BatchImportFindings pour trouver des fournisseurs - AWS Security Hub
Conditions préalables pour l'utilisation du BatchImportFindings.Déterminer s'il faut créer ou mettre à jour un résultatRestrictions concernant la recherche de mises à jour avec BatchImportFindingsMettre à jour les résultats avec FindingProviderFields

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

BatchImportFindings pour trouver des fournisseurs

La recherche de fournisseurs peut utiliser cette BatchImportFindingsopération pour créer de nouvelles découvertes dans AWS Security Hub CSPM. Ils peuvent également utiliser cette opération pour mettre à jour les résultats qu'ils ont créés. La recherche de fournisseurs ne permet pas de mettre à jour des résultats qu'ils n'ont pas créés.

Les clients SIEMs, la billetterie, le SOAR et d'autres types d'outils doivent utiliser cette BatchUpdateFindingsopération pour effectuer des mises à jour liées à leur enquête sur les résultats de la recherche de fournisseurs. Pour de plus amples informations, veuillez consulter BatchUpdateFindings pour les clients.

Lorsque Security Hub CSPM reçoit une BatchImportFindings demande de création ou de mise à jour d'un résultat, il génère automatiquement un Security Hub Findings - Importedévénement sur Amazon. EventBridge Vous pouvez prendre des mesures automatisées sur cet événement. Pour de plus amples informations, veuillez consulter Utilisation EventBridge pour une réponse et une correction automatisées.

Conditions préalables pour l'utilisation du BatchImportFindings.

BatchImportFindingsdoit être appelé par l'une des personnes suivantes :

  • Le compte associé aux résultats. L'identifiant du compte associé doit correspondre à la valeur de l'AwsAccountIdattribut utilisé pour la recherche.

  • Un compte autorisé en tant qu'intégration officielle des partenaires Security Hub CSPM.

Security Hub CSPM peut uniquement accepter de rechercher des mises à jour pour les comptes sur lesquels Security Hub CSPM est activé. Le fournisseur de résultats doit également être activé. Si Security Hub CSPM est désactivé ou si l'intégration du fournisseur de recherche n'est pas activée, les résultats sont renvoyés dans la FailedFindings liste avec une InvalidAccess erreur.

Déterminer s'il faut créer ou mettre à jour un résultat

Pour déterminer s'il convient de créer ou de mettre à jour un résultat, Security Hub CSPM vérifie le ID champ. Si la valeur de ID ne correspond pas à un résultat existant, Security Hub CSPM crée un nouveau résultat.

S'il ID correspond à un résultat existant, Security Hub CSPM vérifie la mise à jour dans le UpdatedAt champ et procède comme suit :

  • Si UpdatedAt la mise à jour correspond à la constatation existante ou si elle intervient avantUpdatedAt, Security Hub CSPM ignore la demande de mise à jour.

  • Si UpdatedAt la mise à jour intervient après UpdatedAt le résultat existant, Security Hub CSPM met à jour le résultat existant.

Restrictions concernant la recherche de mises à jour avec BatchImportFindings

Les fournisseurs de recherche ne peuvent pas BatchImportFindings les utiliser pour mettre à jour les attributs suivants d'une recherche existante :

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub CSPM ignore tout contenu fourni dans une BatchImportFindings demande pour ces attributs. Les clients, ou les entités agissant en leur nom (tels que les outils de billetterie), peuvent utiliser BatchUpdateFindings pour mettre à jour ces attributs.

Mettre à jour les résultats avec FindingProviderFields

Les fournisseurs de recherche ne doivent pas non plus les utiliser BatchImportFindings pour mettre à jour les attributs de haut niveau suivants dans le format ASFF ( AWS Security Finding Format) :

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

La recherche de fournisseurs doit plutôt utiliser l'FindingProviderFieldsobjet pour fournir des valeurs pour ces attributs.

Exemple

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

Pour les BatchImportFindings demandes, Security Hub CSPM gère les valeurs des attributs de niveau supérieur et de la manière FindingProviderFieldssuivante.

(Préféré) BatchImportFindings fournit une valeur pour un attribut dans FindingProviderFields, mais ne fournit pas de valeur pour l'attribut de niveau supérieur correspondant.

Par exemple, BatchImportFindings fournitFindingProviderFields.Confidence, mais ne fournit pasConfidence. Il s'agit de l'option préférée pour les BatchImportFindings demandes.

Security Hub CSPM met à jour la valeur de l'attribut dans. FindingProviderFields

Il réplique la valeur vers l'attribut de niveau supérieur uniquement si l'attribut n'a pas déjà été mis à jour par. BatchUpdateFindings

BatchImportFindingsfournit une valeur pour un attribut de niveau supérieur, mais ne fournit pas de valeur pour l'attribut correspondant dansFindingProviderFields.

Par exemple, BatchImportFindings fournitConfidence, mais ne fournit pasFindingProviderFields.Confidence.

Security Hub CSPM utilise la valeur pour mettre à jour l'attribut dans. FindingProviderFields Elle remplace toute valeur existante.

Security Hub CSPM met à jour l'attribut de niveau supérieur uniquement s'il n'a pas déjà été mis à jour par. BatchUpdateFindings

BatchImportFindingsfournit une valeur à la fois pour un attribut de niveau supérieur et pour l'attribut correspondant dansFindingProviderFields.

Par exemple, BatchImportFindings fournit à la fois Confidence etFindingProviderFields.Confidence.

Pour une nouvelle découverte, Security Hub CSPM utilise la valeur in FindingProviderFields pour renseigner à la fois l'attribut de niveau supérieur et l'attribut correspondant dans. FindingProviderFields Il n'utilise pas la valeur d'attribut de premier niveau fournie.

Pour un résultat existant, Security Hub CSPM utilise les deux valeurs. Toutefois, il met à jour la valeur de l'attribut de niveau supérieur uniquement si l'attribut n'a pas déjà été mis à jour parBatchUpdateFindings.