本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 BatchImportFindings 创建和更新结果
结果提供商使用 BatchImportFindings API 操作创建新结果,并更新他们所创建结果的相关信息。他们无法更新他们没有创建的结果。
客户、SIEMS、票证工具和 SOAR 工具使用 BatchUpdateFindings 进行与处理结果提供商的结果相关的更新。请参阅 使用 BatchUpdateFindings 更新结果。
WEYAmazon Security Hub收到BatchImportFindings要求创建或更新结果,它自动生成Security Hub Findings -
ImportedAmazon EventBridge 中的活动。请参阅 自动响应和补救。
账户和批量大小的要求
BatchImportFindings必须由下列类型之一调用:
-
与调查结果关联的账户。关联账户的标识符是
AwsAccountId查找结果的属性。 -
允许列出用于官方 Security Hub 合作伙伴集成的帐户。
Security Hub 只能接受已启用 Security Hub 的帐户的更新。还必须启用结果提供商。如果禁用 Security Hub,或者未启用结果提供商集成,则会在FailedFindings列表,带InvalidAccess错误消息。
BatchImportFindings每批最多可接受 100 个查找结果,每个查找结果最多可接受 240 KB,每批最多可接受 6 MB。限制费率限制为每个区域每个账户 10 TPS,突发率为 30 TPS。
确定是创建还是更新结果
要确定是创建还是更新结果,Security Hub 将检查ID字段中返回的子位置类型。如果 ID 的值与现有结果不匹配,则会创建一个新结果。
如果ID与现有结果确实匹配,然后 Security Hub 会检查UpdatedAt字段用于更新。
-
如果
UpdatedAt在更新中匹配或之前发生UpdatedAt对于现有结果,则忽略更新。 -
如果更新的
UpdatedAt出现在现有结果的UpdatedAt之后,则更新现有结果。
的受限属性BatchImportFindings
对于现有结果,结果提供商无法使用BatchImportFindings以更新以下属性和对象。这些属性只能使用进行更新。BatchUpdateFindings.
-
Note -
UserDefinedFields -
VerificationState -
Workflow
Security Hub 会忽略中的任何内容BatchImportFindings对于那些属性和对象。客户或其他代表他们行事的供应商使用BatchUpdateFindings来更新它们。
使用 FindingProviderFields
寻找提供商也不应该使用BatchImportFindings以更新以下属性。
-
Confidence -
Criticality -
RelatedFindings -
Severity -
Types
相反,查找提供商使用FindingProviderFields对象,为这些属性提供值。
示例
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
适用于BatchImportFindings请求,Security Hub 将处理顶级属性中的值和FindingProviderFields如下所示。
- (首选)
BatchImportFindings为中的属性提供了值FindingProviderFields,但不为相应的顶级属性提供值。 -
例如,
BatchImportFindings提供FindingProviderFields.Confidence,但不提供Confidence. 这是用于BatchImportFindings请求。Security Hub 更新中的属性值FindingProviderFields.
只有在属性尚未更新的情况下,才会将该值复制到顶级属性
BatchUpdateFindings. BatchImportFindings为顶级属性提供了值,但没有为中的相应属性提供值FindingProviderFields.-
例如,
BatchImportFindings提供Confidence,但不提供FindingProviderFields.Confidence.Security Hub 使用该值更新中的属性FindingProviderFields. 它会覆盖任何现有值。
仅当属性尚未更新的情况下,Security Hub 才会更新顶级属性
BatchUpdateFindings. BatchImportFindings为中的顶级属性和相应属性提供了值FindingProviderFields.-
例如,
BatchImportFindings同时提供Confidence和FindingProviderFields.Confidence.对于新发现,Security Hub 使用中的值FindingProviderFields在中同时填充顶级属性和相应的属性FindingProviderFields. 它不使用提供的顶级属性值。
对于现有发现结果,Security Hub 使用两个值。但是,只有在属性尚未更新的情况下,才会更新顶级属性值
BatchUpdateFindings.
使用batch-import-findings从中执行命令Amazon CLI
在Amazon Command Line Interface您使用的是batch-import-findings命令以创建或更新结果。
您将每个结果都作为 JSON 对象提供。
示例
aws securityhub batch-import-findings --findings ' [{ "AwsAccountId": "123456789012", "CreatedAt": "2019-08-07T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": "INFORMATIONAL", "Original": "0" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]'