BatchImportFindings per trovare fornitori - AWS Security Hub
Prerequisiti per l'utilizzo di BatchImportFindingsDeterminazione per creare o aggiornare un risultatoRestrizioni sulla ricerca di aggiornamenti con BatchImportFindingsAggiornamento dei risultati con FindingProviderFields

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

BatchImportFindings per trovare fornitori

I provider di ricerca possono utilizzare l'BatchImportFindingsoperazione per creare nuovi risultati in AWS Security Hub CSPM. Possono utilizzare questa operazione anche per aggiornare i risultati che hanno creato. I fornitori di servizi di ricerca non possono aggiornare i risultati che non hanno creato.

I clienti SIEMs, i servizi di biglietteria, il SOAR e altri tipi di strumenti devono utilizzare l'BatchUpdateFindingsoperazione per apportare aggiornamenti relativi all'analisi dei risultati ottenuti dalla ricerca dei fornitori. Per ulteriori informazioni, consulta BatchUpdateFindings per i clienti.

Quando Security Hub CSPM riceve una BatchImportFindings richiesta per creare o aggiornare un risultato, genera automaticamente un Security Hub Findings - Importedevento in Amazon. EventBridge Puoi intraprendere azioni automatiche su quell'evento. Per ulteriori informazioni, consulta Utilizzo EventBridge per la risposta e la correzione automatizzate.

Prerequisiti per l'utilizzo di BatchImportFindings

BatchImportFindingsdeve essere chiamato da uno dei seguenti:

  • L'account associato ai risultati. L'identificatore dell'account associato deve corrispondere al valore dell'AwsAccountIdattributo per il risultato.

  • Un account consentito nell'elenco dei partner CSPM ufficiali di Security Hub.

Security Hub CSPM può accettare la ricerca di aggiornamenti solo per gli account con Security Hub CSPM abilitato. Anche il provider di risultati deve essere abilitato. Se Security Hub CSPM è disabilitato o l'integrazione del provider di ricerca non è abilitata, i risultati vengono restituiti nell'FailedFindingselenco, con un InvalidAccess errore.

Determinazione per creare o aggiornare un risultato

Per determinare se creare o aggiornare un risultato, Security Hub CSPM controlla il ID campo. Se il valore di ID non corrisponde a un risultato esistente, Security Hub CSPM crea un nuovo risultato.

Se ID corrisponde a un risultato esistente, Security Hub CSPM controlla il UpdatedAt campo per l'aggiornamento e procede come segue:

  • Se UpdatedAt l'aggiornamento corrisponde o si verifica prima UpdatedAt del risultato esistente, Security Hub CSPM ignora la richiesta di aggiornamento.

  • Se UpdatedAt l'aggiornamento avviene dopo UpdatedAt il risultato esistente, Security Hub CSPM aggiorna il risultato esistente.

Restrizioni sulla ricerca di aggiornamenti con BatchImportFindings

I fornitori di servizi di ricerca non possono BatchImportFindings utilizzare per aggiornare i seguenti attributi di un risultato esistente:

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub CSPM ignora qualsiasi contenuto fornito in una BatchImportFindings richiesta per questi attributi. I clienti o le entità che agiscono per loro conto (come gli strumenti di ticketing) possono utilizzare BatchUpdateFindings per aggiornare questi attributi.

Aggiornamento dei risultati con FindingProviderFields

Inoltre, i fornitori di servizi di ricerca non dovrebbero BatchImportFindings aggiornare i seguenti attributi di primo livello nel AWS Security Finding Format (ASFF):

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

Invece, i provider di ricerca dovrebbero utilizzare l'FindingProviderFieldsoggetto per fornire valori per questi attributi.

Esempio

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

Per BatchImportFindings le richieste, Security Hub CSPM gestisce i valori negli attributi di primo livello e nel FindingProviderFieldsmodo seguente.

(Preferito) BatchImportFindings fornisce un valore per un attributo in FindingProviderFields, ma non fornisce un valore per l'attributo di primo livello corrispondente.

Ad esempioFindingProviderFields.Confidence, BatchImportFindings fornisce ma non fornisceConfidence. Questa è l'opzione preferita per BatchImportFindings le richieste.

Security Hub CSPM aggiorna il valore dell'attributo in. FindingProviderFields

Replica il valore nell'attributo di primo livello solo se l'attributo non è già stato aggiornato da. BatchUpdateFindings

BatchImportFindingsfornisce un valore per un attributo di primo livello, ma non fornisce un valore per l'attributo corrispondente in. FindingProviderFields

Ad esempioConfidence, BatchImportFindings fornisce ma non fornisceFindingProviderFields.Confidence.

Security Hub CSPM utilizza il valore per aggiornare l'attributo in. FindingProviderFields Sovrascrive qualsiasi valore esistente.

Security Hub CSPM aggiorna l'attributo di primo livello solo se l'attributo non è già stato aggiornato da. BatchUpdateFindings

BatchImportFindingsfornisce un valore sia per un attributo di primo livello che per l'attributo corrispondente in. FindingProviderFields

Ad esempio, BatchImportFindings fornisce entrambi Confidence eFindingProviderFields.Confidence.

Per una nuova scoperta, Security Hub CSPM utilizza il valore in FindingProviderFields per compilare sia l'attributo di primo livello che l'attributo corrispondente in. FindingProviderFields Non utilizza il valore dell'attributo di primo livello fornito.

Per un risultato esistente, Security Hub CSPM utilizza entrambi i valori. Tuttavia, aggiorna il valore dell'attributo di primo livello solo se l'attributo non è già stato aggiornato da. BatchUpdateFindings