検出結果プロバイダーの BatchImportFindings - AWS Security Hub
BatchImportFindings を使用するための前提条件結果を作成するか更新するかの決定BatchImportFindings による検出結果の更新の制限FindingProviderFields での検出結果の更新

検出結果プロバイダーの BatchImportFindings

検出結果プロバイダーは、BatchImportFindings オペレーションを使用して、AWS Security Hub CSPM に新しい検出結果を作成できます。また、このオペレーションを使用して、作成した検出結果を更新することもできます。検出結果プロバイダーは、自身が作成していない検出結果は更新できます。

お客様、SIEM、チケット発行ツール、SOARツールおよびツールの他のタイプは、検出結果プロバイダーからの検出結果の調査に関連する更新を行うために BatchUpdateFindings を使用します。詳細については、「お客様の BatchUpdateFindings」を参照してください。

Security Hub CSPM が検出結果を作成または更新する BatchImportFindings リクエストを受信すると、Amazon EventBridgeで Security Hub Findings - Imported イベントが自動的に生成されます。そのイベントに対して自動アクションを実行できます。詳細については、「EventBridge を使用した自動応答と修復」を参照してください。

BatchImportFindings を使用するための前提条件

BatchImportFindings を、次のいずれかで呼び出す必要があります。

  • 検出結果に関連付けられているアカウント。関連付けられたアカウントの識別子は、検出結果の AwsAccountId 属性の値に一致している必要があります。

  • 公式の Security Hub CSPM パートナー統合として許可リストに載っているアカウント。

Security Hub CSPM は、Security Hub CSPM が有効になっているアカウントの結果更新のみを受け入れます。検出結果プロバイダーも有効にする必要があります。Security Hub CSPM が無効になっているが、検出結果プロバイダーとの統合が有効になっていない場合は、検出結果は FailedFindings リストで返され、InvalidAccess エラーが表示されます。

結果を作成するか更新するかの決定

検出結果を作成するか更新するかを決定するために、Security Hub CSPM は ID フィールドをチェックします。ID の値が既存の検出結果と一致しない場合は、Security Hub CSPM は、新しい検出結果を作成します。

ID が既存の検出結果と一致する場合、Security Hub CSPM は UpdatedAt フィールドに更新がないかをチェックし、次のように処理を進めます。

  • 更新上の UpdatedAt が一致するか、既存の検出結果の UpdatedAt より前に発生した場合、Security Hub CSPM は更新を無視します。

  • 更新上の UpdatedAt が既存の検出結果の UpdatedAt の後に発生している場合、Security Hub CSPM は既存の検出結果を更新します。

BatchImportFindings による検出結果の更新の制限

検出結果プロバイダーは BatchImportFindings を使用して既存の検出結果の次の属性を更新することはできません。

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub CSPM は、これらの属性の BatchImportFindings リクエストで提供されたコンテンツを無視します。お客様、またはお客様に代わって行動するエンティティ (チケット発行ツールなど) は、 BatchUpdateFindings を使用してこれらの属性を更新できます。

FindingProviderFields での検出結果の更新

検出結果プロバイダーは、AWS Security Finding 形式 (ASFF) で以下の最上位属性を更新するために BatchImportFindings を使用してはなりません。

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

代わりに、検出結果プロバイダーは FindingProviderFields オブジェクトを使用して、これらの属性の値を提供する必要があります。

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

BatchImportFindings リクエストの場合、Security Hub CSPM はトップレベル属性内および FindingProviderFields 内の値を以下のとおり処理します。

(推奨) BatchImportFindingsFindingProviderFields 内の属性の値を提供しますが、対応するトップレベル属性には値を提供しません。

例えば、BatchImportFindingsFindingProviderFields.Confidence を提供しますが、Confidence は提供しません。これは、BatchImportFindings リクエストに推奨されるオプションです。

Security Hub CSPM は、FindingProviderFields 内の属性の値を更新します。

これは、属性が BatchUpdateFindings によってまだ更新されていない場合にのみ、値をトップレベル属性にレプリケートします。

BatchImportFindings は、トップレベル属性の値を提供しますが、 内の対応する属性には値を提供しません。FindingProviderFields

例えば、BatchImportFindingsConfidence を提供しますが、FindingProviderFields.Confidence は提供しません。

Security Hub CSPM は、値を使用して FindingProviderFields の属性を更新します。既存の値はすべて上書きされます。

Security Hub CSPM は、属性が BatchUpdateFindings によってまだ更新されていない場合にのみ、トップレベルの属性を更新します。

BatchImportFindings は、 のトップレベル属性と対応する属性の両方の値を提供します。FindingProviderFields

例えば、BatchImportFindingsConfidenceFindingProviderFields.Confidence の両方を提供します。

新しい結果を得るために、Security Hub CSPM では FindingProviderFields 内の値を使用して、FindingProviderFields 内のトップレベル属性と対応する属性の両方を入力します。指定されたトップレベルの属性値は使用しません。

既存の結果の場合、Security Hub CSPM は両方の値を使用します。ただし、トップレベルの属性値が更新されるのは、 により属性がまだ更新されていない場合のみですBatchUpdateFindings