建立自訂自動化規則
選擇您偏好的方法,並完成下列步驟以建立自訂自動化規則。
------
#### [ Console ]
**建立自訂自動化規則 (主控台)**
1. 使用 Security Hub CSPM 管理員的登入資料,開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**自動化**。
1. 選擇**建立規則**。針對**規則類型**,選擇**建立自訂規則**。
1. 在**規則**區段中,提供規則的唯一規則名稱和描述。
1. 針對**條件**,請使用**金鑰**、**運算子**和**值**下拉式選單來指定您的規則條件。您必須指定至少一個規則條件。
如果所選條件支援 ,主控台會顯示符合您條件的調查結果測試版。
1. 對於**自動化動作**,使用下拉式選單指定當問題清單符合您的規則條件時要更新哪些問題清單欄位。您必須指定至少一個規則動作。
1. 針對**規則狀態**,選擇您希望規則在建立****之後**啟用或停用**。
1. (選用) 展開**其他設定**區段。如果您希望此規則是套用到**符合規則條件之調查結果的最後一個規則,請選取忽略符合這些條件之調查結果的後續**規則。
1. (選用) 對於**標籤**,將標籤新增為鍵/值對,以協助您輕鬆識別規則。
1. 選擇**建立規則**。
------
#### [ API ]
**建立自訂自動化規則 (API)**
1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html) 從 Security Hub CSPM 管理員帳戶執行 。此 API 會建立具有特定 Amazon Resource Name (ARN) 的規則。
1. 提供規則的名稱和描述。
1. `true` 如果您希望此規則是套用至符合規則條件之問題清單的最後一個規則,請將 `IsTerminal` 參數設定為 。
1. 針對 `RuleOrder` 參數,提供規則的順序。Security Hub CSPM 會先套用此參數數值較低的規則。
1. 針對 `RuleStatus` 參數,指定您是否希望 Security Hub CSPM 在建立後啟用並開始將規則套用至問題清單。如未指定任何值,則預設值為 `ENABLED`。的值`DISABLED`表示規則會在建立後暫停。
1. 針對 `Criteria` 參數,提供您希望 Security Hub CSPM 用來篩選問題清單的條件。規則動作將套用至符合條件的問題清單。如需支援的條件清單,請參閱 [可用的規則條件和規則動作](automation-rules.md#automation-rules-criteria-actions)。
1. 針對 `Actions` 參數,提供您希望 Security Hub CSPM 在問題清單與您定義的條件相符時所採取的動作。如需支援的動作清單,請參閱 [可用的規則條件和規則動作](automation-rules.md#automation-rules-criteria-actions)。
下列範例 AWS CLI 命令會建立自動化規則,更新工作流程狀態和相符問題清單的備註。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## 從範本建立自動化規則 (僅限主控台)
規則範本反映自動化規則的常見使用案例。目前,只有 Security Hub CSPM 主控台支援規則範本。完成下列步驟,從 主控台中的範本建立自動化規則。
**從範本建立自動化規則 (主控台)**
1. 使用 Security Hub CSPM 管理員的登入資料,開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**自動化**。
1. 選擇**建立規則**。針對**規則類型**,選擇**從範本建立規則**。
1. 從下拉式選單中選取規則範本。
1. (選用) 如果您的使用案例需要,請修改**規則**、**條件**和**自動化動作**區段。您必須指定至少一個規則條件和一個規則動作。
如果所選條件支援 ,主控台會顯示符合您條件的調查結果測試版。
1. 針對**規則狀態**,選擇您希望規則在建立****之後**啟用或停用**。
1. (選用) 展開**其他設定**區段。如果您希望此規則是套用到**符合規則條件之調查結果的最後一個規則,請選取忽略符合這些條件之調查結果的後續**規則。
1. (選用) 對於**標籤**,將標籤新增為鍵值對,以協助您輕鬆識別規則。
1. 選擇**建立規則**。
# 檢視自動化規則
自動化規則可用來自動更新 AWS Security Hub CSPM 中的調查結果。如需自動化規則運作方式的背景資訊,請參閱 [了解 Security Hub CSPM 中的自動化規則](automation-rules.md)。
選擇您偏好的方法,並依照步驟檢視現有的自動化規則和每個規則的詳細資訊。
若要檢視自動化規則如何變更問題清單的歷史記錄,請參閱 [在 Security Hub CSPM 中檢閱問題清單詳細資訊和歷史記錄](securityhub-findings-viewing.md)。
------
#### [ Console ]
**檢視自動化規則 (主控台)**
1. 使用 Security Hub CSPM 管理員的登入資料,開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**自動化**。
1. 選擇規則名稱。或者,選取規則。
1. 選擇**動作**和**檢視**。
------
#### [ API ]
**檢視自動化規則 (API)**
1. 若要檢視帳戶的自動化規則,[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html)請從 Security Hub CSPM 管理員帳戶執行 。此 API 會傳回規則ARNs 和其他中繼資料。此 API 不需要輸入參數,但您可以選擇提供 `MaxResults`來限制結果數量,並以分頁參數`NextToken`的形式提供。的初始值`NextToken`應為 `NULL`。
1. 如需其他規則詳細資訊,包括規則的條件和動作,[https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html)請從 Security Hub CSPM 管理員帳戶執行。提供您想要其詳細資訊之自動化規則的 ARNs。
下列範例會擷取指定自動化規則的詳細資訊。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# 編輯自動化規則
自動化規則可用來自動更新 AWS Security Hub CSPM 中的調查結果。如需自動化規則運作方式的背景資訊,請參閱 [了解 Security Hub CSPM 中的自動化規則](automation-rules.md)。
建立自動化規則後,委派的 Security Hub CSPM 管理員可以編輯規則。當您編輯自動化規則時,變更會套用至 Security Hub CSPM 在規則編輯後產生或擷取的新問題清單和更新的問題清單。
選擇您偏好的方法,然後依照步驟編輯自動化規則的內容。您可以使用單一請求編輯一或多個規則。如需編輯規則順序的指示,請參閱 [編輯自動化規則順序](edit-rule-order.md)。
------
#### [ Console ]
**編輯自動化規則 (主控台)**
1. 使用 Security Hub CSPM 管理員的登入資料,開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**自動化**。
1. 選取您要編輯的規則。選擇**動作**和**編輯**。
1. 視需要變更規則,然後選擇**儲存變更**。
------
#### [ API ]
**編輯自動化規則 (API)**
1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) 從 Security Hub CSPM 管理員帳戶執行 。
1. 針對 `RuleArn` 參數,提供您要編輯之規則的 ARN (ARN)。
1. 為您要編輯的參數提供新值。您可以編輯 以外的任何參數`RuleArn`。
下列 範例會更新指定的自動化規則。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# 編輯自動化規則順序
自動化規則可用來自動更新 AWS Security Hub CSPM 中的調查結果。如需自動化規則運作方式的背景資訊,請參閱 [了解 Security Hub CSPM 中的自動化規則](automation-rules.md)。
建立自動化規則後,委派的 Security Hub CSPM 管理員可以編輯規則。
如果您想要保持規則條件和動作相同,但變更 Security Hub CSPM 套用自動化規則的順序,您可以只編輯規則順序。選擇您偏好的方法,然後依照步驟編輯規則順序。
如需編輯自動化規則的條件或動作的說明,請參閱 [編輯自動化規則](edit-automation-rules.md)。
------
#### [ Console ]
**編輯自動化規則順序 (主控台)**
1. 使用 Security Hub CSPM 管理員的登入資料,開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**自動化**。
1. 選取您要變更其順序的規則。選擇**編輯優先順序**。
1. 選擇**向上移動**,將規則的優先順序增加一個單位。選擇**向下移動**,將規則優先順序降低一個單位。選擇**移至頂端**,將規則的順序指派為 **1** (這會讓規則優先於其他現有規則)。
**注意**
當您在 Security Hub CSPM 主控台中建立規則時,Security Hub CSPM 會根據規則建立的順序自動指派規則順序。最近建立的規則具有最低的規則順序數值,因此會先套用。
------
#### [ API ]
**編輯自動化規則順序 (API)**
1. 使用 Security Hub CSPM 管理員帳戶中的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html)操作。
1. 針對 `RuleArn` 參數,提供您要編輯其順序之規則的 ARN (ARN)。
1. 修改 `RuleOrder` 欄位的值。
**注意**
如果多個規則具有相同的 `RuleOrder`,Security Hub CSPM 會先為 `UpdatedAt` 欄位套用具有較早值的規則 (也就是最近編輯的規則最後套用)。
------
# 刪除或停用自動化規則
自動化規則可用來自動更新 AWS Security Hub CSPM 中的調查結果。如需自動化規則運作方式的背景資訊,請參閱 [了解 Security Hub CSPM 中的自動化規則](automation-rules.md)。
當您刪除自動化規則時,Security Hub CSPM 會從您的帳戶中移除它,不再將規則套用至問題清單。除了刪除之外,您也可以*停用*規則。這將保留規則以供日後使用,但 Security Hub CSPM 不會將規則套用到任何相符的問題清單,直到您啟用為止。
選擇您偏好的方法,然後依照步驟刪除自動化規則。您可以在單一請求中刪除一或多個規則。
------
#### [ Console ]
**刪除或停用自動化規則 (主控台)**
1. 使用 Security Hub CSPM 管理員的登入資料,開啟位於 https://[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) 的 AWS Security Hub CSPM 主控台。
1. 在導覽窗格中,選擇**自動化**。
1. 選取您要刪除的規則 (多個)。選擇**動作**和**刪除** (若要保留規則,但暫時停用,請選擇**停用**)。
1. 確認您的選擇,然後選擇 **Delete** (刪除)。
------
#### [ API ]
**刪除或停用自動化規則 (API)**
1. 使用 Security Hub CSPM 管理員帳戶中的 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html)操作。
1. 對於 `AutomationRulesArns` 參數,請提供您要刪除之規則的 ARN (若要保留規則,但暫時停用它),`DISABLED`請為 `RuleStatus` 參數提供 )。
以下 範例會刪除指定的自動化規則。此範例已針對 Linux、macOS 或 Unix 格式化,並使用反斜線 (\$1) 行接續字元來改善可讀性。
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# 自動化規則的範例
本節提供常見 Security Hub CSPM 使用案例的自動化規則範例。這些範例對應至 Security Hub CSPM 主控台上可用的規則範本。
## 當 S3 儲存貯體等特定資源面臨風險時,將嚴重性提升為「關鍵」
在此範例中,當調查結果`ResourceId`中的 是特定的 Amazon Simple Storage Service (Amazon S3) 儲存貯體時,規則條件會相符。規則動作是將相符問題清單的嚴重性變更為 `CRITICAL`。您可以修改此範本以套用至其他資源。
**範例 API 請求**:
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**範例 CLI 命令:**
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## 提高與生產帳戶中資源相關的問題清單嚴重性
在此範例中,當在特定生產帳戶中產生`HIGH`嚴重性調查結果時,規則條件會相符。規則動作是將相符問題清單的嚴重性變更為 `CRITICAL`。
**範例 API 請求**:
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**範例 CLI 命令**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## 隱藏資訊性問題清單
在此範例中,從 Amazon GuardDuty 傳送至 Security Hub CSPM 的`INFORMATIONAL`嚴重性調查結果符合規則條件。規則動作是將相符問題清單的工作流程狀態變更為 `SUPPRESSED`。
**範例 API 請求**:
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**CLI 命令範例**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```