本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# BatchImportFindings 用于寻找提供者
调查发现提供者可以使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) 操作在 AWS Security Hub CSPM 中创建新的调查发现。他们还可以使用此操作来更新自己创建的调查发现。调查发现提供者无法更新他们未创建的调查发现。
客户 SIEMs、票务、SOAR 和其他类型的工具必须使用该[https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)操作来更新他们对寻找提供商的调查结果的调查。有关更多信息,请参阅 [BatchUpdateFindings 为顾客服务](finding-update-batchupdatefindings.md)。
当 Security Hub CSPM 收到创建或更新调查结果的`BatchImportFindings`请求时,它会自动在亚马逊中生成一个**Security Hub Findings - Imported**事件。 EventBridge您可以对该事件执行自动操作。有关更多信息,请参阅 [EventBridge 用于自动响应和补救](securityhub-cloudwatch-events.md)。
## 使用 `BatchImportFindings` 的先决条件
`BatchImportFindings` 必须由以下之一调用:
+ 与调查发现关联的账户。相关账户的标识符必须与调查发现的 `AwsAccountId` 属性值相匹配。
+ 列入官方 Security Hub CSPM 合作伙伴集成允许列表的账户。
Security Hub CSPM 只能接受已启用 Security Hub CSPM 的账户的调查发现更新。还必须启用结果提供商。如果禁用 Security Hub CSPM,或者未启用调查发现提供者集成,则会在 `FailedFindings` 列表中返回调查发现,并显示 `InvalidAccess` 错误。
## 确定是创建还是更新结果
要确定是创建还是更新调查发现,Security Hub CSPM 需要检查 `ID` 字段。如果 `ID` 的值与现有调查发现不匹配,则 Security Hub CSPM 会创建新的调查发现。
如果 `ID` 与现有调查发现匹配,则 Security Hub CSPM 会检查 `UpdatedAt` 字段是否有更新,并按如下方式继续:
+ 如果更新的 `UpdatedAt` 匹配或出现在现有调查发现的 `UpdatedAt` 之前,则 Security Hub CSPM 会忽略更新请求。
+ 如果更新的 `UpdatedAt` 出现在现有结果的 `UpdatedAt` 之后,则 Security Hub CSPM 会更新现有调查发现。
## 使用 `BatchImportFindings` 对调查发现进行更新的限制
调查发现提供者无法使用 `BatchImportFindings` 更新现有调查发现的以下属性:
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
Security Hub CSPM 会忽略在 `BatchImportFindings` 请求这些属性时提供的任何内容。客户或代表他们行事的实体(例如票证工具)可以使用 `BatchUpdateFindings` 更新这些属性。
## 使用 FindingProviderFields 更新调查发现
查找提供者也不应使用`BatchImportFindings`来更新 AWS 安全调查结果格式 (ASFF) 中的以下顶级属性:
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`
相反,调查发现提供者应使用 [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) 对象为这些属性提供值。
**示例**
```
"FindingProviderFields": {
"Confidence": 42,
"Criticality": 99,
"RelatedFindings":[
{
"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty",
"Id": "123e4567-e89b-12d3-a456-426655440000"
}
],
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```
对于 `BatchImportFindings` 请求,Security Hub CSPM 按如下方式处理顶级属性和 [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) 中的值。
**(首选)`BatchImportFindings` 为 [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) 中的属性提供值,但并未为相应的顶级属性提供值。**
例如,`BatchImportFindings` 提供 `FindingProviderFields.Confidence`,但不提供 `Confidence`。这是 `BatchImportFindings` 请求的首选选项。
Security Hub CSPM 更新 `FindingProviderFields` 中属性的值。
仅当属性尚未由 `BatchUpdateFindings` 更新时,它才会将该值复制到顶级属性。
**`BatchImportFindings` 为顶级属性提供值,但不为 `FindingProviderFields` 中的相应属性提供值。**
例如,`BatchImportFindings` 提供 `Confidence`,但不提供 `FindingProviderFields.Confidence`。
Security Hub CSPM 使用该值来更新 `FindingProviderFields` 中的属性。它会覆盖任何现有值。
只有当顶级属性尚未由 `BatchUpdateFindings` 更新时,Security Hub CSPM 才会更新该属性。
**`BatchImportFindings` 为顶级属性和 `FindingProviderFields` 中的相应属性提供了一个值。**
例如,`BatchImportFindings` 同时提供 `Confidence` 和 `FindingProviderFields.Confidence`。
对于新调查发现,Security Hub CSPM 使用 `FindingProviderFields` 中的值填充顶级属性和 `FindingProviderFields` 中的相应属性。它不使用提供的顶级属性值。
对于现有调查发现,Security Hub CSPM 使用这两个值。但是,只有当属性尚未由 `BatchUpdateFindings` 更新时,它才会更新顶级属性值。