Generación y actualización de los resultados de control - AWS Security Hub
Resultados de control consolidadosGeneración, actualización y archivado de resultados de controlAutomatización y supresión de resultados de controlDetalles de cumplimiento para los resultados de controlDetalles de ProductFields para los resultados de controlNiveles de gravedad correspondientes a los resultados de control

Generación y actualización de los resultados de control

El CSPM de AWS Security Hub genera y actualiza resultados de control cuando ejecuta comprobaciones respecto a controles de seguridad. Los resultados de control utilizan el Formato de resultados de seguridad de AWS.

El CSPM de Security Hub normalmente cobra por cada comprobación de seguridad de un control. Sin embargo, si varios controles utilizan la misma regla de AWS Config, el CSPM de Security Hub cobra solo una vez por cada comprobación respecto la regla. Por ejemplo, la regla iam-password-policy de AWS Config es utilizada por varios controles en el estándar del Indicador de referencia de AWS de CIS y en el estándar de Prácticas recomendadas de seguridad básica de AWS. Cada vez que el CSPM de Security Hub ejecuta una comprobación con esa regla, genera un resultado de control independiente para cada control relacionado, pero cobra solo una vez por la comprobación.

Si el tamaño de un resultado de control excede el máximo de 240 KB, el CSPM de Security Hub elimina el objeto Resource.Details del resultado. Puede consultar los detalles de los controles respaldados por recursos de AWS Config en la consola de AWS Config.

Resultados de control consolidados

Si la cuenta tiene habilitados los resultados consolidados de control, el CSPM de Security Hub genera un único resultado (o una actualización del resultado) por cada comprobación de seguridad de un control, incluso cuando ese control corresponde a varios estándares habilitados. Para ver una lista de los controles y los estándares a los que se aplican, consulte Referencia de controles para el CSPM de Security Hub. Recomendamos habilitar los resultados de control consolidados para reducir el ruido de resultados.

Si habilitó el CSPM de Security Hub para una Cuenta de AWS antes del 23 de febrero de 2023, puede habilitar los resultados consolidados de control. Para ello, siga las instrucciones que aparecen más adelante en esta sección. Si habilita el CSPM de Security Hub el 23 de febrero de 2023 o después de esa fecha, los resultados consolidados de control se habilitan automáticamente para la cuenta.

Si utiliza la integración del CSPM de Security Hub con AWS Organizations o invitó cuentas de miembro mediante un proceso manual, los resultados consolidados de control se habilitan para las cuentas de miembro solo si están habilitados para la cuenta de administrador. Si la característica está desactivada para la cuenta de administrador, también lo estará para las cuentas de miembro. Este comportamiento se aplica a las cuentas de miembros nuevas y existentes. Además, si el administrador utiliza la configuración centralizada para administrar el CSPM de Security Hub para varias cuentas, no puede usar las políticas de configuración centralizada para habilitar o desactivar los resultados consolidados de control para las cuentas.

Si desactiva los resultados consolidados de control para la cuenta, el CSPM de Security Hub genera o actualiza un resultado de control independiente por cada estándar habilitado que incluya un control. Por ejemplo, si habilita cuatro estándares que comparten un control, recibe cuatro resultados independientes después de una comprobación de seguridad para ese control. Si habilita los resultados de control consolidados, solo recibirá un resultado.

Cuando habilita los resultados consolidados de control, el CSPM de Security Hub genera nuevos resultados que no dependen de ningún estándar y archiva los resultados anteriores que sí estaban asociados a estándares. Algunos campos y valores de los resultados de control cambiarán, lo que podría afectar los flujos de trabajo existentes. Para obtener información sobre estos cambios, consulte Resultados de control consolidados: cambios en ASFF. Habilitar los resultados consolidados de control también podría afectar los resultados que los productos de terceros integrados reciben del CSPM de Security Hub. Si utiliza la solución Respuesta de seguridad automatizada en AWS v2.0.0, tenga en cuenta que es compatible con los resultados consolidados de control.

Para habilitar o deshabilitar los resultados de control consolidados, debe iniciar sesión en una cuenta de administrador o en una cuenta independiente.

nota

Después de habilitar los resultados consolidados de control, el CSPM de Security Hub puede tardar hasta 24 horas en generar nuevos resultados consolidados y archivar los resultados existentes que dependían de estándares. De forma similar, después de desactivar los resultados consolidados de control, el CSPM de Security Hub puede tardar hasta 24 horas en generar nuevos resultados basados en estándares y archivar los resultados consolidados existentes. Durante estos periodos, es posible que vea una combinación de resultados que no dependen de estándares y resultados basados en estándares en la cuenta.

Security Hub CSPM console
Para habilitar o desactivar los resultados consolidados de control

  1. Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

  2. En el panel de navegación, en Configuración, seleccione General.

  3. En la sección Controles, elija Editar.

  4. Use el conmutador Resultados consolidados de control para habilitar o desactivar los resultados consolidados de control.

  5. Seleccione Save.

Security Hub CSPM API

Para habilitar o desactivar los resultados consolidados de control mediante programación utilice la operación UpdateSecurityHubConfiguration de la API del CSPM de Security Hub. O, si utiliza la interfaz AWS CLI, ejecute el comando update-security-hub-configuration.

Para el parámetro control-finding-generator, especifique SECURITY_CONTROL para habilitar los resultados consolidados de control. Para desactivar los resultados consolidados de control, especifique STANDARD_CONTROL.

Por ejemplo, el siguiente comando de la AWS CLI habilita los resultados de control consolidados.

$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

El siguiente comando de la AWS CLI deshabilita los resultados de control consolidados.

$ aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

Generación, actualización y archivado de resultados de control

El CSPM de Security Hub ejecuta comprobaciones de seguridad según una programación. La primera vez que el CSPM de Security Hub ejecuta una comprobación de seguridad para un control, genera un resultado nuevo por cada recurso de AWS que el control evalúa. Cada vez que el CSPM de Security Hub ejecuta posteriormente una comprobación de seguridad para el control, actualiza los resultados existentes para reflejar los resultados de la comprobación. Esto significa que puede utilizar los datos de resultados individuales para hacer un seguimiento de cómo cambia el cumplimiento de determinados recursos con respecto a controles específicos.

Por ejemplo, si el estado de cumplimiento de un recurso cambia de FAILED a PASSED para un control determinado, el CSPM de Security Hub no genera un resultado nuevo. En su lugar, el CSPM de Security Hub actualiza el resultado existente para el control y el recurso. En el resultado, el CSPM de Security Hub cambia el valor del campo de estado de cumplimiento Compliance.Status a PASSED. El CSPM de Security Hub también actualiza los valores de otros campos adicionales para reflejar los resultados de la comprobación. Por ejemplo, la etiqueta de gravedad, el estado del flujo de trabajo y las marcas de tiempo que indican cuándo el CSPM de Security Hub ejecutó la comprobación más recientemente y actualizó el resultado.

Al reportar cambios en el estado de cumplimiento, el CSPM de Security Hub podría actualizar cualquiera de los siguientes campos en un resultado de control:

  • Compliance.Status: el nuevo estado de cumplimiento del recurso para el control especificado.

  • FindingProviderFields.Severity.Label: la nueva representación cualitativa de la gravedad del resultado, como LOW, MEDIUM o HIGH.

  • FindingProviderFields.Severity.Original: la nueva representación cuantitativa de la gravedad del resultado, como 0 para un recurso conforme.

  • FirstObservedAt: cuándo cambió por última vez el estado de cumplimiento del recurso.

  • LastObservedAt: cuándo el CSPM de Security Hub ejecutó más recientemente la comprobación de seguridad para el control y el recurso especificados.

  • ProcessedAt: cuándo el CSPM de Security Hub comenzó más recientemente a procesar el resultado.

  • ProductFields.PreviousComplianceStatus: el estado de cumplimiento anterior (Compliance.Status) del recurso para el control especificado.

  • UpdatedAt: cuándo el CSPM de Security Hub actualizó más recientemente el resultado.

  • Workflow.Status: el estado de la investigación del resultado, basado en el nuevo estado de cumplimiento del recurso para el control especificado.

Si el CSPM de Security Hub actualiza un campo depende principalmente de los resultados de la comprobación de seguridad más reciente para el control y el recurso correspondientes. Por ejemplo, si el estado de cumplimiento de un recurso cambia de PASSED a FAILED para un control determinado, el CSPM de Security Hub cambia el estado del flujo de trabajo del resultado a NEW. Para hacer seguimiento a las actualizaciones de resultados individuales, puede consultar el historial de un resultado. Para obtener detalles sobre campos individuales en los resultados, consulte el Formato de resultados de seguridad de AWS (ASFF).

En ciertos casos excepcionales, el CSPM de Security Hub genera resultados nuevos cuando un control ejecuta comprobaciones posteriores, en lugar de actualizar los resultados existentes. Esto puede ocurrir si existe un problema con la regla AWS Config en la que se basa un control. Si esto ocurre, el CSPM de Security Hub archiva el resultado existente y genera un resultado nuevo para cada comprobación. En los nuevos resultados, el estado de cumplimiento es NOT_AVAILABLE y el estado del registro es ARCHIVED. Después de resolver el problema con la regla de AWS Config, el CSPM de Security Hub genera resultados nuevos y comienza a actualizarlos para reflejar cambios posteriores en el estado de cumplimiento de recursos individuales.

Además de generar y actualizar resultados de control, el CSPM de Security Hub archiva automáticamente los resultados de control que cumplen ciertos criterios. El CSPM de Security Hub archiva un resultado si el control está desactivado, el recurso especificado se elimina o el recurso especificado deja de existir. Un recurso puede dejar de existir porque el servicio asociado ya no se utiliza. Más específicamente, el CSPM de Security Hub archiva automáticamente un resultado de control si cumple el siguiente criterio:

  • El resultado no se ha actualizado durante 3 a 5 días. Tenga en cuenta que este archivado basado en ese intervalo de tiempo se realiza solo cuando es posible y no está garantizado.

  • La evaluación AWS Config asociada devolvió NOT_APPLICABLE para el estado de cumplimiento del recurso especificado.

Para determinar si un resultado está archivado, puede consultar el campo RecordState del resultado. Si un resultado está archivado, el valor de este campo es ARCHIVED.

El CSPM de Security Hub almacena los resultados de control archivados durante 30 días. Después de 30 días, los resultados caducan y el CSPM de Security Hub los elimina de forma permanente. Para determinar si un resultado de control archivado ha caducado, el CSPM de Security Hub basa su cálculo en el valor del campo UpdatedAt del resultado.

Para almacenar resultados de control archivados por más de 30 días, puede exportarlos a un bucket de S3. Puede hacerlo mediante una acción personalizada con una regla de Amazon EventBridge. Para obtener más información, consulte Uso de EventBridge para la respuesta y la corrección automatizadas.

nota

Antes del 3 de julio de 2025, el CSPM de Security Hub generaba y actualizaba los resultados de control de manera distinta cuando el estado de cumplimiento de un recurso cambiaba para un control. Anteriormente, el CSPM de Security Hub creaba un resultado de control nuevo y archivaba el resultado existente para un recurso. Por lo tanto, podría tener varios resultados archivados para un control y recurso en particular hasta que dichos resultados caducaran (después de 30 días).

Automatización y supresión de resultados de control

Puede usar reglas de automatización del CSPM de Security Hub para actualizar o suprimir resultados de control específicos. Aún si suprime un resultado, podrá acceder a este. Sin embargo, la supresión indica que considera que no es necesario realizar ninguna acción para abordar el resultado.

La supresión de resultados puede reducir el ruido que estos generan. Por ejemplo, podría suprimir resultados de control que se generan en cuentas de prueba. O bien, podría suprimir resultados relacionados con recursos específicos. Para obtener más información sobre cómo actualizar o suprimir resultados automáticamente, consulte Descripción de las reglas de automatización en el CSPM de Security Hub.

Las reglas de automatización son adecuadas cuando desea actualizar o suprimir resultados de control específicos. Sin embargo, si un control no es relevante para la organización o caso de uso, recomendamos desactivar el control. Si desactiva un control, el CSPM de Security Hub no ejecuta comprobaciones de seguridad para ese control y no se cobra por él.

Detalles de cumplimiento para los resultados de control

En los resultados generados por las comprobaciones de seguridad de los controles, el objeto Cumplimiento y los campos del formato de resultados de seguridad de AWS (ASFF) proporcionan detalles de cumplimiento sobre los recursos individuales que un control verificó. Esto incluye la siguiente información:

  • AssociatedStandards: los estándares habilitados en los que el control está habilitado.

  • RelatedRequirements: los requisitos relacionados correspondientes al control en todos los estándares habilitados. Estos requisitos derivan de marcos de seguridad de terceros aplicables al control, como el estándar Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) o el estándar NIST SP 800-171 Revisión 2.

  • SecurityControlId: el identificador del control en los estándares que el CSPM de Security Hub admite.

  • Status: el resultado de la comprobación más reciente que el CSPM de Security Hub ejecutó para el control. Los resultados de comprobaciones anteriores se retienen en el historial del resultado.

  • StatusReasons: una matriz que enumera los motivos del valor especificado en el campo Status. Para cada motivo, esto incluye un código de motivo y una descripción.

En la siguiente tabla aparecen los códigos de motivo y las descripciones que un resultado podría incluir en la matriz StatusReasons. Los pasos de remediación varían según el control que haya generado un resultado con un código de motivo específicado. Para consultar la guía de remediación de un control, consulte la Referencia de controles para el CSPM de Security Hub.

Código de motivo Compliance status (Estado de conformidad) Descripción

CLOUDTRAIL_METRIC_FILTER_NOT_VALID

FAILED

El registro de seguimiento de CloudTrail de varias regiones no tiene un filtro de métricas válido.

CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT

FAILED

Los filtros de métricas no están presentes en el registro de seguimiento de CloudTrail de varias regiones.

CLOUDTRAIL_MULTI_REGION_NOT_PRESENT

FAILED

La cuenta no tiene un registro de seguimiento de CloudTrail de varias regiones con la configuración requerida.

CLOUDTRAIL_REGION_INVAILD

WARNING

Los registros de seguimiento de CloudTrail de varias regiones no se encuentran en la región actual.

CLOUDWATCH_ALARM_ACTIONS_NOT_VALID

FAILED

No hay acciones de alarma válidas presentes.

CLOUDWATCH_ALARMS_NOT_PRESENT

FAILED

No existen alarmas de CloudWatch en la cuenta.

CONFIG_ACCESS_DENIED

NOT_AVAILABLE

AWS Config El estado de es ConfigError

AWS ConfigAcceso denegado a

Compruebe que AWS Config esté habilitado y que se le hayan concedido permisos suficientes.

CONFIG_EVALUATIONS_EMPTY

PASSED

AWS Config evaluó sus recursos conforme a la regla.

La regla no se ha aplicado a los recursos de AWS en su ámbito, los recursos especificados se han eliminado o los resultados de la evaluación se han eliminado.

CONFIG_RECORDER_CUSTOM_ROLE

FAILED (para Config.1)

El registrador de AWS Config utiliza un rol de IAM personalizado en lugar del rol vinculado al servicio de AWS Config, y el parámetro personalizado includeConfigServiceLinkedRoleCheck para Config.1 no está establecido en false.

CONFIG_RECORDER_DISABLED

FAILED (para Config.1)

AWS Config no está habilitado mientras el registrador de configuración está activado.

CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES

FAILED (para Config.1)

AWS Config no está registrando todos los tipos de recursos que corresponden a los controles habilitados del CSPM de Security Hub. Active el registro para los siguientes recursos: Recursos que no se están registrando.

CONFIG_RETURNS_NOT_APPLICABLE

NOT_AVAILABLE

El estado de conformidad es NOT_AVAILABLE ya que AWS Config devolvió el estado de No aplicable.

AWS Config no indica el motivo del estado. Estas son algunas de las posibles razones del estado de No aplicable:

  • El recurso se ha eliminado del ámbito de aplicación de la regla de AWS Config.

  • Se ha eliminado la regla de AWS Config.

  • Se ha eliminado el recurso.

  • La lógica de la regla de AWS Config puede generar un estado de No aplicable.

CONFIG_RULE_EVALUATION_ERROR

NOT_AVAILABLE

AWS Config El estado de es ConfigError

Este código de motivo se utiliza para varios tipos diferentes de errores de evaluación.

La descripción proporciona la información específica del motivo.

El tipo de error puede ser uno de los siguientes:

  • Incapacidad de realizar la evaluación debido a la falta de permisos. La descripción proporciona el permiso específico que falta.

  • Un valor ausente o no válido para un parámetro. La descripción proporciona el parámetro y los requisitos para el valor del parámetro.

  • Error al leer en un bucket de S3. La descripción identifica el bucket y proporciona el error específico.

  • Una suscripción a AWS que falta.

  • Un tiempo de espera general en la evaluación.

  • Una cuenta suspendida.

CONFIG_RULE_NOT_FOUND

NOT_AVAILABLE

AWS Config El estado de es ConfigError

La regla de AWS Config está en proceso de creación.

INTERNAL_SERVICE_ERROR

NOT_AVAILABLE

Se ha producido un error desconocido.

LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE

FAILED

El CSPM de Security Hub no puede realizar una comprobación en un tiempo de ejecución de Lambda personalizado.

S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION

WARNING

El resultado está en un estado WARNING porque el bucket de S3 asociado a esta regla se encuentra en una región o cuenta diferente.

Esta regla no admite comprobaciones entre regiones ni entre cuentas.

Se recomienda deshabilitar este control en esta región o cuenta. Ejecútelo solo en la región o cuenta donde se encuentra el recurso.

SNS_SUBSCRIPTION_NOT_PRESENT

FAILED

Los filtros de métricas de CloudWatch no tienen una suscripción de Amazon SNS válida.

SNS_TOPIC_CROSS_ACCOUNT

WARNING

El resultado se encuentra en un estado de WARNING.

El tema de SNS asociado a esta regla es propiedad de otra cuenta. La cuenta actual no puede obtener la información de la suscripción.

La cuenta propietaria del tema de SNS debe conceder a la cuenta actual el permiso sns:ListSubscriptionsByTopic para el tema de SNS.

SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION

WARNING

El resultado se encuentra en un estado de WARNING, porque el tema de SNS asociado a esta regla se encuentra en una región o cuenta diferente.

Esta regla no admite comprobaciones entre regiones ni entre cuentas.

Se recomienda deshabilitar este control en esta región o cuenta. Ejecútelo solo en la región o cuenta donde se encuentra el recurso.

SNS_TOPIC_INVALID

FAILED

El tema de SNS asociado a esta regla no es válido.

THROTTLING_ERROR

NOT_AVAILABLE

La operación de la API relevante superó la tasa permitida.

Detalles de ProductFields para los resultados de control

En los resultados generados por las comprobaciones de seguridad de los controles, el atributo ProductFields del Formato de resultados de seguridad de AWS (ASFF) puede incluir los siguientes campos.

ArchivalReasons:0/Description

Describe por qué el CSPM de Security Hub archivó un resultado.

Por ejemplo, el CSPM de Security Hub archiva los resultados existentes cuando se desactiva un control o un estándar, o cuando se habilita o desactiva la funcionalidad de resultados consolidados de control.

ArchivalReasons:0/ReasonCode

Especifica por qué el CSPM de Security Hub archivó un resultado.

Por ejemplo, el CSPM de Security Hub archiva los resultados existentes cuando se desactiva un control o un estándar, o cuando se habilita o desactiva la funcionalidad de resultados consolidados de control.

PreviousComplianceStatus

El estado de cumplimiento previo (Compliance.Status) del recurso para el control especificado, según la actualización más reciente del resultado. Si el estado de cumplimiento del recurso no cambió durante la actualización más reciente, este valor es igual al valor del campo Compliance.Status del resultado. Para obtener una lista de los posibles valores, consulte Evaluación del estado de cumplimiento y del estado del control.

StandardsGuideArn or StandardsArn

El ARN del estándar asociado con el control.

Para el estándar CIS AWS Foundations Benchmark, el campo es StandardsGuideArn. Para los estándares PCI DSS y AWS Foundational Security Best Practices, el campo es StandardsArn.

Estos campos se eliminan en favor de Compliance.AssociatedStandards si habilita los resultados de control consolidados.

StandardsGuideSubscriptionArn or StandardsSubscriptionArn

El ARN de la suscripción de la cuenta al estándar.

Para el estándar CIS AWS Foundations Benchmark, el campo es StandardsGuideSubscriptionArn. Para los estándares PCI DSS y AWS Foundational Security Best Practices, el campo es StandardsSubscriptionArn.

Estos campos se eliminan si habilita los resultados de control consolidados.

RuleId or ControlId

El identificador del control.

Para la versión 1.2.0 del estándar de Indicador de referencia de AWS de CIS, el campo es RuleId. Para otros estándares, incluidas las versiones posteriores del estándar de Indicador de referencia de AWS de CIS, el campo es ControlId.

Estos campos se eliminan en favor de Compliance.SecurityControlId si habilita los resultados de control consolidados.

RecommendationUrl

La URL de la información de remediación del control. Este campo se elimina a favor de Remediation.Recommendation.Url si habilita los resultados de control consolidados.

RelatedAWSResources:0/name

El nombre del recurso asociado a el resultado.

RelatedAWSResource:0/type

El tipo de recurso asociado con el control.

StandardsControlArn

El ARN del control. Este campo se elimina si habilita los resultados de control consolidados.

aws/securityhub/ProductName

Para los resultados de control, el nombre del producto es Security Hub.

aws/securityhub/CompanyName

Para los resultados de control, el nombre de la empresa es AWS.

aws/securityhub/annotation

Una descripción del problema descubierto por el control.

aws/securityhub/FindingId

El identificador del resultado.

Este campo no hace referencia a un estándar si habilita los resultados de control consolidados.

Niveles de gravedad correspondientes a los resultados de control

La gravedad asignada a un control del CSPM de Security Hub indica la importancia del control. La gravedad de un control determina la etiqueta de gravedad asignada a los resultados del control.

Criterios de gravedad

La gravedad de un control se determina en función de la evaluación de los siguientes criterios:

  • Cómo de difícil es para un agente de amenazas aprovechar la debilidad de la configuración asociada al control? La dificultad viene determinada por el grado de sofisticación o complejidad que se requiere para utilizar la debilidad para llevar a cabo un escenario de amenaza.

  • ¿Qué probabilidades hay de que la debilidad ponga en peligro su Cuentas de AWS o sus recursos? Si sus Cuentas de AWS o recursos ven comprometidos, la confidencialidad, la integridad o la disponibilidad de sus datos o la infraestructura de AWS se ven afectadas de alguna manera. La probabilidad de compromiso indica qué tan probable es que el escenario de amenaza resulte en una disrupción o una brecha de los recursos o Servicios de AWS.

Como ejemplo, fíjese en las siguientes debilidades de configuración:

  • Las claves de acceso de los usuarios no se renuevan cada 90 días.

  • Existe la clave de usuario raíz de IAM.

Ambas debilidades son igualmente difíciles de aprovechar para un adversario. En ambos casos, el adversario puede utilizar el robo de credenciales o algún otro método para adquirir una clave de usuario. Luego pueden usarla para acceder a sus recursos de forma no autorizada.

Sin embargo, la probabilidad de que se ponga en peligro es mucho mayor si el autor de la amenaza adquiere la clave de acceso del usuario raíz, ya que esto le da un mayor acceso. Como resultado, la debilidad clave del usuario raíz es más grave.

La gravedad no tiene en cuenta la criticidad del recurso subyacente. El nivel de importancia crítica se define como el nivel de importancia de los recursos que están asociados con el resultado. Por ejemplo, un recurso asociado a una aplicación crítica para la misión es más importante que uno asociado a pruebas que no son de producción. Para capturar información sobre la criticidad de los recursos, utilice el campo Criticality de Formato de resultados de seguridad de AWS(ASFF).

La siguiente tabla muestra la dificultad de explotación y la probabilidad de que las etiquetas de seguridad se vean comprometidas.

Compromiso muy probable

Compromiso probable

Compromiso poco probable

Compromiso muy poco probable

Muy fácil de explotar

Critico

Critico

Alto

Medio

Algo fácil de explotar

Critico

Alto

Medio

Medio

Algo difícil de explotar

Alto

Medio

Medio

Bajo

Muy difícil de explotar

Medio

Medio

Bajo

Bajo

Definiciones de gravedad

Las etiquetas de gravedad se definen de la siguiente manera.

Crítico: el problema debe solucionarse de inmediato para evitar una escalada.

Por ejemplo, un bucket de S3 abierto se considera un hallazgo de gravedad crítica. Debido a que muchos agentes exploran buckets S3 abiertos, es probable que otros detecten los datos de un bucket de S3 expuesto y accedan a ellos.

En general, los recursos que son de acceso público se consideran problemas de seguridad críticos. Debe tratar los resultados críticos con la máxima urgencia. También debe tener en cuenta la criticidad del recurso.

Alto: el problema debe abordarse con prioridad a corto plazo.

Por ejemplo, si un grupo de seguridad de VPC predeterminado está abierto al tráfico entrante y saliente, se considera de gravedad alta. Es bastante fácil para un actor de amenazas comprometer un VPC mediante este método. También es probable que el actor de la amenaza pueda interrumpir o exfiltrar los recursos una vez que estén en el VPC.

El CSPM de Security Hub recomienda que trate un resultado de alta gravedad como una prioridad a corto plazo. Debe tomar medidas correctivas de inmediato. También debe tener en cuenta la criticidad del recurso.

Medio: el tema debe abordarse como una prioridad a medio plazo.

Por ejemplo, la falta de cifrado de los datos en tránsito se considera un resultado de gravedad media. Se requiere un sofisticado ataque de intermediarios para aprovechar esta debilidad. Es decir, es algo difícil. Es probable que algunos datos se vean comprometidos si el escenario de amenaza tiene éxito.

El CSPM de Security Hub recomienda que investigue el recurso implicado tan pronto como le sea posible. También debe tener en cuenta la criticidad del recurso.

Bajo: el problema no requiere acción por sí solo.

Por ejemplo, la falta de recopilación de información forense se considera de gravedad baja. Este control puede ayudar a evitar futuros compromisos, pero la ausencia de análisis forense no conduce directamente a un compromiso.

No es necesario tomar medidas inmediatas ante los resultados de baja gravedad, pero pueden proporcionar un contexto si los correlacionas con otros problemas.

Informativo: no se encontró ningún punto débil en la configuración.

En otras palabras, el estado es PASSED, WARNING o NOT AVAILABLE.

No se recomienda ninguna acción. Los resultados informativos ayudan a los clientes a demostrar que están en un estado de conformidad.