客戶的 BatchUpdateFindings - AWS Security Hub
的可用欄位 BatchUpdateFindings設定 的存取權 BatchUpdateFindings

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

客戶的 BatchUpdateFindings

Security Hub 客戶和代表他們行事的實體可以使用 BatchUpdateFindings操作來更新客戶從問題清單提供者處理 Security Hub 問題清單的相關資訊。代表客戶工作的客戶或 SIEM、票證、事件管理或 SOAR 工具可以使用此操作。

您無法使用 BatchUpdateFindings 建立新的問題清單。您可以使用它一次更新最多 100 個問題清單。在請求中,您可以指定要更新 AWS 的安全調查結果格式 (ASFF) 欄位。

當 Security Hub 收到更新問題清單的BatchUpdateFindings請求時,會自動在 Amazon EventBridge 中產生Security Hub Findings - Imported事件。您可以對該事件採取自動動作。如需相關資訊,請參閱 使用 EventBridge 進行自動回應和修復

BatchUpdateFindings 不會變更調查結果UpdatedAt的欄位。 UpdatedAt會反映調查結果提供者的最新更新。

的可用欄位 BatchUpdateFindings

如果您已登入 Security Hub 管理員帳戶,您可以使用 BatchUpdateFindings 來更新管理員帳戶或成員帳戶所產生的問題清單。成員帳戶只能BatchUpdateFindings用來更新其帳戶的調查結果。

客戶可以使用 BatchUpdateFindings更新下列欄位和物件:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

設定 的存取權 BatchUpdateFindings

您可以設定 AWS Identity and Access Management (IAM) 政策來限制對 的存取BatchUpdateFindings,使用 來更新問題清單欄位和欄位值。

在 陳述式中限制對 的存取BatchUpdateFindings,請使用下列值:

  • Actionsecurityhub:BatchUpdateFindings

  • EffectDeny

  • 對於 Condition,您可以根據下列項目拒絕BatchUpdateFindings請求:

    • 調查結果包含特定欄位。

    • 調查結果包含特定的欄位值。

條件索引鍵

這些是限制存取 的條件金鑰BatchUpdateFindings

ASFF 欄位

ASFF 欄位的條件索引鍵如下所示:

securityhub:ASFFSyntaxPath/<fieldName>

<fieldName> 將 取代為 ASFF 欄位。設定對 的存取時BatchUpdateFindings,請在 IAM 政策中包含一或多個特定的 ASFF 欄位,而不是父層級欄位。例如,若要限制對 Workflow.Status 欄位的存取,您必須在政策 securityhub:ASFFSyntaxPath/Workflow.Status中包含 ,而不是Workflow父層級欄位。

不允許對欄位進行所有更新

若要防止使用者對特定欄位進行任何更新,請使用下列條件:

 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

例如,下列陳述式指出 BatchUpdateFindings 無法用來更新問題清單Workflow.Status欄位。

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

不允許特定欄位值

若要防止使用者將欄位設定為特定值,請使用下列條件:

"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

例如,下列陳述式表示 BatchUpdateFindings 無法用來Workflow.Status設定為 SUPPRESSED

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

您也可以提供不允許的值清單。

 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

例如,下列陳述式表示 BatchUpdateFindings 無法用於將 Workflow.Status設定為 RESOLVEDSUPPRESSED

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}