BatchImportFindings untuk menemukan penyedia - AWS Security Hub
Prasyarat untuk menggunakan BatchImportFindingsMenentukan apakah akan membuat atau memperbarui temuanPembatasan untuk menemukan pembaruan dengan BatchImportFindingsMemperbarui temuan dengan FindingProviderFields

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

BatchImportFindings untuk menemukan penyedia

Penyedia pencarian dapat menggunakan BatchImportFindingsoperasi untuk membuat temuan baru di AWS Security Hub CSPM. Mereka juga dapat menggunakan operasi ini untuk memperbarui temuan yang mereka buat. Menemukan penyedia tidak dapat memperbarui temuan yang tidak mereka buat.

Pelanggan SIEMs, tiket, SOAR, dan jenis alat lainnya harus menggunakan BatchUpdateFindingsoperasi untuk membuat pembaruan terkait penyelidikan mereka terhadap temuan dari penyedia pencarian. Untuk informasi selengkapnya, lihat BatchUpdateFindings untuk pelanggan.

Ketika Security Hub CSPM menerima BatchImportFindings permintaan untuk membuat atau memperbarui temuan, itu secara otomatis menghasilkan Security Hub Findings - Importedperistiwa di Amazon. EventBridge Anda dapat mengambil tindakan otomatis pada acara itu. Untuk informasi selengkapnya, lihat Menggunakan EventBridge untuk respon otomatis dan remediasi.

Prasyarat untuk menggunakan BatchImportFindings

BatchImportFindingsharus dipanggil oleh salah satu dari berikut ini:

  • Akun yang terkait dengan temuan. Pengidentifikasi akun terkait harus sesuai dengan nilai AwsAccountId atribut untuk temuan tersebut.

  • Akun yang diizinkan terdaftar sebagai integrasi mitra CSPM Security Hub resmi.

Security Hub CSPM hanya dapat menerima pembaruan pencarian untuk akun yang mengaktifkan Security Hub CSPM. Penyedia temuan juga harus diaktifkan. Jika Security Hub CSPM dinonaktifkan, atau integrasi penyedia pencarian tidak diaktifkan, maka temuan akan dikembalikan dalam FailedFindings daftar, dengan kesalahanInvalidAccess.

Menentukan apakah akan membuat atau memperbarui temuan

Untuk menentukan apakah akan membuat atau memperbarui temuan, Security Hub CSPM memeriksa bidang tersebut. ID Jika nilai ID tidak sesuai dengan temuan yang ada, Security Hub CSPM akan membuat temuan baru.

Jika ID cocok dengan temuan yang ada, Security Hub CSPM memeriksa UpdatedAt bidang untuk pembaruan, dan melanjutkan sebagai berikut:

  • Jika UpdatedAt pada pembaruan cocok atau terjadi sebelumnya UpdatedAt pada temuan yang ada, Security Hub CSPM mengabaikan permintaan pembaruan.

  • Jika UpdatedAt pada pembaruan terjadi setelah UpdatedAt pada temuan yang ada, Security Hub CSPM memperbarui temuan yang ada.

Pembatasan untuk menemukan pembaruan dengan BatchImportFindings

Penyedia pencarian tidak dapat digunakan BatchImportFindings untuk memperbarui atribut berikut dari temuan yang ada:

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub CSPM mengabaikan konten apa pun yang disediakan dalam BatchImportFindings permintaan atribut ini. Pelanggan, atau entitas yang bertindak atas nama mereka (seperti alat tiket), dapat menggunakannya BatchUpdateFindings untuk memperbarui atribut ini.

Memperbarui temuan dengan FindingProviderFields

Penyedia pencarian juga tidak boleh digunakan BatchImportFindings untuk memperbarui atribut tingkat atas berikut di AWS Security Finding Format (ASFF):

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

Sebaliknya, mencari penyedia harus menggunakan FindingProviderFieldsobjek untuk memberikan nilai untuk atribut ini.

Contoh

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

Untuk BatchImportFindings permintaan, Security Hub CSPM menangani nilai di atribut tingkat atas dan sebagai berikut. FindingProviderFields

(Preferred) BatchImportFindings memberikan nilai untuk atribut di FindingProviderFields, tetapi tidak memberikan nilai untuk atribut tingkat atas yang sesuai.

Misalnya, BatchImportFindings menyediakanFindingProviderFields.Confidence, tetapi tidak menyediakanConfidence. Ini adalah opsi yang lebih disukai untuk BatchImportFindings permintaan.

Security Hub CSPM memperbarui nilai atribut di. FindingProviderFields

Ini mereplikasi nilai ke atribut tingkat atas hanya jika atribut belum diperbarui oleh. BatchUpdateFindings

BatchImportFindingsmemberikan nilai untuk atribut tingkat atas, tetapi tidak memberikan nilai untuk atribut yang sesuai diFindingProviderFields.

Misalnya, BatchImportFindings menyediakanConfidence, tetapi tidak menyediakanFindingProviderFields.Confidence.

Security Hub CSPM menggunakan nilai untuk memperbarui atribut di. FindingProviderFields Ini menimpa nilai yang ada.

Security Hub CSPM memperbarui atribut tingkat atas hanya jika atribut belum diperbarui oleh. BatchUpdateFindings

BatchImportFindingsmemberikan nilai untuk atribut tingkat atas dan atribut yang sesuai diFindingProviderFields.

Misalnya, BatchImportFindings menyediakan keduanya Confidence danFindingProviderFields.Confidence.

Untuk temuan baru, Security Hub CSPM menggunakan nilai dalam FindingProviderFields untuk mengisi atribut tingkat atas dan atribut yang sesuai. FindingProviderFields Itu tidak menggunakan nilai atribut tingkat atas yang disediakan.

Untuk temuan yang ada, Security Hub CSPM menggunakan kedua nilai. Namun, itu memperbarui nilai atribut tingkat atas hanya jika atribut belum diperbarui olehBatchUpdateFindings.