创建自动化规则 - Amazon Security Hub
创建自定义自动化规则使用模版创建自动化规则(仅限控制台)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建自动化规则

自动化规则可用于自动更新 Amazon Security Hub中的调查发现。您可以从头开始创建自动化规则,也可以在 Security Hub 控制台中使用预先填充的规则模板。有关自动化规则的工作原理的背景信息,请参阅了解 Security Hub 中的自动化规则

您一次只能创建一条自动化规则。要创建多个自动化规则,请多次遵循控制台程序,或者使用所需的参数多次调用API或命令。

您必须在您希望规则应用于调查发现的每个区域和账户中创建自动化规则。

当您在 Security Hub 控制台中创建自动化规则时,Security Hub 会显示您的规则所适用的调查发现预览。如果您的规则条件包含CONTAINS或 NOT _ CONTAINS 筛选器,则当前不支持预览。您可以为映射和字符串字段类型选择这些筛选条件。

重要

Amazon 建议您不要在规则名称、描述或其他字段中包含个人身份、机密或敏感信息。

创建自定义自动化规则

选择您的首选方式,完成以下步骤以创建自定义自动化规则。

Console
创建自定义自动化规则(控制台)

  1. 使用 Security Hub 管理员的凭据,在上打开 Amazon Security Hub 控制台https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 自动化

  3. 选择创建规则。在 “规则类型” 中,选择 “创建自定义规则”。

  4. 规则部分,为您的规则提供唯一的规则名称和描述。

  5. 对于条件,使用运算符下拉菜单来指定您的规则条件。您必须至少指定一项规则标准。

    如果您的选定条件支持,则控制台会显示符合您条件的调查发现预览。

  6. 对于自动操作,请使用下拉菜单,指定在调查发现符合规则条件时要更新的调查发现字段。您必须指定至少一个规则操作。

  7. 对于规则状态,请选择在规则创建后将其设置为启用或是禁用

  8. (可选)展开附加设置部分。如果您希望此规则成为应用于符合规则条件调查发现的最后一条规则,请选择忽略符合这些条件的调查发现后续规则

  9. (可选)对于标签,请以键-值对的形式添加标签以帮助您轻松识别规则。

  10. 选择创建规则

API
创建自定义自动化规则 (API)

  1. 从 Security Hub 管理员账户运行 CreateAutomationRule。这将API创建一个具有特定 Amazon 资源名称 (ARN) 的规则。

  2. 提供规则的名称和描述。

  3. 如果您希望此规则成为应用于符合规则条件调查发现的最后一条规则,请将 IsTerminal 参数设置为 true

  4. 对于 RuleOrder 参数,请提供规则的顺序。Security Hub 首先对该参数应用数值较小的规则。

  5. 对于 RuleStatus 参数,请指定是否希望 Security Hub 启用该规则,并在创建后开始将规则应用于结果。如果未指定值,则默认值为 ENABLED。值为 DISABLED 表示规则在创建后暂停。

  6. 对于 Criteria 参数,请提供您希望 Security Hub 用来筛选调查发现的条件。规则操作将适用于符合条件的调查发现。有关支持的标准的列表,请参阅 可用的规则条件和规则操作

  7. 对于 Actions 参数,请提供您希望 Security Hub 在调查发现与您定义的条件相匹配时采取的操作。有关受支持操作的列表,请参阅 可用的规则条件和规则操作

以下示例 Amazon CLI 命令创建了一条自动化规则,用于更新工作流程状态和匹配结果的注释。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠 (\) 行继续符来提高可读性。

$ aws securityhub create-automation-rule \
--actions '[{
 "Type": "FINDING_FIELDS_UPDATE",
 "FindingFieldsUpdate": {
 "Severity": {
 "Label": "HIGH"
 },
 "Note": {
 "Text": "Known issue that is a risk. Updated by automation rules",
 "UpdatedBy": "sechub-automation"
 }
 }
 }]' \
--criteria '{
 "SeverityLabel": [{
 "Value": "INFORMATIONAL",
 "Comparison": "EQUALS"
 }]
 }' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1

使用模版创建自动化规则(仅限控制台)

规则模板反映了自动化规则的常见用例。目前,只有 Security Hub 控制台支持规则模板。完成以下步骤以在控制台中的模板创建自动化规则。

使用模板创建自动化规则(控制台)

  1. 使用 Security Hub 管理员的凭据,在上打开 Amazon Security Hub 控制台https://console.aws.amazon.com/securityhub/

  2. 在导航窗格中,选择 自动化

  3. 选择创建规则。在 “规则类型” 中,选择 “从模板创建规则”。

  4. 从下拉菜单中选择规则模板。

  5. (可选)如果您的用例有需要,请修改规则条件自动操作部分。您必须指定至少一个规则条件和一个规则操作。

    如果您的选定条件支持,则控制台会显示符合您条件的调查发现预览。

  6. 对于规则状态,请选择在规则创建后将其设置为启用或是禁用

  7. (可选)展开附加设置部分。如果您希望此规则成为应用于符合规则条件调查发现的最后一条规则,请选择忽略符合这些条件的调查发现后续规则

  8. (可选)对于标签,请以键-值对的形式添加标签以帮助您轻松识别规则。

  9. 选择创建规则