조사 결과 공급자에 대한 BatchImportFindings - AWS Security Hub

조사 결과 공급자에 대한 BatchImportFindings

조사 결과 공급자는 BatchImportFindings API 작업을 사용하여 새로운 조사 결과를 생성하고 생성했던 조사 결과를 업데이트합니다. 생성하지 않은 조사 결과는 업데이트할 수 없습니다.

고객, SIEMS, 티켓팅 도구 및 SOAR 도구는 반드시 BatchUpdateFindings을(를) 사용하여 조사 결과 공급자의 조사 결과와 관련된 업데이트를 수행해야 합니다. 자세한 내용은 고객에 대한 BatchUpdateFindings 섹션을 참조하세요.

AWS Security Hub은(는) 조사 결과를 생성하거나 업데이트하라는 BatchImportFindings 요청을 받을 때마다 Amazon EventBridge에서 Security Hub Findings - Imported 이벤트를 자동으로 생성합니다. 해당 이벤트에 대해 자동 작업을 수행할 수 있습니다. 자세한 내용은 자동 응답 및 문제 해결을 위해 EventBridge 사용 섹션을 참조하세요.

BatchImportFindings 사용을 위한 사전 조건

BatchImportFindings은(는) 다음 중 하나에 의해 직접 호출되어야 합니다.

  • 조사 결과와 연결된 계정. 관련 계정의 식별자는 조사 결과에 대한 AwsAccountId 속성의 값과 일치해야 합니다.

  • 공식 Security Hub 파트너 통합을 위해 연동 허용 목록에 있는 계정.

Security Hub에서는 Security Hub가 활성화된 계정에 대한 조사 결과 업데이트만 수락할 수 있습니다. 조사 결과 공급자도 활성화해야 합니다. Security Hub가 비활성화되거나 조사 결과 공급자 통합이 활성화되지 않은 경우, 조사 결과가 InvalidAccess 오류와 함께 FailedFindings 목록에 반환됩니다.

조사 결과 생성 또는 갱신 여부 결정

조사 결과를 생성할지 또는 업데이트할지 여부를 결정하려면 Security Hub는 ID 필드를 확인합니다. ID의 값이 기존 조사 결과와 일치하지 않으면 Security Hub는 새로운 조사 결과를 생성합니다.

ID이(가) 기존 조사 결과와 일치하는 경우, Security Hub는 UpdatedAt 필드의 업데이트를 확인하고 다음과 같이 진행합니다.

  • 업데이트의 UpdatedAt이(가) 일치하거나 기존 조사 결과의 UpdatedAt 이전에 발생하면 Security Hub는 업데이트 요청을 무시합니다.

  • 업데이트의 UpdatedAt이(가) 기존 조사 결과의 UpdatedAt 이후에 발생하면 Security Hub는 기존 조사 결과를 업데이트합니다.

BatchImportFindings에서 조사 결과 업데이트에 관한 제한

조사 결과 공급자는 기존 조사 결과의 다음 속성을 업데이트하는 데 BatchImportFindings을(를) 사용할 수 없습니다.

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub는 이러한 속성에 대한 BatchImportFindings 요청에 제공된 모든 콘텐츠를 무시합니다. 고객 또는 고객을 대신하여 활동하는 엔티티(예: 티켓팅 도구)는 BatchUpdateFindings을(를) 사용하여 이러한 속성을 업데이트할 수 있습니다.

FindingProviderFields(으)로 조사 결과 업데이트

또한 조사 결과 공급자는 AWS Security Finding Format(ASFF)에서 다음과 같은 최상위 속성을 업데이트하는 데 BatchImportFindings을(를) 사용해서는 안 됩니다.

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

대신, 조사 결과 공급자는 FindingProviderFields 객체를 사용하여 이러한 속성에 대한 값을 제공해야 합니다.

예제

"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }

BatchImportFindings 요청의 경우, Security Hub는 최상위 속성 및 FindingProviderFields의 값을 다음과 같이 처리합니다.

(선호)BatchImportFindings은(는) FindingProviderFields의 속성 값을 제공하지만 해당하는 최상위 속성에 대한 값은 제공하지 않습니다.

예를 들어, BatchImportFindings은(는) FindingProviderFields.Confidence을 제공하지만 Confidence을 제공하지는 않습니다. BatchImportFindings 요청에는 이 옵션을 사용하는 것이 좋습니다.

Security Hub는 FindingProviderFields의 속성 값을 업데이트합니다.

이는 BatchUpdateFindings에 의해 속성을 아직 업데이트하지 않은 경우에만 최상위 속성에 값을 복제합니다.

BatchImportFindings은(는) 최상위 속성에 대한 값을 제공하지만 FindingProviderFields에서 해당하는 속성의 값은 제공하지 않습니다.

예를 들어, BatchImportFindings은(는) FindingProviderFields.Confidence을(를) 제공하지만 Confidence을(를) 제공하지는 않습니다.

Security Hub는 이 값을 사용하여 FindingProviderFields의 속성을 업데이트합니다. 이는 기존 값을 모두 덮어씁니다.

Security Hub는 속성이 BatchUpdateFindings에 의해 아직 업데이트되지 않은 경우에만 최상위 속성을 업데이트합니다.

BatchImportFindings은(는) 최상위 속성과 FindingProviderFields의 해당 속성 모두에 대한 값을 제공합니다.

예를 들어, BatchImportFindings은(는) ConfidenceFindingProviderFields.Confidence을(를) 모두 제공합니다.

새로운 조사 결과의 경우, Security Hub는 FindingProviderFields의 값을 사용하여 최상위 속성과 FindingProviderFields의 해당 속성을 모두 채웁니다. 이는 입력된 최상위 속성 값은 사용하지 않습니다.

기존 조사 결과의 경우, Security Hub는 두 값을 모두 사용합니다. 하지만 BatchUpdateFindings에서 속성을 아직 업데이트하지 않은 경우에만 최상위 속성 값을 업데이트합니다.