对账户和批量大小的要求确定是创建还是更新结果的受限属性BatchImportFindings 使用 FindingProviderFields 使用来自的batch-import-findings命令Amazon CLI

使用 BatchImportFindings 创建和更新结果

结果提供商使用 BatchImportFindings API 操作创建新结果，并更新他们所创建结果的相关信息。他们无法更新他们没有创建的结果。

客户、SIEMS、票证工具和 SOAR 工具使用 BatchUpdateFindings 进行与处理结果提供商的结果相关的更新。请参阅使用 BatchUpdateFindings 更新结果。

每当Amazon Security Hub收到创建或更新调查结果的BatchImportFindings请求时，它都会自动在亚马逊中生成一个Security Hub Findings - Imported事件 EventBridge。请参阅自动响应和补救。

对账户和批量大小的要求

BatchImportFindings必须由以下任一方法调用：

与结果相关的账户。关联账户的标识符是调查结果的AwsAccountId属性的值。
已列入允许进行官方 Security Hub 合作伙伴集成的账户。

Security Hub 只能接受已启用Security Hub 账户的查找更新。还必须启用结果提供商。如果 Security Hub 被禁用或未启用查找提供程序集成，则将在FailedFindings列表中返回查找结果，但InvalidAccess会出现错误。

BatchImportFindings每批最多接受 100 个搜索结果，每个查找结果最多 240 KB，每批最多接受 6 MB 的搜索结果。限制速率限制为每个区域每个账户 10 TPS，突增速率为 30 TPS。

确定是创建还是更新结果

要确定是创建还是更新调查结果，Security Hub 会检查该ID字段。如果 ID 的值与现有结果不匹配，则会创建一个新结果。

如果ID确实与现有查找结果相匹配，则 Security Hub 会检查该UpdatedAt字段是否有更新。

如果更新UpdatedAt时与现有查找结果匹配或之前发生过UpdatedAt，则更新将被忽略。
如果更新的 UpdatedAt 出现在现有结果的 UpdatedAt 之后，则更新现有结果。

的受限属性BatchImportFindings

对于现有发现，查找提供者不能BatchImportFindings用于更新以下属性和对象。只能使用更新这些属性BatchUpdateFindings。

Note
UserDefinedFields
VerificationState
Workflow

Security Hub 会忽略这些属性和对象中的BatchImportFindings任何内容。客户或代表他们行事的其他提供商使用BatchUpdateFindings来更新它们。

使用 FindingProviderFields

查找提供者也不应BatchImportFindings用于更新以下属性。

Confidence
Criticality
RelatedFindings
Severity
Types

相反，查找提供者使用FindingProviderFields对象为这些属性提供值。

示例


"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}

对于BatchImportFindings请求，Security Hub 会按以下方式处理顶级属性和中的FindingProviderFields值。

（首选）为中的属性BatchImportFindings提供值 FindingProviderFields，但不为相应的顶级属性提供值。

例如，BatchImportFindings提供FindingProviderFields.Confidence，但不提供Confidence。这是BatchImportFindings请求的首选选项。

Security Hub 更新中属性的值FindingProviderFields。

仅当顶级属性尚未更新时，它才会将该值复制到顶级属性BatchUpdateFindings。

BatchImportFindings为顶级属性提供值，但未提供中相应属性的值FindingProviderFields。

例如，BatchImportFindings提供Confidence，但不提供FindingProviderFields.Confidence。

Security Hub 使用该值更新中的属性FindingProviderFields。它会覆盖任何现有值。

只有当顶级属性尚未更新时，Security Hub 才会更新该属性BatchUpdateFindings。

BatchImportFindings为顶级属性和中的相应属性提供值FindingProviderFields。

例如，同时BatchImportFindings提供Confidence和FindingProviderFields.Confidence。

对于新的查找结果，Security Hub 使用中的值FindingProviderFields来填充中的顶级属性和相应的属性FindingProviderFields。它不使用提供的顶级属性值。

对于现有查找结果，Security Hub 使用这两个值。但是，只有当该属性尚未更新时，它才会更新顶级属性值BatchUpdateFindings。

使用来自的batch-import-findings命令Amazon CLI

在中Amazon Command Line Interface，您可以使用batch-import-findings命令创建或更新调查结果。

您以 JSON 对象的形式提供每个结果作为 JSON 对象提供。

示例


aws securityhub batch-import-findings --findings '                  
    [{
        "AwsAccountId": "123456789012",
        "CreatedAt": "2019-08-07T17:05:54.832Z",
        "Description": "Vulnerability in a CloudTrail trail",
        "FindingProviderFields": {
            "Severity": {
                "Label": "INFORMATIONAL",
                "Original": "0"
            },
            "Types": [
                "Software and Configuration Checks/Vulnerabilities/CVE"
            ]
        },
        "GeneratorId": "TestGeneratorId",
        "Id": "Id1",
        "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default",
        "Resources": [
            {
                "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName",
                "Partition": "aws",
                "Region": "us-west-1",
                "Type": "AwsCloudTrailTrail"
            }
        ],
        "SchemaVersion": "2018-10-08",
        "Title": "CloudTrail trail vulnerability",
        "UpdatedAt": "2020-06-02T16:05:54.832Z"
    }]'

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

创建和更新结果

使用 BatchUpdateFindings