As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
BatchImportFindings para encontrar fornecedores
Os provedores de descobertas podem usar a operação BatchImportFindings para criar novas descobertas no CSPM do AWS Security Hub. Eles também podem usar essa operação para atualizar as descobertas que criaram. Os provedores de descoberta não podem atualizar as descobertas que eles não criaram.
Clientes SIEMs, emissão de bilhetes, SOAR e outros tipos de ferramentas devem usar a BatchUpdateFindingsoperação para fazer atualizações relacionadas à investigação das descobertas de fornecedores. Para obter mais informações, consulte BatchUpdateFindings para clientes.
Quando o Security Hub CSPM recebe uma BatchImportFindings solicitação para criar ou atualizar uma descoberta, ele gera automaticamente um Security Hub Findings
- Importedevento na Amazon. EventBridge É possível realizar ações automatizadas em relação a esse evento. Para obter mais informações, consulte Usando EventBridge para resposta e remediação automatizadas.
Pré-requisitos para usar o BatchImportFindings
BatchImportFindings deve ser um dos seguintes:
-
A conta associada às descobertas. O identificador da conta associada deve corresponder ao valor do atributo
AwsAccountIdda descoberta. -
Uma conta que está na lista de permissões como uma integração de parceiro oficial do CSPM do Security Hub.
O CSPM do Security Hub só pode aceitar atualizações de descobertas para contas que tenham o CSPM do Security Hub habilitado. O provedor de descoberta também deve estar habilitado. Se o CSPM do Security Hub estiver desabilitado ou se a integração do provedor de descoberta não estiver habilitada, as descobertas serão retornadas na lista FailedFindings com um erro InvalidAccess.
Determinar se uma descoberta deve ser criada ou atualizada
Para determinar se deve criar ou atualizar uma descoberta, o CSPM do Security Hub verifica o campo ID. Se o valor de ID não corresponder a uma descoberta existente, o CSPM do Security Hub criará uma descoberta.
Se ID corresponder a uma descoberta existente, o CSPM do Security Hub verificará o campo UpdatedAt da atualização e prossegue da forma a seguir:
-
Se
UpdatedAtna atualização corresponder ou ocorrer antes deUpdatedAtna descoberta existente, o CSPM do Security Hub ignorará a atualização solicitada. -
Se
UpdatedAtna atualização ocorrer apósUpdatedAtna descoberta existente, o CSPM do Security Hub atualizará a descoberta existente.
Restrições a atualizações de descobertas com BatchImportFindings
Para uma descoberta existente, os provedores de descobertas não podem usar BatchImportFindings para atualizar os seguintes atributos e objetos:
-
Note -
UserDefinedFields -
VerificationState -
Workflow
O CSPM do Security Hub ignorará qualquer conteúdo fornecido em uma solicitação de BatchImportFindings para esses atributos. Clientes ou entidades que atuam em seu nome (como ferramentas de criação de tíquetes) podem usar BatchUpdateFindings para atualizar esses atributos.
Atualizar descobertas com FindingProviderFields
Os provedores de localização também não devem ser usados BatchImportFindings para atualizar os seguintes atributos de nível superior no Formato de AWS Busca de Segurança (ASFF):
-
Confidence -
Criticality -
RelatedFindings -
Severity -
Types
Em vez disso, os provedores de descobertas devem usar o objeto FindingProviderFields para fornecer valores para esses atributos.
Exemplo
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
Para solicitações de BatchImportFindings, o CSPM do Security Hub manipula valores nos atributos de nível superior e no FindingProviderFields da forma a seguir.
- (Preferencial)
BatchImportFindingsfornece um valor para um atributo em FindingProviderFields, mas não fornece um valor para o atributo de nível superior correspondente. -
Por exemplo,
BatchImportFindingsforneceFindingProviderFields.Confidence, mas não forneceConfidence. Essa é a opção preferencial para solicitações deBatchImportFindings.O CSPM do Security Hub atualiza o valor do atributo em
FindingProviderFields.Ele só replica o valor para o atributo de nível superior se o atributo ainda não foi atualizado por
BatchUpdateFindings. - O
BatchImportFindingsfornece um valor para um atributo de nível superior, mas não fornece um valor para o atributo correspondente emFindingProviderFields. -
Por exemplo,
BatchImportFindingsforneceConfidence, mas não forneceFindingProviderFields.Confidence.O CSPM do Security Hub usa o valor para atualizar o atributo em
FindingProviderFields. Ele sobrescreve qualquer valor existente.O CSPM do Security Hub atualiza o atributo de nível superior somente se o atributo ainda não tiver sido atualizado por
BatchUpdateFindings. BatchImportFindingsfornece um valor para um atributo de nível superior e para o atributo correspondente emFindingProviderFields.-
Por exemplo,
BatchImportFindingsfornece ambosConfidenceeFindingProviderFields.Confidence.Para uma nova descoberta, o CSPM do Security Hub usa o valor em
FindingProviderFieldspara preencher o atributo de nível superior e o atributo correspondente emFindingProviderFields. Ele não usa o valor do atributo de nível superior fornecido.Para uma descoberta existente, o CSPM do Security Hub usa ambos os valores. No entanto, ele atualiza o atributo de nível superior somente se o atributo ainda não tiver sido atualizado por
BatchUpdateFindings.
