Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Preparación del programa de administración de vulnerabilidades escalable
Prepararse para crear un programa de administración de vulnerabilidades escalable implica capacitar a las personas, desarrollar procesos e implementar la tecnología adecuada de acuerdo con las prácticas recomendadas. Las personas, los procesos y la tecnología son igual de importantes para que un programa de administración de vulnerabilidades sea eficaz y es necesario integrarlos estrechamente para administrar las vulnerabilidades a escala.
En esta sección de la guía se revisan las medidas fundamentales que puede tomar para preparar su programa de administración de vulnerabilidades escalable en AWS.
**Topics**
+ [Definición de un plan de administración de vulnerabilidades](vulnerability-management-plan.md)
+ [Distribución de la propiedad de seguridad](distribute-ownership.md)
+ [Desarrollo de un programa de divulgación de vulnerabilidades](disclosure-program.md)
+ [Prepare su AWS entorno](prepare-environment.md)
+ [AWS Supervise los boletines de seguridad](monitor-aws-security-bulletins.md)
+ [Configure AWS los servicios de seguridad](configure-aws-security-services.md)
+ [Preparación para asignar resultados de seguridad](prepare-finding-assignments.md)
# Definición de un plan de administración de vulnerabilidades
El primer paso a la hora de preparar su programa de administración de vulnerabilidades en la nube consiste en definir su *plan de administración de vulnerabilidades*. Este plan incluye las políticas y los procesos que sigue su organización. Este plan debe estar documentado y ser accesible para todas las partes interesadas. Un plan de administración de vulnerabilidades es un documento de alto nivel que normalmente incluye las siguientes secciones:
+ **Objetivos y alcance**: describa los objetivos, las funciones y el alcance de la administración de vulnerabilidades.
+ **Roles y responsabilidades**: indique las partes interesadas en la administración de vulnerabilidades y detalle sus responsabilidades.
+ **Definiciones de gravedad y priorización de las vulnerabilidades**: determine cómo clasificar la gravedad de una vulnerabilidad y cómo priorizarla.
+ **Acuerdos de nivel de servicio (SLAs)** **para la remediación**: para cada nivel de gravedad, defina el tiempo máximo del que dispone el propietario de la remediación para resolver un problema de seguridad. Dado que el cumplimiento de los SLA es una parte integral de contar con un programa de gestión de vulnerabilidades eficaz y escalable, considere cómo comprobar si los está cumpliendo. SLAs
+ **Proceso de excepciones**: detalle el proceso de presentación, aprobación y actualización de las excepciones. Este proceso debe garantizar que las excepciones sean legítimas, tengan un límite de tiempo y se rastreen.
+ **Orígenes de información sobre vulnerabilidades**: indique los orígenes o las herramientas que generan resultados de seguridad. Para obtener más información sobre Servicios de AWS estas posibles fuentes de hallazgos de seguridad, consulta [Configure AWS los servicios de seguridad](configure-aws-security-services.md) esta guía.
Aunque estas secciones son comunes en empresas de diferentes tamaños y de diferentes sectores, el plan de administración de vulnerabilidades de cada organización es único. Debe elaborar el plan de administración de vulnerabilidades que mejor se adapte a su organización. Espere iterar el plan con el tiempo para incorporar las lecciones aprendidas y las tecnologías en evolución.
# Distribución de la propiedad de seguridad
El [modelo de responsabilidad AWS compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) define cómo AWS y sus clientes comparten la responsabilidad por la seguridad y el cumplimiento de la nube. En este modelo, AWS protege la infraestructura en la que se ejecutan todos los servicios que se ofrecen en él Nube de AWS, y AWS los clientes son responsables de proteger sus datos y aplicaciones.
Puede reflejar este modelo en su organización y distribuir las responsabilidades entre sus equipos de la nube y de aplicaciones. Esto lo ayuda a escalar sus programas de seguridad en la nube de forma más eficaz, ya que los equipos de aplicaciones se hacen cargo de determinados aspectos de seguridad de sus aplicaciones. La interpretación más sencilla del Modelo de responsabilidad compartida es que si tiene acceso para configurar el recurso, es responsable de la seguridad de ese recurso.
Una parte clave de la distribución de las responsabilidades de seguridad entre los equipos de aplicaciones consiste en crear herramientas de seguridad de autoservicio que ayuden a los equipos de aplicaciones a automatizar. Inicialmente, esto puede ser un esfuerzo conjunto. El equipo de seguridad puede traducir los requisitos de seguridad en herramientas de análisis de código y, a continuación, los equipos de aplicaciones pueden usar esas herramientas para crear y compartir soluciones con su comunidad interna de desarrolladores. Esto contribuye a aumentar la eficiencia de otros equipos que deben cumplir con requisitos de seguridad similares.
En la siguiente tabla se describen los pasos para distribuir la propiedad entre los equipos de aplicaciones y se proporcionan ejemplos.
****
| Paso | Action | Ejemplo |
| --- | --- | --- |
| 1 | Definición de sus requisitos de seguridad: ¿qué intenta lograr? Esto puede provenir de un estándar de seguridad o de un requisito de cumplimiento. | Un ejemplo de requisito de seguridad es el acceso con privilegio mínimo para las identidades de las aplicaciones. |
| 2 | Enumeración de los controles de un requisito de seguridad: ¿qué significa realmente este requisito desde el punto de vista del control? ¿Qué debo hacer para lograrlo? | Para lograr el privilegio mínimo para las identidades de las aplicaciones, a continuación se muestran dos ejemplos de controles:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/vulnerability-management/distribute-ownership.html) |
| 3 | Documentación de pautas para los controles: con estos controles, ¿qué pautas puede proporcionar a un desarrollador para ayudarlo a cumplir con el control? | En primer lugar, puede empezar por documentar políticas de ejemplo sencillas, tales como políticas de IAM y políticas de bucket de Amazon Simple Storage Service (Amazon S3) seguras y no seguras. A continuación, puede incrustar soluciones de análisis de políticas en las canalizaciones de integración continua y entrega continua (CI/CD), por ejemplo, mediante [reglas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html) para la evaluación proactiva. |
| 4 | Desarrollo de artefactos reutilizables: con estas pautas, ¿podrá hacerlo aún más fácil y desarrollar artefactos reutilizables para los desarrolladores? | Puede crear infraestructura como código (IaC) para implementar políticas de IAM que sigan el principio de privilegio mínimo. Puede almacenar estos artefactos reutilizables en un repositorio de código. |
Es posible que el autoservicio no funcione para todos los requisitos de seguridad, pero puede funcionar en escenarios estándar. Al seguir estos pasos, las organizaciones pueden capacitar a sus equipos de aplicaciones para que se ocupen de una mayor parte de sus propias responsabilidades de seguridad de forma escalable. En general, el modelo de responsabilidad distribuida conduce a prácticas de seguridad más colaborativas en muchas organizaciones.
# Desarrollo de un programa de divulgación de vulnerabilidades
Para [defense-in-depth](apg-gloss.md#glossary-defense-in-depth)adoptar un enfoque de la gestión de vulnerabilidades, cree un programa de divulgación de vulnerabilidades para que las personas de su organización o ajenas a ella puedan denunciar las vulnerabilidades o los riesgos de seguridad.
Para las personas de su organización, establezca un proceso para enviar los riesgos o las vulnerabilidades. Esto se puede hacer mediante un sistema de tickets o por correo electrónico. Independientemente del proceso que elija, es fundamental que sus empleados conozcan el proceso y puedan enviar fácilmente cualquier vulnerabilidad o riesgo al que se enfrenten.
Para las personas ajenas a su organización, establezca una página web externa para enviar las posibles vulnerabilidades de seguridad. A modo de ejemplo, consulte la página web [AWS Vulnerability Reporting](https://aws.amazon.com/security/vulnerability-reporting/). Esta página web también debe contener directrices de divulgación para ayudar a proteger los datos y los activos de su organización. Un programa de divulgación de vulnerabilidades no debe fomentar actividades potencialmente dañinas, por lo que es esencial contar con una política clara con directrices. Crear un programa de divulgación responsable y maduro es un objetivo por el que hay que esforzarse a medida que vaya madurando el programa. La mayoría de las organizaciones no comienza con un programa de divulgación externo, y hacerlo bien lleva tiempo.
# Prepare su AWS entorno
Antes de implementar cualquier herramienta de administración de vulnerabilidades, asegúrese de que su entorno de AWS esté diseñado para admitir un programa de administración de vulnerabilidades escalable. La estructura de sus políticas de etiquetado Cuentas de AWS y las de su organización puede simplificar el proceso de creación de un programa de gestión de vulnerabilidades escalable.
## Desarrolle una estructura Cuenta de AWS
[AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ayuda a gestionar y gobernar un AWS entorno de forma centralizada a medida que su empresa crece y amplía sus AWS recursos. Una *organización* los AWS Organizations consolida Cuentas de AWS en grupos lógicos, o *unidades organizativas*, para que pueda administrarlos como una sola unidad. La administración de AWS Organizations se efectúa desde una cuenta dedicada, denominada *cuenta de administración*. Para obtener más información, consulte [Terminología y conceptos de AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).
Le recomendamos que administre su entorno de AWS múltiples cuentas en. AWS Organizations Esto ayuda a crear un inventario completo de las cuentas y los recursos de su empresa. Este inventario completo de activos es un aspecto fundamental de la administración de vulnerabilidades. Los equipos de aplicaciones no deben utilizar cuentas que estén fuera de la organización.
[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)le ayuda a configurar y gobernar un entorno de AWS múltiples cuentas, siguiendo las mejores prácticas prescriptivas. Si aún no ha establecido un entorno de múltiples cuentas, AWS Control Tower es un buen punto de partida.
Recomendamos utilizar la [estructura de cuentas dedicada](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/dedicated-accounts.html) y las prácticas recomendadas que se describen en la [Arquitectura AWS de referencia de seguridad (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/). La [cuenta de herramientas de seguridad](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) debe servir como administradora delegada de sus servicios de seguridad. Más adelante en esta guía encontrará más información sobre la configuración de las herramientas de administración de vulnerabilidades en esta cuenta. Aloje aplicaciones en cuentas dedicadas en la [unidad organizativa (UO) de cargas de trabajo](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/application.html). Esto establece un fuerte aislamiento en el nivel de carga de trabajo y límites de seguridad explícitos para cada aplicación. Para obtener información sobre los principios de diseño y las ventajas de utilizar un enfoque de cuentas múltiples, consulte Cómo [organizar su AWS entorno con varias cuentas (documento](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-multiple-aws-accounts.html)AWS técnico).
Disponer de una estructura de cuentas intencionada y administrar de forma centralizada los servicios de seguridad desde una cuenta dedicada son aspectos fundamentales de un programa de administración de vulnerabilidades escalable.
## Definición, implementación y aplicación de etiquetas
Las *etiquetas* son pares clave-valor que actúan como metadatos para organizar los recursos. AWS Para obtener más información, consulte [Etiquetado de los recursos de AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html). Puede utilizar etiquetas para proporcionar un contexto empresarial, como la unidad de negocio, el propietario de la aplicación, el entorno y el centro de costos. En la siguiente tabla se muestra un conjunto de etiquetas de ejemplo.
****
| Clave | Valor |
| --- | --- |
| BusinessUnit | HumanResources |
| CostCenter | CC101 |
| ApplicationTeam | HumanResourcesTechnology |
| Entorno | Producción |
Las etiquetas pueden ayudarlo a priorizar los resultados. Por ejemplo, pueden ayudarlo a lo siguiente:
+ Identificar al propietario de un recurso responsable de aplicar una revisión a una vulnerabilidad.
+ Hacer un seguimiento de qué aplicaciones o unidades de negocio tienen una gran número de resultados.
+ Escalar la gravedad de los resultados de determinadas clasificaciones de datos, como la información de identificación personal (PII) o los datos de la industria de tarjetas de pago (PCI).
+ Identificar el tipo de datos del entorno, como los datos de prueba en un entorno de desarrollo de nivel inferior o los datos de producción.
Para ayudarle a lograr un etiquetado eficaz a gran escala, siga las instrucciones que se indican en Cómo [crear una estrategia de etiquetado, en el documento técnico *Best Practices for Tagging AWS *](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/building-your-tagging-strategy.html) Resources (documento técnico).AWS
# AWS Supervise los boletines de seguridad
Recomendamos encarecidamente supervisar los [boletines de seguridad de AWS](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinId&card-body.sort-order=desc&awsf.bulletins-flag=*all&awsf.bulletins-year=*all) de forma regular y frecuente. Los boletines de seguridad pueden notificarle cualquier nueva vulnerabilidad relacionada con la seguridad, los servicios afectados y las actualizaciones aplicables. También puede suscribirse a una [fuente RSS](https://aws.amazon.com/security/security-bulletins/rss/feed/) para recibir los boletines de seguridad y crear un proceso para ingerir y abordar estos boletines como parte de su programa de administración de vulnerabilidades.
# Configure AWS los servicios de seguridad
AWS ofrece una variedad de servicios de seguridad diseñados para ayudar a proteger su AWS entorno. Para su programa de gestión de vulnerabilidades, le recomendamos que habilite lo siguiente Servicios de AWS en cada cuenta:
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) ayuda a detectar las amenazas activas en su entorno. Un GuardDuty hallazgo podría ayudarle a identificar una vulnerabilidad desconocida que se ha explotado en su entorno. También podría ayudarlo a comprender los efectos de una vulnerabilidad sin revisiones.
+ [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html)proporciona una visibilidad continua del rendimiento de sus recursos y de la disponibilidad de sus Servicios de AWS cuentas.
+ [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) analiza las políticas basadas en recursos de su entorno de AWS para identificar los recursos que se comparten con una entidad externa. Esto puede ayudarlo a identificar las vulnerabilidades asociadas con el acceso no deseado a sus recursos y datos. Para cada instancia de un recurso compartido fuera de su cuenta, el Analizador de acceso de IAM genera un resultado.
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) es un servicio de gestión de vulnerabilidades que analiza continuamente sus AWS cargas de trabajo en busca de vulnerabilidades de software y exposición no intencionada a la red.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)le ayuda a comprobar su AWS entorno con respecto a los estándares del sector de la seguridad y puede identificar los riesgos de configuración de la nube. También proporciona una visión completa del estado de su AWS seguridad mediante la agregación de los resultados de otros servicios de AWS seguridad y herramientas de seguridad de terceros.
En esta sección se explica cómo activar y configurar Amazon Inspector y Security Hub CSPM para ayudarle a establecer un programa de gestión de vulnerabilidades escalable.
# Uso de Amazon Inspector en el programa de administración de vulnerabilidades
[Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) es un servicio de administración de vulnerabilidades que analiza continuamente las instancias de Amazon Elastic Compute Cloud (Amazon EC2), las imágenes de contenedores de Amazon Elastic Container Registry (Amazon ECR) y las funciones de AWS Lambda en busca de vulnerabilidades de software y exposiciones de la red no deseadas. Puede utilizar Amazon Inspector para obtener visibilidad y priorizar la resolución de las vulnerabilidades de software en sus AWS entornos.
Amazon Inspector evalúa su entorno de forma continua durante todo el ciclo de vida de sus recursos. Vuelve a analizar automáticamente los recursos en respuesta a los cambios que podrían introducir una nueva vulnerabilidad. Por ejemplo, se vuelve a analizar cuando se instala un paquete nuevo en una instancia de EC2, cuando se instala una revisión o cuando se publica una nueva entrada sobre vulnerabilidades y exposiciones comunes (CVE) que afecta al recurso. Cuando Amazon Inspector detecta una vulnerabilidad o una ruta de red abierta, produce un resultado que puede investigar. El resultado proporciona información completa sobre la vulnerabilidad, entre la que se incluye lo siguiente:
+ [Puntuación de riesgo de Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-score.html)
+ [Puntuación del sistema de clasificación de vulnerabilidades comunes (CVSS)](https://www.first.org/cvss/calculator/3.1)
+ Recurso afectado
+ Datos de inteligencia de vulnerabilidades sobre el CVE de Amazon, [https://www.recordedfuture.com/](https://www.recordedfuture.com/) y [https://www.cisa.gov/](https://www.cisa.gov/)
+ Recomendaciones de corrección
Para obtener instrucciones sobre la configuración de Amazon Inspector, consulte [Getting started with Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html). En el paso de *activación de Amazon Inspector* de este tutorial se proporcionan dos opciones de configuración: un entorno de una cuenta independiente y un entorno de varias cuentas. Le recomendamos que utilice la opción de entorno de varias cuentas si desea monitorizar varias cuentas Cuentas de AWS que sean miembros de una organización. AWS Organizations
Cuando configura Amazon Inspector para un entorno de varias cuentas, designa una cuenta de la organización como administradora delegada de Amazon Inspector. El administrador delegado puede administrar los resultados y algunos parámetros para los miembros de la organización. Por ejemplo, el administrador delegado puede ver detalles de resultados agregados de todas las cuentas de miembros, habilitar o deshabilitar análisis de cuentas de miembros y revisar los recursos analizados. La AWS SRA recomienda crear una [cuenta de Security Tooling](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) y utilizarla como administrador delegado de Amazon Inspector.
# Utilícela AWS Security Hub CSPM en su programa de gestión de vulnerabilidades
La creación de un programa de gestión de vulnerabilidades escalable AWS implica gestionar las vulnerabilidades tradicionales de software y red, además de los riesgos de configuración de la nube. [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)le ayuda a comparar su AWS entorno con los estándares del sector de la seguridad y puede identificar los riesgos de configuración de la nube. Security Hub CSPM también proporciona una visión integral del estado de su seguridad al agregar los hallazgos AWS de seguridad de otros servicios de seguridad y herramientas de AWS seguridad de terceros.
En las siguientes secciones, ofrecemos prácticas recomendadas y recomendaciones para configurar Security Hub CSPM para respaldar su programa de gestión de vulnerabilidades:
+ [Configuración de Security Hub (CSPM)](#setting-up-security-hub)
+ [Habilitación de los estándares CSPM de Security Hub](#enabling-security-hub-standards)
+ [Gestión de las conclusiones del CSPM de Security Hub](#managing-security-hub-findings)
+ [Agregación de los resultados de otros servicios y herramientas de seguridad](#aggregating-findings-from-other-security-services-and-tools)
## Configuración de Security Hub (CSPM)
Para obtener instrucciones sobre la configuración, consulte [Setting up AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html). Para usar Security Hub CSPM, debe habilitarlo. [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) Para obtener más información, consulte [Habilitación y configuración AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) en la documentación de Security Hub CSPM.
Si está integrado con AWS Organizations, desde la cuenta de administración de la organización, designa una cuenta para que sea el administrador delegado de CSPM de Security Hub. Para obtener instrucciones, consulte [Designación del administrador delegado de CSPM de Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html#designate-admin-overview). La AWS SRA recomienda crear una [cuenta de Security Tooling](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html) y utilizarla como administrador delegado de CSPM de Security Hub.
El administrador delegado tiene acceso automáticamente para configurar Security Hub CSPM para todas las cuentas de los miembros de la organización y para ver los hallazgos asociados a esas cuentas. Le recomendamos que habilite AWS Config Security Hub CSPM en todos Regiones de AWS y cada uno de sus. Cuentas de AWS Puede configurar Security Hub CSPM para tratar automáticamente las nuevas cuentas de la organización como cuentas de miembros de Security Hub CSPM. Consulte las instrucciones en [Managing member accounts that belong to an organization](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts-orgs.html).
## Habilitación de los estándares CSPM de Security Hub
Security Hub CSPM genera hallazgos mediante la ejecución de comprobaciones de seguridad automatizadas y continuas contra los controles de *seguridad*. Las verificaciones están asociadas a uno o más *estándares de seguridad*. Los controles ayudan a determinar si se cumplen los requisitos de un estándar.
Al habilitar un estándar en Security Hub CSPM, Security Hub CSPM habilita automáticamente los controles que se aplican al estándar. Security Hub CSPM utiliza AWS Config [reglas](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) para realizar la mayoría de las comprobaciones de seguridad de los controles. Puede activar o desactivar los estándares CSPM de Security Hub en cualquier momento. Para obtener más información, consulte [Controles y estándares de seguridad](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html) en. AWS Security Hub CSPM Para obtener una lista completa de estándares, consulte la referencia de [estándares CSPM de Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html).
Si su organización aún no tiene un estándar de seguridad preferido, le recomendamos que utilice el [estándar Prácticas recomendadas de seguridad básica de AWS (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html). Este estándar está diseñado para detectar cuándo Cuentas de AWS y los recursos se desvían de las mejores prácticas de seguridad. AWS selecciona este estándar y lo actualiza periódicamente para incluir nuevas funciones y servicios. Tras evaluar los resultados de FSBP, considere la posibilidad de habilitar otros estándares.
## Gestión de las conclusiones del CSPM de Security Hub
Security Hub CSPM ofrece varias funciones que le ayudan a abordar grandes volúmenes de hallazgos de toda la organización y a comprender el estado de seguridad de su AWS entorno. Para ayudarle a gestionar los hallazgos, le recomendamos que habilite las dos funciones siguientes de CSPM de Security Hub:
+ Utilice [la agregación entre regiones](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) para agregar los hallazgos, encontrar actualizaciones, información, controlar los estados de cumplimiento y las puntuaciones de seguridad de varias regiones de agregación Regiones de AWS a una sola región de agregación.
+ Use los [resultados de verificaciones consolidados](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) para reducir el ruido de los resultados mediante la eliminación de los resultados duplicados. Cuando los hallazgos de control consolidados están activados en su cuenta, Security Hub CSPM genera un único hallazgo nuevo o una actualización de hallazgos para cada comprobación de seguridad de un control, incluso si un control se aplica a varios estándares habilitados.
## Agregación de los resultados de otros servicios y herramientas de seguridad
Además de generar hallazgos de seguridad, puede usar Security Hub CSPM para agregar datos de búsqueda de varias Servicios de AWS soluciones de seguridad de terceros compatibles. Esta sección se centra en el envío de los resultados de seguridad a Security Hub CSPM. En la siguiente sección[Preparación para asignar resultados de seguridad](prepare-finding-assignments.md), se explica cómo puede integrar Security Hub CSPM con productos que puedan recibir las conclusiones del Security Hub CSPM.
Hay muchos Servicios de AWS productos de terceros y soluciones de código abierto disponibles que puede integrar con Security Hub CSPM. Si acaba de empezar, le recomendamos que haga lo siguiente:
1. **Habilitar la integración Servicios de AWS: la mayoría de Servicio de AWS las integraciones que envían los resultados al Security Hub CSPM se activan automáticamente después de habilitar tanto el Security Hub CSPM como el servicio integrado**. Para su programa de gestión de vulnerabilidades, le recomendamos que habilite Amazon Inspector GuardDuty AWS Health, Amazon e IAM Access Analyzer en cada cuenta. Estos servicios envían automáticamente sus hallazgos a Security Hub CSPM. Para obtener una lista completa de Servicio de AWS las integraciones compatibles, consulte la sección [Enviar Servicios de AWS los resultados a Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html).
**nota**
AWS Health envía los resultados al Security Hub CSPM si se cumple una de las siguientes condiciones:
El hallazgo está asociado a un AWS servicio de seguridad
El valor de **typecode** del resultado contiene las palabras `security`, `abuse` o `certificate`.
El AWS Health servicio de búsqueda es `risk` o `abuse`
1. **Configuración de integraciones de terceros**: para obtener una lista de las integraciones compatibles en este momento, consulte [Available third-party partner product integrations](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html). Seleccione cualquier herramienta adicional que pueda enviar o recibir hallazgos de Security Hub CSPM. Es posible que ya tenga algunas de estas herramientas de terceros. Siga las instrucciones del producto para configurar la integración con Security Hub CSPM.
# Preparación para asignar resultados de seguridad
En esta sección, configura las herramientas que utilizan sus equipos para administrar y asignar los resultados de seguridad. En esta sección se incluyen las siguientes opciones:
+ [Administración de los resultados en las herramientas y los flujos de trabajo existentes](existing-tools.md)— Esta opción se integra AWS Security Hub CSPM con los sistemas existentes que sus equipos utilizan para gestionar sus tareas diarias, como la cartera de productos pendientes. Esta opción se recomienda para los equipos que han establecido herramientas para administrar sus flujos de trabajo.
+ [Gestione los hallazgos en Security Hub (CSPM)](manage-findings-in-security-hub.md)— Esta opción configura las notificaciones de los eventos de CSPM de Security Hub para que el equipo correspondiente reciba una alerta y pueda abordar el hallazgo en Security Hub CSPM.
Decida qué flujo de trabajo funcionaría mejor para sus equipos y asegúrese de que los resultados de seguridad lleguen rápidamente a sus respectivos propietarios.
# Administración de los resultados en las herramientas y los flujos de trabajo existentes
Recomendamos integraciones adicionales de Security Hub CSPM para las organizaciones empresariales que cuentan con herramientas establecidas que los equipos utilizan para gestionar o realizar sus tareas diarias. Puede importar los datos de búsqueda de CSPM de Security Hub a varias plataformas tecnológicas. Entre los ejemplos se incluyen:
+ Los [sistemas de gestión de información y eventos de seguridad (SIEM)](apg-gloss.md#glossary-siem) ayudan a los equipos de seguridad a clasificar los eventos de seguridad operativos. Los sistemas de SIEM proporcionan análisis en tiempo real de las alertas de seguridad generadas por las aplicaciones y el hardware de la red.
+ Los sistemas de [gobernanza, riesgo y cumplimiento (GRC)](https://aws.amazon.com/what-is/grc/) ayudan a los equipos de cumplimiento y gobernanza a supervisar los datos de administración de riesgos e informar sobre ellos. Las herramientas de GRC son aplicaciones de software que las empresas pueden utilizar para administrar las políticas, evaluar los riesgos, controlar el acceso de los usuarios y agilizar el cumplimiento. Puede utilizar las herramientas de GRC para integrar los procesos empresariales, reducir los costos y mejorar la eficiencia.
+ Los sistemas de tickets y tareas pendientes de productos ayudan a los equipos de aplicaciones y de la nube a administrar las características y priorizar las tareas de desarrollo. [https://www.atlassian.com/software/jira](https://www.atlassian.com/software/jira) y [https://learn.microsoft.com/en-us/azure/devops/user-guide/what-is-azure-devops](https://learn.microsoft.com/en-us/azure/devops/user-guide/what-is-azure-devops) son ejemplos de estos sistemas.
La integración de los hallazgos del CSPM de Security Hub directamente con estos sistemas empresariales existentes puede mejorar el tiempo medio de recuperación (MTTR) y los resultados de seguridad, ya que el flujo de trabajo operativo diario no tiene por qué cambiar. Los equipos pueden responder ante los resultados de seguridad y aprender de ellos mucho más rápido, ya que no tienen que utilizar flujos de trabajo y herramientas independientes. La integración hace que abordar los resultados de seguridad sea parte del flujo de trabajo normal y estándar.
Security Hub CSPM se integra con varios productos de socios de terceros. Para obtener una lista completa y las instrucciones, consulte las [integraciones de productos de socios externos disponibles](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html) en la documentación de CSPM de Security Hub. Las integraciones más comunes incluyen [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-atlassian-jira-service-management](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-atlassian-jira-service-management)la integración [bidireccional](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/bidirectionally-integrate-aws-security-hub-with-jira-software.html) con el software y. AWS Security Hub CSPM Jira [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-servicenow-itsm](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-servicenow-itsm) El siguiente diagrama muestra cómo puede configurar Amazon Inspector para que envíe las conclusiones al Security Hub CSPM y, a continuación, configurar Security Hub CSPM para que envíe todas las conclusiones. Jira
![\[Envía Amazon Inspector y AWS Security Hub CSPM sus resultados a Jira\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/vulnerability-management/images/jira-integration-security-hub.png)
# Gestione los hallazgos en Security Hub (CSPM)
Puede crear un sistema de notificaciones basado en la nube para los hallazgos de CSPM de Security Hub mediante EventBridge las reglas de [Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) y los temas del Servicio de Notificación Simple de Amazon (Amazon SNS). Este sistema notifica al equipo correspondiente acerca de un resultado cuando se crea. Para este enfoque, la estrategia de varias cuentas descrita en la sección [Desarrolle una estructura Cuenta de AWS](prepare-environment.md#account-structure) es fundamental porque las aplicaciones se dividen en cuentas dedicadas. Esto lo ayuda a notificar cada resultado a los equipos correctos.
Los equipos de seguridad o de nube pueden optar por recibir eventos de todos. Cuentas de AWS En este caso, cree una EventBridge regla en la cuenta de administrador delegado de CSPM de Security Hub y suscríbase a un tema de Amazon SNS que notifique a estos equipos. Para los equipos de aplicaciones, configure una EventBridge regla y un tema de SNS en sus respectivas cuentas de aplicaciones. Cuando se produce un hallazgo de CSPM de Security Hub en una cuenta de aplicación, se notifica al equipo responsable sobre el hallazgo.
Security Hub CSPM ya envía automáticamente todos los nuevos hallazgos y todas las actualizaciones de los hallazgos existentes EventBridge como **Security Hub CSPM** Findings: Imported events. Cada evento **CSPM Findings - Imported de Security Hub** contiene un único hallazgo. Puede aplicar filtros a las EventBridge reglas para que un hallazgo inicie la regla solo si el hallazgo coincide con los filtros. Para obtener instrucciones, consulte [Configurar una EventBridge regla para el envío automático de los resultados](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-all-findings.html). Para obtener más información sobre cómo crear temas de Amazon SNS y suscribirse a ellos, consulte [Configuring Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-configuring.html).
Tenga en cuenta lo siguiente cuando utilice este método:
+ Para los equipos de aplicaciones, cree EventBridge reglas dentro de cada uno de ellos Cuenta de AWS y en el Región de AWS lugar donde se aloja la aplicación.
+ Para los equipos de seguridad y de nube, cree EventBridge reglas en la cuenta de administrador delegado CSPM de Security Hub. Esto notifica a los equipos sobre todos los resultados en las cuentas de miembros.
+ Amazon SNS envía una notificación todos los días si el estado del resultado de seguridad es `NEW`. Si quieres desactivar las notificaciones diarias, puedes crear una AWS Lambda función personalizada que cambie el estado del hallazgo de `NEW` a `NOTIFIED` después de que el suscriptor de Amazon SNS reciba la notificación.