Campos disponíveis para BatchUpdateFindings Configurar o acesso ao BatchUpdateFindings

BatchUpdateFindings para clientes

AWS Clientes do Security Hub Cloud Security Posture Management (CSPM) e entidades que atuam em seu nome podem usar a BatchUpdateFindingsoperação para atualizar informações relacionadas ao processamento das descobertas do CSPM do Security Hub na busca de fornecedores. Como cliente, você pode usar essa operação diretamente. Ferramentas de SIEM, emissão de tíquetes, gerenciamento de incidentes e SOAR também podem usar essa operação em nome de um cliente.

Você não pode usar a BatchUpdateFindings operação para criar novas descobertas. No entanto, você pode usá-lo para atualizar até 100 descobertas existentes por vez. Em uma BatchUpdateFindings solicitação, você especifica quais descobertas atualizar, quais campos do Formato de Descoberta de AWS Segurança (ASFF) devem ser atualizados para as descobertas e os novos valores para os campos. Em seguida, o Security Hub CSPM atualiza as descobertas conforme especificado em sua solicitação. Esse processo pode levar alguns minutos. Se você atualizar as descobertas usando a BatchUpdateFindings operação, suas atualizações não afetarão os valores existentes no UpdatedAt campo das descobertas.

Quando o Security Hub CSPM recebe uma BatchUpdateFindings solicitação para atualizar uma descoberta, ele gera automaticamente um Security Hub Findings – Importedevento na Amazon. EventBridge Opcionalmente, você pode usar esse evento para realizar uma ação automática na descoberta especificada. Para obter mais informações, consulte Usando EventBridge para resposta e remediação automatizadas.

Campos disponíveis para BatchUpdateFindings

Se você estiver conectado a uma conta de administrador do Security Hub CSPM, você pode usar BatchUpdateFindings para atualizar as descobertas que foram geradas pela conta do administrador ou pelas contas dos membros. As contas-membro só podem usar BatchUpdateFindings para atualizar descobertas para sua própria conta.

Os clientes podem usar BatchUpdateFindings para atualizar os seguintes campos e objetos:

Confidence
Criticality
Note
RelatedFindings
Severity
Types
UserDefinedFields
VerificationState
Workflow

Configurar o acesso ao BatchUpdateFindings

Você pode configurar políticas AWS Identity and Access Management (IAM) para restringir o acesso ao uso BatchUpdateFindings para atualizar campos de busca e valores de campo.

Em uma declaração para restringir o acesso ao BatchUpdateFindings, use os seguintes valores:

Action é securityhub:BatchUpdateFindings
Effect é Deny
Para Condition, você pode negar uma solicitação BatchUpdateFindings com base no seguinte:
- A descoberta inclui um campo específico.
- A descoberta inclui um valor de campo específico.

Chaves de condição

Essas são as principais condições para restringir o acesso ao BatchUpdateFindings.

Campo do ASFF

A principal condição para um campo do ASFF é a seguinte:


securityhub:ASFFSyntaxPath/<fieldName>

Substitua <fieldName> pelo campo do ASFF. Ao configurar o acesso ao BatchUpdateFindings, inclua um ou mais campos do ASFF específicos em sua política do IAM em vez de um campo de nível principal. Por exemplo, para restringir o acesso ao campo Workflow.Status, você deve incluir securityhub:ASFFSyntaxPath/Workflow.Status em sua política em vez do campo de nível principal Workflow.

Proibir atualizações em um campo

Para impedir que um usuário faça qualquer atualização em um campo específico, use uma condição como esta:


 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

Por exemplo, a instrução a seguir indica que BatchUpdateFindings não pode ser usado para atualizar o campo Workflow.Status das descobertas.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

Proibir valores de campo específicos

Para impedir que um usuário configure um campo para um valor específico, use uma condição como esta:


"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

Por exemplo, a declaração a seguir indica que BatchUpdateFindings não pode ser usado para configurar Workflow.Status para SUPPRESSED.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

Você também pode fornecer uma lista de valores que não são permitidos.


 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

Por exemplo, a declaração a seguir indica que BatchUpdateFindings não pode ser usado para configurar Workflow.Status para RESOLVED ou SUPPRESSED.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

BatchImportFindings para encontrar fornecedores

Revisar os detalhes e o histórico das descobertas