고객에 대한 BatchUpdateFindings - AWS Security Hub
BatchUpdateFindings에 사용 가능한 필드BatchUpdateFindings에 대한 액세스 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

고객에 대한 BatchUpdateFindings

AWS Security Hub Cloud Security Posture Management(CSPM) 고객과 이를 대신하여 활동하는 엔터티는 BatchUpdateFindings 작업을 사용하여 조사 결과 공급자의 Security Hub CSPM 조사 결과 처리와 관련된 정보를 업데이트할 수 있습니다. 고객은이 작업을 직접 사용할 수 있습니다. SIEM, 티켓팅, 인시던트 관리 및 SOAR 도구도 고객을 대신하여이 작업을 사용할 수 있습니다.

BatchUpdateFindings 작업을 사용하여 새 결과를 생성할 수 없습니다. 그러나 이를 사용하여 한 번에 최대 100개의 기존 조사 결과를 업데이트할 수 있습니다. BatchUpdateFindings 요청에서 업데이트할 조사 결과, 조사 결과에 대해 업데이트할 AWS Security Finding Format(ASFF) 필드, 필드에 대한 새 값을 지정합니다. 그런 다음 Security Hub CSPM은 요청에 지정된 대로 조사 결과를 업데이트합니다. 이 프로세스는 몇 분 정도 걸릴 수 있습니다. BatchUpdateFindings 작업을 사용하여 결과를 업데이트하는 경우 업데이트는 결과 UpdatedAt 필드의 기존 값에 영향을 주지 않습니다.

Security Hub CSPM은 조사 결과 업데이트 BatchUpdateFindings 요청을 받으면 Amazon EventBridge에서 Security Hub Findings – Imported 이벤트를 자동으로 생성합니다. 선택적으로이 이벤트를 사용하여 지정된 결과에 대해 자동화된 작업을 수행할 수 있습니다. 자세한 내용은 자동 응답 및 문제 해결을 위해 EventBridge 사용 단원을 참조하십시오.

BatchUpdateFindings에 사용 가능한 필드

Security Hub CSPM 관리자 계정에 로그인한 경우를 사용하여 관리자 계정 또는 멤버 계정에서 생성된 조사 결과를 BatchUpdateFindings 업데이트할 수 있습니다. 멤버 계정은 자신의 계정만의 조사 결과를 업데이트하는 데 BatchUpdateFindings을(를) 사용할 수 있습니다.

고객은 BatchUpdateFindings만 사용하여 다음 필드와 객체를 업데이트할 수 있습니다.

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

BatchUpdateFindings에 대한 액세스 구성

를 사용하여 결과 필드 및 필드 값을 BatchUpdateFindings 업데이트하는 액세스를 제한하도록 AWS Identity and Access Management (IAM) 정책을 구성할 수 있습니다.

액세스를 BatchUpdateFindings로 제한하는 문에는 다음 값을 사용하세요.

  • Action은(는) securityhub:BatchUpdateFindings

  • Effect은(는) Deny

  • Condition의 경우, 다음을 기준으로 BatchUpdateFindings 요청을 거부할 수 있습니다.

    • 조사 결과에 특정 필드가 포함됩니다.

    • 조사 결과에 특정 필드 값이 포함됩니다.

조건 키

액세스를 BatchUpdateFindings로 제한하기 위한 조건 키입니다.

ASFF 필드

ASFF 필드의 조건 키는 다음과 같습니다.

securityhub:ASFFSyntaxPath/<fieldName>

<fieldName>을(를) ASFF 필드로 대체하세요. BatchUpdateFindings에 대한 액세스를 구성할 때는 상위 수준 필드 대신 IAM 정책에 하나 이상의 특정 ASFF 필드를 포함하세요. 예를 들어, Workflow.Status 필드에 대한 액세스를 제한하려면 Workflow 상위 수준 필드 대신 정책에 securityhub:ASFFSyntaxPath/Workflow.Status을(를) 포함해야 합니다.

필드에 대한 모든 업데이트 허용 안 함

사용자가 특정 필드를 업데이트하지 못하게 하려면 다음과 같은 조건을 사용하세요.

 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

예를 들어, 다음 문은 Workflow.Status 조사 결과의 필드를 업데이트하는 데 BatchUpdateFindings을(를) 사용할 수 없음을 나타냅니다.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

특정 필드 값 허용 안 함

사용자가 필드를 특정 값으로 설정하는 것을 방지하려면 다음과 같은 조건을 사용하세요.

"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

예를 들어, 다음 문은 Workflow.Status을(를) SUPPRESSED(으)로 설정하는 데 BatchUpdateFindings을(를) 사용할 수 없음을 나타냅니다.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

허용되지 않는 값 목록을 입력할 수도 있습니다.

 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

예를 들어, 다음 문은 Workflow.Status을(를) RESOLVED 또는 SUPPRESSED 중 하나로 설정하는 데 BatchUpdateFindings을(를) 사용할 수 없음을 나타냅니다.

{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}