BatchImportFindings を使用して結果を作成および更新する - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

BatchImportFindings を使用して結果を作成および更新する

結果プロバイダーは、BatchImportFindings API オペレーションを使用して、新しい結果を作成し、作成した結果に関する情報を更新します。作成しなかった結果を更新することはできません。

お客様、SIEM、チケット発行ツール、SOARツールは、結果プロバイダーからの結果の処理に関連する更新を行うために BatchUpdateFindings を使用します。「BatchUpdateFindings を使用して結果を更新する」を参照してください

WhenEAWS Security Hubの受信BatchImportFindings結果を作成するか更新するかを要求すると、自動的に生成されるSecurity Hub Findings - ImportedAmazon EventBridge でのイベント。「自動化された対応と修復」を参照してください

アカウントとバッチサイズの要件

BatchImportFindings調査結果に関連付けられているアカウントから呼び出される必要があります。関連付けられたアカウントの識別子は、AwsAccountId検索の属性。

Security Hub は、Security Hub が有効になっているアカウントの更新情報のみを受け付けます。結果プロバイダーも有効にする必要があります。Security Hub が無効になっているか、検出プロバイダー統合が有効になっていない場合は、FailedFindingsリスト、InvalidAccessというエラーが表示される。

BatchImportFindingsは、バッチあたり最大 100 件の調査結果を受け入れ、1 回の検索あたり最大 240 KB、バッチあたり最大 6 MB です。スロットルレートの制限は、リージョンごとにアカウントあたり 10 TPS で、バーストは 30 TPS です。

結果を作成するか更新するかの決定

結果を作成するか更新するかを決定するために、Security Hub はIDフィールド。ID の値が既存の結果と一致しない場合は、新しい結果が作成されます。

もしIDが既存の結果と一致する場合、Security Hub はUpdatedAt更新のフィールド。

  • もしUpdatedAt更新が一致するか、以前に発生するUpdatedAt既存の結果では、更新は無視されます。

  • 既存の結果での UpdatedAt の後に更新での UpdatedAt が発生した場合、既存の結果が更新されます。

の制限された属性BatchImportFindings

既存の結果の場合、結果プロバイダーは使用できません。BatchImportFindingsを使用して、次の属性とオブジェクトを更新します。これらの属性は、を使用してのみ更新できます。BatchUpdateFindings

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub は、のコンテンツをすべて無視しますBatchImportFindingsこれらの属性とオブジェクトについて指定します。お客様、または自分に代わって行動する他のプロバイダーは、BatchUpdateFindingsをクリックして更新します。

FindingProviderFields を使用する

プロバイダを見つけることも使用しないでくださいBatchImportFindingsを選択して、次の属性を更新します。

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

代わりに、プロバイダーを見つけてFindingProviderFieldsオブジェクトは、これらの属性の値を提供します。

"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }

を使用する場合BatchImportFindingsリクエストでは、Security Hub はトップレベル属性とFindingProviderFields以下のように設定します。

(推奨)BatchImportFindingsでは、属性の値を指定します。FindingProviderFields。ただし、対応する最上位属性には値を提供しません。

たとえば、BatchImportFindingsを提供するFindingProviderFields.Confidenceですが、提供していません。Confidence。これは、次の場合に推奨されるオプションです。BatchImportFindingsリクエスト。

Security Hub は、の属性の値を更新します。FindingProviderFields

これは、属性がによってまだ更新されていない場合にのみ、値をトップレベル属性にレプリケートします。BatchUpdateFindings

BatchImportFindingsは、トップレベル属性の値を提供しますが、対応する属性には値を提供しません。FindingProviderFields

たとえば、BatchImportFindingsを提供するConfidenceですが、提供していません。FindingProviderFields.Confidence

Security Hub は、値を使用しての属性を更新します。FindingProviderFields。既存の値はすべて上書きされます。

Security Hub は、属性がによってまだ更新されていない場合にのみ、最上位の属性を更新します。BatchUpdateFindings

BatchImportFindingsは、のトップレベル属性と対応する属性の両方の値を提供します。FindingProviderFields

たとえば、BatchImportFindings両方を提供しますConfidenceおよびFindingProviderFields.Confidence

新しい結果を得るために、Security Hub はFindingProviderFieldsトップレベル属性と対応する属性の両方をに入力するにはFindingProviderFields。指定された最上位の属性値を使用しません。

既存の結果の場合、Security Hub は両方の値を使用します。ただし、最上位の属性値が更新されるのは、属性がまだ更新されていない場合のみです。BatchUpdateFindings

の使用batch-import-findingsからコマンドを実行するAWS CLI

左AWS Command Line Interfaceとすると、batch-import-findingsコマンドを実行して、結果を作成または更新します。

各結果を JSON オブジェクトとして指定します。

aws securityhub batch-import-findings --findings ' [{ "AwsAccountId": "123456789012", "CreatedAt": "2019-08-07T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": "INFORMATIONAL", "Original": "0" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]'