BatchImportFindings para proveedores de resultados - AWS Security Hub
Requisitos previos para utilizar BatchImportFindingsDeterminación de si se debe crear o actualizar un hallazgoRestricciones para la actualización de resultados con BatchImportFindingsActualizar los resultados mediante FindingProviderFields

BatchImportFindings para proveedores de resultados

Los proveedores de resultados pueden usar la operación BatchImportFindings para crear nuevos resultados en el CSPM de AWS Security Hub. También pueden usar esta operación para actualizar resultados que ellos mismos hayan creado. Los proveedores de resultados no pueden actualizar resultados que no hayan creado.

Los clientes, los SIEM, las herramientas de ticketing, las soluciones SOAR y otros tipos de herramientas deben usar la operación BatchUpdateFindings para realizar actualizaciones relacionadas con la investigación de resultados provenientes de proveedores de resultados. Para obtener más información, consulte BatchUpdateFindings para clientes.

Cuando el CSPM de Security Hub recibe una solicitud BatchImportFindings para crear o actualizar un resultado, genera automáticamente un evento Security Hub Findings - Imported en Amazon EventBridge. Puede tomar medidas automatizadas en relación con ese evento. Para obtener más información, consulte Uso de EventBridge para la respuesta y la corrección automatizadas.

Requisitos previos para utilizar BatchImportFindings

BatchImportFindings debe ser llamada por una de las siguientes opciones:

  • La cuenta que está asociada al resultado. El identificador de la cuenta asociada debe coincidir con el valor del atributo AwsAccountId del resultado.

  • Una cuenta que figure en la lista de cuentas permitidas como integración oficial del CSPM de Security Hub.

El CSPM de Security Hub solo puede aceptar actualizaciones de resultados para cuentas que tengan habilitado el CSPM de Security Hub. El proveedor de hallazgos también debe estar habilitado. Si el CSPM de Security Hub está desactivado, o si la integración con el proveedor de resultados no está habilitada, los resultados se devuelven en la lista FailedFindings con un error InvalidAccess.

Determinación de si se debe crear o actualizar un hallazgo

Para determinar si debe crear o actualizar un resultado, el CSPM de Security Hub revisa el campo ID. Si el valor de ID no coincide con un resultado existente, el CSPM de Security Hub crea un resultado nuevo.

Si ID coincide con un resultado existente, el CSPM de Security Hub verifica el campo UpdatedAt de la actualización y procede de la siguiente manera:

  • Si el valor de UpdatedAt en la actualización coincide con UpdatedAt o es anterior a este en el resultado existente, el CSPM de Security Hub ignora la solicitud de actualización.

  • Si el valor de UpdatedAt en la actualización es posterior a UpdatedAt en el resultado existente, el CSPM de Security Hub actualiza el resultado.

Restricciones para la actualización de resultados con BatchImportFindings

Los proveedores de resultados no pueden utilizar BatchImportFindings para actualizar los siguientes atributos de un resultado existente:

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

El CSPM de Security Hub ignora cualquier contenido incluido en una solicitud de BatchImportFindings para estos atributos. Los clientes o las entidades que actúan en su nombre (como las herramientas de creación de tickets) pueden utilizar BatchUpdateFindings para actualizar estos atributos.

Actualizar los resultados mediante FindingProviderFields

Los proveedores de resultados tampoco deberían utilizar BatchImportFindings para actualizar los siguientes atributos de nivel superior en el Formato de resultados de seguridad de AWS (ASFF):

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

En su lugar, los proveedores de resultados deben utilizar el objeto FindingProviderFields para proporcionar valores para estos atributos.

Ejemplo

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

En el caso de las solicitudes BatchImportFindings, el CSPM de Security Hub maneja los valores de los atributos de nivel superior y los de FindingProviderFields de la siguiente forma:

(Opción preferida): BatchImportFindings proporciona un valor para un atributo en FindingProviderFields, pero no proporciona un valor para el atributo equivalente de nivel superior.

Por ejemplo, BatchImportFindings proporciona FindingProviderFields.Confidence, pero no proporciona Confidence. Esta es la opción preferida para las solicitudes BatchImportFindings.

El CSPM de Security Hub actualiza el valor del atributo en FindingProviderFields.

Replica el valor en el atributo de nivel superior solo si BatchUpdateFindings aún no actualizó el atributo.

BatchImportFindings proporciona un valor para un atributo de nivel superior, pero no proporciona un valor para el atributo correspondiente FindingProviderFields.

Por ejemplo, BatchImportFindings proporciona Confidence, pero no proporciona FindingProviderFields.Confidence.

El CSPM de Security Hub usa el valor para actualizar el atributo en FindingProviderFields. Sobrescribe cualquier valor existente.

El CSPM de Security Hub actualiza el atributo de nivel superior solo si BatchUpdateFindings aún no ha actualizado el atributo.

BatchImportFindings proporciona un valor tanto para un atributo de nivel superior como para el atributo correspondiente a FindingProviderFields.

Por ejemplo, BatchImportFindings proporciona tanto Confidence como FindingProviderFields.Confidence.

Si se trata de un resultado nuevo, el CSPM de Security Hub utiliza el valor dentro de FindingProviderFields para rellenar tanto el atributo de nivel superior como el atributo correspondiente dentro de FindingProviderFields. No utiliza el valor de atributo de nivel superior proporcionado.

En el caso de un resultado existente, el CSPM de Security Hub usa ambos valores. Sin embargo, actualiza el valor del atributo de nivel superior solo si aún no ha actualizado el atributo BatchUpdateFindings.