使用 BatchImportFindings 创建和更新结果 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 BatchImportFindings 创建和更新结果

结果提供商使用 BatchImportFindings API 操作创建新结果,并更新他们所创建结果的相关信息。他们无法更新他们没有创建的结果。

客户、SIEMS、票证工具和 SOAR 工具使用 BatchUpdateFindings 进行与处理结果提供商的结果相关的更新。请参阅 使用 BatchUpdateFindings 更新结果

WEYAmazon Security Hub收到BatchImportFindings要求创建或更新结果,它自动生成Security Hub Findings - ImportedAmazon EventBridge 中的活动。请参阅 自动响应和补救

账户和批量大小的要求

BatchImportFindings必须由下列类型之一调用:

  • 与调查结果关联的账户。关联账户的标识符是AwsAccountId查找结果的属性。

  • 允许列出用于官方 Security Hub 合作伙伴集成的帐户。

Security Hub 只能接受已启用 Security Hub 的帐户的更新。还必须启用结果提供商。如果禁用 Security Hub,或者未启用结果提供商集成,则会在FailedFindings列表,带InvalidAccess错误消息。

BatchImportFindings每批最多可接受 100 个查找结果,每个查找结果最多可接受 240 KB,每批最多可接受 6 MB。限制费率限制为每个区域每个账户 10 TPS,突发率为 30 TPS。

确定是创建还是更新结果

要确定是创建还是更新结果,Security Hub 将检查ID字段中返回的子位置类型。如果 ID 的值与现有结果不匹配,则会创建一个新结果。

如果ID与现有结果确实匹配,然后 Security Hub 会检查UpdatedAt字段用于更新。

  • 如果UpdatedAt在更新中匹配或之前发生UpdatedAt对于现有结果,则忽略更新。

  • 如果更新的 UpdatedAt 出现在现有结果的 UpdatedAt 之后,则更新现有结果。

的受限属性BatchImportFindings

对于现有结果,结果提供商无法使用BatchImportFindings以更新以下属性和对象。这些属性只能使用进行更新。BatchUpdateFindings.

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub 会忽略中的任何内容BatchImportFindings对于那些属性和对象。客户或其他代表他们行事的供应商使用BatchUpdateFindings来更新它们。

使用 FindingProviderFields

寻找提供商也不应该使用BatchImportFindings以更新以下属性。

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

相反,查找提供商使用FindingProviderFields对象,为这些属性提供值。

示例

"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }

适用于BatchImportFindings请求,Security Hub 将处理顶级属性中的值和FindingProviderFields如下所示。

(首选)BatchImportFindings为中的属性提供了值FindingProviderFields,但不为相应的顶级属性提供值。

例如,BatchImportFindings提供FindingProviderFields.Confidence,但不提供Confidence. 这是用于BatchImportFindings请求。

Security Hub 更新中的属性值FindingProviderFields.

只有在属性尚未更新的情况下,才会将该值复制到顶级属性BatchUpdateFindings.

BatchImportFindings为顶级属性提供了值,但没有为中的相应属性提供值FindingProviderFields.

例如,BatchImportFindings提供Confidence,但不提供FindingProviderFields.Confidence.

Security Hub 使用该值更新中的属性FindingProviderFields. 它会覆盖任何现有值。

仅当属性尚未更新的情况下,Security Hub 才会更新顶级属性BatchUpdateFindings.

BatchImportFindings为中的顶级属性和相应属性提供了值FindingProviderFields.

例如,BatchImportFindings同时提供ConfidenceFindingProviderFields.Confidence.

对于新发现,Security Hub 使用中的值FindingProviderFields在中同时填充顶级属性和相应的属性FindingProviderFields. 它不使用提供的顶级属性值。

对于现有发现结果,Security Hub 使用两个值。但是,只有在属性尚未更新的情况下,才会更新顶级属性值BatchUpdateFindings.

使用batch-import-findings从中执行命令Amazon CLI

在Amazon Command Line Interface您使用的是batch-import-findings命令以创建或更新结果。

您将每个结果都作为 JSON 对象提供。

示例

aws securityhub batch-import-findings --findings ' [{ "AwsAccountId": "123456789012", "CreatedAt": "2019-08-07T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": "INFORMATIONAL", "Original": "0" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]'