本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
BatchImportFindings 用于寻找提供者
调查发现提供者可以使用 BatchImportFindings
操作创建新的 Security Hub 调查发现,并更新他们所创建的调查发现。他们无法更新并非由他们创建的调查发现。
客户SIEMs、票务工具和SOAR工具必须用于更新他们BatchUpdateFindings
对寻找提供商的调查结果的调查。有关信息,请参阅BatchUpdateFindings 为顾客服务。
每当 Amazon Security Hub 收到创建或更新调查结果的BatchImportFindings
请求时,它都会自动生成 Security Hub Findings
- Imported亚马逊上的活动 EventBridge。您可以对该事件执行自动操作。有关信息,请参阅 EventBridge 用于自动响应和补救。
使用 BatchImportFindings
的先决条件
BatchImportFindings
必须由以下之一调用:
-
与调查发现关联的账户。相关账户的标识符必须与调查发现的
AwsAccountId
属性值相匹配。 -
被列入正式的 Security Hub 合作伙伴集成允许列表的账户。
Security Hub 只能接受已启用 Security Hub 的账户的调查发现更新。还必须启用结果提供商。如果禁用 Security Hub,或者未启用调查发现提供商集成,则会在 FailedFindings
列表中返回调查发现,并显示 InvalidAccess
错误。
确定是创建还是更新结果
要确定是创建还是更新调查发现,Security Hub 需要检查 ID
字段。如果 ID
的值与现有调查发现不匹配,则 Security Hub 会创建一个新调查发现。
如果 ID
与现有调查发现匹配,则 Security Hub 会检查 UpdatedAt
字段是否有更新,并按如下方式继续:
-
如果更新的
UpdatedAt
匹配或出现在现有调查发现的UpdatedAt
之前,则 Security Hub 会忽略更新请求。 -
如果更新的
UpdatedAt
出现在现有结果的UpdatedAt
之后,则 Security Hub 会更新现有调查发现。
使用 BatchImportFindings
对调查发现进行更新的限制
调查发现提供者无法使用 BatchImportFindings
更新现有调查发现的以下属性:
-
Note
-
UserDefinedFields
-
VerificationState
-
Workflow
Security Hub 会忽略在 BatchImportFindings
请求这些属性时提供的任何内容。客户或代表他们行事的实体(例如票证工具)可以使用 BatchUpdateFindings
更新这些属性。
使用更新调查结果 FindingProviderFields
查找提供程序也不应使用BatchImportFindings
来更新 Amazon 安全调查结果格式中的以下顶级属性 (ASFF):
-
Confidence
-
Criticality
-
RelatedFindings
-
Severity
-
Types
相反,调查发现提供者应使用 FindingProviderFields 对象为这些属性提供值。
示例
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
对于 BatchImportFindings
请求,Security Hub 按如下方式 FindingProviderFields 处理顶级属性中的值。
- (首选)
BatchImportFindings
为 FindingProviderFields 中的属性提供值,但不为相应的顶级属性提供值。 -
例如,
BatchImportFindings
提供FindingProviderFields.Confidence
,但不提供Confidence
。这是BatchImportFindings
请求的首选选项。Security Hub 更新
FindingProviderFields
中属性的值。仅当属性尚未由
BatchUpdateFindings
更新时,它才会将该值复制到顶级属性。 BatchImportFindings
为顶级属性提供值,但不为FindingProviderFields
中的相应属性提供值。-
例如,
BatchImportFindings
提供Confidence
,但不提供FindingProviderFields.Confidence
。Security Hub 使用该值来更新
FindingProviderFields
中的属性。它会覆盖任何现有值。只有当顶级属性尚未由
BatchUpdateFindings
更新时,Security Hub 才会更新该属性。 BatchImportFindings
为顶级属性和FindingProviderFields
中的相应属性提供了一个值。-
例如,
BatchImportFindings
同时提供Confidence
和FindingProviderFields.Confidence
。对于新调查发现,Security Hub 使用
FindingProviderFields
中的值填充顶级属性和FindingProviderFields
中的相应属性。它不使用提供的顶级属性值。对于现有调查发现,Security Hub 使用这两个值。但是,只有当属性尚未由
BatchUpdateFindings
更新时,它才会更新顶级属性值。