BatchImportFindings para encontrar proveedores - AWS Security Hub
Requisitos previos para utilizar BatchImportFindingsDeterminación de si se debe crear o actualizar un hallazgoRestricciones para la actualización de resultados con BatchImportFindingsActualizar los resultados mediante FindingProviderFields

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

BatchImportFindings para encontrar proveedores

La búsqueda de proveedores puede utilizar la BatchImportFindingsoperación para crear nuevos hallazgos en AWS Security Hub CSPM. También pueden usar esta operación para actualizar los hallazgos que han creado. Al buscar proveedores, no se pueden actualizar los hallazgos que ellos no crearon.

Los clientes SIEMs, la venta de entradas, la SOAR y otros tipos de herramientas deben utilizar esta BatchUpdateFindingsoperación para realizar actualizaciones relacionadas con su investigación de los resultados obtenidos al encontrar proveedores. Para obtener más información, consulte BatchUpdateFindings para clientes.

Cuando Security Hub CSPM recibe una BatchImportFindings solicitud para crear o actualizar un hallazgo, genera automáticamente un Security Hub Findings - Importedevento en Amazon. EventBridge Puede tomar medidas automatizadas en relación con ese evento. Para obtener más información, consulte Uso EventBridge para respuesta y remediación automatizadas.

Requisitos previos para utilizar BatchImportFindings

BatchImportFindings debe ser llamada por una de las siguientes opciones:

  • La cuenta que está asociada al resultado. El identificador de la cuenta asociada debe coincidir con el valor del atributo AwsAccountId del resultado.

  • Una cuenta que figura en la lista de permitidos como integración oficial de socios de CSPM de Security Hub.

Security Hub CSPM solo puede aceptar la búsqueda de actualizaciones para cuentas que tengan activado Security Hub CSPM. El proveedor de hallazgos también debe estar habilitado. Si el CSPM de Security Hub está deshabilitado o la integración del proveedor de búsqueda no está habilitada, los hallazgos se muestran en la FailedFindings lista con un InvalidAccess error.

Determinación de si se debe crear o actualizar un hallazgo

Para determinar si se debe crear o actualizar un hallazgo, Security Hub CSPM comprueba el ID campo. Si el valor de ID no coincide con un hallazgo existente, Security Hub CSPM crea un nuevo hallazgo.

Si ID coincide con un hallazgo existente, Security Hub CSPM comprueba el UpdatedAt campo para ver si hay una actualización y procede de la siguiente manera:

  • Si UpdatedAt la actualización coincide con el hallazgo existente o se produce antesUpdatedAt, Security Hub CSPM ignora la solicitud de actualización.

  • Si UpdatedAt la actualización se produce después UpdatedAt del hallazgo existente, Security Hub CSPM actualiza el hallazgo existente.

Restricciones para la actualización de resultados con BatchImportFindings

Los proveedores de resultados no pueden utilizar BatchImportFindings para actualizar los siguientes atributos de un resultado existente:

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub CSPM ignora cualquier contenido proporcionado en una BatchImportFindings solicitud de estos atributos. Los clientes o las entidades que actúan en su nombre (como las herramientas de creación de tickets) pueden utilizar BatchUpdateFindings para actualizar estos atributos.

Actualizar los resultados mediante FindingProviderFields

La búsqueda de proveedores tampoco debería servir BatchImportFindings para actualizar los siguientes atributos de nivel superior en el formato de búsqueda de AWS seguridad (ASFF):

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

En su lugar, los proveedores de resultados deben utilizar el objeto FindingProviderFields para proporcionar valores para estos atributos.

Ejemplo

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

En el caso de BatchImportFindings las solicitudes, Security Hub CSPM gestiona los valores de los atributos de nivel superior y de la siguiente manera FindingProviderFields.

(Preferido) BatchImportFindings proporciona un valor para un atributo FindingProviderFields, pero no proporciona un valor para el atributo de nivel superior correspondiente.

Por ejemplo, BatchImportFindings proporciona FindingProviderFields.Confidence, pero no proporciona Confidence. Esta es la opción preferida para las solicitudes BatchImportFindings.

Security Hub CSPM actualiza el valor del atributo en. FindingProviderFields

Replica el valor en el atributo de nivel superior solo si BatchUpdateFindings aún no actualizó el atributo.

BatchImportFindings proporciona un valor para un atributo de nivel superior, pero no proporciona un valor para el atributo correspondiente FindingProviderFields.

Por ejemplo, BatchImportFindings proporciona Confidence, pero no proporciona FindingProviderFields.Confidence.

Security Hub CSPM utiliza el valor para actualizar el atributo en. FindingProviderFields Sobrescribe cualquier valor existente.

El CSPM de Security Hub actualiza el atributo de nivel superior solo si el atributo aún no lo ha actualizado. BatchUpdateFindings

BatchImportFindings proporciona un valor tanto para un atributo de nivel superior como para el atributo correspondiente a FindingProviderFields.

Por ejemplo, BatchImportFindings proporciona tanto Confidence como FindingProviderFields.Confidence.

Si se trata de un nuevo hallazgo, el CSPM de Security Hub utiliza el valor in FindingProviderFields para rellenar tanto el atributo de nivel superior como el atributo correspondiente. FindingProviderFields No utiliza el valor de atributo de nivel superior proporcionado.

Para un hallazgo existente, el CSPM de Security Hub utiliza ambos valores. Sin embargo, actualiza el valor del atributo de nivel superior solo si BatchUpdateFindings aún no ha actualizado el atributo.