BatchImportFindings 用于寻找提供者 - AWS Security Hub
使用 BatchImportFindings 的先决条件确定是创建还是更新结果使用以下方式查找更新的限制 BatchImportFindings使用更新调查结果 FindingProviderFields

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

BatchImportFindings 用于寻找提供者

查找提供者可以使用该BatchImportFindings操作来创建新的 Security Hub 调查结果并更新他们创建的结果。他们无法更新不是他们创建的调查结果。

客户SIEMs、票务工具和SOAR工具必须用于更新他们BatchUpdateFindings对寻找提供商的调查结果的调查。有关信息,请参阅BatchUpdateFindings 为客户

每当 AWS Security Hub 收到创建或更新调查结果的BatchImportFindings请求时,它都会自动生成 Security Hub Findings - Imported亚马逊上的活动 EventBridge。您可以对该事件采取自动操作。有关信息,请参阅 EventBridge 用于自动响应和补救

使用 BatchImportFindings 的先决条件

BatchImportFindings 必须由以下之一调用:

  • 与调查发现关联的账户。关联账户的标识符必须与查找结果的AwsAccountId属性值相匹配。

  • 被列为 Security Hub 官方合作伙伴集成许可名单的账户。

Security Hub 只能接受已启用 Security Hub 的账户的调查发现更新。还必须启用结果提供商。如果禁用 Security Hub,或者未启用调查发现提供商集成,则会在 FailedFindings 列表中返回调查发现,并显示 InvalidAccess 错误。

确定是创建还是更新结果

要确定是创建还是更新调查发现,Security Hub 需要检查 ID 字段。如果的值与现有查找结果ID不匹配,Security Hub 会创建一个新的查找结果。

如果ID与现有发现相匹配,Security Hub 会检查该UpdatedAt字段是否有更新,然后按以下步骤操作:

  • 如果UpdatedAt更新与现有发现相匹配或发生UpdatedAt在更新之前,Security Hub 将忽略更新请求。

  • 如果更新发生UpdatedAt在现有发现之后UpdatedAt,Security Hub 会更新现有发现。

使用以下方式查找更新的限制 BatchImportFindings

查找提供者不能使用BatchImportFindings来更新现有调查结果的以下属性:

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub 会忽略在BatchImportFindings请求这些属性时提供的任何内容。客户或代表他们行事的实体(例如票务工具)可以使用BatchUpdateFindings来更新这些属性。

使用更新调查结果 FindingProviderFields

查找提供程序也不应使用BatchImportFindings来更新 AWS 安全调查结果格式中的以下顶级属性 (ASFF):

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

相反,查找提供者应使用FindingProviderFields对象为这些属性提供值。

示例

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

对于 BatchImportFindings 请求,Security Hub 按如下方式 FindingProviderFields 处理顶级属性中的值。

(首选)BatchImportFindingsFindingProviderFields 中的属性提供值,但不为相应的顶级属性提供值。

例如,BatchImportFindings 提供 FindingProviderFields.Confidence,但不提供 Confidence。这是 BatchImportFindings 请求的首选选项。

Security Hub 更新 FindingProviderFields 中属性的值。

仅当属性尚未由BatchUpdateFindings更新时,它才会将该值复制到顶级属性。

BatchImportFindings 为顶级属性提供值,但不为 FindingProviderFields 中的相应属性提供值。

例如,BatchImportFindings 提供 Confidence,但不提供 FindingProviderFields.Confidence

Security Hub 使用该值来更新 FindingProviderFields 中的属性。它会覆盖任何现有值。

只有当顶级属性尚未由 BatchUpdateFindings 更新时,Security Hub 才会更新该属性。

BatchImportFindings 为顶级属性和 FindingProviderFields 中的相应属性提供了一个值。

例如,BatchImportFindings 同时提供 ConfidenceFindingProviderFields.Confidence

对于新调查发现,Security Hub 使用 FindingProviderFields 中的值填充顶级属性和 FindingProviderFields 中的相应属性。它不使用提供的顶级属性值。

对于现有调查发现,Security Hub 使用这两个值。但是,只有当属性尚未由 BatchUpdateFindings 更新时,它才会更新顶级属性值。