BatchImportFindings para provedores de descobertas - Security Hub da AWS

BatchImportFindings para provedores de descobertas

Os provedores de descobertas podem usar a operação BatchImportFindings para criar descobertas para e atualizar as descobertas que criaram. Eles não podem atualizar descobertas que não criaram.

Clientes, ferramentas de SIEM, emissão de tíquetes e SOAR usam BatchUpdateFindings para fazer atualizações relacionadas a sua investigação de descobertas dos provedores de descobertas. Para ter mais informações, consulte BatchUpdateFindings para clientes.

Sempre que AWS Security Hub recebe uma solicitação BatchImportFindings para criar ou atualizar uma descoberta, ela gera automaticamente um evento Security Hub Findings - Imported no Amazon EventBridge. Você pode realizar ações automatizadas em relação a esse evento. Para ter mais informações, consulte Usar o EventBridge para resposta e remediação automatizada.

Pré-requisitos para usar o BatchImportFindings

BatchImportFindings deve ser um dos seguintes:

  • A conta da AWS associada com as descobertas. O identificador da conta associada deve corresponder ao valor do atributo AwsAccountId da descoberta.

  • Uma conta que está na lista de permissões como uma integração de parceiro oficial do Security Hub.

O Security Hub só pode aceitar atualizações de descobertas para contas que tenham o Security Hub habilitado. O provedor de descoberta também deve estar habilitado. Se o Security Hub estiver desabilitado ou se a integração do provedor de descoberta não estiver habilitada, as descobertas serão retornadas na lista FailedFindings, com um erro InvalidAccess.

Determinar se uma descoberta deve ser criada ou atualizada

Para determinar se deseja criar ou atualizar uma descoberta, o Security Hub verifica o campo ID. Se o valor de ID não corresponder a uma descoberta existente, o Security Hub cria uma descoberta.

Se ID corresponder a uma descoberta existente, o Security Hub verifica o campo UpdatedAt da atualização e faz o seguinte:

  • Se UpdatedAt na atualização corresponder ou ocorrer antes de UpdatedAt na descoberta existente, o Security Hub ignora a atualização solicitada.

  • Se UpdatedAt na atualização ocorrer após UpdatedAt na descoberta existente, o Security Hub atualiza a descoberta existente.

Restrições a atualizações de descobertas com BatchImportFindings

Para uma descoberta existente, os provedores de descobertas não podem usar BatchImportFindings para atualizar os seguintes atributos e objetos:

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

O Security Hub ignora qualquer conteúdo fornecido em uma solicitação de BatchImportFindings para esses atributos. Clientes ou entidades que atuam em seu nome (como ferramentas de criação de tíquetes) podem usar BatchUpdateFindings para atualizar esses atributos.

Atualizar descobertas com FindingProviderFields

Os provedores de descobertas também não devem usar BatchImportFindings para atualizar os seguintes atributos de nível superior do AWS Security Finding Format (ASFF):

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

Em vez disso, os provedores de descobertas devem usar o objeto FindingProviderFields para fornecer valores para esses atributos.

Exemplo

"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }

Para solicitações BatchImportFindings, o Security Hub manipula valores nos atributos de nível superior e no FindingProviderFields da seguinte forma.

(Preferencial) O BatchImportFindings fornece um valor para um atributo em FindingProviderFields, mas não fornece um valor para o atributo de nível superior correspondente.

Por exemplo, o BatchImportFindings fornece FindingProviderFields.Confidence, mas não fornece Confidence. Essa é a opção preferida para solicitações BatchImportFindings.

O Security Hub atualiza o valor do atributo no FindingProviderFields.

Ele só replica o valor para o atributo de nível superior se o atributo ainda não foi atualizado por BatchUpdateFindings.

O BatchImportFindings fornece um valor para um atributo de nível superior, mas não fornece um valor para o atributo correspondente em FindingProviderFields.

Por exemplo, o BatchImportFindings fornece Confidence, mas não fornece FindingProviderFields.Confidence.

O Security Hub usa o valor para atualizar o atributo no FindingProviderFields. Ele sobrescreve qualquer valor existente.

O Security Hub atualiza o atributo de nível superior somente se o atributo ainda não tiver sido atualizado por BatchUpdateFindings.

BatchImportFindings fornece um valor para um atributo de nível superior e para o atributo correspondente em FindingProviderFields.

Por exemplo, BatchImportFindings fornece ambos Confidence e FindingProviderFields.Confidence.

Para uma nova descoberta, o Security Hub usa o valor em FindingProviderFields para preencher o atributo de nível superior e o atributo correspondente em FindingProviderFields. Ele não usa o valor do atributo de nível superior fornecido.

Para uma descoberta existente, o Security Hub usa os dois valores. No entanto, ele atualiza o atributo de nível superior somente se o atributo ainda não tiver sido atualizado por BatchUpdateFindings.