用於尋找供應商的 BatchImportFindings - AWS Security Hub
使用 BatchImportFindings 的先決條件決定是要建立或更新問題清單使用 尋找更新的限制 BatchImportFindings使用 更新問題清單 FindingProviderFields

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

用於尋找供應商的 BatchImportFindings

尋找提供者可以使用 BatchImportFindings操作,在 AWS Security Hub Cloud Security Posture Management (CSPM) 中建立新的問題清單。他們也可以使用此操作來更新他們建立的問題清單。尋找供應商無法更新他們未建立的問題清單。

客戶、SIEMs、票證、SOAR 和其他類型的工具必須使用 BatchUpdateFindings操作進行更新,以調查來自調查結果提供者的問題。如需詳細資訊,請參閱客戶的 BatchUpdateFindings

當 Security Hub CSPM 收到建立或更新問題清單的BatchImportFindings請求時,它會自動在 Amazon EventBridge 中產生Security Hub Findings - Imported事件。您可以對該事件採取自動動作。如需詳細資訊,請參閱使用 EventBridge 進行自動回應和修復

使用 BatchImportFindings 的先決條件

BatchImportFindings 必須由下列其中一項呼叫:

  • 與調查結果相關聯的 帳戶。關聯帳戶的識別符必須符合調查結果的 AwsAccountId 屬性值。

  • 允許列為官方 Security Hub CSPM 合作夥伴整合的帳戶。

Security Hub CSPM 只能接受已啟用 Security Hub CSPM 的帳戶的問題清單更新。同時也必須啟用問題清單提供者。如果 Security Hub CSPM 已停用,或未啟用調查結果提供者整合,則會在FailedFindings清單中傳回調查結果,並顯示InvalidAccess錯誤。

決定是要建立或更新問題清單

為了判斷要建立或更新問題清單,Security Hub CSPM 會檢查 ID 欄位。如果 的值ID不符合現有的調查結果,Security Hub CSPM 會建立新的調查結果。

如果 ID符合現有的問題清單,Security Hub CSPM 會檢查 UpdatedAt 欄位是否有更新,並執行下列操作:

  • 如果在更新UpdatedAt時符合或發生在現有調查結果UpdatedAt的 之前,Security Hub CSPM 會忽略更新請求。

  • 如果更新UpdatedAt發生在現有調查結果UpdatedAt的 之後,Security Hub CSPM 會更新現有調查結果。

使用 尋找更新的限制 BatchImportFindings

問題清單提供者無法使用 BatchImportFindings更新現有問題清單的下列屬性:

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub CSPM 會忽略這些屬性BatchImportFindings請求中提供的任何內容。客戶或代表他們的實體 (例如票證工具) 可以使用 BatchUpdateFindings 更新這些屬性。

使用 更新問題清單 FindingProviderFields

調查結果提供者也不應該使用 BatchImportFindings 來更新 AWS 安全性調查結果格式 (ASFF) 中的下列最上層屬性:

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

反之,問題清單提供者應該使用 FindingProviderFields 物件來提供這些屬性的值。

範例

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

對於BatchImportFindings請求,Security Hub CSPM 會處理最上層屬性和 中的值FindingProviderFields,如下所示。

(偏好) BatchImportFindings提供 中屬性的值FindingProviderFields,但不提供對應頂層屬性的值。

例如, BatchImportFindings提供 FindingProviderFields.Confidence,但不提供 Confidence。這是BatchImportFindings請求的偏好選項。

Security Hub CSPM 會更新 中屬性的值FindingProviderFields

只有在 屬性尚未由 更新時,才會將值複寫至頂層屬性BatchUpdateFindings

BatchImportFindings 提供最上層屬性的值,但不提供 中對應屬性的值FindingProviderFields

例如, BatchImportFindings提供 Confidence,但不提供 FindingProviderFields.Confidence

Security Hub CSPM 使用 值來更新 中的屬性FindingProviderFields。它會覆寫任何現有的值。

只有在 屬性尚未由 更新時,Security Hub CSPM 才會更新最上層屬性BatchUpdateFindings

BatchImportFindings 在 中提供最上層屬性和對應屬性的值FindingProviderFields

例如, 同時BatchImportFindings提供 ConfidenceFindingProviderFields.Confidence

對於新調查結果,Security Hub CSPM 會使用 中的值FindingProviderFields來填入 中最上層屬性和對應的屬性FindingProviderFields。它不使用提供的頂層屬性值。

對於現有的調查結果,Security Hub CSPM 會使用這兩個值。不過,只有在 屬性尚未由 更新時,才會更新頂層屬性值BatchUpdateFindings