検出結果プロバイダーの BatchImportFindings - AWS Security Hub
BatchImportFindings を使用するための前提条件結果を作成するか更新するかの決定BatchImportFindings による検出結果の更新の制限FindingProviderFields での結果の更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

検出結果プロバイダーの BatchImportFindings

検出結果プロバイダーは、 BatchImportFindingsオペレーションを使用して AWS Security Hub CSPM で新しい検出結果を作成できます。また、このオペレーションを使用して、作成した検出結果を更新することもできます。検出結果プロバイダーは、作成していない検出結果を更新できません。

顧客、SIEMs、チケット発行、SOAR、およびその他のタイプのツールは、 BatchUpdateFindingsオペレーションを使用して、検出結果プロバイダーからの検出結果の調査に関連する更新を行う必要があります。詳細については、「お客様の BatchUpdateFindings」を参照してください。

Security Hub CSPM は、検出結果を作成または更新するBatchImportFindingsリクエストを受信すると、Amazon EventBridge でSecurity Hub Findings - Importedイベントを自動的に生成します。そのイベントに対して自動アクションを実行できます。詳細については、「EventBridge を使用した自動応答と修復」を参照してください。

BatchImportFindings を使用するための前提条件

BatchImportFindings を、次のいずれかで呼び出す必要があります。

  • 結果に関連付けられているアカウント。関連付けられたアカウントの識別子は、検出結果の AwsAccountId 属性の値に一致している必要があります。

  • 公式の Security Hub CSPM パートナー統合として許可リストに登録されているアカウント。

Security Hub CSPM は、Security Hub CSPM が有効になっているアカウントの検出結果の更新のみを受け入れることができます。検出結果プロバイダーも有効にする必要があります。Security Hub CSPM が無効になっている場合、または検出結果プロバイダーの統合が有効になっていない場合、検出結果はInvalidAccessエラーでFailedFindingsリストに返されます。

結果を作成するか更新するかの決定

検出結果を作成または更新するかどうかを決定するために、Security Hub CSPM は IDフィールドをチェックします。の値が既存の検出結果と一致しIDない場合、Security Hub CSPM は新しい検出結果を作成します。

が既存の検出結果IDと一致する場合、Security Hub CSPM は更新の UpdatedAtフィールドをチェックし、次のように処理します。

  • 更新UpdatedAt時に既存の検出結果UpdatedAtの より前に一致または発生した場合、Security Hub CSPM は更新リクエストを無視します。

  • 更新UpdatedAt時に既存の検出結果UpdatedAtの の後に が発生した場合、Security Hub CSPM は既存の検出結果を更新します。

BatchImportFindings による検出結果の更新の制限

検出結果プロバイダーは BatchImportFindings を使用して既存の検出結果の次の属性を更新することはできません。

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub CSPM は、これらの属性のBatchImportFindingsリクエストで提供されたコンテンツを無視します。お客様、またはお客様に代わって行動するエンティティ (チケット発行ツールなど) は、 BatchUpdateFindings を使用してこれらの属性を更新できます。

FindingProviderFields での結果の更新

検出結果プロバイダーは、 BatchImportFindingsを使用して AWS Security Finding 形式 (ASFF) の以下の最上位属性を更新しないでください。

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

代わりに、検出結果プロバイダーは FindingProviderFields オブジェクトを使用して、これらの属性の値を提供する必要があります。

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

BatchImportFindings リクエストの場合、Security Hub CSPM は最上位属性と の値をFindingProviderFields次のように処理します。

(推奨) BatchImportFindingsFindingProviderFields 内の属性の値を提供しますが、対応するトップレベル属性には値を提供しません。

例えば、BatchImportFindingsFindingProviderFields.Confidence を提供しますが、Confidence は提供しません。これは、BatchImportFindings リクエストに推奨されるオプションです。

Security Hub CSPM は、 の 属性の値を更新しますFindingProviderFields

これは、属性が BatchUpdateFindings によってまだ更新されていない場合にのみ、値をトップレベル属性にレプリケートします。

BatchImportFindings は、トップレベル属性の値を提供しますが、FindingProviderFields 内の対応する属性には値を提供しません。

例えば、BatchImportFindingsConfidence を提供しますが、FindingProviderFields.Confidence は提供しません。

Security Hub CSPM は、 値を使用して の属性を更新しますFindingProviderFields。既存の値はすべて上書きされます。

Security Hub CSPM は、属性が によってまだ更新されていない場合にのみ、最上位属性を更新しますBatchUpdateFindings

BatchImportFindings は、FindingProviderFields のトップレベル属性と対応する属性の両方の値を提供します。

例えば、BatchImportFindingsConfidenceFindingProviderFields.Confidence の両方を提供します。

新しい検出結果の場合、Security Hub CSPM は の 値FindingProviderFieldsを使用して、最上位属性と対応する属性の両方を に入力しますFindingProviderFields。指定されたトップレベルの属性値は使用しません。

既存の検出結果の場合、Security Hub CSPM は両方の値を使用します。ただし、トップレベルの属性値が更新されるのは、BatchUpdateFindings により属性がまだ更新されていない場合のみです。