Uso de BatchImportFindings para crear y actualizar hallazgos - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de BatchImportFindings para crear y actualizar hallazgos

Los proveedores de hallazgos utilizan la operación de la API BatchImportFindings para crear nuevos hallazgos y actualizar la información sobre los hallazgos que crearon. No pueden actualizar los hallazgos que no hayan creado ellos.

Los clientes, los SIEM, las herramientas de creación de tickets y las herramientas SOAR utilizan BatchUpdateFindings para realizar actualizaciones relacionadas con el procesamiento que realizan de los hallazgos de los proveedores de hallazgos. Consulte Uso de BatchUpdateFindings para actualizar un hallazgo.

Cuando quieraAWS Security Hubrecibe unBatchImportFindingspara crear o actualizar un hallazgo, genera automáticamente unSecurity Hub Findings - Importedevento en Amazon EventBridge. Consulte Respuesta y corrección automatizadas.

Requisitos para las cuentas y el tamaño del lote

BatchImportFindingsdebe ser una de las siguientes:

  • La cuenta que está asociada a los hallazgos. El identificador de la cuenta asociada es el valor delAwsAccountIdatributo de la conclusión.

  • Una cuenta que está en la lista de permitidos para una integración oficial de socios de Security Hub.

Security Hub solo puede aceptar actualizaciones de hallazgos para las cuentas que tengan habilitado Security Hub. El proveedor de hallazgos también debe estar habilitado. Si Security Hub está deshabilitado o la integración del proveedor de hallazgos no está habilitada, los hallazgos se devuelven en elFailedFindingslista, con unInvalidAccess.

BatchImportFindingsacepta hasta 100 hallazgos por lote, hasta 240 KB por hallazgo y hasta 6 MB por lote. El límite de velocidad del acelerador es de 10 TPS por cuenta y región, con una ráfaga de 30 TPS.

Determinación de si se debe crear o actualizar un hallazgo

Para determinar si crear o actualizar un hallazgo, Security Hub comprueba elID. Si el valor de ID no coincide con un hallazgo existente, se crea uno nuevo.

SiIDcoincide con un hallazgo existente, Security Hub comprueba elUpdatedAtcampo de la actualización.

  • SiUpdatedAten la actualización coincide o se produce antesUpdatedAten el hallazgo existente, entonces se ignora la actualización.

  • Si UpdatedAt en la actualización se produce después de UpdatedAt en el hallazgo existente, entonces se actualiza el hallazgo existente.

Los atributos restringidos paraBatchImportFindings

Para un hallazgo existente, los proveedores de hallazgos no pueden utilizarBatchImportFindingspara actualizar los siguientes atributos y objetos. Estos atributos solo se pueden actualizar conBatchUpdateFindings.

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub ignora cualquier contenido deBatchImportFindingspara esos atributos y objetos. Los clientes u otros proveedores que actúen en su nombre utilizanBatchUpdateFindingspara actualizarlos.

Uso FindingProviderFields

La búsqueda de proveedores tampoco debe usarBatchImportFindingspara actualizar los atributos siguientes.

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

En cambio, la búsqueda de proveedores utiliza elFindingProviderFieldsobjeto para proporcionar valores para estos atributos.

Ejemplo

"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }

ParaBatchImportFindings, Security Hub gestiona los valores en los atributos de nivel superior y enFindingProviderFieldsde la siguiente manera.

(preferido)BatchImportFindingsproporciona un valor para un atributo enFindingProviderFields, pero no proporciona un valor para el atributo de nivel superior correspondiente.

Por ejemplo,BatchImportFindingsproporcionaFindingProviderFields.Confidence, pero no proporcionaConfidence. Esta es la opción preferida paraBatchImportFindingssolicita.

Security Hub actualiza el valor del atributo enFindingProviderFields.

Replica el valor en el atributo de nivel superior solo si el atributo aún no lo ha actualizadoBatchUpdateFindings.

BatchImportFindingsproporciona un valor para un atributo de nivel superior, pero no proporciona un valor para el atributo correspondiente enFindingProviderFields.

Por ejemplo,BatchImportFindingsproporcionaConfidence, pero no proporcionaFindingProviderFields.Confidence.

Security Hub usa el valor para actualizar el atributo enFindingProviderFields. Sobrescribe cualquier valor existente.

Security Hub actualiza el atributo de nivel superior solo si el atributo aún no lo ha actualizadoBatchUpdateFindings.

BatchImportFindingsproporciona un valor tanto para un atributo de nivel superior como para el atributo correspondiente enFindingProviderFields.

Por ejemplo,BatchImportFindingsproporciona ambosConfidenceyFindingProviderFields.Confidence.

Para obtener una nueva conclusión, Security Hub utiliza el valor deFindingProviderFieldspara rellenar tanto el atributo de nivel superior como el atributo correspondiente enFindingProviderFields. No utiliza el valor de atributo de nivel superior proporcionado.

Para una conclusión existente, Security Hub utiliza ambos valores. Sin embargo, actualiza el valor del atributo de nivel superior solo si el atributo no lo ha actualizadoBatchUpdateFindings.

Uso debatch-import-findingsdesde laAWS CLI

En el navegadorAWS Command Line Interface, utilice elbatch-import-findingspara crear o actualizar los hallazgos.

Cada hallazgo se proporciona como un objeto JSON.

Ejemplo

aws securityhub batch-import-findings --findings ' [{ "AwsAccountId": "123456789012", "CreatedAt": "2019-08-07T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": "INFORMATIONAL", "Original": "0" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]'