BatchImportFindings para encontrar proveedores - AWS Security Hub
Requisitos previos para utilizar BatchImportFindingsDeterminación de si se debe crear o actualizar un hallazgoRestricciones a la hora de encontrar actualizaciones con BatchImportFindingsActualizar los hallazgos con FindingProviderFields

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

BatchImportFindings para encontrar proveedores

Los proveedores de búsqueda pueden utilizar la BatchImportFindingsoperación para crear nuevos hallazgos de Security Hub y actualizar los hallazgos que hayan creado. No pueden actualizar los hallazgos que no han creado.

Los clientes deben utilizar las herramientas de venta de entradas y SOAR las herramientas BatchUpdateFindingspara realizar actualizaciones relacionadas con su investigación de los resultados de la búsqueda de proveedores. SIEMs Para obtener más información, consulte BatchUpdateFindings para clientes.

Cada vez que AWS Security Hub recibe una BatchImportFindings solicitud para crear o actualizar un hallazgo, genera automáticamente un Security Hub Findings - Importedevento en Amazon EventBridge. Puedes realizar acciones automatizadas en relación con ese evento. Para obtener más información, consulte Uso EventBridge para respuesta y remediación automatizadas.

Requisitos previos para utilizar BatchImportFindings

BatchImportFindings debe ser llamada por una de las siguientes opciones:

  • La cuenta que está asociada al resultado. El identificador de la cuenta asociada debe coincidir con el valor del AwsAccountId atributo del hallazgo.

  • Una cuenta que figura en la lista de miembros permitidos como integración oficial de un socio de Security Hub.

Security Hub solo puede aceptar actualizaciones de resultados para las cuentas que tengan Security Hub habilitado. El proveedor de hallazgos también debe estar habilitado. Si Security Hub está deshabilitado o la integración del proveedor de resultados no está habilitada, los resultados se devuelven a la lista FailedFindings con el error InvalidAccess.

Determinación de si se debe crear o actualizar un hallazgo

Para determinar si crear o actualizar un hallazgo, Security Hub comprueba el campo ID. Si el valor de ID no coincide con un hallazgo existente, Security Hub crea uno nuevo.

Si ID coincide con un hallazgo existente, Security Hub comprueba el UpdatedAt campo para ver si hay una actualización y procede de la siguiente manera:

  • Si UpdatedAt la actualización coincide con el hallazgo existente o se produce antesUpdatedAt, Security Hub ignora la solicitud de actualización.

  • Si UpdatedAt la actualización se produce después UpdatedAt del hallazgo existente, Security Hub actualiza el hallazgo existente.

Restricciones a la hora de encontrar actualizaciones con BatchImportFindings

Buscar proveedores no se puede utilizar BatchImportFindings para actualizar los siguientes atributos de un hallazgo existente:

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub ignora cualquier contenido proporcionado en una BatchImportFindings solicitud de estos atributos. Los clientes o las entidades que actúan en su nombre (como las herramientas de venta de entradas) pueden utilizar BatchUpdateFindings para actualizar estos atributos.

Actualizar los hallazgos con FindingProviderFields

La búsqueda de proveedores tampoco debería utilizarse BatchImportFindings para actualizar los siguientes atributos de nivel superior en el formato de búsqueda de AWS seguridad (ASFF):

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

En su lugar, al buscar proveedores, se debe usar el FindingProviderFieldsobjeto para proporcionar valores para estos atributos.

Ejemplo

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

En el caso de las solicitudes BatchImportFindings, Security Hub gestiona los valores de los atributos de nivel superior y de FindingProviderFields de la siguiente manera.

(Preferido) BatchImportFindings proporciona un valor para un atributo FindingProviderFields, pero no proporciona un valor para el atributo de nivel superior correspondiente.

Por ejemplo, BatchImportFindings proporciona FindingProviderFields.Confidence, pero no proporciona Confidence. Esta es la opción preferida para las solicitudes BatchImportFindings.

Security Hub actualiza el valor del atributo FindingProviderFields.

Replica el valor en el atributo de nivel superior solo si el atributo aún no lo ha actualizado. BatchUpdateFindings

BatchImportFindings proporciona un valor para un atributo de nivel superior, pero no proporciona un valor para el atributo correspondiente FindingProviderFields.

Por ejemplo, BatchImportFindings proporciona Confidence, pero no proporciona FindingProviderFields.Confidence.

Security Hub usa el valor para actualizar el atributo FindingProviderFields. Sobrescribe cualquier valor existente.

Security Hub actualiza el atributo de nivel superior solo si BatchUpdateFindings aún no ha actualizado el atributo.

BatchImportFindings proporciona un valor tanto para un atributo de nivel superior como para el atributo correspondiente a FindingProviderFields.

Por ejemplo, BatchImportFindings proporciona tanto Confidence como FindingProviderFields.Confidence.

Si se trata de un resultado nuevo, Security Hub utiliza el valor FindingProviderFields para rellenar tanto el atributo de nivel superior como el atributo correspondiente a FindingProviderFields. No utiliza el valor de atributo de nivel superior proporcionado.

Para un resultado existente, Security Hub usa ambos valores. Sin embargo, actualiza el valor del atributo de nivel superior solo si BatchUpdateFindings aún no ha actualizado el atributo.