BatchImportFindings para provedores de descobertas
Os provedores de descobertas podem usar a operação BatchImportFindings
para criar descobertas para e atualizar as descobertas que criaram. Eles não podem atualizar descobertas que não criaram.
Clientes, ferramentas de SIEM, emissão de tíquetes e SOAR usam BatchUpdateFindings
para fazer atualizações relacionadas a sua investigação de descobertas dos provedores de descobertas. Para ter mais informações, consulte BatchUpdateFindings para clientes.
Sempre que AWS Security Hub recebe uma solicitação BatchImportFindings
para criar ou atualizar uma descoberta, ela gera automaticamente um evento Security Hub Findings
- Imported no Amazon EventBridge. Você pode realizar ações automatizadas em relação a esse evento. Para ter mais informações, consulte Usar o EventBridge para resposta e remediação automatizada.
Pré-requisitos para usar o BatchImportFindings
BatchImportFindings
deve ser um dos seguintes:
-
A conta da AWS associada com as descobertas. O identificador da conta associada deve corresponder ao valor do atributo
AwsAccountId
da descoberta. -
Uma conta que está na lista de permissões como uma integração de parceiro oficial do Security Hub.
O Security Hub só pode aceitar atualizações de descobertas para contas que tenham o Security Hub habilitado. O provedor de descoberta também deve estar habilitado. Se o Security Hub estiver desabilitado ou se a integração do provedor de descoberta não estiver habilitada, as descobertas serão retornadas na lista FailedFindings
, com um erro InvalidAccess
.
Determinar se uma descoberta deve ser criada ou atualizada
Para determinar se deseja criar ou atualizar uma descoberta, o Security Hub verifica o campo ID
. Se o valor de ID
não corresponder a uma descoberta existente, o Security Hub cria uma descoberta.
Se ID
corresponder a uma descoberta existente, o Security Hub verifica o campo UpdatedAt
da atualização e faz o seguinte:
-
Se
UpdatedAt
na atualização corresponder ou ocorrer antes deUpdatedAt
na descoberta existente, o Security Hub ignora a atualização solicitada. -
Se
UpdatedAt
na atualização ocorrer apósUpdatedAt
na descoberta existente, o Security Hub atualiza a descoberta existente.
Restrições a atualizações de descobertas com BatchImportFindings
Para uma descoberta existente, os provedores de descobertas não podem usar BatchImportFindings
para atualizar os seguintes atributos e objetos:
-
Note
-
UserDefinedFields
-
VerificationState
-
Workflow
O Security Hub ignora qualquer conteúdo fornecido em uma solicitação de BatchImportFindings
para esses atributos. Clientes ou entidades que atuam em seu nome (como ferramentas de criação de tíquetes) podem usar BatchUpdateFindings
para atualizar esses atributos.
Atualizar descobertas com FindingProviderFields
Os provedores de descobertas também não devem usar BatchImportFindings
para atualizar os seguintes atributos de nível superior do AWS Security Finding Format (ASFF):
-
Confidence
-
Criticality
-
RelatedFindings
-
Severity
-
Types
Em vez disso, os provedores de descobertas devem usar o objeto FindingProviderFields para fornecer valores para esses atributos.
Exemplo
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
Para solicitações BatchImportFindings
, o Security Hub manipula valores nos atributos de nível superior e no FindingProviderFields da seguinte forma.
- (Preferencial) O
BatchImportFindings
fornece um valor para um atributo em FindingProviderFields, mas não fornece um valor para o atributo de nível superior correspondente. -
Por exemplo, o
BatchImportFindings
forneceFindingProviderFields.Confidence
, mas não forneceConfidence
. Essa é a opção preferida para solicitaçõesBatchImportFindings
.O Security Hub atualiza o valor do atributo no
FindingProviderFields
.Ele só replica o valor para o atributo de nível superior se o atributo ainda não foi atualizado por
BatchUpdateFindings
. - O
BatchImportFindings
fornece um valor para um atributo de nível superior, mas não fornece um valor para o atributo correspondente emFindingProviderFields
. -
Por exemplo, o
BatchImportFindings
forneceConfidence
, mas não forneceFindingProviderFields.Confidence
.O Security Hub usa o valor para atualizar o atributo no
FindingProviderFields
. Ele sobrescreve qualquer valor existente.O Security Hub atualiza o atributo de nível superior somente se o atributo ainda não tiver sido atualizado por
BatchUpdateFindings
. BatchImportFindings
fornece um valor para um atributo de nível superior e para o atributo correspondente emFindingProviderFields
.-
Por exemplo,
BatchImportFindings
fornece ambosConfidence
eFindingProviderFields.Confidence
.Para uma nova descoberta, o Security Hub usa o valor em
FindingProviderFields
para preencher o atributo de nível superior e o atributo correspondente emFindingProviderFields
. Ele não usa o valor do atributo de nível superior fornecido.Para uma descoberta existente, o Security Hub usa os dois valores. No entanto, ele atualiza o atributo de nível superior somente se o atributo ainda não tiver sido atualizado por
BatchUpdateFindings
.