翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# 検出結果プロバイダーの BatchImportFindings
<a name="finding-update-batchimportfindings"></a>

検出結果プロバイダーは、[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) オペレーションを使用して、 AWS Security Hub CSPM に新しい検出結果を作成できます。また、このオペレーションを使用して、作成した検出結果を更新することもできます。検出結果プロバイダーは、自身が作成していない検出結果は更新できます。

お客様、SIEM、チケット発行ツール、SOAR ツールおよびツールの他のタイプは、検出結果プロバイダーからの検出結果の調査に関連する更新を行うために [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) を使用します。詳細については、「[お客様の BatchUpdateFindings](finding-update-batchupdatefindings.md)」を参照してください。

Security Hub CSPM が検出結果を作成または更新する `BatchImportFindings` リクエストを受信すると、Amazon EventBridge で **Security Hub Findings - Imported** イベントが自動的に生成されます。そのイベントに対して自動アクションを実行できます。詳細については、「[EventBridge を使用した自動応答と修復](securityhub-cloudwatch-events.md)」を参照してください。

## `BatchImportFindings` を使用するための前提条件
<a name="batchimportfindings-accounts-batch-size"></a>

`BatchImportFindings` を、次のいずれかで呼び出す必要があります。
+ 検出結果に関連付けられているアカウント。関連付けられたアカウントの識別子は、検出結果の `AwsAccountId` 属性の値に一致している必要があります。
+ 公式の Security Hub CSPM パートナー統合として許可リストに載っているアカウント。

Security Hub CSPM は、Security Hub CSPM が有効になっているアカウントの結果更新のみを受け入れます。検出結果プロバイダーも有効にする必要があります。Security Hub CSPM が無効になっているが、検出結果プロバイダーとの統合が有効になっていない場合は、検出結果は `FailedFindings` リストで返され、`InvalidAccess` エラーが表示されます。

## 結果を作成するか更新するかの決定
<a name="batchimportfindings-create-or-update"></a>

検出結果を作成するか更新するかを決定するために、Security Hub CSPM は `ID` フィールドをチェックします。`ID` の値が既存の検出結果と一致しない場合は、Security Hub CSPM は、新しい検出結果を作成します。

`ID` が既存の検出結果と一致する場合、Security Hub CSPM は `UpdatedAt` フィールドに更新がないかをチェックし、次のように処理を進めます。
+ 更新上の `UpdatedAt` が一致するか、既存の検出結果の `UpdatedAt` より前に発生した場合、Security Hub CSPM は更新を無視します。
+ 更新上の `UpdatedAt` が既存の検出結果の `UpdatedAt` の後に発生している場合、Security Hub CSPM は既存の検出結果を更新します。

## `BatchImportFindings` による検出結果の更新の制限
<a name="batchimportfindings-restricted-fields"></a>

検出結果プロバイダーは `BatchImportFindings` を使用して既存の検出結果の次の属性を更新することはできません。
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

Security Hub CSPM は、これらの属性の `BatchImportFindings` リクエストで提供されたコンテンツを無視します。お客様、またはお客様に代わって行動するエンティティ (チケット発行ツールなど) は、 `BatchUpdateFindings` を使用してこれらの属性を更新できます。

## FindingProviderFields での検出結果の更新
<a name="batchimportfindings-findingproviderfields"></a>

また、検出結果プロバイダーは、 `BatchImportFindings`を使用して AWS Security Finding Format (ASFF) の以下の最上位属性を更新しないでください。
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`

代わりに、検出結果プロバイダーは [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) オブジェクトを使用して、これらの属性の値を提供する必要があります。

**例**

```
"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```

`BatchImportFindings` リクエストの場合、Security Hub CSPM はトップレベル属性内および [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) 内の値を以下のとおり処理します。

**(推奨) `BatchImportFindings` は [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) 内の属性の値を提供しますが、対応するトップレベル属性には値を提供しません。**  
例えば、`BatchImportFindings` は `FindingProviderFields.Confidence` を提供しますが、`Confidence` は提供しません。これは、`BatchImportFindings` リクエストに推奨されるオプションです。  
Security Hub CSPM は、`FindingProviderFields` 内の属性の値を更新します。  
これは、属性が `BatchUpdateFindings` によってまだ更新されていない場合にのみ、値をトップレベル属性にレプリケートします。

**`BatchImportFindings` は、トップレベル属性の値を提供しますが、`FindingProviderFields` 内の対応する属性には値を提供しません。**  
例えば、`BatchImportFindings` は `Confidence` を提供しますが、`FindingProviderFields.Confidence` は提供しません。  
Security Hub CSPM は、値を使用して `FindingProviderFields` の属性を更新します。既存の値はすべて上書きされます。  
Security Hub CSPM は、属性が `BatchUpdateFindings` によってまだ更新されていない場合にのみ、トップレベルの属性を更新します。

**`BatchImportFindings` は、`FindingProviderFields` のトップレベル属性と対応する属性の両方の値を提供します。**  
例えば、`BatchImportFindings` は `Confidence` と `FindingProviderFields.Confidence` の両方を提供します。  
新しい結果を得るために、Security Hub CSPM では `FindingProviderFields` 内の値を使用して、`FindingProviderFields` 内のトップレベル属性と対応する属性の両方を入力します。指定されたトップレベルの属性値は使用しません。  
既存の結果の場合、Security Hub CSPM は両方の値を使用します。ただし、トップレベルの属性値が更新されるのは、`BatchUpdateFindings` により属性がまだ更新されていない場合のみです。