BatchImportFindings 検出結果プロバイダー用 - AWS Security Hub

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

BatchImportFindings 検出結果プロバイダー用

検出結果プロバイダーは、 BatchImportFindingsオペレーションを使用して、新しい Security Hub 検出結果を作成し、作成した検出結果を更新できます。作成していない検出結果を更新することはできません。

顧客、SIEMs、チケット発行ツール、およびSOARツールは、 を使用してBatchUpdateFindings、検出結果プロバイダーからの検出結果の調査に関連する更新を行う必要があります。詳細については、BatchUpdateFindings 顧客向け を参照してください。

常に AWS Security Hub は、結果を作成または更新するBatchImportFindingsリクエストを受け取り、自動的に を生成します。 Security Hub Findings - Imported Amazon の イベント EventBridge。そのイベントに対して自動アクションを実行できます。詳細については、 EventBridge を使用した自動対応と修復 を参照してください。

BatchImportFindings を使用するための前提条件

BatchImportFindings を、次のいずれかで呼び出す必要があります。

  • 結果に関連付けられているアカウント。関連付けられたアカウントの識別子は、結果の AwsAccountId 属性の値と一致する必要があります。

  • 公式の Security Hub パートナー統合として許可リストに登録されているアカウント。

Security Hub は、Security Hub が有効になっているアカウントの結果更新のみを受け入れます。結果プロバイダーも有効にする必要があります。Security Hub が無効になっているが、結果プロバイダーとの統合が有効になっていない場合は、結果は FailedFindings リストで返され、InvalidAccess エラーが表示されます。

結果を作成するか更新するかの決定

結果を作成するか更新するかを決定するために、Security Hub は ID フィールドをチェックします。の値が既存の結果と一致しIDない場合、Security Hub は新しい結果を作成します。

が既存の結果IDと一致する場合、Security Hub は更新の UpdatedAtフィールドをチェックし、次のように続行します。

  • 更新UpdatedAtが既存の検出結果UpdatedAtの より前に一致または発生した場合、Security Hub は更新リクエストを無視します。

  • 既存の検出結果UpdatedAtUpdatedAtの後に更新が発生した場合、Security Hub は既存の検出結果を更新します。

による更新の検索に関する制限 BatchImportFindings

検出結果プロバイダーは、 BatchImportFindingsを使用して既存の検出結果の次の属性を更新することはできません。

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub は、これらの属性のBatchImportFindingsリクエストで提供されたコンテンツを無視します。お客様、またはお客様に代わって行動するエンティティ (チケット発行ツールなど) は、 BatchUpdateFindingsを使用してこれらの属性を更新できます。

による結果の更新 FindingProviderFields

検出結果プロバイダーは、 BatchImportFindingsを使用して、 の以下の最上位属性を更新しないでください。 AWS セキュリティ検出結果形式 (ASFF):

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

代わりに、検出結果プロバイダーは FindingProviderFields オブジェクトを使用してこれらの属性の値を提供する必要があります。

"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }

BatchImportFindings リクエストの場合、Security Hub はトップレベル属性内および FindingProviderFields 内の値を以下のとおり処理します。

(推奨) BatchImportFindingsFindingProviderFields 内の属性の値を提供しますが、対応するトップレベル属性には値を提供しません。

例えば、BatchImportFindingsFindingProviderFields.Confidence を提供しますが、Confidence は提供しません。これは、BatchImportFindings リクエストに推奨されるオプションです。

Security Hub は、FindingProviderFields 内の属性の値を更新します。

属性が によってまだ更新されていない場合にのみ、最上位属性に値をレプリケートしますBatchUpdateFindings

BatchImportFindings は、トップレベル属性の値を提供しますが、FindingProviderFields 内の対応する属性には値を提供しません。

例えば、BatchImportFindingsConfidence を提供しますが、FindingProviderFields.Confidence は提供しません。

Security Hub は、値を使用して FindingProviderFields の属性を更新します。既存の値はすべて上書きされます。

Security Hub は、属性が BatchUpdateFindings によってまだ更新されていない場合にのみ、トップレベルの属性を更新します。

BatchImportFindings は、FindingProviderFields のトップレベル属性と対応する属性の両方の値を提供します。

例えば、BatchImportFindingsConfidenceFindingProviderFields.Confidence の両方を提供します。

新しい結果を得るために、Security Hub では FindingProviderFields 内の値を使用して、FindingProviderFields 内のトップレベル属性と対応する属性の両方を入力します。指定された最上位属性値は使用されません。

既存の結果の場合、Security Hub は両方の値を使用します。ただし、トップレベルの属性値が更新されるのは、BatchUpdateFindings により属性がまだ更新されていない場合のみです。