

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# BatchImportFindings per trovare fornitori
<a name="finding-update-batchimportfindings"></a>

I provider di ricerca possono utilizzare l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)operazione per creare nuovi risultati in AWS Security Hub CSPM. Possono utilizzare questa operazione anche per aggiornare i risultati che hanno creato. I fornitori di servizi di ricerca non possono aggiornare i risultati che non hanno creato.

I clienti SIEMs, i servizi di biglietteria, il SOAR e altri tipi di strumenti devono utilizzare l'[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operazione per apportare aggiornamenti relativi all'analisi dei risultati ottenuti dalla ricerca dei fornitori. Per ulteriori informazioni, consulta [BatchUpdateFindings per i clienti](finding-update-batchupdatefindings.md).

Quando Security Hub CSPM riceve una `BatchImportFindings` richiesta per creare o aggiornare un risultato, genera automaticamente un **Security Hub Findings - Imported**evento in Amazon. EventBridge Puoi intraprendere azioni automatiche su quell'evento. Per ulteriori informazioni, consulta [Utilizzo EventBridge per la risposta e la correzione automatizzate](securityhub-cloudwatch-events.md).

## Prerequisiti per l'utilizzo di `BatchImportFindings`
<a name="batchimportfindings-accounts-batch-size"></a>

`BatchImportFindings`deve essere chiamato da uno dei seguenti:
+ L'account associato ai risultati. L'identificatore dell'account associato deve corrispondere al valore dell'`AwsAccountId`attributo per il risultato.
+ Un account consentito nell'elenco dei partner CSPM ufficiali di Security Hub.

Security Hub CSPM può accettare la ricerca di aggiornamenti solo per gli account con Security Hub CSPM abilitato. Anche il provider di risultati deve essere abilitato. Se Security Hub CSPM è disabilitato o l'integrazione del provider di ricerca non è abilitata, i risultati vengono restituiti nell'`FailedFindings`elenco, con un `InvalidAccess` errore.

## Determinazione per creare o aggiornare un risultato
<a name="batchimportfindings-create-or-update"></a>

Per determinare se creare o aggiornare un risultato, Security Hub CSPM controlla il `ID` campo. Se il valore di `ID` non corrisponde a un risultato esistente, Security Hub CSPM crea un nuovo risultato.

Se `ID` corrisponde a un risultato esistente, Security Hub CSPM controlla il `UpdatedAt` campo per l'aggiornamento e procede come segue:
+ Se `UpdatedAt` l'aggiornamento corrisponde o si verifica prima `UpdatedAt` del risultato esistente, Security Hub CSPM ignora la richiesta di aggiornamento.
+ Se `UpdatedAt` l'aggiornamento avviene dopo `UpdatedAt` il risultato esistente, Security Hub CSPM aggiorna il risultato esistente.

## Restrizioni sulla ricerca di aggiornamenti con `BatchImportFindings`
<a name="batchimportfindings-restricted-fields"></a>

I fornitori di servizi di ricerca non possono `BatchImportFindings` utilizzare per aggiornare i seguenti attributi di un risultato esistente:
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

Security Hub CSPM ignora qualsiasi contenuto fornito in una `BatchImportFindings` richiesta per questi attributi. I clienti o le entità che agiscono per loro conto (come gli strumenti di ticketing) possono utilizzare `BatchUpdateFindings` per aggiornare questi attributi.

## Aggiornamento dei risultati con FindingProviderFields
<a name="batchimportfindings-findingproviderfields"></a>

Inoltre, i fornitori di servizi di ricerca non dovrebbero `BatchImportFindings` aggiornare i seguenti attributi di primo livello nel AWS Security Finding Format (ASFF):
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`

Invece, i provider di ricerca dovrebbero utilizzare l'[`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields)oggetto per fornire valori per questi attributi.

**Esempio**

```
"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```

Per `BatchImportFindings` le richieste, Security Hub CSPM gestisce i valori negli attributi di primo livello e nel [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields)modo seguente.

**(Preferito) `BatchImportFindings` fornisce un valore per un attributo in [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields), ma non fornisce un valore per l'attributo di primo livello corrispondente.**  
Ad esempio`FindingProviderFields.Confidence`, `BatchImportFindings` fornisce ma non fornisce`Confidence`. Questa è l'opzione preferita per `BatchImportFindings` le richieste.  
Security Hub CSPM aggiorna il valore dell'attributo in. `FindingProviderFields`  
Replica il valore nell'attributo di primo livello solo se l'attributo non è già stato aggiornato da. `BatchUpdateFindings`

**`BatchImportFindings`fornisce un valore per un attributo di primo livello, ma non fornisce un valore per l'attributo corrispondente in. `FindingProviderFields`**  
Ad esempio`Confidence`, `BatchImportFindings` fornisce ma non fornisce`FindingProviderFields.Confidence`.  
Security Hub CSPM utilizza il valore per aggiornare l'attributo in. `FindingProviderFields` Sovrascrive qualsiasi valore esistente.  
Security Hub CSPM aggiorna l'attributo di primo livello solo se l'attributo non è già stato aggiornato da. `BatchUpdateFindings`

**`BatchImportFindings`fornisce un valore sia per un attributo di primo livello che per l'attributo corrispondente in. `FindingProviderFields`**  
Ad esempio, `BatchImportFindings` fornisce entrambi `Confidence` e`FindingProviderFields.Confidence`.  
Per una nuova scoperta, Security Hub CSPM utilizza il valore in `FindingProviderFields` per compilare sia l'attributo di primo livello che l'attributo corrispondente in. `FindingProviderFields` Non utilizza il valore dell'attributo di primo livello fornito.  
Per un risultato esistente, Security Hub CSPM utilizza entrambi i valori. Tuttavia, aggiorna il valore dell'attributo di primo livello solo se l'attributo non è già stato aggiornato da. `BatchUpdateFindings`