BatchImportFindings 検出結果プロバイダー用 - AWS Security Hub
BatchImportFindings を使用するための前提条件結果を作成するか更新するかの決定による結果の更新の制限 BatchImportFindingsでの結果の更新 FindingProviderFields

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

BatchImportFindings 検出結果プロバイダー用

検出結果プロバイダーは、 BatchImportFindingsオペレーションを使用して、新しい Security Hub 検出結果を作成し、作成した検出結果を更新できます。作成しなかった検出結果を更新することはできません。

顧客、SIEMs、チケット発行ツール、およびSOARツールは、 BatchUpdateFindings を使用して、検出結果プロバイダーからの検出結果の調査に関連する更新を行う必要があります。詳細については、BatchUpdateFindings 顧客向け を参照してください。

検出結果を作成または更新するBatchImportFindingsリクエスト AWS Security Hub を受信するたびに、自動的に が生成されます。 Security Hub Findings - Imported Amazon のイベント EventBridge。そのイベントに対して自動アクションを実行できます。詳細については、自動レスポンスと修復 EventBridge のための の使用 を参照してください。

BatchImportFindings を使用するための前提条件

BatchImportFindings を、次のいずれかで呼び出す必要があります。

  • 結果に関連付けられているアカウント。関連付けられたアカウントの識別子は、検出結果の AwsAccountId 属性の値と一致する必要があります。

  • 公式の Security Hub パートナー統合として許可リストに登録されているアカウント。

Security Hub は、Security Hub が有効になっているアカウントの結果更新のみを受け入れます。結果プロバイダーも有効にする必要があります。Security Hub が無効になっているが、結果プロバイダーとの統合が有効になっていない場合は、結果は FailedFindings リストで返され、InvalidAccess エラーが表示されます。

結果を作成するか更新するかの決定

結果を作成するか更新するかを決定するために、Security Hub は ID フィールドをチェックします。の値が既存の検出結果と一致しIDない場合、Security Hub は新しい検出結果を作成します。

が既存の検出結果IDと一致する場合、Security Hub は更新のために UpdatedAtフィールドをチェックし、次のように処理します。

  • 更新UpdatedAt時に既存の検出結果UpdatedAtの より前に一致または発生した場合、Security Hub は更新リクエストを無視します。

  • UpdatedAt 既存の検出結果UpdatedAtの 以降に更新が発生した場合、Security Hub は既存の検出結果を更新します。

による結果の更新の制限 BatchImportFindings

検出結果プロバイダーは、 BatchImportFindingsを使用して既存の検出結果の次の属性を更新することはできません。

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub は、これらの属性のBatchImportFindingsリクエストで提供されたコンテンツを無視します。顧客、または顧客に代わって行動するエンティティ (チケット発行ツールなど) は、 BatchUpdateFindingsを使用してこれらの属性を更新できます。

での結果の更新 FindingProviderFields

検出結果プロバイダーは、 AWS セキュリティ検出結果形式 () で以下の最上位属性を更新BatchImportFindingsするために を使用してはなりませんASFF。

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

代わりに、検出結果プロバイダーは FindingProviderFields オブジェクトを使用してこれらの属性の値を提供する必要があります。

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

BatchImportFindings リクエストの場合、Security Hub はトップレベル属性内および FindingProviderFields 内の値を以下のとおり処理します。

(推奨) BatchImportFindingsFindingProviderFields 内の属性の値を提供しますが、対応するトップレベル属性には値を提供しません。

例えば、BatchImportFindingsFindingProviderFields.Confidence を提供しますが、Confidence は提供しません。これは、BatchImportFindings リクエストに推奨されるオプションです。

Security Hub は、FindingProviderFields 内の属性の値を更新します。

属性が によってまだ更新されていない場合にのみ、その値を最上位属性にレプリケートしますBatchUpdateFindings

BatchImportFindings は、トップレベル属性の値を提供しますが、FindingProviderFields 内の対応する属性には値を提供しません。

例えば、BatchImportFindingsConfidence を提供しますが、FindingProviderFields.Confidence は提供しません。

Security Hub は、値を使用して FindingProviderFields の属性を更新します。既存の値はすべて上書きされます。

Security Hub は、属性が BatchUpdateFindings によってまだ更新されていない場合にのみ、トップレベルの属性を更新します。

BatchImportFindings は、FindingProviderFields のトップレベル属性と対応する属性の両方の値を提供します。

例えば、BatchImportFindingsConfidenceFindingProviderFields.Confidence の両方を提供します。

新しい結果を得るために、Security Hub では FindingProviderFields 内の値を使用して、FindingProviderFields 内のトップレベル属性と対応する属性の両方を入力します。指定された最上位属性値を使用しません。

既存の結果の場合、Security Hub は両方の値を使用します。ただし、トップレベルの属性値が更新されるのは、BatchUpdateFindings により属性がまだ更新されていない場合のみです。