BatchImportFindings para encontrar fornecedores - AWS Security Hub
Pré-requisitos para usar o BatchImportFindingsDeterminar se uma descoberta deve ser criada ou atualizadaRestrições a atualizações de descobertas com BatchImportFindingsAtualizar descobertas com FindingProviderFields

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

BatchImportFindings para encontrar fornecedores

Os provedores de localização podem usar a BatchImportFindingsoperação para criar novas descobertas no CSPM do AWS Security Hub. Eles também podem usar essa operação para atualizar as descobertas que criaram. Encontrar fornecedores não pode atualizar descobertas que eles não criaram.

Clientes SIEMs, emissão de bilhetes, SOAR e outros tipos de ferramentas devem usar a BatchUpdateFindingsoperação para fazer atualizações relacionadas à investigação das descobertas de fornecedores. Para obter mais informações, consulte BatchUpdateFindings para clientes.

Quando o Security Hub CSPM recebe uma BatchImportFindings solicitação para criar ou atualizar uma descoberta, ele gera automaticamente um Security Hub Findings - Importedevento na Amazon. EventBridge Você pode realizar ações automatizadas em relação a esse evento. Para obter mais informações, consulte Usando EventBridge para resposta e remediação automatizadas.

Pré-requisitos para usar o BatchImportFindings

BatchImportFindings deve ser um dos seguintes:

  • A conta da AWS associada com as descobertas. O identificador da conta associada deve corresponder ao valor do atributo AwsAccountId da descoberta.

  • Uma conta que está listada como uma integração oficial de parceiros CSPM do Security Hub.

O CSPM do Security Hub só pode aceitar a busca de atualizações para contas que tenham o CSPM do Security Hub ativado. O provedor de descoberta também deve estar habilitado. Se o CSPM do Security Hub estiver desativado ou a integração do provedor de busca não estiver habilitada, as descobertas serão retornadas na FailedFindings lista, com um InvalidAccess erro.

Determinar se uma descoberta deve ser criada ou atualizada

Para determinar se uma descoberta deve ser criada ou atualizada, o Security Hub CSPM verifica o ID campo. Se o valor de ID não corresponder a uma descoberta existente, o Security Hub CSPM cria uma nova descoberta.

Se ID corresponder a uma descoberta existente, o Security Hub CSPM verifica a atualização UpdatedAt no campo e procede da seguinte forma:

  • Se UpdatedAt a atualização corresponder ou ocorrer antes UpdatedAt na descoberta existente, o CSPM do Security Hub ignorará a solicitação de atualização.

  • Se UpdatedAt a atualização ocorrer após UpdatedAt a descoberta existente, o Security Hub CSPM atualizará a descoberta existente.

Restrições a atualizações de descobertas com BatchImportFindings

Para uma descoberta existente, os provedores de descobertas não podem usar BatchImportFindings para atualizar os seguintes atributos e objetos:

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

O CSPM do Security Hub ignora qualquer conteúdo fornecido em uma BatchImportFindings solicitação desses atributos. Clientes ou entidades que atuam em seu nome (como ferramentas de criação de tíquetes) podem usar BatchUpdateFindings para atualizar esses atributos.

Atualizar descobertas com FindingProviderFields

Os provedores de busca também não devem ser usados BatchImportFindings para atualizar os seguintes atributos de nível superior no AWS Security Finding Format (ASFF):

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

Em vez disso, os provedores de descobertas devem usar o objeto FindingProviderFields para fornecer valores para esses atributos.

Exemplo

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

Para BatchImportFindings solicitações, o Security Hub CSPM manipula valores nos atributos de nível superior e da seguinte forma FindingProviderFields.

(Preferencial) O BatchImportFindings fornece um valor para um atributo em FindingProviderFields, mas não fornece um valor para o atributo de nível superior correspondente.

Por exemplo, o BatchImportFindings fornece FindingProviderFields.Confidence, mas não fornece Confidence. Essa é a opção preferida para solicitações BatchImportFindings.

O Security Hub CSPM atualiza o valor do atributo em. FindingProviderFields

Ele só replica o valor para o atributo de nível superior se o atributo ainda não foi atualizado por BatchUpdateFindings.

O BatchImportFindings fornece um valor para um atributo de nível superior, mas não fornece um valor para o atributo correspondente em FindingProviderFields.

Por exemplo, o BatchImportFindings fornece Confidence, mas não fornece FindingProviderFields.Confidence.

O Security Hub CSPM usa o valor para atualizar o atributo em. FindingProviderFields Ele sobrescreve qualquer valor existente.

O Security Hub CSPM atualiza o atributo de nível superior somente se o atributo ainda não tiver sido atualizado pelo. BatchUpdateFindings

BatchImportFindings fornece um valor para um atributo de nível superior e para o atributo correspondente em FindingProviderFields.

Por exemplo, BatchImportFindings fornece ambos Confidence e FindingProviderFields.Confidence.

Para uma nova descoberta, o Security Hub CSPM usa o valor em FindingProviderFields para preencher o atributo de nível superior e o atributo correspondente em. FindingProviderFields Ele não usa o valor do atributo de nível superior fornecido.

Para uma descoberta existente, o Security Hub CSPM usa os dois valores. No entanto, ele atualiza o atributo de nível superior somente se o atributo ainda não tiver sido atualizado por BatchUpdateFindings.