翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
BatchImportFindings 検出結果プロバイダー用
検出結果プロバイダーは、 BatchImportFindings
オペレーションを使用して、新しい Security Hub 検出結果を作成し、作成した検出結果を更新できます。作成していない検出結果を更新することはできません。
顧客、SIEMs、チケット発行ツール、およびSOARツールは、 を使用してBatchUpdateFindings
、検出結果プロバイダーからの検出結果の調査に関連する更新を行う必要があります。詳細については、BatchUpdateFindings 顧客向け を参照してください。
常に AWS Security Hub は、結果を作成または更新するBatchImportFindings
リクエストを受け取り、自動的に を生成します。 Security Hub Findings
- Imported Amazon の イベント EventBridge。そのイベントに対して自動アクションを実行できます。詳細については、 EventBridge を使用した自動対応と修復 を参照してください。
BatchImportFindings
を使用するための前提条件
BatchImportFindings
を、次のいずれかで呼び出す必要があります。
-
結果に関連付けられているアカウント。関連付けられたアカウントの識別子は、結果の
AwsAccountId
属性の値と一致する必要があります。 -
公式の Security Hub パートナー統合として許可リストに登録されているアカウント。
Security Hub は、Security Hub が有効になっているアカウントの結果更新のみを受け入れます。結果プロバイダーも有効にする必要があります。Security Hub が無効になっているが、結果プロバイダーとの統合が有効になっていない場合は、結果は FailedFindings
リストで返され、InvalidAccess
エラーが表示されます。
結果を作成するか更新するかの決定
結果を作成するか更新するかを決定するために、Security Hub は ID
フィールドをチェックします。の値が既存の結果と一致しID
ない場合、Security Hub は新しい結果を作成します。
が既存の結果ID
と一致する場合、Security Hub は更新の UpdatedAt
フィールドをチェックし、次のように続行します。
-
更新
UpdatedAt
が既存の検出結果UpdatedAt
の より前に一致または発生した場合、Security Hub は更新リクエストを無視します。 -
既存の検出結果
UpdatedAt
のUpdatedAt
の後に更新が発生した場合、Security Hub は既存の検出結果を更新します。
による更新の検索に関する制限 BatchImportFindings
検出結果プロバイダーは、 BatchImportFindings
を使用して既存の検出結果の次の属性を更新することはできません。
-
Note
-
UserDefinedFields
-
VerificationState
-
Workflow
Security Hub は、これらの属性のBatchImportFindings
リクエストで提供されたコンテンツを無視します。お客様、またはお客様に代わって行動するエンティティ (チケット発行ツールなど) は、 BatchUpdateFindings
を使用してこれらの属性を更新できます。
による結果の更新 FindingProviderFields
検出結果プロバイダーは、 BatchImportFindings
を使用して、 の以下の最上位属性を更新しないでください。 AWS セキュリティ検出結果形式 (ASFF):
-
Confidence
-
Criticality
-
RelatedFindings
-
Severity
-
Types
代わりに、検出結果プロバイダーは FindingProviderFields オブジェクトを使用してこれらの属性の値を提供する必要があります。
例
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
BatchImportFindings
リクエストの場合、Security Hub はトップレベル属性内および FindingProviderFields 内の値を以下のとおり処理します。
- (推奨)
BatchImportFindings
は FindingProviderFields 内の属性の値を提供しますが、対応するトップレベル属性には値を提供しません。 -
例えば、
BatchImportFindings
はFindingProviderFields.Confidence
を提供しますが、Confidence
は提供しません。これは、BatchImportFindings
リクエストに推奨されるオプションです。Security Hub は、
FindingProviderFields
内の属性の値を更新します。属性が によってまだ更新されていない場合にのみ、最上位属性に値をレプリケートします
BatchUpdateFindings
。 BatchImportFindings
は、トップレベル属性の値を提供しますが、FindingProviderFields
内の対応する属性には値を提供しません。-
例えば、
BatchImportFindings
はConfidence
を提供しますが、FindingProviderFields.Confidence
は提供しません。Security Hub は、値を使用して
FindingProviderFields
の属性を更新します。既存の値はすべて上書きされます。Security Hub は、属性が
BatchUpdateFindings
によってまだ更新されていない場合にのみ、トップレベルの属性を更新します。 BatchImportFindings
は、FindingProviderFields
のトップレベル属性と対応する属性の両方の値を提供します。-
例えば、
BatchImportFindings
はConfidence
とFindingProviderFields.Confidence
の両方を提供します。新しい結果を得るために、Security Hub では
FindingProviderFields
内の値を使用して、FindingProviderFields
内のトップレベル属性と対応する属性の両方を入力します。指定された最上位属性値は使用されません。既存の結果の場合、Security Hub は両方の値を使用します。ただし、トップレベルの属性値が更新されるのは、
BatchUpdateFindings
により属性がまだ更新されていない場合のみです。