本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 BatchImportFindings 创建和更新结果
结果提供商使用 BatchImportFindings API 操作创建新结果,并更新他们所创建结果的相关信息。他们无法更新他们没有创建的结果。
客户、SIEMS、票证工具和 SOAR 工具使用 BatchUpdateFindings 进行与处理结果提供商的结果相关的更新。请参阅 使用 BatchUpdateFindings 更新结果。
无论何时Amazon Security Hub收到BatchImportFindings请求创建或更新调查结果,它会自动生成一个Security Hub Findings -
Imported在Amazon EventBridge. 请参阅 自动响应和补救。
对账户和批量大小的要求
BatchImportFindings必须由以下内容之一调用:
-
与结果关联的账户。关联账户的标识符是
AwsAccountId调查结果的属性。 -
已列入允许进行官方 Security Hub 合作伙伴集成的账户。
Security Hub 只能接受已启用Security Hub 账户的查找更新。还必须启用结果提供商。如果 Security Hub 处于禁用状态,或者未启用查找提供程序集成,则结果将在FailedFindings列表,带有InvalidAccess错误消息。
BatchImportFindings每批最多接受 100 个搜索结果,每个查找结果最多 240 KB,每批最多接受 6 MB 的搜索结果。限制速率限制为每个区域每个账户 10 TPS,突增速率为 30 TPS。
确定是创建还是更新结果
要确定是创建还是更新调查结果,Security Hub 会检查ID字段中返回的子位置类型。如果 ID 的值与现有结果不匹配,则会创建一个新结果。
如果ID确实与现有发现相匹配,然后 Security Hub 会检查UpdatedAt用于更新的字段。
-
如果
UpdatedAt更新时匹配或之前发生过UpdatedAt根据现有发现,则更新将被忽略。 -
如果更新的
UpdatedAt出现在现有结果的UpdatedAt之后,则更新现有结果。
的受限属性BatchImportFindings
对于现有发现,查找提供者无法使用BatchImportFindings更新以下属性和对象。这些属性只能使用以下方式更新BatchUpdateFindings.
-
Note -
UserDefinedFields -
VerificationState -
Workflow
Security Hub 会忽略其中的任何内容BatchImportFindings用于这些属性和对象。客户或代表他们行事的其他提供商使用BatchUpdateFindings来更新它们。
使用 FindingProviderFields
寻找提供者也不应使用BatchImportFindings更新以下属性。
-
Confidence -
Criticality -
RelatedFindings -
Severity -
Types
相反,寻找提供者使用FindingProviderFields对象为这些属性提供值。
示例
"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }
对于BatchImportFindings请求,Security Hub 处理顶级属性和中的值FindingProviderFields如下所示。
- (首选)
BatchImportFindings为中的属性提供一个值FindingProviderFields,但没有为相应的顶级属性提供值。 -
例如,
BatchImportFindings提供FindingProviderFields.Confidence,但不提供Confidence. 这是首选选项BatchImportFindings请求。Security Hub 更新中属性的值FindingProviderFields.
仅当顶级属性尚未更新时,它才会将该值复制到顶级属性
BatchUpdateFindings. BatchImportFindings为顶级属性提供值,但未提供中相应属性的值FindingProviderFields.-
例如,
BatchImportFindings提供Confidence,但不提供FindingProviderFields.Confidence.Security Hub 使用该值更新中的属性FindingProviderFields. 它会覆盖任何现有值。
仅当顶层属性尚未更新时,Security Hub 才会更新该属性
BatchUpdateFindings. BatchImportFindings为顶级属性和中的相应属性提供值FindingProviderFields.-
例如,
BatchImportFindings两者都提供Confidence和FindingProviderFields.Confidence.对于新发现,Security Hub 使用中的值FindingProviderFields在中填充顶级属性和相应的属性FindingProviderFields. 它不使用提供的顶级属性值。
对于现有查找结果,Security Hub 使用这两个值。但是,只有当该属性尚未被更新时,它才会更新顶级属性值
BatchUpdateFindings.
使用batch-import-findings命令来自Amazon CLI
在里面Amazon Command Line Interface,您将batch-import-findings命令以创建或更新结果以创建或更新结果的命令。
您以 JSON 对象的形式提供每项结果。
示例
aws securityhub batch-import-findings --findings ' [{ "AwsAccountId": "123456789012", "CreatedAt": "2019-08-07T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": "INFORMATIONAL", "Original": "0" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]'