조사 결과 생성 및 업데이트에 BatchImportFindings 사용 - AWS Security Hub
계정 및 배치 크기에 대한 요구 사항결과 생성 또는 갱신 여부 결정BatchImportFindings에 대한 제한된 속성FindingProviderFields 사용하기에서 제공하는 batch-import-findings 명령 사용 AWS CLI

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

조사 결과 생성 및 업데이트에 BatchImportFindings 사용

조사 결과 공급자는 BatchImportFindings API 작업을 사용하여 새 조사 결과를 생성하고 생성한 조사 결과에 대한 정보를 업데이트합니다. 작성하지 않은 조사 결과는 업데이트할 수 없습니다.

고객, SIEM, 티켓팅 도구 및 SOAR 도구는 제공업체 검색 결과 조사와 관련된 업데이트를 만드는 BatchUpdateFindings데 사용합니다. 결과를 업데이트하기 위한 BatchUpdateFindings 사용 섹션을 참조하십시오.

결과 생성 또는 업데이트 BatchImportFindings 요청을 AWS Security Hub 받을 때마다 Amazon에서 Security Hub Findings - Imported이벤트가 자동으로 생성됩니다 EventBridge. 자동 응답 및 해결을 참조하십시오.

계정 및 배치 크기에 대한 요구 사항

BatchImportFindings는 다음 중 하나에 의해 호출되어야 합니다.

  • 조사 결과와 연결된 계정. 관련 계정의 식별자는 검색 결과에 대한 AwsAccountId 속성 값입니다.

  • 공식 Security Hub 파트너 통합을 위해 연동 허용 목록에 있는 계정.

Security Hub에서는 Security Hub가 활성화된 계정에 대한 결과 업데이트만 수락할 수 있습니다. 결과 공급자도 활성화해야 합니다. Security Hub가 비활성화되거나 조사 결과 공급자 통합이 활성화되지 않은 경우, 조사 결과가 InvalidAccess 오류와 함께 FailedFindings 목록에 반환됩니다.

BatchImportFindings는 조사 결과를 배치당 최대 100개, 조사 결과당 최대 240KB, 배치당 최대 6MB를 허용합니다. 스로틀 속도 제한은 리전당 계정당 10TPS이며, 버스트는 30TPS입니다.

결과 생성 또는 갱신 여부 결정

결과를 생성할지 또는 업데이트할지 여부를 결정하려면 Security Hub는 ID 필드를 확인합니다. ID의 값이 기존 결과와 일치하지 않으면 새 결과가 생성됩니다.

ID가 기존 결과와 일치하는 경우, Security Hub는 UpdatedAt 필드의 업데이트를 확인합니다.

  • 업데이트의 UpdatedAt이 일치하거나 기존 결과의 UpdatedAt 이전에 발생하면 업데이트가 무시됩니다.

  • 업데이트의 UpdatedAt이 기존 결과의 UpdatedAt 이후에 발생하면 기존 결과가 업데이트됩니다.

BatchImportFindings에 대한 제한된 속성

기존 검색 결과의 경우 검색 제공자는 다음 속성 및 객체를 BatchImportFindings 업데이트하는 데 사용할 수 없습니다. 이 속성은 BatchUpdateFindings를 사용해서만 업데이트할 수 있습니다.

  • Note

  • UserDefinedFields

  • VerificationState

  • Workflow

Security Hub는 해당 속성 및 객체에 대한 BatchImportFindings 요청에 제공된 모든 콘텐츠를 무시합니다. 고객 또는 고객을 대신하여 활동하는 다른 공급자는 이를 업데이트하기 위해 BatchUpdateFindings을 사용합니다.

FindingProviderFields 사용하기

또한 검색 제공자는 다음 속성을 BatchImportFindings 업데이트하는 데 사용해서는 안 됩니다.

  • Confidence

  • Criticality

  • RelatedFindings

  • Severity

  • Types

대신 결과 공급자는 FindingProviderFields 객체를 사용하여 이러한 속성에 대한 값을 제공합니다.

"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

BatchImportFindings 요청의 경우 Security Hub는 최상위 속성 및 FindingProviderFields의 값을 다음과 같이 처리합니다.

(선호) BatchImportFindingsFindingProviderFields의 속성 값을 제공하지만 해당하는 최상위 속성에 대한 값은 제공하지 않습니다.

예를 들어 BatchImportFindingsFindingProviderFields.Confidence을 제공하지만 Confidence을 제공하지는 않습니다. BatchImportFindings 요청에는 이 옵션을 사용하는 것이 좋습니다.

Security Hub는 FindingProviderFields의 속성 값을 업데이트합니다.

에서 속성을 아직 업데이트하지 않은 경우에만 최상위 속성에 값을 복제합니다. BatchUpdateFindings

BatchImportFindings은 최상위 속성에 대한 값을 제공하지만 FindingProviderFields에서 해당하는 속성의 값은 제공하지 않습니다.

예를 들어 BatchImportFindingsFindingProviderFields.Confidence을 제공하지만 Confidence을 제공하지는 않습니다.

Security Hub는 이 값을 사용하여 FindingProviderFields의 속성을 업데이트합니다. 이는 기존 값을 모두 덮어씁니다.

Security Hub는 속성이 BatchUpdateFindings에 의해 아직 업데이트되지 않은 경우에만 최상위 속성을 업데이트합니다.

BatchImportFindings은 최상위 속성과 FindingProviderFields의 해당 속성 모두에 대한 값을 제공합니다.

예를 들어, BatchImportFindingsConfidenceFindingProviderFields.Confidence을 모두 제공합니다.

새로운 결과의 경우 Security Hub는 FindingProviderFields의 값을 사용하여 최상위 속성과 FindingProviderFields의 해당 속성을 모두 채웁니다. 제공된 최상위 속성 값은 사용하지 않습니다.

기존 검색 결과에 대해 Security Hub는 두 값을 모두 사용합니다. 하지만 BatchUpdateFindings에서 속성을 아직 업데이트하지 않은 경우에만 최상위 속성 값을 업데이트합니다.

에서 제공하는 batch-import-findings 명령 사용 AWS CLI

AWS Command Line Interface에서는 batch-import-findings명령을 사용하여 결과를 만들거나 업데이트합니다.

사용자는 각 결과를 JSON 객체로 입력합니다.

aws securityhub batch-import-findings --findings                  
    [{
        "AwsAccountId": "123456789012",
        "CreatedAt": "2019-08-07T17:05:54.832Z",
        "Description": "Vulnerability in a CloudTrail trail",
        "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.2",
        "Id": "Id1",
        "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default",
        "Resources": [
            {
                "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName",
                "Partition": "aws",
                "Region": "us-west-1",
                "Type": "AwsCloudTrailTrail"
            }
        ],
        "SchemaVersion": "2018-10-08",
        "Title": "CloudTrail trail vulnerability",
        "UpdatedAt": "2020-06-02T16:05:54.832Z",
        "Types": [
            "Software and Configuration Checks/Vulnerabilities/CVE"
        ],
        "Severity": {
            "Label": "INFORMATIONAL",
            "Original": "0"
        }
    }]'