BatchImportFindings um Anbieter zu finden - AWS Security Hub
Voraussetzungen für die Verwendung von BatchImportFindingsFestlegen, ob ein Ergebnis erstellt oder aktualisiert werden sollEinschränkungen beim Auffinden von Updates mit BatchImportFindingsAktualisierung der Ergebnisse mit FindingProviderFields

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

BatchImportFindings um Anbieter zu finden

Finding Provider können den BatchImportFindingsVorgang nutzen, um neue Erkenntnisse in AWS Security Hub CSPM zu erstellen. Sie können diesen Vorgang auch verwenden, um die von ihnen erstellten Ergebnisse zu aktualisieren. Die Suche nach Anbietern kann keine Ergebnisse aktualisieren, die sie nicht selbst erstellt haben.

Kunden SIEMs, Ticketverkauf, SOAR und andere Arten von Tools müssen den BatchUpdateFindingsVorgang verwenden, um Aktualisierungen im Zusammenhang mit ihrer Untersuchung der Ergebnisse aus der Suche nach Anbietern vorzunehmen. Weitere Informationen finden Sie unter BatchUpdateFindings für Kunden.

Wenn Security Hub CSPM eine BatchImportFindings Anfrage zur Erstellung oder Aktualisierung eines Ergebnisses erhält, generiert es automatisch ein Security Hub Findings - ImportedEreignis in Amazon. EventBridge Sie können bei diesem Ereignis automatisierte Maßnahmen ergreifen. Weitere Informationen finden Sie unter Verwendung EventBridge für automatisierte Reaktionen und Problembehebungen.

Voraussetzungen für die Verwendung von BatchImportFindings

BatchImportFindingsmuss von einer der folgenden Personen aufgerufen werden:

  • Das Konto, das mit den Ergebnissen verknüpft ist. Die Kennung des zugehörigen Kontos muss mit dem Wert des AwsAccountId Attributs für den Befund übereinstimmen.

  • Ein Konto, das als offizielle Security Hub CSPM-Partnerintegration zugelassen ist.

Security Hub CSPM kann nur die Suche nach Updates für Konten akzeptieren, für die Security Hub CSPM aktiviert ist. Der Ergebnisanbieter muss ebenfalls aktiviert sein. Wenn Security Hub CSPM deaktiviert oder die Finding Provider-Integration nicht aktiviert ist, werden die Ergebnisse in der FailedFindings Liste mit einem InvalidAccess Fehler zurückgegeben.

Festlegen, ob ein Ergebnis erstellt oder aktualisiert werden soll

Um festzustellen, ob ein Ergebnis erstellt oder aktualisiert werden soll, überprüft Security Hub CSPM das ID Feld. Wenn der Wert von ID nicht mit einem vorhandenen Ergebnis übereinstimmt, erstellt Security Hub CSPM ein neues Ergebnis.

Wenn es ID mit einem vorhandenen Ergebnis übereinstimmt, überprüft Security Hub CSPM das UpdatedAt Feld auf das Update und geht wie folgt vor:

  • Wenn das Update mit UpdatedAt dem vorhandenen Ergebnis übereinstimmt oder davor UpdatedAt auftritt, ignoriert Security Hub CSPM die Aktualisierungsanfrage.

  • Wenn UpdatedAt das Update nach UpdatedAt dem vorhandenen Befund erfolgt, aktualisiert Security Hub CSPM den vorhandenen Befund.

Einschränkungen beim Auffinden von Updates mit BatchImportFindings

Die Suche nach Anbietern kann nicht verwendet BatchImportFindings werden, um die folgenden Attribute eines vorhandenen Ergebnisses zu aktualisieren:

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub CSPM ignoriert alle Inhalte, die in einer BatchImportFindings Anfrage für diese Attribute bereitgestellt werden. Kunden oder Organisationen, die in ihrem Namen handeln (z. B. Ticketing-Tools), können diese Attribute verwenden, BatchUpdateFindings um sie zu aktualisieren.

Aktualisierung der Ergebnisse mit FindingProviderFields

Finding Providers sollte außerdem nicht verwendet werdenBatchImportFindings, um die folgenden Top-Level-Attribute im AWS Security Finding Format (ASFF) zu aktualisieren:

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

Stattdessen sollte die Suche nach Anbietern das FindingProviderFieldsObjekt verwenden, um Werte für diese Attribute bereitzustellen.

Beispiel

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

Bei BatchImportFindings Anfragen verarbeitet Security Hub CSPM Werte in den Attributen der obersten Ebene und wie folgt. FindingProviderFields

(Preferred) BatchImportFindings liefert einen Wert für ein Attribut in FindingProviderFields, aber keinen Wert für das entsprechende Attribut der obersten Ebene.

Zum Beispiel BatchImportFindings liefertFindingProviderFields.Confidence, aber nicht. Confidence Dies ist die bevorzugte Option für BatchImportFindings Anfragen.

Security Hub CSPM aktualisiert den Wert des Attributs in. FindingProviderFields

Es repliziert den Wert nur dann in das Attribut der obersten Ebene, wenn das Attribut nicht bereits von aktualisiert wurde. BatchUpdateFindings

BatchImportFindingsliefert einen Wert für ein Attribut der obersten Ebene, aber keinen Wert für das entsprechende Attribut in. FindingProviderFields

Stellt beispielsweise BatchImportFindings bereitConfidence, liefert aber nicht. FindingProviderFields.Confidence

Security Hub CSPM verwendet den Wert, um das Attribut in zu aktualisieren. FindingProviderFields Es überschreibt jeden vorhandenen Wert.

Security Hub CSPM aktualisiert das Attribut der obersten Ebene nur, wenn das Attribut nicht bereits von aktualisiert wurde. BatchUpdateFindings

BatchImportFindingsstellt einen Wert sowohl für ein Attribut der obersten Ebene als auch für das entsprechende Attribut in bereit. FindingProviderFields

BatchImportFindingsStellt beispielsweise sowohl als auch Confidence bereit. FindingProviderFields.Confidence

Für ein neues Ergebnis verwendet Security Hub CSPM den Wert in, FindingProviderFields um sowohl das oberste Ebenenattribut als auch das entsprechende Attribut in aufzufüllen. FindingProviderFields Der angegebene Attributwert der obersten Ebene wird nicht verwendet.

Für ein vorhandenes Ergebnis verwendet Security Hub CSPM beide Werte. Der Attributwert der obersten Ebene wird jedoch nur aktualisiert, wenn das Attribut nicht bereits von aktualisiert wurde. BatchUpdateFindings