BatchImportFindings per trovare fornitori - AWS Security Hub
Prerequisiti per l'utilizzo di BatchImportFindingsDeterminazione per creare o aggiornare un risultatoRestrizioni sulla ricerca di aggiornamenti con BatchImportFindingsAggiornamento dei risultati con FindingProviderFields

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

BatchImportFindings per trovare fornitori

I provider di ricerca possono utilizzare l'BatchImportFindingsoperazione per creare nuovi risultati del Security Hub e aggiornare i risultati che hanno creato. Non possono aggiornare i risultati che non hanno creato.

I clienti SIEMs, gli strumenti di ticketing e gli strumenti SOAR devono utilizzare BatchUpdateFindingsper apportare aggiornamenti relativi alle indagini sui risultati della ricerca dei fornitori. Per informazioni, consultare BatchUpdateFindings per i clienti.

Ogni volta che AWS Security Hub riceve una BatchImportFindings richiesta di creazione o aggiornamento di un risultato, genera automaticamente un Security Hub Findings - Importedevento in Amazon EventBridge. Puoi intraprendere azioni automatiche su quell'evento. Per informazioni, consultare Utilizzo EventBridge per la risposta e la correzione automatizzate.

Prerequisiti per l'utilizzo di BatchImportFindings

BatchImportFindingsdeve essere chiamato da uno dei seguenti:

  • L'account associato ai risultati. L'identificatore dell'account associato deve corrispondere al valore dell'AwsAccountIdattributo per il risultato.

  • Un account che è consentito nell'elenco dei partner di integrazione ufficiale del Security Hub.

Security Hub può accettare la ricerca di aggiornamenti solo per gli account con Security Hub abilitato. Anche il provider di risultati deve essere abilitato. Se Security Hub è disabilitato o l'integrazione del provider di ricerca non è abilitata, i risultati vengono restituiti nell'FailedFindingselenco, con un InvalidAccess errore.

Determinazione per creare o aggiornare un risultato

Per determinare se creare o aggiornare un risultato, Security Hub controlla il ID campo. Se il valore di ID non corrisponde a un risultato esistente, Security Hub crea un nuovo risultato.

Se ID corrisponde a un risultato esistente, Security Hub controlla il UpdatedAt campo per l'aggiornamento e procede come segue:

  • Se UpdatedAt l'aggiornamento corrisponde o si verifica prima UpdatedAt del risultato esistente, Security Hub ignora la richiesta di aggiornamento.

  • Se UpdatedAt l'aggiornamento avviene dopo UpdatedAt il risultato esistente, Security Hub aggiorna il risultato esistente.

Restrizioni sulla ricerca di aggiornamenti con BatchImportFindings

I fornitori di servizi di ricerca non possono BatchImportFindings utilizzare per aggiornare i seguenti attributi di un risultato esistente:

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub ignora qualsiasi contenuto fornito in una BatchImportFindings richiesta per questi attributi. I clienti o le entità che agiscono per loro conto (come gli strumenti di ticketing) possono utilizzare BatchUpdateFindings per aggiornare questi attributi.

Aggiornamento dei risultati con FindingProviderFields

Inoltre, i fornitori di servizi di ricerca non dovrebbero BatchImportFindings aggiornare i seguenti attributi di primo livello nel AWS Security Finding Format (ASFF):

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

Invece, i provider di ricerca dovrebbero utilizzare l'FindingProviderFieldsoggetto per fornire valori per questi attributi.

Esempio

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

Per BatchImportFindings le richieste, Security Hub gestisce i valori negli attributi di primo livello e nel modo FindingProviderFieldsseguente.

(Preferito) BatchImportFindings fornisce un valore per un attributo in FindingProviderFields, ma non fornisce un valore per l'attributo di primo livello corrispondente.

Ad esempioFindingProviderFields.Confidence, BatchImportFindings fornisce ma non fornisceConfidence. Questa è l'opzione preferita per BatchImportFindings le richieste.

Security Hub aggiorna il valore dell'attributo inFindingProviderFields.

Replica il valore nell'attributo di primo livello solo se l'attributo non è già stato aggiornato da. BatchUpdateFindings

BatchImportFindingsfornisce un valore per un attributo di primo livello, ma non fornisce un valore per l'attributo corrispondente in. FindingProviderFields

Ad esempio, BatchImportFindings fornisceConfidence, ma non fornisceFindingProviderFields.Confidence.

Security Hub utilizza il valore per aggiornare l'attributo inFindingProviderFields. Sovrascrive qualsiasi valore esistente.

Security Hub aggiorna l'attributo di primo livello solo se l'attributo non è già stato aggiornato daBatchUpdateFindings.

BatchImportFindingsfornisce un valore sia per un attributo di primo livello che per l'attributo corrispondente in. FindingProviderFields

Ad esempio, BatchImportFindings fornisce Confidence siaFindingProviderFields.Confidence.

Per una nuova scoperta, Security Hub utilizza il valore in FindingProviderFields per compilare sia l'attributo di primo livello che l'attributo corrispondente in. FindingProviderFields Non utilizza il valore dell'attributo di primo livello fornito.

Per un risultato esistente, Security Hub utilizza entrambi i valori. Tuttavia, aggiorna il valore dell'attributo di primo livello solo se l'attributo non è già stato aggiornato daBatchUpdateFindings.