BatchImportFindings para proveedores de resultados - AWS Security Hub

BatchImportFindings para proveedores de resultados

Los proveedores de resultados utilizan la operación de la API BatchImportFindings para crear nuevos resultados y actualizar la información sobre los resultados que generaron. No pueden actualizar los resultados que no hayan generado ellos.

Los clientes, los SIEM, las herramientas de creación de tickets y las herramientas SOAR deben utilizar BatchUpdateFindings para realizar actualizaciones relacionadas con su investigación sobre los resultados de los proveedores de resultados. Para obtener más información, consulte BatchUpdateFindings para clientes.

Cada vez que AWS Security Hub recibe una solicitud BatchImportFindings para crear o actualizar un resultado, genera automáticamente un evento Security Hub Findings - Imported en Amazon EventBridge. Puede tomar medidas automatizadas en relación con ese evento. Para obtener más información, consulte Usar EventBridge para la respuesta y la corrección automatizadas.

Requisitos previos para utilizar BatchImportFindings

BatchImportFindings debe ser llamada por una de las siguientes opciones:

  • La cuenta que está asociada al resultado. El identificador de la cuenta asociada debe coincidir con el valor del atributo AwsAccountId del resultado.

  • Una cuenta que figura en la lista de permitidos para la integración oficial de un socio de Security Hub.

Security Hub solo puede aceptar actualizaciones de resultados para las cuentas que tengan Security Hub habilitado. El proveedor de hallazgos también debe estar habilitado. Si Security Hub está deshabilitado o la integración del proveedor de resultados no está habilitada, los resultados se devuelven a la lista FailedFindings con el error InvalidAccess.

Determinación de si se debe crear o actualizar un hallazgo

Para determinar si crear o actualizar un hallazgo, Security Hub comprueba el campo ID. Si el valor de ID no coincide con un resultado existente, Security Hub crea un resultado nuevo.

Si ID coincide con un resultado existente, Security Hub comprueba el campo UpdatedAt para la actualización y procede de la siguiente forma:

  • Si UpdatedAt en la actualización coincide con UpdatedAt o se produce antes de esto en el resultado existente, entonces Security Hub ignora la actualización.

  • Si UpdatedAt en la actualización se produce después de UpdatedAt en el resultado existente, Security Hub actualiza el resultado existente.

Restricciones para la actualización de resultados con BatchImportFindings

Los proveedores de resultados no pueden utilizar BatchImportFindings para actualizar los siguientes atributos de un resultado existente:

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub ignora todo el contenido proporcionado en una solicitud BatchImportFindings de estos atributos. Los clientes o las entidades que actúan en su nombre (como las herramientas de creación de tickets) pueden utilizar BatchUpdateFindings para actualizar estos atributos.

Actualizar los resultados mediante FindingProviderFields

Los proveedores de resultados tampoco deberían utilizar BatchImportFindings para actualizar los siguientes atributos de nivel superior en el formato de resultados de seguridad de AWS (ASFF):

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

En su lugar, los proveedores de resultados deben utilizar el objeto FindingProviderFields para proporcionar valores para estos atributos.

Ejemplo

"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }

En el caso de las solicitudes BatchImportFindings, Security Hub gestiona los valores de los atributos de nivel superior y de FindingProviderFields de la siguiente manera.

(Preferido) BatchImportFindings proporciona un valor para un atributo FindingProviderFields, pero no proporciona un valor para el atributo de nivel superior correspondiente.

Por ejemplo, BatchImportFindings proporciona FindingProviderFields.Confidence, pero no proporciona Confidence. Esta es la opción preferida para las solicitudes BatchImportFindings.

Security Hub actualiza el valor del atributo FindingProviderFields.

Replica el valor en el atributo de nivel superior solo si BatchUpdateFindings aún no actualizó el atributo.

BatchImportFindings proporciona un valor para un atributo de nivel superior, pero no proporciona un valor para el atributo correspondiente FindingProviderFields.

Por ejemplo, BatchImportFindings proporciona Confidence, pero no proporciona FindingProviderFields.Confidence.

Security Hub usa el valor para actualizar el atributo FindingProviderFields. Sobrescribe cualquier valor existente.

Security Hub actualiza el atributo de nivel superior solo si BatchUpdateFindings aún no ha actualizado el atributo.

BatchImportFindings proporciona un valor tanto para un atributo de nivel superior como para el atributo correspondiente a FindingProviderFields.

Por ejemplo, BatchImportFindings proporciona tanto Confidence como FindingProviderFields.Confidence.

Si se trata de un resultado nuevo, Security Hub utiliza el valor FindingProviderFields para rellenar tanto el atributo de nivel superior como el atributo correspondiente a FindingProviderFields. No utiliza el valor de atributo de nivel superior proporcionado.

Para un resultado existente, Security Hub usa ambos valores. Sin embargo, actualiza el valor del atributo de nivel superior solo si BatchUpdateFindings aún no ha actualizado el atributo.