As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Criação e atualização de descobertas no CSPM do Security Hub No AWS Security Hub CSPM, uma *descoberta* é um registro observável de uma verificação de segurança ou detecção relacionada à segurança. Uma descoberta pode se originar de uma das origens a seguir: + Uma verificação de segurança de um controle no CSPM do Security Hub. + Uma integração com outra AWS service (Serviço da AWS). + Uma integração com um produto de terceiros. + Uma integração personalizada. O Security Hub normaliza as descobertas de todas as origens em uma sintaxe e um formato de um padrão denominado *Formato de descoberta de segurança da AWS (ASFF)*. Para obter informações detalhadas sobre esse formato, incluindo descrições de campos individuais do ASFF, consulte[AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md). Se você habilitar a agregação entre regiões, o CSPM do Security Hub também agregará automaticamente as descobertas novas e atualizadas de todas as regiões vinculadas à uma região de agregação especificada por você. Para obter mais informações, consulte [Noções básicas sobre a agregação entre regiões no CSPM do Security Hub](finding-aggregation.md). Depois que uma descoberta for criada, ela poderá ser atualizada da maneira a seguir: + Um provedor de descobertas pode usar a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) da API do CSPM do Security Hub para atualizar as informações gerais sobre a descoberta. Os provedores de descoberta só podem atualizar as descobertas que eles criaram. + Um cliente pode usar o console do CSPM do Security Hub ou a operação [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) da API do CSPM do Security Hub para atualizar o status da investigação sobre a descoberta. A operação `BatchUpdateFindings` também pode ser usada por um SIEM, emissão de tíquetes, gerenciamento de incidentes, SOAR ou outro tipo de ferramenta em nome de um cliente. Para reduzir o ruído de busca e agilizar o rastreamento e a análise das descobertas individuais, o CSPM do Security Hub excluirá automaticamente as descobertas que não forem atualizadas recentemente. O tempo em que o CSPM do Security Hub faz isso depende se a descoberta está ativa ou arquivada: + Uma *descoberta ativa* é uma descoberta cujo estado de registro (`RecordState`) é `ACTIVE`. O CSPM do Security Hub armazena as descobertas ativas por 90 dias. Se uma descoberta ativa não for atualizada por 90 dias, ela expirará e o CSPM do Security Hub a excluirá permanentemente. + Uma *descoberta arquivada* é uma descoberta cujo estado de registro (`RecordState`) é `ARCHIVED`. O CSPM do Security Hub armazena as descobertas arquivadas por 30 dias. Se uma descoberta arquivada não for atualizada por 30 dias, ela expirará e o CSPM do Security Hub a excluirá permanentemente. Para as descobertas de controle, que são descobertas que o CSPM do Security Hub gera a partir de verificações de segurança para controles, o CSPM do Security Hub determina se a descoberta expirou com base no valor do campo `UpdatedAt` da descoberta. Se esse valor for de mais de 90 dias atrás para uma descoberta ativa, o CSPM do Security Hub exclui permanentemente a descoberta. Se esse valor for de mais de 30 dias atrás para uma descoberta arquivada, o CSPM do Security Hub exclui permanentemente a descoberta. Para todos os outros tipos de descobertas, o CSPM do Security Hub determina se uma descoberta expirou com base nos valores dos campos `ProcessedAt` e `UpdatedAt` da descoberta. O CSPM do Security Hub compara os valores desses campos e determina qual é o mais recente. Se o valor mais recente for de mais de 90 dias atrás para uma descoberta ativa, o CSPM do Security Hub exclui permanentemente a descoberta. Se o valor mais recente for de mais de 30 dias atrás para uma descoberta arquivada, o CSPM do Security Hub exclui permanentemente a descoberta. Os provedores de descobertas podem alterar o valor do campo `UpdatedAt` de uma ou mais descobertas usando a operação [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) da API do CSPM do Security Hub. Para uma retenção de longo prazo de descobertas, é possível exportar as descobertas para um bucket do S3. Você pode fazer isso usando uma ação personalizada com uma EventBridge regra da Amazon. Para obter mais informações, consulte [Usando EventBridge para resposta e remediação automatizadas](securityhub-cloudwatch-events.md). **Topics** + [BatchImportFindings para encontrar fornecedores](finding-update-batchimportfindings.md) + [BatchUpdateFindings para clientes](finding-update-batchupdatefindings.md) + [Análise de detalhes e históricos de descobertas no CSPM do Security Hub](securityhub-findings-viewing.md) + [Filtragem de descobertas no CSPM do Security Hub](securityhub-findings-manage.md) + [Agrupamento de descobertas no CSPM do Security Hub](finding-list-grouping.md) + [Definição do status do fluxo de trabalho das descobertas no CSPM do Security Hub](findings-workflow-status.md) + [Envio de descobertas a uma ação personalizada do CSPM do Security Hub](findings-custom-action.md) + [AWS Formato de descoberta de segurança (ASFF)](securityhub-findings-format.md)