本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
BatchUpdateFindings 为顾客服务
Security Hub 客户和代表他们行事的实体可以使用 BatchUpdateFindings
操作更新与客户对来自调查发现提供者的 Security Hub 调查发现的处理相关的信息。客户或工单SIEM、事件管理或代表客户工作的SOAR工具都可以使用此操作。
您不能使用 BatchUpdateFindings
来创建新调查发现。您可以用它来一次更新多达 100 个结果。在请求中,您可以指定要更新的 Amazon 安全调查结果格式 (ASFF) 字段。
当 Security Hub 收到更新调查结果的BatchUpdateFindings
请求时,它会自动生成一个 Security Hub Findings
- Imported亚马逊上的活动 EventBridge。您可以对该事件执行自动操作。有关信息,请参阅 EventBridge 用于自动响应和补救。
BatchUpdateFindings
不会更改调查发现的 UpdatedAt
字段。UpdatedAt
会反映来自调查发现提供者的最新更新。
的可用字段 BatchUpdateFindings
如果您已登录 Security Hub 管理员账户,则可以使用 BatchUpdateFindings
更新该管理员账户或成员账户生成的调查发现。成员账户仅可以使用 BatchUpdateFindings
更新其账户的调查发现。
客户可以使用 BatchUpdateFindings
更新以下字段和对象:
-
Confidence
-
Criticality
-
Note
-
RelatedFindings
-
Severity
-
Types
-
UserDefinedFields
-
VerificationState
-
Workflow
配置访问权限 BatchUpdateFindings
您可以配置 Amazon Identity and Access Management (IAM) 策略以限制访问权限,BatchUpdateFindings
用于更新查找字段和字段值。
在限制访问 BatchUpdateFindings
的语句中,使用以下值:
-
Action
是securityhub:BatchUpdateFindings
-
Effect
是Deny
-
对于
Condition
,您可以根据以下条件拒绝BatchUpdateFindings
请求:-
调查发现包括一个特定的字段。
-
调查发现包括一个特定的字段值。
-
条件键
这些是限制访问 BatchUpdateFindings
的条件键。
- ASFF 字段
-
ASFF字段的条件键如下所示:
securityhub:ASFFSyntaxPath/
<fieldName>
替换为ASFF字段。配置访问权限时<fieldName>
BatchUpdateFindings
,请在IAM策略中包含一个或多个特定ASFF字段,而不是父级字段。例如,要限制对Workflow.Status
字段的访问权限,您必须在策略中包含securityhub:ASFFSyntaxPath/Workflow.Status
而不是Workflow
父级字段。
禁止对某个字段进行所有更新
要防止用户对特定字段进行任何更新,请使用如下条件:
"Condition": { "Null": { "securityhub:ASFFSyntaxPath/
<fieldName>
": "false" } }
例如,以下语句表示 BatchUpdateFindings
不能用于更新调查发现的 Workflow.Status
字段。
{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Workflow.Status": "false" } } }
禁用特定的字段值
要防止用户将字段设置为特定值,请使用如下条件:
"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/
<fieldName>
": "<fieldValue>" } }
例如,以下语句表示 BatchUpdateFindings
不能用于把 Workflow.Status
设置为 SUPPRESSED
。
{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" } }
您还可以提供不允许的值的列表。
"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": [ "
<fieldValue1>
", "<fieldValue2>
", "<fieldValuen>
" ] } }
例如,以下语句表示BatchUpdateFindings
不能用于把 Workflow.Status
设置为 RESOLVED
或 SUPPRESSED
。
{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": [ "RESOLVED", "NOTIFIED" ] } }