本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 用於尋找供應商的 BatchImportFindings
尋找提供者可以使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)操作在 AWS Security Hub CSPM 中建立新的問題清單。他們也可以使用此操作來更新他們建立的問題清單。尋找供應商無法更新他們未建立的問題清單。
客戶、SIEMs、票證、SOAR 和其他類型的工具必須使用 [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)操作,進行與調查結果提供者調查相關的更新。如需詳細資訊,請參閱[客戶的 BatchUpdateFindings](finding-update-batchupdatefindings.md)。
當 Security Hub CSPM 收到建立或更新問題清單的`BatchImportFindings`請求時,它會自動在 Amazon EventBridge 中產生**Security Hub Findings - Imported**事件。您可以對該事件採取自動動作。如需詳細資訊,請參閱[使用 EventBridge 進行自動回應和修復](securityhub-cloudwatch-events.md)。
## 使用 `BatchImportFindings` 的先決條件
`BatchImportFindings` 必須由下列其中一項呼叫:
+ 與調查結果相關聯的帳戶。關聯帳戶的識別符必須符合調查結果的 `AwsAccountId` 屬性值。
+ 允許列為官方 Security Hub CSPM 合作夥伴整合的帳戶。
Security Hub CSPM 只能接受已啟用 Security Hub CSPM 的帳戶的問題清單更新。同時也必須啟用問題清單提供者。如果 Security Hub CSPM 已停用,或未啟用調查結果提供者整合,則會在`FailedFindings`清單中傳回調查結果,並顯示`InvalidAccess`錯誤。
## 決定是要建立或更新問題清單
若要判斷是否要建立或更新問題清單,Security Hub CSPM 會檢查 `ID` 欄位。如果 的值`ID`不符合現有的調查結果,Security Hub CSPM 會建立新的調查結果。
如果 `ID`符合現有的調查結果,Security Hub CSPM 會檢查 `UpdatedAt` 欄位是否有更新,然後繼續執行如下操作:
+ 如果在更新`UpdatedAt`時符合或發生在現有調查結果`UpdatedAt`的 之前,Security Hub CSPM 會忽略更新請求。
+ 如果更新`UpdatedAt`發生在現有調查結果`UpdatedAt`的 之後,Security Hub CSPM 會更新現有調查結果。
## 使用 尋找更新的限制 `BatchImportFindings`
問題清單提供者無法使用 `BatchImportFindings`更新現有問題清單的下列屬性:
+ `Note`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
Security Hub CSPM 會忽略這些屬性`BatchImportFindings`請求中提供的任何內容。客戶或代表他們的實體 (例如票證工具) 可以使用 `BatchUpdateFindings` 更新這些屬性。
## 使用 更新問題清單 FindingProviderFields
調查結果提供者也不應該使用 `BatchImportFindings` 來更新 AWS 安全性調查結果格式 (ASFF) 中的下列頂層屬性:
+ `Confidence`
+ `Criticality`
+ `RelatedFindings`
+ `Severity`
+ `Types`
反之,問題清單提供者應該使用 [`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields) 物件來提供這些屬性的值。
**範例**
```
"FindingProviderFields": {
"Confidence": 42,
"Criticality": 99,
"RelatedFindings":[
{
"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty",
"Id": "123e4567-e89b-12d3-a456-426655440000"
}
],
"Severity": {
"Label": "MEDIUM",
"Original": "MEDIUM"
},
"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]
}
```
對於`BatchImportFindings`請求,Security Hub CSPM 會處理最上層屬性和 中的值[`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields),如下所示。
**(偏好) `BatchImportFindings`提供 中屬性的值[`FindingProviderFields`](asff-top-level-attributes.md#asff-findingproviderfields),但不提供對應頂層屬性的值。**
例如, `BatchImportFindings`提供 `FindingProviderFields.Confidence`,但不提供 `Confidence`。這是 `BatchImportFindings`請求的偏好選項。
Security Hub CSPM 會更新 中屬性的值`FindingProviderFields`。
只有在 屬性尚未由 更新時,才會將值複寫至頂層屬性`BatchUpdateFindings`。
**`BatchImportFindings` 提供最上層屬性的值,但不提供 中對應屬性的值`FindingProviderFields`。**
例如, `BatchImportFindings`提供 `Confidence`,但不提供 `FindingProviderFields.Confidence`。
Security Hub CSPM 使用 值來更新 中的屬性`FindingProviderFields`。它會覆寫任何現有的值。
只有在 屬性尚未由 更新時,Security Hub CSPM 才會更新最上層屬性`BatchUpdateFindings`。
**`BatchImportFindings` 在 中提供最上層屬性和對應屬性的值`FindingProviderFields`。**
例如, 同時`BatchImportFindings`提供 `Confidence`和 `FindingProviderFields.Confidence`。
對於新調查結果,Security Hub CSPM 會使用 中的值`FindingProviderFields`來填入 中最上層屬性和對應的屬性`FindingProviderFields`。它不使用提供的頂層屬性值。
對於現有的調查結果,Security Hub CSPM 會使用這兩個值。不過,只有在 屬性尚未由 更新時,才會更新頂層屬性值`BatchUpdateFindings`。