BatchImportFindings untuk menemukan penyedia - AWS Security Hub
Prasyarat untuk menggunakan BatchImportFindingsMenentukan apakah akan membuat atau memperbarui temuanPembatasan untuk menemukan pembaruan dengan BatchImportFindingsMemperbarui temuan dengan FindingProviderFields

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

BatchImportFindings untuk menemukan penyedia

Penyedia pencarian dapat menggunakan BatchImportFindingsoperasi untuk membuat temuan Security Hub baru dan memperbarui temuan yang mereka buat. Mereka tidak dapat memperbarui temuan yang tidak mereka buat.

Pelanggan,SIEMs, alat tiket, dan SOAR alat harus digunakan BatchUpdateFindingsuntuk membuat pembaruan terkait dengan penyelidikan mereka terhadap temuan dari penyedia pencarian. Untuk informasi, lihat BatchUpdateFindings untuk pelanggan.

Setiap kali AWS Security Hub menerima BatchImportFindings permintaan untuk membuat atau memperbarui temuan, secara otomatis menghasilkan Security Hub Findings - Importedacara di Amazon EventBridge. Anda dapat mengambil tindakan otomatis pada acara itu. Untuk informasi, lihat Menggunakan EventBridge untuk respon otomatis dan remediasi.

Prasyarat untuk menggunakan BatchImportFindings

BatchImportFindingsharus dipanggil oleh salah satu dari berikut ini:

  • Akun yang terkait dengan temuan. Pengidentifikasi akun terkait harus sesuai dengan nilai AwsAccountId atribut untuk temuan tersebut.

  • Akun yang diizinkan terdaftar sebagai integrasi mitra Security Hub resmi.

Security Hub hanya dapat menerima pembaruan pencarian untuk akun yang mengaktifkan Security Hub. Penyedia temuan juga harus diaktifkan. Jika Security Hub dinonaktifkan, atau integrasi penyedia pencarian tidak diaktifkan, maka temuan akan dikembalikan dalam FailedFindings daftar, dengan InvalidAccess kesalahan.

Menentukan apakah akan membuat atau memperbarui temuan

Untuk menentukan apakah akan membuat atau memperbarui temuan, Security Hub memeriksa ID bidang tersebut. Jika nilai ID tidak cocok dengan temuan yang ada, Security Hub akan membuat temuan baru.

Jika ID cocok dengan temuan yang ada, Security Hub memeriksa UpdatedAt bidang untuk pembaruan, dan melanjutkan sebagai berikut:

  • Jika UpdatedAt pada pembaruan cocok atau terjadi sebelumnya UpdatedAt pada temuan yang ada, Security Hub mengabaikan permintaan pembaruan.

  • Jika UpdatedAt pada pembaruan terjadi setelah UpdatedAt temuan yang ada, Security Hub memperbarui temuan yang ada.

Pembatasan untuk menemukan pembaruan dengan BatchImportFindings

Penyedia pencarian tidak dapat digunakan BatchImportFindings untuk memperbarui atribut berikut dari temuan yang ada:

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub mengabaikan konten apa pun yang disediakan dalam BatchImportFindings permintaan atribut ini. Pelanggan, atau entitas yang bertindak atas nama mereka (seperti alat tiket), dapat menggunakannya BatchUpdateFindings untuk memperbarui atribut ini.

Memperbarui temuan dengan FindingProviderFields

Penyedia pencarian juga tidak boleh digunakan BatchImportFindings untuk memperbarui atribut tingkat atas berikut di AWS Security Finding Format (ASFF):

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

Sebaliknya, mencari penyedia harus menggunakan FindingProviderFieldsobjek untuk memberikan nilai untuk atribut ini.

Contoh

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

Untuk BatchImportFindings permintaan, Security Hub menangani nilai di atribut tingkat atas dan FindingProviderFieldssebagai berikut.

(Preferred) BatchImportFindings memberikan nilai untuk atribut di FindingProviderFields, tetapi tidak memberikan nilai untuk atribut tingkat atas yang sesuai.

Misalnya, BatchImportFindings menyediakanFindingProviderFields.Confidence, tetapi tidak menyediakanConfidence. Ini adalah opsi yang lebih disukai untuk BatchImportFindings permintaan.

Security Hub memperbarui nilai atribut diFindingProviderFields.

Ini mereplikasi nilai ke atribut tingkat atas hanya jika atribut belum diperbarui oleh. BatchUpdateFindings

BatchImportFindingsmemberikan nilai untuk atribut tingkat atas, tetapi tidak memberikan nilai untuk atribut yang sesuai diFindingProviderFields.

Misalnya, BatchImportFindings menyediakanConfidence, tetapi tidak menyediakanFindingProviderFields.Confidence.

Security Hub menggunakan nilai untuk memperbarui atribut diFindingProviderFields. Ini menimpa nilai yang ada.

Security Hub memperbarui atribut tingkat atas hanya jika atribut belum diperbarui olehBatchUpdateFindings.

BatchImportFindingsmemberikan nilai untuk atribut tingkat atas dan atribut yang sesuai diFindingProviderFields.

Misalnya, BatchImportFindings menyediakan keduanya Confidence danFindingProviderFields.Confidence.

Untuk temuan baru, Security Hub menggunakan nilai dalam FindingProviderFields untuk mengisi atribut tingkat atas dan atribut yang sesuai. FindingProviderFields Itu tidak menggunakan nilai atribut tingkat atas yang disediakan.

Untuk temuan yang ada, Security Hub menggunakan kedua nilai. Namun, itu memperbarui nilai atribut tingkat atas hanya jika atribut belum diperbarui olehBatchUpdateFindings.