Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# BatchImportFindings para encontrar proveedores
<a name="finding-update-batchimportfindings"></a>

Los proveedores de resultados pueden usar la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) para crear nuevos resultados en el CSPM de AWS Security Hub. También pueden usar esta operación para actualizar resultados que ellos mismos hayan creado. Los proveedores de resultados no pueden actualizar resultados que no hayan creado.

Los clientes SIEMs, la venta de entradas, el SOAR y otros tipos de herramientas deben utilizar esta [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operación para realizar actualizaciones relacionadas con su investigación de los hallazgos obtenidos al encontrar proveedores. Para obtener más información, consulte [BatchUpdateFindings para clientes](finding-update-batchupdatefindings.md).

Cuando Security Hub CSPM recibe una `BatchImportFindings` solicitud para crear o actualizar un hallazgo, genera automáticamente un **Security Hub Findings - Imported**evento en Amazon. EventBridge Puede tomar medidas automatizadas en relación con ese evento. Para obtener más información, consulte [Uso EventBridge para respuesta y remediación automatizadas](securityhub-cloudwatch-events.md).

## Requisitos previos para utilizar `BatchImportFindings`
<a name="batchimportfindings-accounts-batch-size"></a>

`BatchImportFindings` debe ser llamada por una de las siguientes opciones:
+ La cuenta que está asociada al resultado. El identificador de la cuenta asociada debe coincidir con el valor del atributo `AwsAccountId` del resultado.
+ Una cuenta que figure en la lista de cuentas permitidas como integración oficial del CSPM de Security Hub.

El CSPM de Security Hub solo puede aceptar actualizaciones de resultados para cuentas que tengan habilitado el CSPM de Security Hub. El proveedor de hallazgos también debe estar habilitado. Si el CSPM de Security Hub está desactivado, o si la integración con el proveedor de resultados no está habilitada, los resultados se devuelven en la lista `FailedFindings` con un error `InvalidAccess`.

## Determinación de si se debe crear o actualizar un hallazgo
<a name="batchimportfindings-create-or-update"></a>

Para determinar si debe crear o actualizar un resultado, el CSPM de Security Hub revisa el campo `ID`. Si el valor de `ID` no coincide con un resultado existente, el CSPM de Security Hub crea un resultado nuevo.

Si `ID` coincide con un resultado existente, el CSPM de Security Hub verifica el campo `UpdatedAt` de la actualización y procede de la siguiente manera:
+ Si el valor de `UpdatedAt` en la actualización coincide con `UpdatedAt` o es anterior a este en el resultado existente, el CSPM de Security Hub ignora la solicitud de actualización.
+ Si el valor de `UpdatedAt` en la actualización es posterior a `UpdatedAt` en el resultado existente, el CSPM de Security Hub actualiza el resultado.

## Restricciones para la actualización de resultados con `BatchImportFindings`
<a name="batchimportfindings-restricted-fields"></a>

Los proveedores de resultados no pueden utilizar `BatchImportFindings` para actualizar los siguientes atributos de un resultado existente:
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

El CSPM de Security Hub ignora cualquier contenido incluido en una solicitud de `BatchImportFindings` para estos atributos. Los clientes o las entidades que actúan en su nombre (como las herramientas de creación de tickets) pueden utilizar `BatchUpdateFindings` para actualizar estos atributos.

## Actualizar los resultados mediante FindingProviderFields
<a name="batchimportfindings-findingproviderfields"></a>

La búsqueda de proveedores tampoco debería servir `BatchImportFindings` para actualizar los siguientes atributos de nivel superior en el formato de búsqueda de AWS seguridad (ASFF):
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`

En su lugar, los proveedores de resultados deben utilizar el objeto [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) para proporcionar valores para estos atributos.

**Ejemplo**

```
"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```

En el caso de las solicitudes `BatchImportFindings`, el CSPM de Security Hub maneja los valores de los atributos de nivel superior y los de [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) de la siguiente forma:

**(Opción preferida): `BatchImportFindings` proporciona un valor para un atributo en [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields), pero no proporciona un valor para el atributo equivalente de nivel superior.**  
Por ejemplo, `BatchImportFindings` proporciona `FindingProviderFields.Confidence`, pero no proporciona `Confidence`. Esta es la opción preferida para las solicitudes `BatchImportFindings`.  
El CSPM de Security Hub actualiza el valor del atributo en `FindingProviderFields`.  
Replica el valor en el atributo de nivel superior solo si `BatchUpdateFindings` aún no actualizó el atributo.

**`BatchImportFindings` proporciona un valor para un atributo de nivel superior, pero no proporciona un valor para el atributo correspondiente `FindingProviderFields`.**  
Por ejemplo, `BatchImportFindings` proporciona `Confidence`, pero no proporciona `FindingProviderFields.Confidence`.  
El CSPM de Security Hub usa el valor para actualizar el atributo en `FindingProviderFields`. Sobrescribe cualquier valor existente.  
El CSPM de Security Hub actualiza el atributo de nivel superior solo si `BatchUpdateFindings` aún no ha actualizado el atributo.

**`BatchImportFindings` proporciona un valor tanto para un atributo de nivel superior como para el atributo correspondiente a `FindingProviderFields`.**  
Por ejemplo, `BatchImportFindings` proporciona tanto `Confidence` como `FindingProviderFields.Confidence`.  
Si se trata de un resultado nuevo, el CSPM de Security Hub utiliza el valor dentro de `FindingProviderFields` para rellenar tanto el atributo de nivel superior como el atributo correspondiente dentro de `FindingProviderFields`. No utiliza el valor de atributo de nivel superior proporcionado.  
En el caso de un resultado existente, el CSPM de Security Hub usa ambos valores. Sin embargo, actualiza el valor del atributo de nivel superior solo si `BatchUpdateFindings` aún no ha actualizado el atributo.