

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# BatchImportFindings para encontrar fornecedores
<a name="finding-update-batchimportfindings"></a>

Os provedores de descobertas podem usar a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) para criar novas descobertas no CSPM do AWS Security Hub. Eles também podem usar essa operação para atualizar as descobertas que criaram. Os provedores de descoberta não podem atualizar as descobertas que eles não criaram.

Clientes SIEMs, emissão de bilhetes, SOAR e outros tipos de ferramentas devem usar a [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operação para fazer atualizações relacionadas à investigação das descobertas de fornecedores. Para obter mais informações, consulte [BatchUpdateFindings para clientes](finding-update-batchupdatefindings.md).

Quando o Security Hub CSPM recebe uma `BatchImportFindings` solicitação para criar ou atualizar uma descoberta, ele gera automaticamente um **Security Hub Findings - Imported**evento na Amazon. EventBridge É possível realizar ações automatizadas em relação a esse evento. Para obter mais informações, consulte [Usando EventBridge para resposta e remediação automatizadas](securityhub-cloudwatch-events.md).

## Pré-requisitos para usar o `BatchImportFindings`
<a name="batchimportfindings-accounts-batch-size"></a>

`BatchImportFindings` deve ser um dos seguintes:
+ A conta associada às descobertas. O identificador da conta associada deve corresponder ao valor do atributo `AwsAccountId` da descoberta.
+ Uma conta que está na lista de permissões como uma integração de parceiro oficial do CSPM do Security Hub.

O CSPM do Security Hub só pode aceitar atualizações de descobertas para contas que tenham o CSPM do Security Hub habilitado. O provedor de descoberta também deve estar habilitado. Se o CSPM do Security Hub estiver desabilitado ou se a integração do provedor de descoberta não estiver habilitada, as descobertas serão retornadas na lista `FailedFindings` com um erro `InvalidAccess`.

## Determinar se uma descoberta deve ser criada ou atualizada
<a name="batchimportfindings-create-or-update"></a>

Para determinar se deve criar ou atualizar uma descoberta, o CSPM do Security Hub verifica o campo `ID`. Se o valor de `ID` não corresponder a uma descoberta existente, o CSPM do Security Hub criará uma descoberta.

Se `ID` corresponder a uma descoberta existente, o CSPM do Security Hub verificará o campo `UpdatedAt` da atualização e prossegue da forma a seguir:
+ Se `UpdatedAt` na atualização corresponder ou ocorrer antes de `UpdatedAt` na descoberta existente, o CSPM do Security Hub ignorará a atualização solicitada.
+ Se `UpdatedAt` na atualização ocorrer após `UpdatedAt` na descoberta existente, o CSPM do Security Hub atualizará a descoberta existente.

## Restrições a atualizações de descobertas com `BatchImportFindings`
<a name="batchimportfindings-restricted-fields"></a>

Para uma descoberta existente, os provedores de descobertas não podem usar `BatchImportFindings` para atualizar os seguintes atributos e objetos:
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

O CSPM do Security Hub ignorará qualquer conteúdo fornecido em uma solicitação de `BatchImportFindings` para esses atributos. Clientes ou entidades que atuam em seu nome (como ferramentas de criação de tíquetes) podem usar `BatchUpdateFindings` para atualizar esses atributos.

## Atualizar descobertas com FindingProviderFields
<a name="batchimportfindings-findingproviderfields"></a>

Os provedores de busca também não devem ser usados `BatchImportFindings` para atualizar os seguintes atributos de nível superior no AWS Security Finding Format (ASFF):
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`

Em vez disso, os provedores de descobertas devem usar o objeto [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) para fornecer valores para esses atributos.

**Exemplo**

```
"FindingProviderFields": {
    "Confidence": 42,
    "Criticality": 99,
    "RelatedFindings":[
      { 
        "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", 
        "Id": "123e4567-e89b-12d3-a456-426655440000" 
      }
    ],
    "Severity": {
        "Label": "MEDIUM", 
        "Original": "MEDIUM"
    },
    "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```

Para solicitações de `BatchImportFindings`, o CSPM do Security Hub manipula valores nos atributos de nível superior e no [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) da forma a seguir.

**(Preferencial) `BatchImportFindings` fornece um valor para um atributo em [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields), mas não fornece um valor para o atributo de nível superior correspondente.**  
Por exemplo, `BatchImportFindings` fornece `FindingProviderFields.Confidence`, mas não fornece `Confidence`. Essa é a opção preferencial para solicitações de `BatchImportFindings`.  
O CSPM do Security Hub atualiza o valor do atributo em `FindingProviderFields`.  
Ele só replica o valor para o atributo de nível superior se o atributo ainda não foi atualizado por `BatchUpdateFindings`.

**O `BatchImportFindings` fornece um valor para um atributo de nível superior, mas não fornece um valor para o atributo correspondente em `FindingProviderFields`.**  
Por exemplo, `BatchImportFindings` fornece `Confidence`, mas não fornece `FindingProviderFields.Confidence`.  
O CSPM do Security Hub usa o valor para atualizar o atributo em `FindingProviderFields`. Ele sobrescreve qualquer valor existente.  
O CSPM do Security Hub atualiza o atributo de nível superior somente se o atributo ainda não tiver sido atualizado por `BatchUpdateFindings`.

**`BatchImportFindings` fornece um valor para um atributo de nível superior e para o atributo correspondente em `FindingProviderFields`.**  
Por exemplo, `BatchImportFindings` fornece ambos `Confidence` e `FindingProviderFields.Confidence`.  
Para uma nova descoberta, o CSPM do Security Hub usa o valor em `FindingProviderFields` para preencher o atributo de nível superior e o atributo correspondente em `FindingProviderFields`. Ele não usa o valor do atributo de nível superior fornecido.  
Para uma descoberta existente, o CSPM do Security Hub usa ambos os valores. No entanto, ele atualiza o atributo de nível superior somente se o atributo ainda não tiver sido atualizado por `BatchUpdateFindings`.