Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Automatisierungsregeln in Security Hub
Mit Security Hub können Sie Aufgaben wie das Aktualisieren von Suchdetails und das Erstellen von Tickets für Integrationen von Drittanbietern automatisieren.
## Automatisierungsregeln und AWS-Regionen
Automatisierungsregeln können in einem erstellt AWS-Region und dann in allen konfigurierten Regeln angewendet werden AWS-Regionen. Wenn Sie die Regionsaggregation verwenden, können Sie Regeln nur in der Heimatregion erstellen. Wenn Sie Regeln in der Heimatregion erstellen, wird jede Regel, die Sie definieren, auf alle verknüpften Regionen angewendet, es sei denn, Ihre Regelkriterien schließen eine bestimmte verknüpfte Region aus. Sie müssen eine Automatisierungsregel für jede Region erstellen, die keine verknüpfte Region ist.
## Regelaktionen und Kriterien
Automatisierungsregeln in Security Hub verwenden Kriterien, um in Security Hub Hub-Ergebnissen auf OCSF-Attribute zu verweisen. Beispielsweise stimmen die für den `Criteria` Parameter in unterstützten Filter mit den Filtern [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRuleV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRuleV2.html)überein, die für den `Criteria` Parameter in [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingsV2.html)unterstützt werden. Das bedeutet, dass Filter, die in Automatisierungsregeln verwendet werden, verwendet werden können, um Ergebnisse zu erhalten. Security Hub unterstützt die folgenden OCSF-Felder für Automatisierungsregelkriterien.
| OCSF-Feld | Wert des Konsolenfilters | Filteroperatoren | Feldtyp |
| --- | --- | --- | --- |
| activity\_name | Activity name | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| class\_name | Finding class name | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| cloud.account.uid | Account ID | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| cloud.provider | Cloud provider | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| cloud.region | Region | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| comment | Comment | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| compliance.assessments.category | Assessment category | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| compliance.assessments.name | Assessment name | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| compliance.control | Security control ID | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| compliance.standards | Applicable standards | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| compliance.status | Compliance status | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| finding\_info.desc | Finding description | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| finding\_info.related\_events.product.uid | Related findings product ID | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| finding\_info.related\_events.title | Related findings title | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| finding\_info.related\_events.uid | Related findings ID | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| finding\_info.src\_url | Source URL | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| finding\_info.types | Finding type | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| finding\_info.uid | Provider ID | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| metadata.product.feature.uid | Generator ID | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| metadata.product.name | Product name | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| metadata.product.uid | Product ARN | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| metadata.product.vendor\_name | Company name | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| metadata.uid | Finding ID | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| remediation.desc | Recommendation text | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| remediation.references | Recommendation URL | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| resources.cloud\_partition | Resource partition | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| resources.name | Resource name | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| resources.region | Resource region | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| resources.type | Resource type | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| resources.uid | Resource ID | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| severity | Severity | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| status | Status | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| vulnerabilities.fix\_coverage | Software vulnerabilities coverage | EQUALS, PREFIX, NOT\_CONTAINS, NOT\_EQUALS, PREFIX\_NOT\_EQUALS | String |
| finding\_info.first\_seen\_time\_dt | First observed at | Start, End, DateRange | Date (formatted as 2022-12-01T21:47:39.269Z) |
| finding\_info.last\_seen\_time\_dt | Last observed at | Start, End, DateRange | Date (formatted as 2022-12-01T21:47:39.269Z) |
| finding\_info.modified\_time\_dt | Updated at | Start, End, DateRange | Date (formatted as 2022-12-01T21:47:39.269Z) |
| compliance.assessments.meets\_criteria | Compliance assessment meets criteria | True, False | Boolean |
| vulnerabilities.is\_exploit\_available | Software vulnerabilities with exploit available | True, False | Boolean |
| vulnerabilities.is\_fix\_available | Software vulnerabilities with fix available | True, False | Boolean |
| activity\_id | Activity ID | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| compliance.status\_id | Compliance status ID | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| confidence\_score | Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| severity\_id | Severity ID | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| status\_id | Status ID | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| finding\_info.related\_events\_count | Related findings count | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Number |
| resources.tags | Resource tags | EQUALS | Map |
Bei Kriterien, die als Zeichenkettenfelder gekennzeichnet sind, wirkt sich die Verwendung verschiedener Filteroperatoren für dasselbe Feld auf die Bewertungslogik aus. Weitere Informationen finden Sie [StringFilter](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html)in der *Security Hub Hub-API-Referenz*.
Jedes Kriterium unterstützt eine maximale Anzahl von Werten, anhand derer übereinstimmende Ergebnisse gefiltert werden können. Die Grenzen der einzelnen Kriterien finden Sie [OcsfFindingFilters](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_OcsfFindingFilters.html)in der *Security Hub API-Referenz*
**OCSF-Felder, die aktualisiert werden können**
Im Folgenden sind die OCSF-Felder aufgeführt, die mithilfe von Automatisierungsregeln aktualisiert werden können.
+ `Comment`
+ `SeverityId`
+ `StatusId`
## Wie Automatisierungsregeln Ergebnisse auswerten
Eine Automatisierungsregel wertet neue und aktualisierte Ergebnisse aus, die Security Hub generiert oder aufnimmt, nachdem Sie die Regel erstellt haben.
Automatisierungsregeln bewerten ursprüngliche, vom Anbieter bereitgestellte Ergebnisse. Durch die Integration mit Security Hub können Anbieter neue Erkenntnisse liefern und bestehende Erkenntnisse aktualisieren. Regeln werden nicht ausgelöst, wenn Sie Suchfelder nach der Regelerstellung im Rahmen des `BatchUpdateFindingsV2` Vorgangs aktualisieren. Wenn Sie eine Automatisierungsregel erstellen und eine `BatchUpdateFindingsV2` Aktualisierung vornehmen, die sich beide auf dasselbe Ergebnisfeld auswirken, legt die letzte Aktualisierung den Wert für dieses Feld fest. Nehmen wir das folgende Beispiel:
Sie verwenden`BatchUpdateFindingsV2`, um das `Status` Feld eines Befundes von bis `New` zu zu aktualisieren`In Process`. Wenn Sie aufrufen`GetFindingsV2`, hat das `Status` Feld jetzt den Wert`In Process`. Sie erstellen eine Automatisierungsregel, die das `Status` Feld des Ergebnisses von `New` zu ändert `Suppressed` (denken Sie daran, dass Regeln Aktualisierungen ignorieren, die mit vorgenommen wurden`BatchUpdateFindingsV2`). Der Suchprovider aktualisiert den Befund und ändert das `Status` Feld in`New`. Wenn Sie aufrufen`GetFindingsV2`, hat das `Status` Feld jetzt den Wert, `Suppressed` weil die Automatisierungsregel angewendet wurde und die Regel die letzte Aktion war, die auf das Ergebnis angewendet wurde.
Wenn Sie eine Regel auf der Security Hub Hub-Konsole erstellen oder bearbeiten, zeigt die Konsole eine Vorschau der Ergebnisse an, die den Regelkriterien entsprechen. Während Automatisierungsregeln die ursprünglichen Ergebnisse auswerten, die vom Anbieter für die Suche gesendet wurden, werden in der Konsolenvorschau die Ergebnisse in ihrem endgültigen Zustand wiedergegeben, so wie sie als Reaktion auf den `GetFindingsV2` API-Vorgang angezeigt würden (d. h. nachdem Regelaktionen oder andere Aktualisierungen auf das Ergebnis angewendet wurden).
## Wie sind die Automatisierungsregeln angeordnet
Jeder Automatisierungsregel wird eine Regelreihenfolge zugewiesen. Dies bestimmt die Reihenfolge, in der Security Hub Ihre Automatisierungsregeln anwendet, und ist wichtig, wenn sich mehrere Regeln auf dasselbe Ergebnis oder Findungsfeld beziehen.
Wenn sich mehrere Regelaktionen auf dasselbe Befund- oder Findungsfeld beziehen, gilt die Regel mit dem höchsten numerischen Wert für die Reihenfolge der Regeln zuletzt und hat die endgültige Wirkung.
Wenn Sie eine Regel in der Security Hub-Konsole erstellen, weist Security Hub automatisch die Regelreihenfolge auf der Grundlage der Reihenfolge der Regelerstellung zu. Die erste Regel, die Sie erstellen, hat die Regelreihenfolge 1. Wenn mehr als eine Regel vorhanden ist, hat jede anschließend erstellte Regel den nächsthöheren verfügbaren numerischen Wert für die Regelreihenfolge.
Wenn Sie eine Regel über [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRuleV2.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRuleV2.html)API oder erstellen AWS CLI, wendet Security Hub `RuleOrder` zuerst die Regel mit dem niedrigsten numerischen Wert an. Anschließend werden nachfolgende Regeln in aufsteigender Reihenfolge angewendet. Wenn mehrere Ergebnisse identisch sind`RuleOrder`, wendet Security Hub zuerst eine Regel mit einem früheren Wert für das `UpdatedAt` Feld an (d. h. die Regel, die zuletzt bearbeitet wurde, gilt zuletzt).
Sie können die Reihenfolge der Regeln jederzeit ändern.
**Beispiel für die Reihenfolge der Regeln**:
**Regel A (Regelreihenfolge ist`1`)**:
+ Kriterien für Regel A
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type` ist `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState` ist `NEW`
+ `Workflow.Status` = `ACTIVE`
+ Aktionen nach Regel A
+ Update `Confidence` auf `95`
+ Aktualisieren `Severity` auf `CRITICAL`
+ Aktualisieren `Comment` auf `This needs attention`
**Regel B (Reihenfolge der Regeln ist`2`)**:
+ Kriterien für Regel B
+ `AwsAccountId` = `123456789012`
+ Aktionen nach Regel B
+ Update `Severity` auf `INFORMATIONAL`
Erstens gelten die Aktionen nach Regel A für Security Hub Hub-Ergebnisse, die den Kriterien von Regel A entsprechen. Anschließend gelten die Aktionen nach Regel B für Security Hub Hub-Ergebnisse mit der angegebenen Konto-ID. Da Regel B in diesem Beispiel zuletzt gilt, lautet der Endwert von `Severity` in findings from the specified account ID`INFORMATIONAL`. Basierend auf der Regel A-Aktion ist der Endwert von `Confidence` in übereinstimmenden Ergebnissen`95`.
## Integrationen von Drittanbietern
Sie können Automatisierungsregeln verwenden, um Tickets für Integrationen mit Jira Cloud und ServiceNow ITSM zu erstellen. Weitere Informationen finden Sie unter [Regel für eine Drittanbieter-Integration erstellen](https://docs.aws.amazon.com/securityhub/latest/userguide/securithub-v2-automation-rules-create.html#integration).
## Szenarien, in denen Automatisierungsregeln nicht funktionieren
Im Folgenden sind Szenarien aufgeführt, in denen Automatisierungsregeln nicht funktionieren.
+ Das eigenständige Konto wird Mitglied einer Organisation mit einem delegierten Administrator
+ Das Organisationsverwaltungskonto entfernt den delegierten Administrator und richtet einen neuen delegierten Administrator ein
+ Die Aggregatorkonfiguration für den delegierten Administrator oder das eigenständige Konto ändert sich, wenn aus einer Region ohne Verknüpfung eine verknüpfte Region wird
In diesen Szenarien kann ein Mitglied einer Organisation Automatisierungsregeln mit Listen-, Abruf- und Löschvorgängen im oder verwalten. AWS CLI APIs
Wenn eine nicht verknüpfte Region zu einer verknüpften Region gemacht wird, kann der delegierte Administrator oder das eigenständige Konto Ressourcen in einer verknüpften Region mit Auflisten-, Abruf- und Löschvorgängen verwalten.