使用 BatchImportFindings 创建和更新结果 - Amazon Security Hub
确定是创建还是更新结果的受限属性BatchImportFindings使用 FindingProviderFields使用batch-import-findings命令Amazon CLI
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 BatchImportFindings 创建和更新结果

结果提供商使用 BatchImportFindings API 操作创建新结果,并更新他们所创建结果的相关信息。他们无法更新他们没有创建的结果。

客户、SIEMS、票证工具和 SOAR 工具使用 BatchUpdateFindings 进行与处理结果提供商的结果相关的更新。请参阅 使用 BatchUpdateFindings 更新结果

每当 Security Hub 收到BatchImportFindings请求创建或更新结果时,它会自动生成Security Hub Findings - ImportedAmazon EventBridge。请参阅 自动响应和补救

Amazon Security Hub只能接受为启用了 Security Hub 的帐户查找更新。还必须启用结果提供商。如果禁用 Security Hub,或者未启用结果提供商集成,则会在FailedFindings列表,其中包含InvalidAccess错误。

适用于BatchImportFindings,Security Hub 每批最多可接受 100 个查找结果,每个查找结果高达 240 KB,每批处理最多可接受 6 MB。油门速率限制为每个区域每个账户 10 TPS,突发 30 TPS。

确定是创建还是更新结果

要确定是创建还是更新结果,Security Hub 将检查ID字段中返回的子位置类型。如果 ID 的值与现有结果不匹配,则会创建一个新结果。

如果ID与现有结果确实匹配,则 Security Hub 会检查UpdatedAt字段进行更新。

  • 如果UpdatedAt匹配或发生之前UpdatedAt,则忽略更新。

  • 如果更新的 UpdatedAt 出现在现有结果的 UpdatedAt 之后,则更新现有结果。

的受限属性BatchImportFindings

对于现有结果,查找提供商无法使用BatchImportFindings更新以下属性和对象。这些属性只能使用进行更新。BatchUpdateFindings

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub 会忽略BatchImportFindings对于这些属性和对象。客户或其他代表他们行事的提供商使用BatchUpdateFindings来更新它们。

使用 FindingProviderFields

查找提供者也不应该使用BatchImportFindings更新以下属性。

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

相反,查找提供程序使用FindingProviderFields对象为这些属性提供值。

示例

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

适用于BatchImportFindings请求时,Security Hub 将处理顶级属性和FindingProviderFields如下所示。

(首选)BatchImportFindings提供了一个属性的值FindingProviderFields,但不为相应的顶级属性提供值。

例如,BatchImportFindings提供的FindingProviderFields.Confidence,但不提供Confidence。这是BatchImportFindings请求。

Security Hub 更新属性的值FindingProviderFields

只有当属性尚未通过BatchUpdateFindings

BatchImportFindings为顶级属性提供一个值,但不为FindingProviderFields

例如,BatchImportFindings提供的Confidence,但不提供FindingProviderFields.Confidence

Security Hub 使用值更新FindingProviderFields。它会覆盖任何现有值。

仅当属性尚未通过BatchUpdateFindings

BatchImportFindings为顶级属性和FindingProviderFields

例如,BatchImportFindings同时提供ConfidenceFindingProviderFields.Confidence

对于新的查找结果,Security Hub 使用FindingProviderFields来填充顶级属性和FindingProviderFields。它不使用提供的顶级属性值。

对于现有查找结果,“Security Hub” 将使用这两个值。但是,只有当属性尚未通过BatchUpdateFindings

使用batch-import-findings命令Amazon CLI

在Amazon Command Line Interface,使用batch-import-findings命令以创建或更新结果。

您将每个结果都作为 JSON 对象提供。

示例

aws securityhub batch-import-findings --findings '                  
    [{
        "AwsAccountId": "123456789012",
        "CreatedAt": "2019-08-07T17:05:54.832Z",
        "Description": "Vulnerability in a CloudTrail trail",
        "FindingProviderFields": {
            "Severity": {
                "Label": INFORMATIONAL,
                "Original": 0
            },
            "Types": [
                "Software and Configuration Checks/Vulnerabilities/CVE"
            ]
        },
        "GeneratorId": "TestGeneratorId",
        "Id": "Id1",
        "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default",
        "Resources": [
            {
                "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName",
                "Partition": "aws",
                "Region": "us-west-1",
                "Type": "AwsCloudTrailTrail"
            }
        ],
        "SchemaVersion": "2018-10-08",
        "Title": "CloudTrail trail vulnerability",
        "UpdatedAt": "2020-06-02T16:05:54.832Z"
    }]'