面向调查发现提供者的 BatchImportFindings - AWS Security Hub
使用 BatchImportFindings 的先决条件确定是创建还是更新结果使用 BatchImportFindings 对调查发现进行更新的限制使用 FindingProviderFields 更新调查发现

面向调查发现提供者的 BatchImportFindings

调查发现提供者可以使用 BatchImportFindings 操作在 AWS Security Hub CSPM 中创建新的调查发现。他们还可以使用此操作来更新自己创建的调查发现。调查发现提供者无法更新他们未创建的调查发现。

客户、SIEMS、票证、SOAR 和其他类型的工具必须使用 BatchUpdateFindings 操作进行与来自调查发现提供者的调查发现的调查相关的更新。有关更多信息,请参阅 面向客户的 BatchUpdateFindings

当 Security Hub CSPM 收到创建或更新调查发现的 BatchImportFindings 请求时,它会自动在 Amazon EventBridge 中生成 Security Hub Findings - Imported 事件。您可以对该事件执行自动操作。有关更多信息,请参阅 使用 EventBridge 进行自动响应和补救

使用 BatchImportFindings 的先决条件

BatchImportFindings 必须由以下之一调用:

  • 与调查发现关联的账户。相关账户的标识符必须与调查发现的 AwsAccountId 属性值相匹配。

  • 列入官方 Security Hub CSPM 合作伙伴集成允许列表的账户。

Security Hub CSPM 只能接受已启用 Security Hub CSPM 的账户的调查发现更新。还必须启用结果提供商。如果禁用 Security Hub CSPM,或者未启用调查发现提供者集成,则会在 FailedFindings 列表中返回调查发现,并显示 InvalidAccess 错误。

确定是创建还是更新结果

要确定是创建还是更新调查发现,Security Hub CSPM 需要检查 ID 字段。如果 ID 的值与现有调查发现不匹配,则 Security Hub CSPM 会创建新的调查发现。

如果 ID 与现有调查发现匹配,则 Security Hub CSPM 会检查 UpdatedAt 字段是否有更新,并按如下方式继续:

  • 如果更新的 UpdatedAt 匹配或出现在现有调查发现的 UpdatedAt 之前,则 Security Hub CSPM 会忽略更新请求。

  • 如果更新的 UpdatedAt 出现在现有结果的 UpdatedAt 之后,则 Security Hub CSPM 会更新现有调查发现。

使用 BatchImportFindings 对调查发现进行更新的限制

调查发现提供者无法使用 BatchImportFindings 更新现有调查发现的以下属性:

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub CSPM 会忽略在 BatchImportFindings 请求这些属性时提供的任何内容。客户或代表他们行事的实体(例如票证工具)可以使用 BatchUpdateFindings 更新这些属性。

使用 FindingProviderFields 更新调查发现

调查发现提供者也不应使用 BatchImportFindings 更新 AWS 安全调查发现格式(ASFF)中的以下顶级属性:

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

相反,调查发现提供者应使用 FindingProviderFields 对象为这些属性提供值。

示例

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

对于 BatchImportFindings 请求,Security Hub CSPM 按如下方式处理顶级属性和 FindingProviderFields 中的值。

(首选)BatchImportFindingsFindingProviderFields 中的属性提供值,但并未为相应的顶级属性提供值。

例如,BatchImportFindings 提供 FindingProviderFields.Confidence,但不提供 Confidence。这是 BatchImportFindings 请求的首选选项。

Security Hub CSPM 更新 FindingProviderFields 中属性的值。

仅当属性尚未由 BatchUpdateFindings 更新时,它才会将该值复制到顶级属性。

BatchImportFindings 为顶级属性提供值,但不为 中的相应属性提供值。FindingProviderFields

例如,BatchImportFindings 提供 Confidence,但不提供 FindingProviderFields.Confidence

Security Hub CSPM 使用该值来更新 FindingProviderFields 中的属性。它会覆盖任何现有值。

只有当顶级属性尚未由 BatchUpdateFindings 更新时,Security Hub CSPM 才会更新该属性。

BatchImportFindings 为顶级属性和 中的相应属性提供了一个值。FindingProviderFields

例如,BatchImportFindings 同时提供 ConfidenceFindingProviderFields.Confidence

对于新调查发现,Security Hub CSPM 使用 FindingProviderFields 中的值填充顶级属性和 FindingProviderFields 中的相应属性。它不使用提供的顶级属性值。

对于现有调查发现,Security Hub CSPM 使用这两个值。但是,只有当属性尚未由 更新时,它才会更新顶级属性值BatchUpdateFindings