As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# BatchUpdateFindings para clientes
<a name="finding-update-batchupdatefindings"></a>

AWS Os clientes do CSPM do Security Hub e as entidades que atuam em seu nome podem usar a [BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)operação para atualizar as informações relacionadas ao processamento das descobertas do CSPM do Security Hub na busca de fornecedores. Como cliente, é possível usar essa operação diretamente. As ferramentas de SIEM, emissão de tíquetes, gerenciamento de incidentes e SOAR também podem usar essa operação em nome de um cliente.

Você não pode usar a operação `BatchUpdateFindings` para criar novas descobertas. Contudo, é possível usá-la para atualizar até 100 descobertas existentes por vez. Em uma `BatchUpdateFindings` solicitação, você especifica quais descobertas atualizar, quais campos do Formato de Descoberta de AWS Segurança (ASFF) devem ser atualizados para as descobertas e os novos valores para os campos. Em seguida, o CSPM do Security Hub atualizará as descobertas conforme especificado em sua solicitação. Esse processo pode levar alguns minutos. Se você atualizar as descobertas usando a operação `BatchUpdateFindings`, suas atualizações não afetarão os valores existentes no campo `UpdatedAt` das descobertas.

Quando o Security Hub CSPM recebe uma `BatchUpdateFindings` solicitação para atualizar uma descoberta, ele gera automaticamente um **Security Hub Findings – Imported**evento na Amazon. EventBridge Opcionalmente, é possível usar esse evento para realizar uma ação automática na descoberta especificada. Para obter mais informações, consulte [Usando EventBridge para resposta e remediação automatizadas](securityhub-cloudwatch-events.md).

## Campos disponíveis para BatchUpdateFindings
<a name="batchupdatefindings-fields"></a>

Se você estiver conectado a uma conta de administrador do CSPM do Security Hub, poderá usar `BatchUpdateFindings` para atualizar as descobertas geradas via conta do administrador ou contas de membro. As contas de membro só podem usar `BatchUpdateFindings` para atualizar descobertas para sua própria conta.

Os clientes podem usar `BatchUpdateFindings` para atualizar os seguintes campos e objetos:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

## Configurar o acesso ao BatchUpdateFindings
<a name="batchupdatefindings-configure-access"></a>

Você pode configurar políticas AWS Identity and Access Management (IAM) para restringir o acesso ao uso `BatchUpdateFindings` para atualizar campos de busca e valores de campo.

Em uma declaração para restringir o acesso ao `BatchUpdateFindings`, use os seguintes valores:
+ `Action` é `securityhub:BatchUpdateFindings`
+ `Effect` é `Deny`
+ Para `Condition`, você pode negar uma solicitação `BatchUpdateFindings` com base no seguinte:
  + A descoberta inclui um campo específico.
  + A descoberta inclui um valor de campo específico.

### Chaves de condição
<a name="batchupdatefindings-configure-access-context-keys"></a>

Essas são as principais condições para restringir o acesso ao `BatchUpdateFindings`.

**Campo do ASFF**  
A principal condição para um campo do ASFF é a seguinte:  

```
securityhub:ASFFSyntaxPath/<fieldName>
```
Substitua `<fieldName>` pelo campo do ASFF. Ao configurar o acesso ao `BatchUpdateFindings`, inclua um ou mais campos do ASFF específicos em sua política do IAM em vez de um campo de nível principal. Por exemplo, para restringir o acesso ao campo `Workflow.Status`, é necessário incluir ` securityhub:ASFFSyntaxPath/Workflow.Status` em sua política em vez do campo de nível principal `Workflow`.

### Proibir atualizações em um campo
<a name="batchupdatefindings-configure-access-block-field"></a>

Para impedir que um usuário faça qualquer atualização em um campo específico, use uma condição como esta:

```
 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}
```

Por exemplo, a instrução a seguir indica que `BatchUpdateFindings` não pode ser usado para atualizar o campo `Workflow.Status` das descobertas.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}
```

### Proibir valores de campo específicos
<a name="batchupdatefindings-configure-access-block-field-values"></a>

Para impedir que um usuário configure um campo para um valor específico, use uma condição como esta:

```
"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}
```

Por exemplo, a declaração a seguir indica que `BatchUpdateFindings` não pode ser usado para configurar `Workflow.Status` para `SUPPRESSED`.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}
```

Também é possível fornecer uma lista de valores que não são permitidos.

```
 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}
```

Por exemplo, a declaração a seguir indica que `BatchUpdateFindings` não pode ser usado para configurar `Workflow.Status` para `RESOLVED` ou `SUPPRESSED`.

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}
```