Uso de BatchImportFindings para crear y actualizar hallazgos - AWS Security Hub
Requisitos para las cuentas y el tamaño del loteDeterminación de si se debe crear o actualizar un hallazgoAtributos restringidos para BatchImportFindingsUso FindingProviderFieldsMediante el batch-import-findings comando de AWS CLI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de BatchImportFindings para crear y actualizar hallazgos

Los proveedores de hallazgos utilizan la operación de la API BatchImportFindings para crear nuevos hallazgos y actualizar la información sobre los hallazgos que crearon. No pueden actualizar los hallazgos que no hayan creado ellos.

Los clientes, los SIEM, las herramientas de creación de tickets y las herramientas SOAR utilizan BatchUpdateFindings para realizar actualizaciones relacionadas con el procesamiento que realizan de los hallazgos de los proveedores de hallazgos. Consulte Uso de BatchUpdateFindings para actualizar un hallazgo.

Cada vez que AWS Security Hub recibe una BatchImportFindingssolicitud para crear o actualizar un hallazgo, se genera automáticamente un Security Hub Findings - Importedevento en AmazonEventBridge. Consulte Respuesta y corrección automatizadas.

Requisitos para las cuentas y el tamaño del lote

BatchImportFindingsdebe ser llamado por una de las siguientes opciones:

  • La cuenta que está asociada a los hallazgos. El identificador de la cuenta asociada es el valor del AwsAccountId atributo del hallazgo.

  • Una cuenta que esté incluida en la lista de socios oficiales de Security Hub.

Security Hub solo puede aceptar la búsqueda de actualizaciones para las cuentas que tengan Security Hub activado. El proveedor de hallazgos también debe estar habilitado. Si Security Hub está deshabilitado o la integración del proveedor de búsqueda no está habilitada, los hallazgos se muestran en la FailedFindings lista con un InvalidAccess error.

BatchImportFindingsacepta hasta 100 hallazgos por lote, hasta 240 KB por búsqueda y hasta 6 MB por lote. El límite de velocidad máxima es de 10 TPS por cuenta y región, con una ráfaga de 30 TPS.

Determinación de si se debe crear o actualizar un hallazgo

Para determinar si se debe crear o actualizar un hallazgo, Security Hub comprueba el ID campo. Si el valor de ID no coincide con un hallazgo existente, se crea uno nuevo.

Si ID coincide con un hallazgo existente, Security Hub comprueba el UpdatedAt campo para la actualización.

  • Si UpdatedAt en la actualización coincide con UpdatedAt el hallazgo existente o se produce antes, se ignora la actualización.

  • Si UpdatedAt en la actualización se produce después de UpdatedAt en el hallazgo existente, entonces se actualiza el hallazgo existente.

Atributos restringidos para BatchImportFindings

En el caso de una búsqueda existente, los proveedores de búsqueda no pueden utilizarla BatchImportFindingspara actualizar los siguientes atributos y objetos. Estos atributos solo se pueden actualizar mediante BatchUpdateFindings.

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub ignora el contenido BatchImportFindingsde esos atributos y objetos. Los clientes u otros proveedores que actúan en su nombre las utilizan BatchUpdateFindingspara actualizarlas.

Uso FindingProviderFields

La búsqueda de proveedores tampoco se debe utilizar BatchImportFindingspara actualizar los siguientes atributos.

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

En su lugar, los proveedores de búsqueda utilizan el FindingProviderFieldsobjeto para proporcionar valores para estos atributos.

Ejemplo

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

En el caso de BatchImportFindingslas solicitudes, Security Hub gestiona los valores de los atributos de nivel superior y de la FindingProviderFieldssiguiente manera.

(Preferido) BatchImportFindingsproporciona un valor para un atributo en FindingProviderFields, pero no proporciona un valor para el atributo de nivel superior correspondiente.

Por ejemplo, BatchImportFindingsproporcionaFindingProviderFields.Confidence, pero no proporcionaConfidence. Esta es la opción preferida para BatchImportFindingslas solicitudes.

Security Hub actualiza el valor del atributo en FindingProviderFields.

Replica el valor en el atributo de nivel superior solo si el atributo no estaba ya actualizado por. BatchUpdateFindings

BatchImportFindingsproporciona un valor para un atributo de nivel superior, pero no proporciona un valor para el atributo correspondiente en FindingProviderFields.

Por ejemplo, BatchImportFindingsproporcionaConfidence, pero no proporcionaFindingProviderFields.Confidence.

Security Hub usa el valor para actualizar el atributo en FindingProviderFields. Sobrescribe cualquier valor existente.

Security Hub actualiza el atributo de nivel superior solo si el atributo aún no lo ha actualizado BatchUpdateFindings.

BatchImportFindingsproporciona un valor tanto para un atributo de nivel superior como para el atributo correspondiente en FindingProviderFields.

Por ejemplo, BatchImportFindingsproporciona ambos Confidence yFindingProviderFields.Confidence.

Para un nuevo hallazgo, Security Hub usa el valor en FindingProviderFieldspara rellenar tanto el atributo de nivel superior como el atributo correspondiente en. FindingProviderFields No utiliza el valor de atributo de nivel superior proporcionado.

Para un hallazgo existente, Security Hub utiliza ambos valores. Sin embargo, actualiza el valor del atributo de nivel superior solo si el atributo no estaba ya actualizado por BatchUpdateFindings.

Mediante el batch-import-findings comando de AWS CLI

En elAWS Command Line Interface, se utiliza el batch-import-findingscomando para crear o actualizar los hallazgos.

Cada búsqueda se proporciona como un objeto JSON.

Ejemplo

aws securityhub batch-import-findings --findings                  
    [{
        "AwsAccountId": "123456789012",
        "CreatedAt": "2019-08-07T17:05:54.832Z",
        "Description": "Vulnerability in a CloudTrail trail",
        "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.2",
        "Id": "Id1",
        "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default",
        "Resources": [
            {
                "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName",
                "Partition": "aws",
                "Region": "us-west-1",
                "Type": "AwsCloudTrailTrail"
            }
        ],
        "SchemaVersion": "2018-10-08",
        "Title": "CloudTrail trail vulnerability",
        "UpdatedAt": "2020-06-02T16:05:54.832Z",
        "Types": [
            "Software and Configuration Checks/Vulnerabilities/CVE"
        ],
        "Severity": {
            "Label": "INFORMATIONAL",
            "Original": "0"
        }
    }]'