BatchImportFindings 공급자 찾기 - AWS 보안 허브
BatchImportFindings 사용을 위한 사전 조건결과 생성 또는 갱신 여부 결정를 사용하여 업데이트를 찾는 데 대한 제한 사항 BatchImportFindings로 조사 결과 업데이트 FindingProviderFields

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

BatchImportFindings 공급자 찾기

조사 결과 공급자는 BatchImportFindings 작업을 사용하여 새 Security Hub 조사 결과를 생성하고 자신이 생성한 조사 결과를 업데이트할 수 있습니다. 생성하지 않은 조사 결과는 업데이트할 수 없습니다.

고객, , SIEMs티켓팅 도구 및 SOAR 도구는 결과 공급자의 조사 결과와 관련된 업데이트를 수행하는 BatchUpdateFindings 데 를 사용해야 합니다. 자세한 내용은 BatchUpdateFindings 고객용을 참조하세요.

결과를 생성하거나 업데이트하라는 BatchImportFindings 요청을 AWS Security Hub 받을 때마다 자동으로 Security Hub Findings - Imported Amazon 의 이벤트 EventBridge. 해당 이벤트에 대해 자동 작업을 수행할 수 있습니다. 자세한 내용은 자동 응답 및 수정 EventBridge 에 사용을 참조하세요.

BatchImportFindings 사용을 위한 사전 조건

BatchImportFindings는 다음 중 하나에 의해 호출되어야 합니다.

  • 조사 결과와 연결된 계정. 연결된 계정의 식별자는 결과에 대한 AwsAccountId 속성 값과 일치해야 합니다.

  • 공식 Security Hub 파트너 통합으로 등록된 계정입니다.

Security Hub에서는 Security Hub가 활성화된 계정에 대한 결과 업데이트만 수락할 수 있습니다. 결과 공급자도 활성화해야 합니다. Security Hub가 비활성화되거나 조사 결과 공급자 통합이 활성화되지 않은 경우, 조사 결과가 InvalidAccess 오류와 함께 FailedFindings 목록에 반환됩니다.

결과 생성 또는 갱신 여부 결정

결과를 생성할지 또는 업데이트할지 여부를 결정하려면 Security Hub는 ID 필드를 확인합니다. 값이 기존 결과와 일치하지 ID 않는 경우 Security Hub는 새 결과를 생성합니다.

가 기존 조사 결과와 ID 일치하면 Security Hub는 UpdatedAt 필드에 업데이트가 있는지 확인하고 다음과 같이 진행합니다.

  • 업데이트UpdatedAt의 가 UpdatedAt 기존 결과와 일치하거나 그 이전에 발생하는 경우 Security Hub는 업데이트 요청을 무시합니다.

  • 업데이트 UpdatedAt 시 기존 조사 결과 이후에 업데이트UpdatedAt가 발생하면 Security Hub는 기존 조사 결과를 업데이트합니다.

를 사용하여 업데이트를 찾는 데 대한 제한 사항 BatchImportFindings

조사 결과 공급자는 BatchImportFindings를 사용하여 기존 조사 결과의 다음 속성을 업데이트할 수 없습니다.

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub는 이러한 속성에 대한 BatchImportFindings 요청에 제공된 모든 콘텐츠를 무시합니다. 고객 또는 고객을 대신하여 활동하는 엔터티(예: 티켓 도구)는 BatchUpdateFindings를 사용하여 이러한 속성을 업데이트할 수 있습니다.

로 조사 결과 업데이트 FindingProviderFields

또한 결과 공급자는 AWS Security Finding Format(ASFF)에서 다음과 같은 최상위 속성을 업데이트하는 BatchImportFindings 데 를 사용해서는 안 됩니다.

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

대신 검색 공급자는 FindingProviderFields 객체를 사용하여 이러한 속성에 대한 값을 제공해야 합니다.

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

BatchImportFindings 요청의 경우 Security Hub는 최상위 속성 및 FindingProviderFields의 값을 다음과 같이 처리합니다.

(선호) BatchImportFindingsFindingProviderFields의 속성 값을 제공하지만 해당하는 최상위 속성에 대한 값은 제공하지 않습니다.

예를 들어 BatchImportFindingsFindingProviderFields.Confidence을 제공하지만 Confidence을 제공하지는 않습니다. BatchImportFindings 요청에는 이 옵션을 사용하는 것이 좋습니다.

Security Hub는 FindingProviderFields의 속성 값을 업데이트합니다.

에서 속성을 아직 업데이트하지 않은 경우에만 최상위 속성에 값을 복제합니다BatchUpdateFindings.

BatchImportFindings은 최상위 속성에 대한 값을 제공하지만 FindingProviderFields에서 해당하는 속성의 값은 제공하지 않습니다.

예를 들어 BatchImportFindingsFindingProviderFields.Confidence을 제공하지만 Confidence을 제공하지는 않습니다.

Security Hub는 이 값을 사용하여 FindingProviderFields의 속성을 업데이트합니다. 이는 기존 값을 모두 덮어씁니다.

Security Hub는 속성이 BatchUpdateFindings에 의해 아직 업데이트되지 않은 경우에만 최상위 속성을 업데이트합니다.

BatchImportFindings은 최상위 속성과 FindingProviderFields의 해당 속성 모두에 대한 값을 제공합니다.

예를 들어, BatchImportFindingsConfidenceFindingProviderFields.Confidence을 모두 제공합니다.

새로운 결과의 경우 Security Hub는 FindingProviderFields의 값을 사용하여 최상위 속성과 FindingProviderFields의 해당 속성을 모두 채웁니다. 제공된 최상위 속성 값은 사용하지 않습니다.

기존 검색 결과에 대해 Security Hub는 두 값을 모두 사용합니다. 하지만 BatchUpdateFindings에서 속성을 아직 업데이트하지 않은 경우에만 최상위 속성 값을 업데이트합니다.