翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# お客様の BatchUpdateFindings
AWS Security Hub CSPM のお客様およびお客様に代わって行動するエンティティは、[BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) オペレーションを使用して、検出結果プロバイダーからの Security Hub CSPM の検出結果の処理に関連する情報を更新できます。お客様は、このオペレーションを直接使用できます。SIEM、チケット発行、インシデント管理、SOAR ツールも、このオペレーションをお客様に代わって使用できます。
`BatchUpdateFindings` オペレーションを使用して、新しい検出結果を作成することはできません。ただし、これを使用すると、一度に 100 件までの検出結果を更新できます。`BatchUpdateFindings` リクエストでは、更新する検出結果、検出結果に対して更新する AWS Security Finding Format (ASFF) フィールド、およびフィールドの新しい値を指定します。次に、Security Hub CSPM はリクエストで指定されたとおりに検出結果を更新します。この処理には数分かかることもあります。`BatchUpdateFindings` オペレーションを使用して検出結果を更新しても、更新は検出結果の `UpdatedAt` フィールドの既存の値には影響しません。
Security Hub CSPM が検出結果を更新する `BatchUpdateFindings` リクエストを受信すると、Amazon EventBridge で **Security Hub Findings – Imported** イベントが自動的に生成されます。オプションで、このイベントを使用して、指定された検出結果に対して自動アクションを実行できます。詳細については、「[EventBridge を使用した自動応答と修復](securityhub-cloudwatch-events.md)」を参照してください。
## BatchUpdateFindings の使用可能なフィールド
Security Hub CSPM 管理者アカウントにサインインしている場合は、`BatchUpdateFindings` を使用して、管理者アカウントまたはメンバーアカウントによって生成された検出結果を更新できます。メンバーアカウントは、`BatchUpdateFindings` を使用して、自分のアカウントのみの検出結果を更新できます。
お客様は `BatchUpdateFindings` を使用して、以下のフィールドとオブジェクトを更新できます。
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
## BatchUpdateFindings へのアクセスの設定
AWS Identity and Access Management (IAM) ポリシーを設定して、 を使用して検出結果フィールドとフィールド値`BatchUpdateFindings`を更新するアクセスを制限できます。
`BatchUpdateFindings` へのアクセスを制限するステートメントで、以下の値を使用します:
+ `Action` は `securityhub:BatchUpdateFindings`
+ `Effect` は `Deny`。
+ `Condition` では、以下に基づいて `BatchUpdateFindings` リクエストを拒否できます。
+ 結果に特定のフィールドが含まれる。
+ 結果に特定のフィールド値が含まれる。
### 条件キー
これらは、`BatchUpdateFindings` へのアクセスを制限するための条件キーです。
**ASFF フィールド**
ASFF フィールドの条件キーは以下のとおりです:
```
securityhub:ASFFSyntaxPath/
```
`` を ASFF フィールドで置き換えます。`BatchUpdateFindings` へのアクセスを設定する場合は、1 つの親レベルのフィールドではなく、IAM ポリシーに 1 つ以上の特定の ASFF フィールドを含めます。例えば、`Workflow.Status` フィールドへのアクセスを制限するには、`Workflow` 親レベルフィールドの代わりに ` securityhub:ASFFSyntaxPath/Workflow.Status` をポリシーに含める必要があります。
### フィールドに対するすべての更新を禁止する
ユーザーが特定のフィールドを更新できないようにするには、以下のような条件を使用します。
```
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/": "false"
}
}
```
例えば、以下のステートメントは、`BatchUpdateFindings` を使用して検出結果の `Workflow.Status` フィールドを更新できないことを示しています。
```
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"Null": {
"securityhub:ASFFSyntaxPath/Workflow.Status": "false"
}
}
}
```
### 特定のフィールド値の許可を禁止する
ユーザーがフィールドを特定の値に設定できないようにするには、以下のような条件を使用します:
```
"Condition": {
"StringEquals": {
"securityhub:ASFFSyntaxPath/": ""
}
}
```
例えば、以下のステートメントは、`BatchUpdateFindings` を使用して `Workflow.Status` に `SUPPRESSED` を設定できないことを示しています。
```
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"StringEquals": {
"securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
}
}
```
許可されていない値のリストを提供することもできます。
```
"Condition": {
"StringEquals": {
"securityhub:ASFFSyntaxPath/": [ "", "", "" ]
}
}
```
例えば、以下のステートメントは、`BatchUpdateFindings` を使用して `Workflow.Status` を `RESOLVED` または `SUPPRESSED` に設定できないことを示しています。
```
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": "securityhub:BatchUpdateFindings",
"Resource": "*",
"Condition": {
"StringEquals": {
"securityhub:ASFFSyntaxPath/Workflow.Status": [
"RESOLVED",
"NOTIFIED"
]
}
}
```