使用 BatchImportFindings 创建和更新结果 - AWS Security Hub
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 BatchImportFindings 创建和更新结果

结果提供商使用 BatchImportFindings API 操作创建新结果,并更新他们所创建结果的相关信息。他们无法更新他们没有创建的结果。

客户, SIEMs、票务工具和SOAR工具的使用 BatchUpdateFindings 以更新与查找提供商的结果处理相关的内容。请参阅使用 BatchUpdateFindings 以更新结果

AWS Security Hub 只能接受已启用 Security Hub 的账户的结果更新。还必须启用结果提供商。如果禁用 Security Hub,或者未启用结果提供商集成,则会在 FailedFindings 列表中返回结果,并显示 InvalidAccess 错误。

对于 BatchImportFindings, Security Hub 接受每个批次多达100个发现,每个发现最多240KB,每个批次最多6MB。节流速率限制为每个地区每个帐户10TPS,突发为30TPS。

确定是创建还是更新结果

要确定是创建还是更新结果,Security Hub 需要检查 ID 字段。如果 ID 的值与现有结果不匹配,则会创建一个新结果。

如果 ID 与现有结果确实匹配,则 Security Hub 会检查 UpdatedAt 字段是否有更新。

  • 如果更新的 UpdatedAt 出现在现有结果的 UpdatedAt 之前,则忽略更新。

  • 如果更新的 UpdatedAt 出现在现有结果的 UpdatedAt 之后,则更新现有结果。

限制字段 BatchImportFindings

对于现有结果,结果提供商无法使用 BatchImportFindings 更新以下字段和对象。这些字段只能使用 BatchUpdateFindings 进行更新。

  • Confidence

  • Criticality

  • Note

  • RelatedFindings

  • Severity

  • Types

  • UserDefinedFields

  • VerificationState

  • Workflow

将忽略这些字段和对象中的任何内容。

使用 batch-import-findings 命令 AWS CLI

在 AWS Command Line Interface,您使用 batch-import-findings 命令创建或更新结果。

您以JSON对象的形式提供每个查找。

示例

aws securityhub batch-import-findings --findings ' [{ "AwsAccountId": "123456789012", "CreatedAt": "2019-08-07T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Severity": { "Normalized": 0, "Product": 0 }, "Title": "CloudTrail trail vulnerability", "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ], "UpdatedAt": "2020-06-02T16:05:54.832Z" }]'