本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
BatchImportFindings 尋找提供者
尋找提供者可以使用 BatchImportFindings
操作來建立新的 Security Hub 調查結果,並更新他們建立的調查結果。他們無法更新他們未建立的調查結果。
客戶、SIEMs、票證工具和SOAR工具必須使用 BatchUpdateFindings
進行更新,以調查來自尋找提供者的調查結果。如需相關資訊,請參閱 BatchUpdateFindings 客戶專用。
只要 AWS Security Hub 收到建立或更新調查結果的BatchImportFindings
請求,它就會自動產生 Security Hub Findings
- Imported Amazon 中的事件 EventBridge。您可以對該事件採取自動動作。如需相關資訊,請參閱 使用 EventBridge 進行自動回應和修復。
使用 BatchImportFindings
的先決條件
BatchImportFindings
必須由下列其中一項呼叫:
-
與調查結果相關聯的帳戶。關聯帳戶的識別符必須與調查結果的
AwsAccountId
屬性值相符。 -
允許列為正式 Security Hub 合作夥伴整合的帳戶。
Security Hub 只能接受已啟用 Security Hub 之帳戶的調查結果更新。同時也必須啟用問題清單提供者。如果停用 Security Hub,或者未啟用調查結果提供者整合,則會在FailedFindings
清單中傳回調查結果,並顯示InvalidAccess
錯誤。
決定是要建立或更新問題清單
若要決定是否建立或更新調查結果,Security Hub 會檢查 ID
欄位。如果 的值與現有調查結果ID
不符,Security Hub 會建立新的調查結果。
如果 ID
符合現有調查結果,Security Hub 會檢查更新UpdatedAt
的欄位,並執行下列操作:
-
如果更新
UpdatedAt
中的 符合或發生在現有調查結果UpdatedAt
的 之前,Security Hub 會忽略更新請求。 -
如果更新
UpdatedAt
在現有調查結果UpdatedAt
的 之後發生,Security Hub 會更新現有調查結果。
使用 尋找更新的限制 BatchImportFindings
調查結果提供者無法使用 BatchImportFindings
來更新現有調查結果的下列屬性:
-
Note
-
UserDefinedFields
-
VerificationState
-
Workflow
Security Hub 會忽略這些屬性BatchImportFindings
請求中提供的任何內容。客戶或代表其行事的實體 (例如票務工具) 可以使用 BatchUpdateFindings
來更新這些屬性。
使用 更新調查結果 FindingProviderFields
尋找提供者也不應該使用 BatchImportFindings
來更新 AWS Security Finding 格式 () 中的下列頂層屬性ASFF:
-
Confidence
-
Criticality
-
RelatedFindings
-
Severity
-
Types
反之,尋找提供者應該使用 FindingProviderFields 物件為這些屬性提供值。
範例
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
對於BatchImportFindings
請求,Security Hub 會處理最上層屬性和 中的值FindingProviderFields,如下所示。
- (偏好)
BatchImportFindings
提供 中屬性的值FindingProviderFields,但不提供對應頂層屬性的值。 -
例如,
BatchImportFindings
提供FindingProviderFields.Confidence
,但不提供Confidence
。這是BatchImportFindings
請求的偏好選項。Security Hub 會更新 中屬性的值
FindingProviderFields
。只有在 屬性尚未由 更新時,才會將值複寫至頂層屬性
BatchUpdateFindings
。 BatchImportFindings
為頂層屬性提供值,但不為 中的對應屬性提供值FindingProviderFields
。-
例如,
BatchImportFindings
提供Confidence
,但不提供FindingProviderFields.Confidence
。Security Hub 使用 值來更新 中的屬性
FindingProviderFields
。它會覆寫任何現有的值。只有在 屬性尚未由 更新時,Security Hub 才會更新頂層屬性
BatchUpdateFindings
。 BatchImportFindings
在 中為頂層屬性和對應的屬性提供值FindingProviderFields
。-
例如, 同時
BatchImportFindings
提供Confidence
和FindingProviderFields.Confidence
。對於新調查結果,Security Hub 會使用 中的值
FindingProviderFields
來填入 中的頂層屬性和對應的屬性FindingProviderFields
。它不使用提供的頂層屬性值。對於現有的調查結果,Security Hub 會使用這兩個值。不過,只有在 屬性尚未由 更新時,才會更新頂層屬性值
BatchUpdateFindings
。