BatchImportFindings 尋找提供者 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

BatchImportFindings 尋找提供者

尋找提供者可以使用 BatchImportFindings操作來建立新的 Security Hub 調查結果,並更新他們建立的調查結果。他們無法更新他們未建立的調查結果。

客戶、SIEMs、票證工具和SOAR工具必須使用 BatchUpdateFindings 進行更新,以調查來自尋找提供者的調查結果。如需相關資訊,請參閱 BatchUpdateFindings 客戶專用

只要 AWS Security Hub 收到建立或更新調查結果的BatchImportFindings請求,它就會自動產生 Security Hub Findings - Imported Amazon 中的事件 EventBridge。您可以對該事件採取自動動作。如需相關資訊,請參閱 使用 EventBridge 進行自動回應和修復

使用 BatchImportFindings 的先決條件

BatchImportFindings 必須由下列其中一項呼叫:

  • 與調查結果相關聯的帳戶。關聯帳戶的識別符必須與調查結果的AwsAccountId屬性值相符。

  • 允許列為正式 Security Hub 合作夥伴整合的帳戶。

Security Hub 只能接受已啟用 Security Hub 之帳戶的調查結果更新。同時也必須啟用問題清單提供者。如果停用 Security Hub,或者未啟用調查結果提供者整合,則會在FailedFindings清單中傳回調查結果,並顯示InvalidAccess錯誤。

決定是要建立或更新問題清單

若要決定是否建立或更新調查結果,Security Hub 會檢查 ID 欄位。如果 的值與現有調查結果ID不符,Security Hub 會建立新的調查結果。

如果 ID符合現有調查結果,Security Hub 會檢查更新UpdatedAt的欄位,並執行下列操作:

  • 如果更新UpdatedAt中的 符合或發生在現有調查結果UpdatedAt的 之前,Security Hub 會忽略更新請求。

  • 如果更新UpdatedAt在現有調查結果UpdatedAt的 之後發生,Security Hub 會更新現有調查結果。

使用 尋找更新的限制 BatchImportFindings

調查結果提供者無法使用 BatchImportFindings 來更新現有調查結果的下列屬性:

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub 會忽略這些屬性BatchImportFindings請求中提供的任何內容。客戶或代表其行事的實體 (例如票務工具) 可以使用 BatchUpdateFindings 來更新這些屬性。

使用 更新調查結果 FindingProviderFields

尋找提供者也不應該使用 BatchImportFindings 來更新 AWS Security Finding 格式 () 中的下列頂層屬性ASFF:

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

反之,尋找提供者應該使用 FindingProviderFields 物件為這些屬性提供值。

範例

"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }

對於BatchImportFindings請求,Security Hub 會處理最上層屬性和 中的值FindingProviderFields,如下所示。

(偏好) BatchImportFindings提供 中屬性的值FindingProviderFields,但不提供對應頂層屬性的值。

例如, BatchImportFindings提供 FindingProviderFields.Confidence,但不提供 Confidence。這是BatchImportFindings請求的偏好選項。

Security Hub 會更新 中屬性的值FindingProviderFields

只有在 屬性尚未由 更新時,才會將值複寫至頂層屬性BatchUpdateFindings

BatchImportFindings 為頂層屬性提供值,但不為 中的對應屬性提供值FindingProviderFields

例如, BatchImportFindings提供 Confidence,但不提供 FindingProviderFields.Confidence

Security Hub 使用 值來更新 中的屬性FindingProviderFields。它會覆寫任何現有的值。

只有在 屬性尚未由 更新時,Security Hub 才會更新頂層屬性BatchUpdateFindings

BatchImportFindings 在 中為頂層屬性和對應的屬性提供值FindingProviderFields

例如, 同時BatchImportFindings提供 ConfidenceFindingProviderFields.Confidence

對於新調查結果,Security Hub 會使用 中的值FindingProviderFields來填入 中的頂層屬性和對應的屬性FindingProviderFields。它不使用提供的頂層屬性值。

對於現有的調查結果,Security Hub 會使用這兩個值。不過,只有在 屬性尚未由 更新時,才會更新頂層屬性值BatchUpdateFindings