本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
BatchImportFindings 用于寻找提供者
寻找提供商可以使用该BatchImportFindings操作在 Security Hub 云 Amazon 安全态势管理 (CSPM) 中创建新的发现。他们还可以使用此操作来更新他们创建的调查结果。查找提供者无法更新他们未创建的调查结果。
客户 SIEMs、票务、SOAR 和其他类型的工具必须使用该BatchUpdateFindings操作来更新他们对寻找提供商的调查结果的调查结果。有关更多信息,请参阅 BatchUpdateFindings 为顾客服务。
当 Security Hub CSPM 收到创建或更新调查结果的BatchImportFindings
请求时,它会自动在亚马逊中生成一个Security Hub Findings
- Imported事件。 EventBridge您可以对该事件执行自动操作。有关更多信息,请参阅 EventBridge 用于自动响应和补救。
使用 BatchImportFindings
的先决条件
BatchImportFindings
必须由以下之一调用:
-
与调查发现关联的账户。相关账户的标识符必须与调查发现的
AwsAccountId
属性值相匹配。 -
被列为 Security Hub CSPM 官方合作伙伴集成许可名单的账户。
Security Hub CSPM 只能接受启用了 Security Hub CSPM 的账户的查找更新。还必须启用结果提供商。如果 Security Hub CSPM 已禁用,或者未启用查找提供程序集成,则会在FailedFindings
列表中返回搜索结果,但会出现错误InvalidAccess
。
确定是创建还是更新结果
为了确定是创建还是更新调查结果,Security Hub CSPM 会检查该字段。ID
如果的值与现有查找结果ID
不匹配,Security Hub CSPM 会创建一个新的调查结果。
如果ID
与现有发现相匹配,Security Hub CSPM 会检查该UpdatedAt
字段是否有更新,然后按以下步骤操作:
-
如果
UpdatedAt
更新与现有发现相匹配或发生UpdatedAt
在更新之前,Security Hub CSPM 将忽略更新请求。 -
如果更新发生
UpdatedAt
在现有发现之后UpdatedAt
,Security Hub CSPM 会更新现有调查结果。
使用 BatchImportFindings
对调查发现进行更新的限制
调查发现提供者无法使用 BatchImportFindings
更新现有调查发现的以下属性:
-
Note
-
UserDefinedFields
-
VerificationState
-
Workflow
Security Hub CSPM 会忽略BatchImportFindings
请求这些属性时提供的任何内容。客户或代表他们行事的实体(例如票证工具)可以使用 BatchUpdateFindings
更新这些属性。
使用 FindingProviderFields 更新调查发现
查找提供者也不应使用BatchImportFindings
来更新 Amazon 安全调查结果格式 (ASFF) 中的以下顶级属性:
-
Confidence
-
Criticality
-
RelatedFindings
-
Severity
-
Types
相反,调查发现提供者应使用 FindingProviderFields 对象为这些属性提供值。
示例
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
对于BatchImportFindings
请求,Security Hub CSPM FindingProviderFields按如下方式处理顶级属性中的值。
- (首选)
BatchImportFindings
为 FindingProviderFields 中的属性提供值,但不为相应的顶级属性提供值。 -
例如,
BatchImportFindings
提供FindingProviderFields.Confidence
,但不提供Confidence
。这是BatchImportFindings
请求的首选选项。Security Hub CSPM 更新中属性的值。
FindingProviderFields
仅当属性尚未由
BatchUpdateFindings
更新时,它才会将该值复制到顶级属性。 BatchImportFindings
为顶级属性提供值,但不为FindingProviderFields
中的相应属性提供值。-
例如,
BatchImportFindings
提供Confidence
,但不提供FindingProviderFields.Confidence
。Security Hub CSPM 使用该值来更新中的属性。
FindingProviderFields
它会覆盖任何现有值。只有当顶级属性尚未由更新时,Security Hub CSPM 才会更新该属性。
BatchUpdateFindings
BatchImportFindings
为顶级属性和FindingProviderFields
中的相应属性提供了一个值。-
例如,
BatchImportFindings
同时提供Confidence
和FindingProviderFields.Confidence
。对于新的发现,Security Hub CSPM 使用中的
FindingProviderFields
值填充顶级属性和中的相应属性。FindingProviderFields
它不使用提供的顶级属性值。对于现有发现,Security Hub CSPM 使用这两个值。但是,只有当属性尚未由
BatchUpdateFindings
更新时,它才会更新顶级属性值。