本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# BatchUpdateFindings 为顾客服务
<a name="finding-update-batchupdatefindings"></a>

AWS Security Hub CSPM客户和代表他们行事的实体可以使用该[BatchUpdateFindings](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)操作来更新与处理Security Hub CSPM调查结果相关的信息，这些信息来自寻找提供商。作为客户，您可以直接使用此操作。SIEM、票证、事件管理和 SOAR 工具也可以代表客户使用此操作。

您不能使用 `BatchUpdateFindings` 操作来创建新的调查发现。但是，您可以使用它一次性更新多达 100 个现有调查发现。在`BatchUpdateFindings`请求中，您可以指定要更新的调查结果、要为查找结果更新哪些 AWS 安全结果格式 (ASFF) 字段，以及这些字段的新值。Security Hub CSPM 随后会按照您的请求指定的内容更新调查发现。此过程可能耗时数分钟。如果您使用 `BatchUpdateFindings` 操作更新调查发现，则更新不会影响调查发现 `UpdatedAt` 字段的现有值。

当 Security Hub CSPM 收到更新调查结果的`BatchUpdateFindings`请求时，它会自动在亚马逊中生成一个**Security Hub Findings – Imported**事件。 EventBridge您还可以选择使用此事件对指定的调查发现执行自动操作。有关更多信息，请参阅 [EventBridge 用于自动响应和补救](securityhub-cloudwatch-events.md)。

## BatchUpdateFindings 可用字段
<a name="batchupdatefindings-fields"></a>

如果您已登录 Security Hub CSPM 管理员账户，则可以使用 `BatchUpdateFindings` 更新该管理员账户或成员账户生成的调查发现。成员账户仅可以使用 `BatchUpdateFindings` 更新其账户的调查发现。

客户可以使用 `BatchUpdateFindings` 更新以下字段和对象：
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`

## 配置对 BatchUpdateFindings 的访问权限
<a name="batchupdatefindings-configure-access"></a>

您可以配置 AWS Identity and Access Management (IAM) 策略以限制访问权限，使用`BatchUpdateFindings`来更新查找字段和字段值。

在限制访问 `BatchUpdateFindings` 的语句中，使用以下值：
+ `Action` 是 `securityhub:BatchUpdateFindings`
+ `Effect` 是 `Deny`
+ 对于 `Condition`，您可以根据以下条件拒绝 `BatchUpdateFindings` 请求：
  + 调查发现包括一个特定的字段。
  + 调查发现包括一个特定的字段值。

### 条件键
<a name="batchupdatefindings-configure-access-context-keys"></a>

这些是限制访问 `BatchUpdateFindings` 的条件键。

**ASFF 字段**  
ASFF 字段的条件键如下所示：  

```
securityhub:ASFFSyntaxPath/<fieldName>
```
`<fieldName>` 替换为 ASFF 字段。配置访问 `BatchUpdateFindings` 权限时，请在 IAM policy 中包含一个或多个特定的 ASFF 字段，而不是父级字段。例如，要限制对 `Workflow.Status` 字段的访问权限，您必须在策略中包含 ` securityhub:ASFFSyntaxPath/Workflow.Status` 而不是 `Workflow` 父级字段。

### 禁止对某个字段进行所有更新
<a name="batchupdatefindings-configure-access-block-field"></a>

要防止用户对特定字段进行任何更新，请使用如下条件：

```
 "Condition": {
                "Null": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "false"
               }
}
```

例如，以下语句表示 `BatchUpdateFindings` 不能用于更新调查发现的 `Workflow.Status` 字段。

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
        "Null": {
            "securityhub:ASFFSyntaxPath/Workflow.Status": "false"
        }
    }
}
```

### 禁用特定的字段值
<a name="batchupdatefindings-configure-access-block-field-values"></a>

要防止用户将字段设置为特定值，请使用如下条件：

```
"Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>"
               }
}
```

例如，以下语句表示 `BatchUpdateFindings` 不能用于把 `Workflow.Status` 设置为 `SUPPRESSED`。

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED"
    }
}
```

您还可以提供不允许的值的列表。

```
 "Condition": {
                "StringEquals": {
                    "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ]
               }
}
```

例如，以下语句表示`BatchUpdateFindings` 不能用于把 `Workflow.Status` 设置为 `RESOLVED` 或 `SUPPRESSED`。

```
{
    "Sid": "VisualEditor0",
    "Effect": "Deny",
    "Action": "securityhub:BatchUpdateFindings",
    "Resource": "*",
    "Condition": {
    "StringEquals": {
        "securityhub:ASFFSyntaxPath/Workflow.Status": [
            "RESOLVED",
            "NOTIFIED"
        ]
    }
}
```