기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
조사 결과 생성 및 업데이트에 BatchImportFindings 사용
조사 결과 공급자는 BatchImportFindings
API 작업을 사용하여 새 조사 결과를 생성하고 생성한 조사 결과에 대한 정보를 업데이트합니다. 작성하지 않은 조사 결과는 업데이트할 수 없습니다.
고객, SIEM, 티켓팅 도구 및 SOAR 도구는 제공업체 검색 결과 조사와 관련된 업데이트를 만드는 BatchUpdateFindings
데 사용합니다. 결과를 업데이트하기 위한 BatchUpdateFindings 사용 섹션을 참조하십시오.
결과 생성 또는 업데이트 BatchImportFindings
요청을 AWS Security Hub 받을 때마다 Amazon에서 Security Hub Findings
- Imported이벤트가 자동으로 생성됩니다 EventBridge. 자동 응답 및 해결을 참조하십시오.
계정 및 배치 크기에 대한 요구 사항
BatchImportFindings
는 다음 중 하나에 의해 호출되어야 합니다.
-
조사 결과와 연결된 계정. 관련 계정의 식별자는 검색 결과에 대한
AwsAccountId
속성 값입니다. -
공식 Security Hub 파트너 통합을 위해 연동 허용 목록에 있는 계정.
Security Hub에서는 Security Hub가 활성화된 계정에 대한 결과 업데이트만 수락할 수 있습니다. 결과 공급자도 활성화해야 합니다. Security Hub가 비활성화되거나 조사 결과 공급자 통합이 활성화되지 않은 경우, 조사 결과가 InvalidAccess
오류와 함께 FailedFindings
목록에 반환됩니다.
BatchImportFindings
는 조사 결과를 배치당 최대 100개, 조사 결과당 최대 240KB, 배치당 최대 6MB를 허용합니다. 스로틀 속도 제한은 리전당 계정당 10TPS이며, 버스트는 30TPS입니다.
결과 생성 또는 갱신 여부 결정
결과를 생성할지 또는 업데이트할지 여부를 결정하려면 Security Hub는 ID
필드를 확인합니다. ID
의 값이 기존 결과와 일치하지 않으면 새 결과가 생성됩니다.
ID
가 기존 결과와 일치하는 경우, Security Hub는 UpdatedAt
필드의 업데이트를 확인합니다.
-
업데이트의
UpdatedAt
이 일치하거나 기존 결과의UpdatedAt
이전에 발생하면 업데이트가 무시됩니다. -
업데이트의
UpdatedAt
이 기존 결과의UpdatedAt
이후에 발생하면 기존 결과가 업데이트됩니다.
BatchImportFindings에 대한 제한된 속성
기존 검색 결과의 경우 검색 제공자는 다음 속성 및 객체를 BatchImportFindings
업데이트하는 데 사용할 수 없습니다. 이 속성은 BatchUpdateFindings
를 사용해서만 업데이트할 수 있습니다.
-
Note
-
UserDefinedFields
-
VerificationState
-
Workflow
Security Hub는 해당 속성 및 객체에 대한 BatchImportFindings
요청에 제공된 모든 콘텐츠를 무시합니다. 고객 또는 고객을 대신하여 활동하는 다른 공급자는 이를 업데이트하기 위해 BatchUpdateFindings
을 사용합니다.
FindingProviderFields 사용하기
또한 검색 제공자는 다음 속성을 BatchImportFindings
업데이트하는 데 사용해서는 안 됩니다.
-
Confidence
-
Criticality
-
RelatedFindings
-
Severity
-
Types
대신 결과 공급자는 FindingProviderFields 객체를 사용하여 이러한 속성에 대한 값을 제공합니다.
예
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
BatchImportFindings
요청의 경우 Security Hub는 최상위 속성 및 FindingProviderFields의 값을 다음과 같이 처리합니다.
- (선호)
BatchImportFindings
은 FindingProviderFields의 속성 값을 제공하지만 해당하는 최상위 속성에 대한 값은 제공하지 않습니다. -
예를 들어
BatchImportFindings
는FindingProviderFields.Confidence
을 제공하지만Confidence
을 제공하지는 않습니다.BatchImportFindings
요청에는 이 옵션을 사용하는 것이 좋습니다.Security Hub는
FindingProviderFields
의 속성 값을 업데이트합니다.에서 속성을 아직 업데이트하지 않은 경우에만 최상위 속성에 값을 복제합니다.
BatchUpdateFindings
BatchImportFindings
은 최상위 속성에 대한 값을 제공하지만FindingProviderFields
에서 해당하는 속성의 값은 제공하지 않습니다.-
예를 들어
BatchImportFindings
는FindingProviderFields.Confidence
을 제공하지만Confidence
을 제공하지는 않습니다.Security Hub는 이 값을 사용하여
FindingProviderFields
의 속성을 업데이트합니다. 이는 기존 값을 모두 덮어씁니다.Security Hub는 속성이
BatchUpdateFindings
에 의해 아직 업데이트되지 않은 경우에만 최상위 속성을 업데이트합니다. BatchImportFindings
은 최상위 속성과FindingProviderFields
의 해당 속성 모두에 대한 값을 제공합니다.-
예를 들어,
BatchImportFindings
는Confidence
및FindingProviderFields.Confidence
을 모두 제공합니다.새로운 결과의 경우 Security Hub는
FindingProviderFields
의 값을 사용하여 최상위 속성과FindingProviderFields
의 해당 속성을 모두 채웁니다. 제공된 최상위 속성 값은 사용하지 않습니다.기존 검색 결과에 대해 Security Hub는 두 값을 모두 사용합니다. 하지만
BatchUpdateFindings
에서 속성을 아직 업데이트하지 않은 경우에만 최상위 속성 값을 업데이트합니다.
에서 제공하는 batch-import-findings 명령 사용 AWS CLI
AWS Command Line Interface에서는 batch-import-findings
사용자는 각 결과를 JSON 객체로 입력합니다.
예
aws securityhub batch-import-findings --findings [{ "AwsAccountId": "123456789012", "CreatedAt": "2019-08-07T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "GeneratorId": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule/2.2", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z", "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ], "Severity": { "Label": "INFORMATIONAL", "Original": "0" } }]'