Campos disponibles para BatchUpdateFindings Configuración del acceso a BatchUpdateFindings

BatchUpdateFindings para clientes

AWSLos clientes de Security Hub CSPM y las entidades que actúen en su nombre pueden utilizar la BatchUpdateFindingsoperación para actualizar la información relacionada con el procesamiento de las conclusiones del CSPM de Security Hub a partir de la búsqueda de proveedores. Como cliente, puede usar esta operación directamente. Las herramientas de SIEM, sistemas de tickets, soluciones de administración de incidentes y plataformas SOAR también pueden usar esta operación en nombre del cliente.

No puede usar la operación BatchUpdateFindings para crear resultados nuevos. Sin embargo, puede utilizarla para actualizar hasta 100 resultados existentes a la vez. En una BatchUpdateFindings solicitud, se especifican las conclusiones que se van a actualizar, los campos del formato de comprobación de AWS seguridad (ASFF) que se van a actualizar para las conclusiones y los nuevos valores de los campos. El CSPM de Security Hub actualiza los resultados según lo especificado en la solicitud. Este proceso puede tardar varios minutos. Si actualiza resultados mediante la operación BatchUpdateFindings, las actualizaciones no afectan los valores existentes del campo UpdatedAt de los resultados.

Cuando Security Hub CSPM recibe una BatchUpdateFindings solicitud para actualizar un hallazgo, genera automáticamente un Security Hub Findings – Importedevento en Amazon. EventBridge Puede usar este evento para ejecutar acciones automáticas sobre el resultado especificado. Para obtener más información, consulte Uso EventBridge para respuesta y remediación automatizadas.

Campos disponibles para BatchUpdateFindings

Si inicia sesión en una cuenta de administrador del CSPM de Security Hub, puede usar BatchUpdateFindings para actualizar los resultados generados por la cuenta de administrador o por las cuentas de miembro. Las cuentas de miembro pueden utilizar BatchUpdateFindings para actualizar los resultados solo para su cuenta.

Los clientes pueden usar BatchUpdateFindings para actualizar los siguientes campos y objetos:

Confidence
Criticality
Note
RelatedFindings
Severity
Types
UserDefinedFields
VerificationState
Workflow

Configuración del acceso a BatchUpdateFindings

Puede configurar políticas AWS Identity and Access Management (IAM) para restringir el acceso y su uso BatchUpdateFindings para actualizar los campos de búsqueda y los valores de los campos.

En una declaración para restringir el acceso a BatchUpdateFindings, utilice los siguientes valores:

Action es securityhub:BatchUpdateFindings
Effect es Deny
Para Condition, puede denegar una solicitud BatchUpdateFindings en función de lo siguiente:
- El resultado incluye un campo específico.
- El resultado incluye un valor de campo específico.

Claves de condición

Estas son las claves de condición para restringir el acceso a BatchUpdateFindings.

Campo de ASFF

La clave de condición de un campo de ASFF es la siguiente:


securityhub:ASFFSyntaxPath/<fieldName>

Sustituya <fieldName> por el campo de ASFF. Al configurar el acceso a BatchUpdateFindings, incluya uno o más campos de ASFF específicos en su política de IAM en lugar de un campo de nivel principal. Por ejemplo, para restringir el acceso al campo Workflow.Status, debe incluir securityhub:ASFFSyntaxPath/Workflow.Status en su política en lugar del campo de nivel principal Workflow.

Cómo no permitir todas las actualizaciones de un campo

Para evitar que un usuario actualice un campo específico, utilice una condición como esta:


 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}

Por ejemplo, la siguiente declaración indica que no se puede usar BatchUpdateFindings para actualizar el campo de resultados Workflow.Status.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}

Cómo no permitir valores de campo específicos

Para evitar que un usuario establezca un campo en un valor específico, utilice una condición como esta:


"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}

Por ejemplo, la siguiente declaración indica que no se puede usar BatchUpdateFindings para establecer Workflow.Status como SUPPRESSED.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}

También puede proporcionar una lista de valores que no están permitidos.


 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}

Por ejemplo, la siguiente declaración indica que no se puede usar BatchUpdateFindings para establecer Workflow.Status como RESOLVED o SUPPRESSED.


{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

BatchImportFindings para encontrar proveedores

Revisión de los detalles y el historial de resultados