BatchImportFindings para proveedores de resultados
Los proveedores de resultados utilizan la operación de la API BatchImportFindings
para crear nuevos resultados y actualizar la información sobre los resultados que generaron. No pueden actualizar los resultados que no hayan generado ellos.
Los clientes, los SIEM, las herramientas de creación de tickets y las herramientas SOAR deben utilizar BatchUpdateFindings
para realizar actualizaciones relacionadas con su investigación sobre los resultados de los proveedores de resultados. Para obtener más información, consulte BatchUpdateFindings para clientes.
Cada vez que AWS Security Hub recibe una solicitud BatchImportFindings
para crear o actualizar un resultado, genera automáticamente un evento Security Hub Findings
- Imported en Amazon EventBridge. Puede tomar medidas automatizadas en relación con ese evento. Para obtener más información, consulte Usar EventBridge para la respuesta y la corrección automatizadas.
Requisitos previos para utilizar BatchImportFindings
BatchImportFindings
debe ser llamada por una de las siguientes opciones:
-
La cuenta que está asociada al resultado. El identificador de la cuenta asociada debe coincidir con el valor del atributo
AwsAccountId
del resultado. -
Una cuenta que figura en la lista de permitidos para la integración oficial de un socio de Security Hub.
Security Hub solo puede aceptar actualizaciones de resultados para las cuentas que tengan Security Hub habilitado. El proveedor de hallazgos también debe estar habilitado. Si Security Hub está deshabilitado o la integración del proveedor de resultados no está habilitada, los resultados se devuelven a la lista FailedFindings
con el error InvalidAccess
.
Determinación de si se debe crear o actualizar un hallazgo
Para determinar si crear o actualizar un hallazgo, Security Hub comprueba el campo ID
. Si el valor de ID
no coincide con un resultado existente, Security Hub crea un resultado nuevo.
Si ID
coincide con un resultado existente, Security Hub comprueba el campo UpdatedAt
para la actualización y procede de la siguiente forma:
-
Si
UpdatedAt
en la actualización coincide conUpdatedAt
o se produce antes de esto en el resultado existente, entonces Security Hub ignora la actualización. -
Si
UpdatedAt
en la actualización se produce después deUpdatedAt
en el resultado existente, Security Hub actualiza el resultado existente.
Restricciones para la actualización de resultados con BatchImportFindings
Los proveedores de resultados no pueden utilizar BatchImportFindings
para actualizar los siguientes atributos de un resultado existente:
-
Note
-
UserDefinedFields
-
VerificationState
-
Workflow
Security Hub ignora todo el contenido proporcionado en una solicitud BatchImportFindings
de estos atributos. Los clientes o las entidades que actúan en su nombre (como las herramientas de creación de tickets) pueden utilizar BatchUpdateFindings
para actualizar estos atributos.
Actualizar los resultados mediante FindingProviderFields
Los proveedores de resultados tampoco deberían utilizar BatchImportFindings
para actualizar los siguientes atributos de nivel superior en el formato de resultados de seguridad de AWS (ASFF):
-
Confidence
-
Criticality
-
RelatedFindings
-
Severity
-
Types
En su lugar, los proveedores de resultados deben utilizar el objeto FindingProviderFields para proporcionar valores para estos atributos.
Ejemplo
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
En el caso de las solicitudes BatchImportFindings
, Security Hub gestiona los valores de los atributos de nivel superior y de FindingProviderFields de la siguiente manera.
- (Preferido)
BatchImportFindings
proporciona un valor para un atributo FindingProviderFields, pero no proporciona un valor para el atributo de nivel superior correspondiente. -
Por ejemplo,
BatchImportFindings
proporcionaFindingProviderFields.Confidence
, pero no proporcionaConfidence
. Esta es la opción preferida para las solicitudesBatchImportFindings
.Security Hub actualiza el valor del atributo
FindingProviderFields
.Replica el valor en el atributo de nivel superior solo si
BatchUpdateFindings
aún no actualizó el atributo. BatchImportFindings
proporciona un valor para un atributo de nivel superior, pero no proporciona un valor para el atributo correspondienteFindingProviderFields
.-
Por ejemplo,
BatchImportFindings
proporcionaConfidence
, pero no proporcionaFindingProviderFields.Confidence
.Security Hub usa el valor para actualizar el atributo
FindingProviderFields
. Sobrescribe cualquier valor existente.Security Hub actualiza el atributo de nivel superior solo si
BatchUpdateFindings
aún no ha actualizado el atributo. BatchImportFindings
proporciona un valor tanto para un atributo de nivel superior como para el atributo correspondiente aFindingProviderFields
.-
Por ejemplo,
BatchImportFindings
proporciona tantoConfidence
comoFindingProviderFields.Confidence
.Si se trata de un resultado nuevo, Security Hub utiliza el valor
FindingProviderFields
para rellenar tanto el atributo de nivel superior como el atributo correspondiente aFindingProviderFields
. No utiliza el valor de atributo de nivel superior proporcionado.Para un resultado existente, Security Hub usa ambos valores. Sin embargo, actualiza el valor del atributo de nivel superior solo si
BatchUpdateFindings
aún no ha actualizado el atributo.