BatchImportFindings pour trouver des fournisseurs - AWS Security Hub
Conditions préalables pour l'utilisation du BatchImportFindings.Déterminer s'il faut créer ou mettre à jour un résultatRestrictions concernant la recherche de mises à jour avec BatchImportFindingsMettre à jour les résultats avec FindingProviderFields

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

BatchImportFindings pour trouver des fournisseurs

Les fournisseurs de recherche peuvent utiliser cette BatchImportFindingsopération pour créer de nouvelles conclusions du Security Hub et mettre à jour les conclusions qu'ils ont créées. Ils ne peuvent pas mettre à jour les résultats qu'ils n'ont pas créés.

Les clientsSIEMs, les outils de billetterie et les SOAR outils doivent utiliser BatchUpdateFindingspour effectuer des mises à jour liées à leur enquête sur les résultats de la recherche de fournisseurs. Pour plus d’informations, veuillez consulter BatchUpdateFindings pour les clients.

Chaque fois qu'il AWS Security Hub reçoit une BatchImportFindings demande de création ou de mise à jour d'un résultat, il génère automatiquement un Security Hub Findings - Importedévénement sur Amazon EventBridge. Vous pouvez prendre des mesures automatisées sur cet événement. Pour plus d’informations, veuillez consulter Utilisation EventBridge pour une réponse et une correction automatisées.

Conditions préalables pour l'utilisation du BatchImportFindings.

BatchImportFindingsdoit être appelé par l'une des personnes suivantes :

  • Le compte associé aux résultats. L'identifiant du compte associé doit correspondre à la valeur de l'AwsAccountIdattribut utilisé pour la recherche.

  • Un compte autorisé en tant qu'intégration officielle des partenaires du Security Hub.

Security Hub ne peut accepter de rechercher des mises à jour que pour les comptes sur lesquels Security Hub est activé. Le fournisseur de résultats doit également être activé. Si Security Hub est désactivé ou si l'intégration du fournisseur de recherche n'est pas activée, les résultats sont renvoyés dans la FailedFindings liste avec une InvalidAccess erreur.

Déterminer s'il faut créer ou mettre à jour un résultat

Pour déterminer s'il convient de créer ou de mettre à jour un résultat, Security Hub vérifie le ID champ. Si la valeur de ID ne correspond pas à un résultat existant, Security Hub en crée un nouveau.

S'il ID correspond à un résultat existant, Security Hub vérifie la mise à jour dans le UpdatedAt champ et procède comme suit :

  • Si aucune UpdatedAt mise à jour correspond à la constatation existante ou si elle intervient avantUpdatedAt, Security Hub ignore la demande de mise à jour.

  • Si UpdatedAt la mise à jour intervient après UpdatedAt le résultat existant, Security Hub met à jour le résultat existant.

Restrictions concernant la recherche de mises à jour avec BatchImportFindings

Les fournisseurs de recherche ne peuvent pas BatchImportFindings les utiliser pour mettre à jour les attributs suivants d'une recherche existante :

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub ignore tout contenu fourni dans une BatchImportFindings demande pour ces attributs. Les clients, ou les entités agissant en leur nom (tels que les outils de billetterie), peuvent utiliser BatchUpdateFindings pour mettre à jour ces attributs.

Mettre à jour les résultats avec FindingProviderFields

Les fournisseurs de recherche ne doivent pas non plus être utilisés BatchImportFindings pour mettre à jour les attributs de haut niveau suivants dans le format AWS de recherche de sécurité (ASFF) :

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

La recherche de fournisseurs doit plutôt utiliser l'FindingProviderFieldsobjet pour fournir des valeurs pour ces attributs.

Exemple

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

Pour les BatchImportFindings demandes, Security Hub gère les valeurs des attributs de niveau supérieur et de la manière FindingProviderFieldssuivante.

(Préféré) BatchImportFindings fournit une valeur pour un attribut dans FindingProviderFields, mais ne fournit pas de valeur pour l'attribut de niveau supérieur correspondant.

Par exemple, BatchImportFindings fournitFindingProviderFields.Confidence, mais ne fournit pasConfidence. Il s'agit de l'option préférée pour les BatchImportFindings demandes.

Security Hub met à jour la valeur de l'attribut dansFindingProviderFields.

Il réplique la valeur vers l'attribut de niveau supérieur uniquement si l'attribut n'a pas déjà été mis à jour par. BatchUpdateFindings

BatchImportFindingsfournit une valeur pour un attribut de niveau supérieur, mais ne fournit pas de valeur pour l'attribut correspondant dansFindingProviderFields.

Par exemple, BatchImportFindings fournitConfidence, mais ne fournit pasFindingProviderFields.Confidence.

Security Hub utilise la valeur pour mettre à jour l'attribut dansFindingProviderFields. Elle remplace toute valeur existante.

Security Hub met à jour l'attribut de niveau supérieur uniquement s'il n'a pas déjà été mis à jour parBatchUpdateFindings.

BatchImportFindingsfournit une valeur à la fois pour un attribut de niveau supérieur et pour l'attribut correspondant dansFindingProviderFields.

Par exemple, BatchImportFindings fournit à la fois Confidence etFindingProviderFields.Confidence.

Pour une nouvelle découverte, Security Hub utilise la valeur in FindingProviderFields pour renseigner à la fois l'attribut de niveau supérieur et l'attribut correspondant dans. FindingProviderFields Il n'utilise pas la valeur d'attribut de premier niveau fournie.

Pour un résultat existant, Security Hub utilise les deux valeurs. Toutefois, il met à jour la valeur de l'attribut de niveau supérieur uniquement si l'attribut n'a pas déjà été mis à jour parBatchUpdateFindings.