Descripción de las reglas de automatización en el CSPM de Security Hub
Puede utilizar reglas de automatización para actualizar resultados automáticamente en el CSPM de AWS Security Hub. A medida que se ingieren resultados, el CSPM de Security Hub puede aplicar diversas acciones de regla, como suprimir resultados, modificar su gravedad o agregar notas. Estas acciones de reglas modifican los resultados que coinciden con criterios específicos.
Algunos ejemplos de casos de uso de reglas de automatización son los siguientes:
-
Elevar la gravedad de un resultado a
CRITICALsi el ID de recurso del resultado se refiere a un recurso crítico para la empresa. -
Elevar la gravedad de un resultado de
HIGHaCRITICALsi el resultado afecta a recursos en cuentas de producción específicas. -
Asignar resultados específicos que tengan una gravedad
INFORMATIONALun estado de flujo de trabajoSUPPRESSED.
Solo puede crear y administrar reglas de automatización desde una cuenta de administrador del CSPM de Security Hub.
Las reglas se aplican a los resultados tanto nuevos como actualizados. Puede crear una regla personalizada desde cero o utilizar una plantilla de regla proporcionada por el CSPM de Security Hub. Además, puede empezar con una plantilla y modificarla según sea necesario.
Definición de criterios de regla y acciones de regla
Desde una cuenta de administrador del CSPM de Security Hub, puede crear una regla de automatización mediante la definición de uno o más criterios de regla y una o más acciones de regla. Cuando un resultado coincide con los criterios definidos, el CSPM de Security Hub aplica las acciones de la regla al resultado. Para obtener más información sobre los criterios y acciones disponibles, consulte Criterios de regla y acciones de regla disponibles.
El CSPM de Security Hub admite actualmente un máximo de 100 reglas de automatización por cada cuenta de administrador.
La cuenta de administrador del CSPM de Security Hub también puede editar, ver y eliminar reglas de automatización. Una regla se aplica a los resultados que coinciden en la cuenta de administrador y en todas las cuentas de miembro. Al proporcionar los ID de cuentas de miembro como criterios de regla, los administradores del CSPM de Security Hub también pueden utilizar reglas de automatización para actualizar o suprimir resultados en cuentas de miembro específicas.
Una regla de automatización solo se aplica en la Región de AWS en la que se creó. Para aplicar una regla en varias regiones, el administrador debe crear la regla en cada región. Esto se puede hacer mediante la consola del CSPM de Security Hub, la API del CSPM de Security Hub o AWS CloudFormation. Además, puede utilizar un un script de implementación multirregión
Criterios de regla y acciones de regla disponibles
Actualmente se admiten los siguientes campos de Formato de resultados de seguridad de AWS (ASFF) como criterios para las reglas de automatización:
| Criterios de reglas | Operadores de filtro | Tipo de campo |
|---|---|---|
AwsAccountId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
AwsAccountName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
CompanyName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ComplianceAssociatedStandardsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ComplianceSecurityControlId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ComplianceStatus
|
Is, Is Not
|
Selección: [FAILED, NOT_AVAILABLE, PASSED, WARNING] |
Confidence
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Número |
CreatedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
Criticality
|
Eq (equal-to), Gte (greater-than-equal), Lte
(less-than-equal)
|
Número |
Description
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
FirstObservedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
GeneratorId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
Id
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
LastObservedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
NoteText
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
NoteUpdatedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
NoteUpdatedBy
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ProductName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
RecordState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
RelatedFindingsId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
RelatedFindingsProductArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceApplicationArn
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceApplicationName
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceDetailsOther
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Asignación |
ResourceId
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourcePartition
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceRegion
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
ResourceTags
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Asignación |
ResourceType
|
Is, Is Not
|
Selección (consulte los recursos admitidos por ASFF) |
SeverityLabel
|
Is, Is Not
|
Selección: [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL] |
SourceUrl
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
Title
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
Type
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
UpdatedAt
|
Start, End, DateRange
|
Fecha (formateada como 2022-12-01T21:47:39.269Z) |
UserDefinedFields
|
CONTAINS, EQUALS, NOT_CONTAINS, NOT_EQUALS
|
Asignación |
VerificationState
|
CONTAINS, EQUALS, PREFIX, NOT_CONTAINS, NOT_EQUALS,
PREFIX_NOT_EQUALS
|
Cadena |
WorkflowStatus
|
Is, Is Not
|
Selección: [NEW, NOTIFIED, RESOLVED, SUPPRESSED] |
En el caso de los criterios etiquetados como campos de cadena, el uso de diferentes operadores de filtro en un mismo campo afecta a la lógica de evaluación. Para obtener más información, consulte StringFilter en la Referencia de la API del CSPM de AWS Security Hub.
Cada criterio admite una cantidad máxima de valores que se pueden utilizar para filtrar los resultados que coinciden. Para conocer los límites de cada criterio, consulte AutomationRulesFindingFilters en la Referencia de la API del CSPM de AWS Security Hub.
Actualmente se admiten los siguientes campos ASFF como acciones para las reglas de automatización:
-
Confidence -
Criticality -
Note -
RelatedFindings -
Severity -
Types -
UserDefinedFields -
VerificationState -
Workflow
Para obtener más información sobre campos ASFF específicos, consulte Sintaxis del formato de resultado de seguridad de AWS (ASFF).
sugerencia
Si desea que el CSPM de Security Hub deje de generar resultados para un control específico, recomendamos desactivar el control en lugar de usar una regla de automatización. Cuando desactiva un control, el CSPM de Security Hub deja de ejecutar las comprobaciones de seguridad correspondientes y deja de generar resultados, por lo que no se generan cargos asociados a ese control. Le recomendamos que utilice reglas de automatización para cambiar los valores de campos ASFF específicos para los resultados que coincidan con los criterios definidos. Para obtener más información sobre cómo deshabilitar controles, consulte Desactivación de controles en el CSPM de Security Hub.
Resultados que las reglas de automatización evalúan
Una regla de automatización evalúa los resultados nuevos y actualizados que el CSPM de Security Hub genera o ingiere mediante la operación BatchImportFindings después de que cree la regla. El CSPM de Security Hub actualiza los resultados de los controles cada 12 a 24 horas, o cuando el recurso asociado cambia de estado. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.
Las reglas de automatización evalúan los resultados originales proporcionados por el proveedor. Los proveedores pueden aportar resultados nuevos y actualizar resultados existentes mediante la operación BatchImportFindings de la API del CSPM de Security Hub. Si los siguientes campos no existen en el resultado original, el CSPM de Security Hub completa automáticamente esos campos y utiliza los valores completados en la evaluación realizada por la regla de automatización.
AwsAccountNameCompanyNameProductNameResource.TagsWorkflow.Status
Después de crear una o más reglas de automatización, estas reglas no se desencadenan si actualiza los campos del resultado mediante la operación BatchUpdateFindings. Si crea una regla de automatización y realiza una actualización BatchUpdateFindings que afecten al mismo campo de resultado, la última actualización establecerá el valor de ese campo. Vea el siguiente ejemplo:
Utilice la operación
BatchUpdateFindingspara cambiar el valor del campoWorkflow.Statusde un resultado deNEWaNOTIFIED.Si llama a
GetFindings, el campoWorkflow.Statusahora tendrá un valor deNOTIFIED.Se crea una regla de automatización que cambia el campo
Workflow.Statusdel resultado deNEWaSUPPRESSED. (Recuerde que las reglas ignoran las actualizaciones realizadas mediante la operaciónBatchUpdateFindings).El proveedor del resultado utiliza la operación
BatchImportFindingspara actualizar el resultado y cambia el valor del campoWorkflow.Statusdel resultado aNEW.Si llama a
GetFindings, el campoWorkflow.Statusahora tendrá un valor deSUPPRESSED. Esto ocurre porque se aplicó la regla de automatización y esa regla fue la última acción realizada sobre el resultado.
Cuando crea o edita una regla en la consola del CSPM de Security Hub, la consola muestra una vista preliminar de los resultados que coinciden con los criterios de la regla. Mientras que las reglas de automatización evalúan los resultados originales enviados por el proveedor del resultado, la vista preliminar de la consola refleja los resultados en su estado final tal como aparecerían en una respuesta a la operación GetFindings (es decir, después de aplicar las acciones de la regla u otras actualizaciones al resultado).
Cómo funciona el orden de las reglas
Al crear reglas de automatización, usted asigna a cada regla un orden. Esto determina el orden en el que el CSPM de Security Hub aplica las reglas de automatización y adquiere importancia cuando varias reglas se relacionan con el mismo resultado o con el mismo campo del resultado.
Cuando varias acciones de reglas se refieren al mismo resultado o campo de resultado, la regla con el valor numérico más alto de orden de reglas se aplica en último lugar y tiene el efecto definitivo.
Cuando crea una regla en la consola del CSPM de Security Hub, el CSPM de Security Hub asigna automáticamente un orden basado en el orden de creación de la regla. La regla creada más recientemente tiene el valor numérico más bajo de orden de reglas y, por lo tanto, se aplica primero. El CSPM de Security Hub aplica las reglas posteriores en orden ascendente.
Cuando crea una regla mediante la API del CSPM de Security Hub o la AWS CLI, el CSPM de Security Hub aplica primero la regla con el valor numérico de RuleOrder más bajo. Luego aplica las reglas subsiguientes en orden ascendente. Si varios resultados tienen el mismo valor de RuleOrder, el CSPM de Security Hub aplica primero la regla con un valor anterior en el campo UpdatedAt (es decir, la regla editada más recientemente se aplica al final).
Puede modificar el orden de las reglas en cualquier momento.
Ejemplo de orden de reglas:
Regla A (el orden de la regla es 1):
-
Criterios de la regla A
-
ProductName=Security Hub CSPM -
Resources.TypeisS3 Bucket -
Compliance.Status=FAILED -
RecordStateisNEW -
Workflow.Status=ACTIVE
-
-
Acciones de la regla A
-
Actualizar
Confidencea95 -
Actualizar
SeverityaCRITICAL
-
Regla B (el orden de la regla es 2):
-
Criterios de la regla B
-
AwsAccountId=123456789012
-
-
Acciones de la regla B
-
Actualizar
SeverityaINFORMATIONAL
-
Las acciones de la regla A se aplican primero a los resultados del CSPM de Security Hub que coinciden con los criterios de la regla A. Luego, se aplican las acciones de la regla B a los resultados del CSPM de Security Hub que coinciden con el ID de cuenta especificado. En este ejemplo, como la regla B se aplica en último lugar, el valor final de Severity en los resultados del ID de cuenta especificado es INFORMATIONAL. Según la acción de la regla A, el valor final de Confidence en los resultados coincidentes es 95.
