BatchUpdateFindings 为顾客服务 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

BatchUpdateFindings 为顾客服务

Security Hub 客户和代表他们行事的实体可以使用 BatchUpdateFindings 操作更新与客户对来自调查发现提供者的 Security Hub 调查发现的处理相关的信息。客户或工单SIEM、事件管理或代表客户工作的SOAR工具都可以使用此操作。

您不能使用 BatchUpdateFindings 来创建新调查发现。您可以用它来一次更新多达 100 个结果。在请求中,您可以指定要更新的 Amazon 安全调查结果格式 (ASFF) 字段。

当 Security Hub 收到更新调查结果的BatchUpdateFindings请求时,它会自动生成一个 Security Hub Findings - Imported亚马逊上的活动 EventBridge。您可以对该事件执行自动操作。有关信息,请参阅 EventBridge 用于自动响应和补救

BatchUpdateFindings 不会更改调查发现的 UpdatedAt 字段。UpdatedAt 会反映来自调查发现提供者的最新更新。

的可用字段 BatchUpdateFindings

如果您已登录 Security Hub 管理员账户,则可以使用 BatchUpdateFindings 更新该管理员账户或成员账户生成的调查发现。成员账户仅可以使用 BatchUpdateFindings 更新其账户的调查发现。

客户可以使用 BatchUpdateFindings 更新以下字段和对象:

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

配置访问权限 BatchUpdateFindings

您可以配置 Amazon Identity and Access Management (IAM) 策略以限制访问权限,BatchUpdateFindings用于更新查找字段和字段值。

在限制访问 BatchUpdateFindings 的语句中,使用以下值:

  • Actionsecurityhub:BatchUpdateFindings

  • EffectDeny

  • 对于 Condition,您可以根据以下条件拒绝 BatchUpdateFindings 请求:

    • 调查发现包括一个特定的字段。

    • 调查发现包括一个特定的字段值。

条件键

这些是限制访问 BatchUpdateFindings 的条件键。

ASFF 字段

ASFF字段的条件键如下所示:

securityhub:ASFFSyntaxPath/<fieldName>

<fieldName>替换为ASFF字段。配置访问权限时BatchUpdateFindings,请在IAM策略中包含一个或多个特定ASFF字段,而不是父级字段。例如,要限制对 Workflow.Status 字段的访问权限,您必须在策略中包含 securityhub:ASFFSyntaxPath/Workflow.Status 而不是 Workflow 父级字段。

禁止对某个字段进行所有更新

要防止用户对特定字段进行任何更新,请使用如下条件:

"Condition": { "Null": { "securityhub:ASFFSyntaxPath/<fieldName>": "false" } }

例如,以下语句表示 BatchUpdateFindings 不能用于更新调查发现的 Workflow.Status 字段。

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Workflow.Status": "false" } } }

禁用特定的字段值

要防止用户将字段设置为特定值,请使用如下条件:

"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>" } }

例如,以下语句表示 BatchUpdateFindings 不能用于把 Workflow.Status 设置为 SUPPRESSED

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } }

您还可以提供不允许的值的列表。

"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ] } }

例如,以下语句表示BatchUpdateFindings 不能用于把 Workflow.Status 设置为 RESOLVEDSUPPRESSED

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": [ "RESOLVED", "NOTIFIED" ] } }