BatchImportFindings 用于寻找提供者 - AWS Security Hub
使用 BatchImportFindings 的先决条件确定是创建还是更新结果使用 BatchImportFindings 对调查发现进行更新的限制使用 FindingProviderFields 更新调查发现

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

BatchImportFindings 用于寻找提供者

查找提供者可以使用该BatchImportFindings操作在 Security Hub CSP AWS M 中创建新的发现。他们还可以使用此操作来更新他们创建的调查结果。查找提供者无法更新他们未创建的调查结果。

客户 SIEMs、票务、SOAR 和其他类型的工具必须使用该BatchUpdateFindings操作来更新他们对寻找提供商的调查结果的调查。有关更多信息,请参阅 BatchUpdateFindings 为顾客服务

当 Security Hub CSPM 收到创建或更新调查结果的BatchImportFindings请求时,它会自动在亚马逊中生成一个Security Hub Findings - Imported事件。 EventBridge您可以对该事件执行自动操作。有关更多信息,请参阅 EventBridge 用于自动响应和补救

使用 BatchImportFindings 的先决条件

BatchImportFindings 必须由以下之一调用:

  • 与调查发现关联的账户。相关账户的标识符必须与调查发现的 AwsAccountId 属性值相匹配。

  • 被列为 Security Hub CSPM 官方合作伙伴集成许可名单的账户。

Security Hub CSPM 只能接受启用了 Security Hub CSPM 的账户的查找更新。还必须启用结果提供商。如果 Security Hub CSPM 已禁用,或者未启用查找提供程序集成,则会在FailedFindings列表中返回搜索结果,但会出现错误InvalidAccess

确定是创建还是更新结果

为了确定是创建还是更新调查结果,Security Hub CSPM 会检查该字段。ID如果的值与现有查找结果ID不匹配,Security Hub CSPM 会创建一个新的调查结果。

如果ID与现有发现相匹配,Security Hub CSPM 会检查该UpdatedAt字段是否有更新,然后按以下步骤操作:

  • 如果UpdatedAt更新与现有发现相匹配或发生UpdatedAt在更新之前,Security Hub CSPM 将忽略更新请求。

  • 如果更新发生UpdatedAt在现有发现之后UpdatedAt,Security Hub CSPM 会更新现有调查结果。

使用 BatchImportFindings 对调查发现进行更新的限制

调查发现提供者无法使用 BatchImportFindings 更新现有调查发现的以下属性:

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub CSPM 会忽略BatchImportFindings请求这些属性时提供的任何内容。客户或代表他们行事的实体(例如票证工具)可以使用 BatchUpdateFindings 更新这些属性。

使用 FindingProviderFields 更新调查发现

查找提供者也不应使用BatchImportFindings来更新 AWS 安全调查结果格式 (ASFF) 中的以下顶级属性:

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

相反,调查发现提供者应使用 FindingProviderFields 对象为这些属性提供值。

示例

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

对于BatchImportFindings请求,Security Hub CSPM FindingProviderFields按如下方式处理顶级属性中的值。

(首选)BatchImportFindingsFindingProviderFields 中的属性提供值,但不为相应的顶级属性提供值。

例如,BatchImportFindings 提供 FindingProviderFields.Confidence,但不提供 Confidence。这是 BatchImportFindings 请求的首选选项。

Security Hub CSPM 更新中属性的值。FindingProviderFields

仅当属性尚未由 BatchUpdateFindings 更新时,它才会将该值复制到顶级属性。

BatchImportFindings 为顶级属性提供值,但不为 FindingProviderFields 中的相应属性提供值。

例如,BatchImportFindings 提供 Confidence,但不提供 FindingProviderFields.Confidence

Security Hub CSPM 使用该值来更新中的属性。FindingProviderFields它会覆盖任何现有值。

只有当顶级属性尚未由更新时,Security Hub CSPM 才会更新该属性。BatchUpdateFindings

BatchImportFindings 为顶级属性和 FindingProviderFields 中的相应属性提供了一个值。

例如,BatchImportFindings 同时提供 ConfidenceFindingProviderFields.Confidence

对于新的发现,Security Hub CSPM 使用中的值FindingProviderFields来填充顶级属性和中的相应属性。FindingProviderFields它不使用提供的顶级属性值。

对于现有发现,Security Hub CSPM 使用这两个值。但是,只有当属性尚未由 BatchUpdateFindings 更新时,它才会更新顶级属性值。