本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 创建自动化规则
自动化规则可用于自动更新 Security Hub CSP AWS M 中的搜索结果。您可以从头开始创建自动化规则,也可以在 Security Hub CSPM 控制台中使用预先填充的规则模板。有关自动化规则的工作原理的背景信息,请参阅[了解 Security Hub CSPM 中的自动化规则](automation-rules.md)。
您一次只能创建一条自动化规则。要创建多个自动化规则,请多次遵循控制台过程,或者使用所需的参数多次调用 API 或命令。
您必须在您希望规则应用于调查发现的每个区域和账户中创建自动化规则。
当您在 Security Hub CSPM 控制台中创建自动化规则时,Security Hub CSPM 会显示您的规则所适用的调查发现测试版。如果您的规则条件包含 CONTAINS 或 NOT\$1CONTAINS 筛选条件,则当前不支持测试版。您可以为映射和字符串字段类型选择这些筛选条件。
**重要**
AWS 建议您不要在规则名称、描述或其他字段中包含个人身份、机密或敏感信息。
## 创建自定义自动化规则
选择您的首选方式,完成以下步骤以创建自定义自动化规则。
------
#### [ Console ]
**创建自定义自动化规则(控制台)**
1. 使用 Security Hub CSPM 管理员的凭据,打开 Sec AWS urity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **自动化**。
1. 选择 **Create rule**(创建规则)。对于**规则类型**,选择**创建自定义规则**。
1. 在**规则**部分,为您的规则提供唯一的规则名称和描述。
1. 对于**条件**,使用**键**、**运算符**和**值**下拉菜单来指定您的规则条件。您必须至少指定一项规则标准。
如果您的选定条件支持,则控制台会显示符合您条件的调查发现测试版。
1. 对于**自动操作**,请使用下拉菜单,指定在调查发现符合规则条件时要更新的调查发现字段。您必须指定至少一个规则操作。
1. 对于**规则状态**,请选择在规则创建后将其设置为**启用**或是**禁用**。
1. (可选)展开**附加设置**部分。如果您希望此规则成为应用于符合规则条件调查发现的最后一条规则,请选择**忽略符合这些条件的调查发现后续规则**。
1. (可选)对于**标签**,请以键-值对的形式添加标签以帮助您轻松识别规则。
1. 选择 **Create rule**(创建规则)。
------
#### [ API ]
**创建自定义自动化规则(API)**
1. 从 Security Hub CSPM 管理员账户运行 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html)。此 API 使用特定的 Amazon 资源名称(ARN)创建规则。
1. 提供规则的名称和描述。
1. 如果您希望此规则成为应用于符合规则条件调查发现的最后一条规则,请将 `IsTerminal` 参数设置为 `true`。
1. 对于 `RuleOrder` 参数,请提供规则的顺序。Security Hub CSPM 首先对此参数应用数值较小的规则。
1. 对于 `RuleStatus` 参数,请指定是否希望 Security Hub CSPM 启用该规则,并在创建后开始将规则应用于调查发现。如果未指定值,则默认值为 `ENABLED`。值为 `DISABLED` 表示规则在创建后暂停。
1. 对于 `Criteria` 参数,请提供您希望 Security Hub CSPM 用来筛选调查发现的条件。规则操作将适用于符合条件的调查发现。有关支持的标准的列表,请参阅 [可用的规则条件和规则操作](automation-rules.md#automation-rules-criteria-actions)。
1. 对于 `Actions` 参数,请提供您希望 Security Hub CSPM 在调查发现与您定义的条件相匹配时采取的操作。有关受支持操作的列表,请参阅 [可用的规则条件和规则操作](automation-rules.md#automation-rules-criteria-actions)。
以下示例 AWS CLI 命令创建了一条自动化规则,用于更新工作流程状态和匹配结果的注释。此示例是针对 Linux、macOS 或 Unix 进行格式化的,它使用反斜杠(\$1)行继续符来提高可读性。
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## 使用模版创建自动化规则(仅限控制台)
规则模板反映了自动化规则的常见用例。目前,只有 Security Hub CSPM 控制台支持规则模板。完成以下步骤以在控制台中的模板创建自动化规则。
**使用模板创建自动化规则(控制台)**
1. 使用 Security Hub CSPM 管理员的凭据,打开 Sec AWS urity Hub CSPM 控制台,网址为。[https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. 在导航窗格中,选择 **自动化**。
1. 选择 **Create rule**(创建规则)。在**规则类型**中,选择**从模板创建规则**。
1. 从下拉菜单中选择规则模板。
1. (可选)如果您的用例有需要,请修改**规则**、**条件**和**自动操作**部分。您必须指定至少一个规则条件和一个规则操作。
如果您的选定条件支持,则控制台会显示符合您条件的调查发现测试版。
1. 对于**规则状态**,请选择在规则创建后将其设置为**启用**或是**禁用**。
1. (可选)展开**附加设置**部分。如果您希望此规则成为应用于符合规则条件调查发现的最后一条规则,请选择**忽略符合这些条件的调查发现后续规则**。
1. (可选)对于**标签**,请以键-值对的形式添加标签以帮助您轻松识别规则。
1. 选择 **Create rule**(创建规则)。