Generación y actualización de los resultados de control - AWS Security Hub
Resultados de control consolidadosGeneración, actualización y archivado de resultados de controlAutomatización y supresión de resultados de controlDetalles de cumplimiento para los resultados de controlProductFields detalles de los hallazgos de controlNiveles de gravedad correspondientes a los resultados de control

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Generación y actualización de los resultados de control

AWS Security Hub CSPM genera y actualiza las conclusiones de control cuando realiza comprobaciones con los controles de seguridad. Los resultados de control utilizan el Formato de resultados de seguridad de AWS.

El CSPM de Security Hub normalmente cobra por cada comprobación de seguridad de un control. Sin embargo, si varios controles utilizan la misma AWS Config regla, Security Hub CSPM solo cobrará una vez por cada comprobación según la regla. Por ejemplo, varios controles utilizan la AWS Config iam-password-policy regla en el estándar CIS AWS Foundations Benchmark y en el estándar AWS Foundational Security Best Practices. Cada vez que el CSPM de Security Hub ejecuta una comprobación con esa regla, genera un resultado de control independiente para cada control relacionado, pero cobra solo una vez por la comprobación.

Si el tamaño de un resultado de control excede el máximo de 240 KB, el CSPM de Security Hub elimina el objeto Resource.Details del resultado. En el caso de los controles respaldados por AWS Config recursos, puede revisar los detalles de los recursos mediante la AWS Config consola.

Resultados de control consolidados

Si la cuenta tiene habilitados los resultados consolidados de control, el CSPM de Security Hub genera un único resultado (o una actualización del resultado) por cada comprobación de seguridad de un control, incluso cuando ese control corresponde a varios estándares habilitados. Para ver una lista de los controles y los estándares a los que se aplican, consulte Referencia de controles para el CSPM de Security Hub. Recomendamos habilitar los resultados de control consolidados para reducir el ruido de resultados.

Si habilitó el CSPM de Security Hub Cuenta de AWS antes del 23 de febrero de 2023, puede habilitar los hallazgos de control consolidados siguiendo las instrucciones que aparecen más adelante en esta sección. Si habilita el CSPM de Security Hub el 23 de febrero de 2023 o después de esa fecha, los resultados consolidados de control se habilitan automáticamente para la cuenta.

Si utiliza la integración del CSPM de Security Hub con AWS Organizations o invitó cuentas de miembro mediante un proceso manual, los resultados consolidados de control se habilitan para las cuentas de miembro solo si están habilitados para la cuenta de administrador. Si la característica está desactivada para la cuenta de administrador, también lo estará para las cuentas de miembro. Este comportamiento se aplica a las cuentas de miembros nuevas y existentes. Además, si el administrador utiliza la configuración centralizada para administrar el CSPM de Security Hub para varias cuentas, no puede usar las políticas de configuración centralizada para habilitar o desactivar los resultados consolidados de control para las cuentas.

Si desactiva los resultados consolidados de control para la cuenta, el CSPM de Security Hub genera o actualiza un resultado de control independiente por cada estándar habilitado que incluya un control. Por ejemplo, si habilita cuatro estándares que comparten un control, recibe cuatro resultados independientes después de una comprobación de seguridad para ese control. Si habilita los resultados de control consolidados, solo recibirá un resultado.

Cuando habilita los resultados consolidados de control, el CSPM de Security Hub genera nuevos resultados que no dependen de ningún estándar y archiva los resultados anteriores que sí estaban asociados a estándares. Algunos campos y valores de los resultados de control cambiarán, lo que podría afectar los flujos de trabajo existentes. Para obtener información sobre estos cambios, consulte Resultados de control consolidados: cambios en ASFF. Habilitar los resultados consolidados de control también podría afectar los resultados que los productos de terceros integrados reciben del CSPM de Security Hub. Si utiliza la solución Automated Security Response en la AWS versión 2.0.0, tenga en cuenta que admite los resultados de control consolidados.

Para habilitar o deshabilitar los resultados de control consolidados, debe iniciar sesión en una cuenta de administrador o en una cuenta independiente.

nota

Después de habilitar los resultados consolidados de control, el CSPM de Security Hub puede tardar hasta 24 horas en generar nuevos resultados consolidados y archivar los resultados existentes que dependían de estándares. De forma similar, después de desactivar los resultados consolidados de control, el CSPM de Security Hub puede tardar hasta 24 horas en generar nuevos resultados basados en estándares y archivar los resultados consolidados existentes. Durante estos periodos, es posible que vea una combinación de resultados que no dependen de estándares y resultados basados en estándares en la cuenta.

Security Hub CSPM console
Para habilitar o desactivar los resultados consolidados de control

  1. Abra la consola CSPM de AWS Security Hub en. https://console.aws.amazon.com/securityhub/

  2. En el panel de navegación, en Configuración, seleccione General.

  3. En la sección Controles, elija Editar.

  4. Use el conmutador Resultados consolidados de control para habilitar o desactivar los resultados consolidados de control.

  5. Seleccione Save.

Security Hub CSPM API

Para habilitar o desactivar los resultados consolidados de control mediante programación utilice la operación UpdateSecurityHubConfiguration de la API del CSPM de Security Hub. O bien, si está utilizando el AWS CLI, ejecute el update-security-hub-configurationcomando.

Para el parámetro control-finding-generator, especifique SECURITY_CONTROL para habilitar los resultados consolidados de control. Para desactivar los resultados consolidados de control, especifique STANDARD_CONTROL.

Por ejemplo, el siguiente AWS CLI comando habilita los hallazgos de control consolidados.

$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

El siguiente AWS CLI comando desactiva las conclusiones de control consolidadas.

$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

Generación, actualización y archivado de resultados de control

El CSPM de Security Hub ejecuta comprobaciones de seguridad según una programación. La primera vez que Security Hub CSPM ejecuta una comprobación de seguridad para un control, genera un nuevo hallazgo para cada AWS recurso que el control comprueba. Cada vez que el CSPM de Security Hub ejecuta posteriormente una comprobación de seguridad para el control, actualiza los resultados existentes para reflejar los resultados de la comprobación. Esto significa que puede utilizar los datos de resultados individuales para hacer un seguimiento de cómo cambia el cumplimiento de determinados recursos con respecto a controles específicos.

Por ejemplo, si el estado de cumplimiento de un recurso cambia de FAILED a PASSED para un control determinado, el CSPM de Security Hub no genera un resultado nuevo. En su lugar, el CSPM de Security Hub actualiza el resultado existente para el control y el recurso. En el resultado, el CSPM de Security Hub cambia el valor del campo de estado de cumplimiento Compliance.Status a PASSED. El CSPM de Security Hub también actualiza los valores de otros campos adicionales para reflejar los resultados de la comprobación. Por ejemplo, la etiqueta de gravedad, el estado del flujo de trabajo y las marcas de tiempo que indican cuándo el CSPM de Security Hub ejecutó la comprobación más recientemente y actualizó el resultado.

Al reportar cambios en el estado de cumplimiento, el CSPM de Security Hub podría actualizar cualquiera de los siguientes campos en un resultado de control:

  • Compliance.Status: el nuevo estado de cumplimiento del recurso para el control especificado.

  • FindingProviderFields.Severity.Label: la nueva representación cualitativa de la gravedad del resultado, como LOW, MEDIUM o HIGH.

  • FindingProviderFields.Severity.Original: la nueva representación cuantitativa de la gravedad del resultado, como 0 para un recurso conforme.

  • FirstObservedAt: cuándo cambió por última vez el estado de cumplimiento del recurso.

  • LastObservedAt: cuándo el CSPM de Security Hub ejecutó más recientemente la comprobación de seguridad para el control y el recurso especificados.

  • ProcessedAt: cuándo el CSPM de Security Hub comenzó más recientemente a procesar el resultado.

  • ProductFields.PreviousComplianceStatus: el estado de cumplimiento anterior (Compliance.Status) del recurso para el control especificado.

  • UpdatedAt: cuándo el CSPM de Security Hub actualizó más recientemente el resultado.

  • Workflow.Status: el estado de la investigación del resultado, basado en el nuevo estado de cumplimiento del recurso para el control especificado.

Si el CSPM de Security Hub actualiza un campo depende principalmente de los resultados de la comprobación de seguridad más reciente para el control y el recurso correspondientes. Por ejemplo, si el estado de cumplimiento de un recurso cambia de PASSED a FAILED para un control determinado, el CSPM de Security Hub cambia el estado del flujo de trabajo del resultado a NEW. Para hacer seguimiento a las actualizaciones de resultados individuales, puede consultar el historial de un resultado. Para obtener detalles sobre campos individuales en los resultados, consulte el Formato de resultados de seguridad de AWS (ASFF).

En ciertos casos excepcionales, el CSPM de Security Hub genera resultados nuevos cuando un control ejecuta comprobaciones posteriores, en lugar de actualizar los resultados existentes. Esto puede ocurrir si hay un problema con la AWS Config regla que respalda un control. Si esto ocurre, el CSPM de Security Hub archiva el resultado existente y genera un resultado nuevo para cada comprobación. En los nuevos resultados, el estado de cumplimiento es NOT_AVAILABLE y el estado del registro es ARCHIVED. Tras solucionar el problema con la AWS Config regla, Security Hub CSPM genera nuevas conclusiones y comienza a actualizarlas para realizar un seguimiento de los cambios posteriores en el estado de conformidad de los recursos individuales.

Además de generar y actualizar resultados de control, el CSPM de Security Hub archiva automáticamente los resultados de control que cumplen ciertos criterios. El CSPM de Security Hub archiva un resultado si el control está desactivado, el recurso especificado se elimina o el recurso especificado deja de existir. Un recurso puede dejar de existir porque el servicio asociado ya no se utiliza. Más específicamente, el CSPM de Security Hub archiva automáticamente un resultado de control si cumple el siguiente criterio:

  • El resultado no se ha actualizado durante 3 a 5 días. Tenga en cuenta que este archivado basado en ese intervalo de tiempo se realiza solo cuando es posible y no está garantizado.

  • Se devolvió la AWS Config evaluación asociada NOT_APPLICABLE para determinar el estado de conformidad del recurso especificado.

Para determinar si un resultado está archivado, puede consultar el campo RecordState del resultado. Si un resultado está archivado, el valor de este campo es ARCHIVED.

El CSPM de Security Hub almacena los resultados de control archivados durante 30 días. Después de 30 días, los resultados caducan y el CSPM de Security Hub los elimina de forma permanente. Para determinar si un resultado de control archivado ha caducado, el CSPM de Security Hub basa su cálculo en el valor del campo UpdatedAt del resultado.

Para almacenar resultados de control archivados por más de 30 días, puede exportarlos a un bucket de S3. Puedes hacerlo mediante una acción personalizada con una EventBridge regla de Amazon. Para obtener más información, consulte Uso EventBridge para respuesta y remediación automatizadas.

nota

Antes del 3 de julio de 2025, el CSPM de Security Hub generaba y actualizaba los resultados de control de manera distinta cuando el estado de cumplimiento de un recurso cambiaba para un control. Anteriormente, el CSPM de Security Hub creaba un resultado de control nuevo y archivaba el resultado existente para un recurso. Por lo tanto, podría tener varios resultados archivados para un control y recurso en particular hasta que dichos resultados caducaran (después de 30 días).

Automatización y supresión de resultados de control

Puede usar reglas de automatización del CSPM de Security Hub para actualizar o suprimir resultados de control específicos. Aún si suprime un resultado, podrá acceder a este. Sin embargo, la supresión indica que considera que no es necesario realizar ninguna acción para abordar el resultado.

La supresión de resultados puede reducir el ruido que estos generan. Por ejemplo, podría suprimir resultados de control que se generan en cuentas de prueba. O bien, podría suprimir resultados relacionados con recursos específicos. Para obtener más información sobre cómo actualizar o suprimir resultados automáticamente, consulte Descripción de las reglas de automatización en el CSPM de Security Hub.

Las reglas de automatización son adecuadas cuando desea actualizar o suprimir resultados de control específicos. Sin embargo, si un control no es relevante para la organización o caso de uso, recomendamos desactivar el control. Si desactiva un control, el CSPM de Security Hub no ejecuta comprobaciones de seguridad para ese control y no se cobra por él.

Detalles de cumplimiento para los resultados de control

En las conclusiones generadas por las comprobaciones de seguridad de los controles, el objeto de conformidad y los campos del formato de comprobación de AWS seguridad (ASFF) proporcionan los detalles de conformidad de los recursos individuales comprobados por un control. Esto incluye la siguiente información:

  • AssociatedStandards: los estándares habilitados en los que el control está habilitado.

  • RelatedRequirements: los requisitos relacionados correspondientes al control en todos los estándares habilitados. Estos requisitos derivan de marcos de seguridad de terceros aplicables al control, como el estándar Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) o el estándar NIST SP 800-171 Revisión 2.

  • SecurityControlId: el identificador del control en los estándares que el CSPM de Security Hub admite.

  • Status: el resultado de la comprobación más reciente que el CSPM de Security Hub ejecutó para el control. Los resultados de comprobaciones anteriores se retienen en el historial del resultado.

  • StatusReasons: una matriz que enumera los motivos del valor especificado en el campo Status. Para cada motivo, esto incluye un código de motivo y una descripción.

En la siguiente tabla aparecen los códigos de motivo y las descripciones que un resultado podría incluir en la matriz StatusReasons. Los pasos de remediación varían según el control que haya generado un resultado con un código de motivo específicado. Para consultar la guía de remediación de un control, consulte la Referencia de controles para el CSPM de Security Hub.

Código de motivo Compliance status (Estado de conformidad) Description (Descripción)

CLOUDTRAIL_METRIC_FILTER_NOT_VALID

FAILED

El registro CloudTrail multirregional no tiene un filtro métrico válido.

CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT

FAILED

Los filtros métricos no están presentes en el sendero multirregional. CloudTrail

CLOUDTRAIL_MULTI_REGION_NOT_PRESENT

FAILED

La cuenta no tiene un registro multirregional CloudTrail con la configuración requerida.

CLOUDTRAIL_REGION_INVAILD

WARNING

Los CloudTrail senderos multirregionales no se encuentran en la región actual.

CLOUDWATCH_ALARM_ACTIONS_NOT_VALID

FAILED

No hay acciones de alarma válidas presentes.

CLOUDWATCH_ALARMS_NOT_PRESENT

FAILED

CloudWatch las alarmas no existen en la cuenta.

CONFIG_ACCESS_DENIED

NOT_AVAILABLE

AWS Config el estado es ConfigError

AWS Config acceso denegado.

Compruebe que AWS Config está activado y que se le han concedido los permisos suficientes.

CONFIG_EVALUATIONS_EMPTY

PASSED

AWS Config evaluó sus recursos en función de la regla.

La regla no se aplicaba a los AWS recursos incluidos en su ámbito, se eliminaron los recursos especificados o se eliminaron los resultados de la evaluación.

CONFIG_RECORDER_CUSTOM_ROLE

FAILED (para Config.1)

La AWS Config grabadora usa un rol de IAM personalizado en lugar del rol AWS Config vinculado al servicio, y el parámetro includeConfigServiceLinkedRoleCheck personalizado de Config.1 no está establecido en. false

CONFIG_RECORDER_DISABLED

FAILED (para Config.1)

AWS Config no está activado con la grabadora de configuración encendida.

CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES

FAILED (para Config.1)

AWS Config no registra todos los tipos de recursos que corresponden a los controles CSPM de Security Hub habilitados. Active la grabación de los siguientes recursos:. Resources that aren't being recorded

CONFIG_RETURNS_NOT_APPLICABLE

NOT_AVAILABLE

El estado de cumplimiento se NOT_AVAILABLE debe a que AWS Config devolvió el estado de No aplicable.

AWS Config no indica el motivo del estado. Estas son algunas de las posibles razones del estado de No aplicable:

  • El recurso se ha eliminado del ámbito de aplicación de la AWS Config regla.

  • Se eliminó la AWS Config regla.

  • Se ha eliminado el recurso.

  • La lógica de la AWS Config regla puede generar un estado de No aplicable.

CONFIG_RULE_EVALUATION_ERROR

NOT_AVAILABLE

AWS Config el estado es ConfigError

Este código de motivo se utiliza para varios tipos diferentes de errores de evaluación.

La descripción proporciona la información específica del motivo.

El tipo de error puede ser uno de los siguientes:

  • Incapacidad de realizar la evaluación debido a la falta de permisos. La descripción proporciona el permiso específico que falta.

  • Un valor ausente o no válido para un parámetro. La descripción proporciona el parámetro y los requisitos para el valor del parámetro.

  • Error al leer en un bucket de S3. La descripción identifica el bucket y proporciona el error específico.

  • Falta una AWS suscripción.

  • Un tiempo de espera general en la evaluación.

  • Una cuenta suspendida.

CONFIG_RULE_NOT_FOUND

NOT_AVAILABLE

AWS Config el estado es ConfigError

La AWS Config regla está en proceso de creación.

INTERNAL_SERVICE_ERROR

NOT_AVAILABLE

Se ha producido un error desconocido.

LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE

FAILED

El CSPM de Security Hub no puede realizar una comprobación en un tiempo de ejecución de Lambda personalizado.

S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION

WARNING

El resultado está en un estado WARNING porque el bucket de S3 asociado a esta regla se encuentra en una región o cuenta diferente.

Esta regla no admite comprobaciones entre regiones ni entre cuentas.

Se recomienda deshabilitar este control en esta región o cuenta. Ejecútelo solo en la región o cuenta donde se encuentra el recurso.

SNS_SUBSCRIPTION_NOT_PRESENT

FAILED

Los filtros de métricas de CloudWatch Logs no tienen una suscripción válida a Amazon SNS.

SNS_TOPIC_CROSS_ACCOUNT

WARNING

El resultado se encuentra en un estado de WARNING.

El tema de SNS asociado a esta regla es propiedad de otra cuenta. La cuenta actual no puede obtener la información de la suscripción.

La cuenta propietaria del tema de SNS debe conceder a la cuenta actual el permiso sns:ListSubscriptionsByTopic para el tema de SNS.

SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION

WARNING

El resultado se encuentra en un estado de WARNING, porque el tema de SNS asociado a esta regla se encuentra en una región o cuenta diferente.

Esta regla no admite comprobaciones entre regiones ni entre cuentas.

Se recomienda deshabilitar este control en esta región o cuenta. Ejecútelo solo en la región o cuenta donde se encuentra el recurso.

SNS_TOPIC_INVALID

FAILED

El tema de SNS asociado a esta regla no es válido.

THROTTLING_ERROR

NOT_AVAILABLE

La operación de la API relevante superó la tasa permitida.

ProductFields detalles de los hallazgos de control

En los resultados generados por las comprobaciones de seguridad de los controles, el ProductFieldsatributo del formato de búsqueda de AWS seguridad (ASFF) puede incluir los siguientes campos.

ArchivalReasons:0/Description

Describe por qué el CSPM de Security Hub archivó un resultado.

Por ejemplo, el CSPM de Security Hub archiva los resultados existentes cuando se desactiva un control o un estándar, o cuando se habilita o desactiva la funcionalidad de resultados consolidados de control.

ArchivalReasons:0/ReasonCode

Especifica por qué el CSPM de Security Hub archivó un resultado.

Por ejemplo, el CSPM de Security Hub archiva los resultados existentes cuando se desactiva un control o un estándar, o cuando se habilita o desactiva la funcionalidad de resultados consolidados de control.

PreviousComplianceStatus

El estado de cumplimiento previo (Compliance.Status) del recurso para el control especificado, según la actualización más reciente del resultado. Si el estado de cumplimiento del recurso no cambió durante la actualización más reciente, este valor es igual al valor del campo Compliance.Status del resultado. Para obtener una lista de los posibles valores, consulte Evaluación del estado de cumplimiento y del estado del control.

StandardsGuideArn o StandardsArn

El ARN del estándar asociado con el control.

Para el estándar CIS AWS Foundations Benchmark, el campo esStandardsGuideArn. Para los estándares PCI DSS y AWS Foundational Security Best Practices, el campo es. StandardsArn

Estos campos se eliminan en favor de Compliance.AssociatedStandards si habilita los resultados de control consolidados.

StandardsGuideSubscriptionArn o StandardsSubscriptionArn

El ARN de la suscripción de la cuenta al estándar.

Para el estándar de referencia de CIS AWS Foundations, el campo es. StandardsGuideSubscriptionArn Para los estándares PCI DSS y AWS Foundational Security Best Practices, el campo es. StandardsSubscriptionArn

Estos campos se eliminan si habilita los resultados de control consolidados.

RuleId o ControlId

El identificador del control.

Para la versión 1.2.0 del estándar CIS AWS Foundations Benchmark, el campo es. RuleId Para otros estándares, incluidas las versiones posteriores del estándar de Indicador de referencia de AWS de CIS, el campo es ControlId.

Estos campos se eliminan en favor de Compliance.SecurityControlId si habilita los resultados de control consolidados.

RecommendationUrl

La URL de la información de remediación del control. Este campo se elimina a favor de Remediation.Recommendation.Url si habilita los resultados de control consolidados.

RelatedAWSResources:0/name

El nombre del recurso asociado a el resultado.

RelatedAWSResource:0/type

El tipo de recurso asociado con el control.

StandardsControlArn

El ARN del control. Este campo se elimina si habilita los resultados de control consolidados.

aws/securityhub/ProductName

Para los resultados de control, el nombre del producto es Security Hub.

aws/securityhub/CompanyName

Para los resultados de control, el nombre de la empresa es AWS.

aws/securityhub/annotation

Una descripción del problema descubierto por el control.

aws/securityhub/FindingId

El identificador del resultado.

Este campo no hace referencia a un estándar si habilita los resultados de control consolidados.

Niveles de gravedad correspondientes a los resultados de control

La gravedad asignada a un control del CSPM de Security Hub indica la importancia del control. La gravedad de un control determina la etiqueta de gravedad asignada a los resultados del control.

Criterios de gravedad

La gravedad de un control se determina en función de la evaluación de los siguientes criterios:

  • ¿Cómo de difícil es para un agente de amenazas aprovechar la debilidad de la configuración asociada al control? La dificultad viene determinada por el grado de sofisticación o complejidad que se requiere para utilizar la debilidad para llevar a cabo un escenario de amenaza.

  • ¿Qué posibilidades hay de que la debilidad comprometa sus recursos Cuentas de AWS o sus recursos? Si sus recursos se Cuentas de AWS ven comprometidos, la confidencialidad, la integridad o la disponibilidad de sus datos o AWS infraestructura se ven afectadas de alguna manera. La probabilidad de que se ponga en peligro indica la probabilidad de que el escenario de amenaza provoque una interrupción o una violación de sus recursos Servicios de AWS o de sus recursos.

Como ejemplo, fíjese en las siguientes debilidades de configuración:

  • Las claves de acceso de los usuarios no se renuevan cada 90 días.

  • Existe la clave de usuario raíz de IAM.

Ambas debilidades son igualmente difíciles de aprovechar para un adversario. En ambos casos, el adversario puede utilizar el robo de credenciales o algún otro método para adquirir una clave de usuario. Luego pueden usarla para acceder a sus recursos de forma no autorizada.

Sin embargo, la probabilidad de que se ponga en peligro es mucho mayor si el autor de la amenaza adquiere la clave de acceso del usuario raíz, ya que esto le da un mayor acceso. Como resultado, la debilidad clave del usuario raíz es más grave.

La gravedad no tiene en cuenta la criticidad del recurso subyacente. El nivel de importancia crítica se define como el nivel de importancia de los recursos que están asociados con el resultado. Por ejemplo, un recurso asociado a una aplicación crítica para la misión es más importante que uno asociado a pruebas que no son de producción. Para recopilar información sobre la criticidad de los recursos, utilice el Criticality campo del formato de búsqueda de AWS seguridad (ASFF).

La siguiente tabla muestra la dificultad de explotación y la probabilidad de que las etiquetas de seguridad se vean comprometidas.

Compromiso muy probable

Compromiso probable

Compromiso poco probable

Compromiso muy poco probable

Muy fácil de explotar

Critico

Critico

Alto

Medio

Algo fácil de explotar

Critico

Alto

Medio

Medio

Algo difícil de explotar

Alto

Medio

Medio

Bajo

Muy difícil de explotar

Medio

Medio

Bajo

Bajo

Definiciones de gravedad

Las etiquetas de gravedad se definen de la siguiente manera.

Crítico: el problema debe solucionarse de inmediato para evitar una escalada.

Por ejemplo, un bucket de S3 abierto se considera un hallazgo de gravedad crítica. Debido a que muchos agentes exploran buckets S3 abiertos, es probable que otros detecten los datos de un bucket de S3 expuesto y accedan a ellos.

En general, los recursos que son de acceso público se consideran problemas de seguridad críticos. Debe tratar los resultados críticos con la máxima urgencia. También debe tener en cuenta la criticidad del recurso.

Alto: el problema debe abordarse con prioridad a corto plazo.

Por ejemplo, si un grupo de seguridad de VPC predeterminado está abierto al tráfico entrante y saliente, se considera de gravedad alta. Es bastante fácil para un actor de amenazas comprometer un VPC mediante este método. También es probable que el actor de la amenaza pueda interrumpir o exfiltrar los recursos una vez que estén en el VPC.

El CSPM de Security Hub recomienda que trate un resultado de alta gravedad como una prioridad a corto plazo. Debe tomar medidas correctivas de inmediato. También debe tener en cuenta la criticidad del recurso.

Medio: el tema debe abordarse como una prioridad a medio plazo.

Por ejemplo, la falta de cifrado de los datos en tránsito se considera un resultado de gravedad media. Se requiere un man-in-the-middle ataque sofisticado para aprovechar esta debilidad. Es decir, es algo difícil. Es probable que algunos datos se vean comprometidos si el escenario de amenaza tiene éxito.

El CSPM de Security Hub recomienda que investigue el recurso implicado tan pronto como le sea posible. También debe tener en cuenta la criticidad del recurso.

Bajo: el problema no requiere acción por sí solo.

Por ejemplo, la falta de recopilación de información forense se considera de gravedad baja. Este control puede ayudar a evitar futuros compromisos, pero la ausencia de análisis forense no conduce directamente a un compromiso.

No es necesario tomar medidas inmediatas ante los resultados de baja gravedad, pero pueden proporcionar un contexto si los correlacionas con otros problemas.

Informativo: no se encontró ningún punto débil en la configuración.

En otras palabras, el estado es PASSED, WARNING o NOT AVAILABLE.

No se recomienda ninguna acción. Los resultados informativos ayudan a los clientes a demostrar que están en un estado de conformidad.