Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Generación y actualización de los resultados de control
AWS Security Hub Cloud Security Posture Management (CSPM) genera y actualiza las conclusiones de control cuando comprueba los controles de seguridad. Los resultados de control utilizan el formato AWS de búsqueda de seguridad (ASFF).
Security Hub CSPM normalmente cobra por cada control de seguridad de un control. Sin embargo, si varios controles utilizan la misma AWS Config regla, Security Hub CSPM solo cobrará una vez por cada comprobación que se ajuste a la regla. Por ejemplo, varios controles utilizan la AWS Config iam-password-policy regla en el estándar CIS AWS
Foundations Benchmark y en el estándar AWS Foundational Security Best Practices. Cada vez que Security Hub CSPM realiza una comprobación según esa regla, genera una comprobación de control independiente para cada control relacionado, pero solo cobra una vez por la comprobación.
Si el tamaño de un hallazgo de control supera el máximo de 240 KB, Security Hub CSPM elimina el Resource.Details objeto del hallazgo. En el caso de los controles respaldados por AWS Config
recursos, puede revisar los detalles de los recursos mediante la AWS Config consola.
Temas
Resultados de control consolidados
Si los hallazgos de control consolidados están habilitados para su cuenta, Security Hub CSPM genera un único hallazgo o actualización de hallazgos para cada comprobación de seguridad de un control, incluso si un control se aplica a varios estándares habilitados. Para obtener una lista de los controles y los estándares a los que se aplican, consulte la. Referencia de control para Security Hub (CSPM) Recomendamos habilitar los resultados de control consolidados para reducir el ruido de resultados.
Si habilitó el CSPM de Security Hub Cuenta de AWS antes del 23 de febrero de 2023, puede habilitar los hallazgos de control consolidados siguiendo las instrucciones que aparecen más adelante en esta sección. Si habilitas el CSPM de Security Hub a partir del 23 de febrero de 2023, los hallazgos de control consolidados se habilitarán automáticamente para tu cuenta.
Si utiliza la integración CSPM de Security Hub con las cuentas de los miembros AWS Organizations o las invita mediante un proceso de invitación manual, las conclusiones de control consolidadas solo se habilitan para las cuentas de los miembros si están habilitadas para la cuenta de administrador. Si la función está deshabilitada para la cuenta de administrador, estará deshabilitada para las cuentas de los miembros. Este comportamiento se aplica a las cuentas de miembros nuevas y existentes. Además, si el administrador usa la configuración central para administrar el CSPM de Security Hub para varias cuentas, no podrá usar políticas de configuración central para habilitar o deshabilitar los hallazgos de control consolidados para las cuentas.
Si deshabilita las conclusiones de control consolidadas para su cuenta, Security Hub CSPM genera o actualiza una conclusión de control independiente para cada estándar habilitado que incluya un control. Por ejemplo, si habilita cuatro estándares que comparten un control, recibirá cuatro conclusiones distintas tras una comprobación de seguridad del control. Si habilita los resultados de control consolidados, solo recibirá un resultado.
Cuando habilita los hallazgos de control consolidados, Security Hub CSPM crea nuevos hallazgos independientes de los estándares y archiva los hallazgos originales basados en estándares. Algunos valores y campos de búsqueda de controles cambiarán, lo que podría afectar a sus flujos de trabajo actuales. Para obtener información sobre estos cambios, consulteResultados de control consolidados: cambios en ASFF. La activación de los hallazgos de control consolidados también puede afectar a los hallazgos que los productos integrados de terceros reciben de Security Hub CSPM. Si utiliza la solución Automated Security Response en la AWS versión 2.0.0
Para habilitar o deshabilitar los resultados de control consolidados, debe iniciar sesión en una cuenta de administrador o en una cuenta independiente.
nota
Una vez habilitadas las conclusiones de control consolidadas, Security Hub CSPM puede tardar hasta 24 horas en generar nuevas conclusiones consolidadas y archivar las conclusiones existentes basadas en estándares. Del mismo modo, después de deshabilitar las conclusiones de control consolidadas, Security Hub CSPM puede tardar hasta 24 horas en generar nuevas conclusiones basadas en estándares y archivar las conclusiones consolidadas existentes. Durante estos períodos, es posible que vea en su cuenta una combinación de hallazgos independientes de los estándares y basados en estándares.
Generar, actualizar y archivar las conclusiones de control
Security Hub CSPM ejecuta los controles de seguridad según un cronograma. La primera vez que Security Hub CSPM ejecuta una comprobación de seguridad para un control, genera un nuevo hallazgo para cada AWS recurso que el control comprueba. Cada vez que Security Hub CSPM ejecuta posteriormente una comprobación de seguridad para el control, actualiza las conclusiones existentes para informar de los resultados de la comprobación. Esto significa que puede utilizar los datos proporcionados por las comprobaciones individuales para hacer un seguimiento de los cambios en la conformidad de determinados recursos en relación con determinados controles.
Por ejemplo, si el estado de conformidad de un recurso cambia de FAILED a PASSED para un control en particular, Security Hub CSPM no genera ningún dato nuevo. En su lugar, Security Hub CSPM actualiza el hallazgo existente para el control y el recurso. En el hallazgo, Security Hub CSPM cambia el valor del campo de estado de conformidad (Compliance.Status) a. PASSED Security Hub CSPM también actualiza los valores de los campos adicionales para reflejar los resultados de la comprobación, por ejemplo, la etiqueta de gravedad, el estado del flujo de trabajo y las marcas de tiempo que indican cuándo Security Hub CSPM ejecutó la comprobación y actualizó el resultado por última vez.
Al informar de cambios en el estado de conformidad, Security Hub CSPM puede actualizar cualquiera de los siguientes campos en una comprobación de control:
-
Compliance.Status— El nuevo estado de conformidad del recurso para el control especificado. -
FindingProviderFields.Severity.Label— La nueva representación cualitativa de la gravedad del hallazgo, comoLOWMEDIUM, oHIGH. -
FindingProviderFields.Severity.Original— La nueva representación cuantitativa de la gravedad del hallazgo,0por ejemplo, en el caso de un recurso compatible. -
FirstObservedAt— Cuando el estado de conformidad del recurso cambió por última vez. -
LastObservedAt— La última vez que Security Hub CSPM ejecutó la comprobación de seguridad para el control y el recurso especificados. -
ProcessedAt— Cuándo fue la última vez que Security Hub CSPM comenzó a procesar el hallazgo. -
ProductFields.PreviousComplianceStatus— El estado de conformidad anterior (Compliance.Status) del recurso para el control especificado. -
UpdatedAt— Cuándo Security Hub CSPM actualizó el hallazgo por última vez. -
Workflow.Status— El estado de la investigación sobre el hallazgo, en función del nuevo estado de conformidad del recurso para el control especificado.
El hecho de que Security Hub CSPM actualice un campo depende principalmente de los resultados de la última comprobación de seguridad del control y el recurso aplicables. Por ejemplo, si el estado de conformidad de un recurso cambia de PASSED a FAILED para un control en particular, Security Hub CSPM cambia el estado del flujo de trabajo de la búsqueda a. NEW Para realizar un seguimiento de las actualizaciones de los hallazgos individuales, puede consultar el historial de un hallazgo. Para obtener más información sobre los campos individuales de los hallazgos, consulte el formato AWS de búsqueda de seguridad (ASFF).
En algunos casos, Security Hub CSPM genera nuevos hallazgos para que un control los compruebe posteriormente, en lugar de actualizar los hallazgos existentes. Esto puede ocurrir si hay un problema con la AWS Config regla que respalda un control. Si esto ocurre, Security Hub CSPM archiva el hallazgo existente y genera un nuevo hallazgo para cada comprobación. En los nuevos hallazgos, el estado de conformidad es NOT_AVAILABLE y el estado del registro es. ARCHIVED Tras solucionar el problema con la AWS Config regla, Security Hub CSPM genera nuevas conclusiones y comienza a actualizarlas para realizar un seguimiento de los cambios posteriores en el estado de conformidad de los recursos individuales.
Además de generar y actualizar las conclusiones de control, Security Hub CSPM archiva automáticamente las conclusiones de control que cumplen determinados criterios. Security Hub CSPM archiva un hallazgo si el control está deshabilitado, el recurso especificado se elimina o el recurso especificado ya no existe. Es posible que un recurso ya no exista porque el servicio asociado ya no se utiliza. Más específicamente, Security Hub CSPM archiva automáticamente un hallazgo de control si el hallazgo cumple uno de los siguientes criterios:
-
El hallazgo no se ha actualizado desde hace entre 3 y 5 días. Tenga en cuenta que el archivado basado en este período de tiempo se hace con el máximo esfuerzo y no está garantizado.
-
Se devolvió la AWS Config evaluación asociada
NOT_APPLICABLEpara determinar el estado de conformidad del recurso especificado.
Para determinar si una constatación está archivada, puede consultar el campo de estado de registro (RecordState) de la constatación. Si se archiva un hallazgo, el valor de este campo es. ARCHIVED
Security Hub CSPM almacena las conclusiones de control archivadas durante 30 días. Transcurridos 30 días, los hallazgos caducan y Security Hub CSPM los elimina permanentemente. Para determinar si una constatación de control archivada ha caducado, Security Hub CSPM basa su cálculo en el valor del UpdatedAt campo de la constatación.
Para almacenar las conclusiones de control archivadas durante más de 30 días, puede exportarlas a un bucket de S3. Puedes hacerlo mediante una acción personalizada con una EventBridge regla de Amazon. Para obtener más información, consulte Uso EventBridge para respuesta y remediación automatizadas.
nota
Antes del 3 de julio de 2025, Security Hub CSPM generaba y actualizaba las conclusiones de control de forma diferente cuando el estado de conformidad de un recurso cambiaba para un control. Anteriormente, Security Hub CSPM creaba un nuevo hallazgo de control y archivaba el hallazgo existente para un recurso. Por lo tanto, es posible que tenga varios hallazgos archivados para un control y un recurso en particular hasta que dichos hallazgos caduquen (después de 30 días).
Automatización y supresión de las conclusiones del control
Puede usar las reglas de automatización de CSPM de Security Hub para actualizar o suprimir hallazgos de control específicos. Si suprime un hallazgo, puede seguir accediendo a él. Sin embargo, la supresión indica que usted cree que no es necesario tomar ninguna medida para abordar el hallazgo.
Al suprimir los hallazgos, puede reducir el ruido que se produce al detectar objetos. Por ejemplo, puede suprimir los resultados de control que se generan en las cuentas de prueba. O bien, puede suprimir los hallazgos relacionados con recursos específicos. Para obtener más información sobre cómo actualizar o suprimir los hallazgos automáticamente, consulteDescripción de las reglas de automatización en Security Hub CSPM.
Las reglas de automatización son adecuadas cuando se desean actualizar o suprimir hallazgos de control específicos. Sin embargo, si un control no es relevante para su organización o caso de uso, le recomendamos que lo desactive. Si inhabilitas un control, Security Hub CSPM no realizará comprobaciones de seguridad para él y no se te cobrará por ello.
Detalles de conformidad de los hallazgos de control
En los resultados generados por las comprobaciones de seguridad de los controles, el objeto de conformidad y los campos del formato de comprobación de AWS seguridad (ASFF) proporcionan detalles de conformidad de los recursos individuales comprobados por un control. Esto incluye la siguiente información:
-
AssociatedStandards— Los estándares habilitados en los que está habilitado el control. -
RelatedRequirements— Los requisitos relacionados con el control en todos los estándares habilitados. Estos requisitos se derivan de marcos de seguridad de terceros para el control, como el estándar de seguridad de datos del sector de las tarjetas de pago (PCI DSS) o el estándar NIST SP 800-171, revisión 2. -
SecurityControlId— El identificador para el control en todos los estándares compatibles con el Security Hub CSPM. -
Status— El resultado de la comprobación más reciente que Security Hub CSPM realizó para el control. Los resultados de las comprobaciones anteriores se conservan en el historial del hallazgo. -
StatusReasons— Una matriz que enumera los motivos del valor especificado en elStatuscampo. Para cada motivo, incluye un código de motivo y una descripción.
En la siguiente tabla se enumeran los códigos de motivo y las descripciones que un hallazgo podría incluir en la StatusReasons matriz. Los pasos de corrección varían en función del control que haya generado un hallazgo con un código de motivo específico. Para revisar la guía de corrección de un control, consulte la. Referencia de control para Security Hub (CSPM)
| Código de motivo | Compliance status (Estado de conformidad) | Descripción |
|---|---|---|
|
|
|
El registro CloudTrail multirregional no tiene un filtro métrico válido. |
|
|
|
Los filtros métricos no están presentes en el sendero multirregional. CloudTrail |
|
|
|
La cuenta no tiene un registro multirregional CloudTrail con la configuración requerida. |
|
|
|
Los CloudTrail senderos multirregionales no se encuentran en la región actual. |
|
|
|
No hay acciones de alarma válidas presentes. |
|
|
|
CloudWatch las alarmas no existen en la cuenta. |
|
|
AWS Config el estado es |
AWS Config acceso denegado. Compruebe que AWS Config está activado y que se le han concedido los permisos suficientes. |
|
|
|
AWS Config evaluó sus recursos en función de la regla. La regla no se aplicaba a los AWS recursos incluidos en su ámbito, se eliminaron los recursos especificados o se eliminaron los resultados de la evaluación. |
|
|
|
La AWS Config grabadora usa una función de IAM personalizada en lugar de la función AWS Config vinculada al servicio, y el parámetro |
|
|
|
AWS Config no está activado con la grabadora de configuración encendida. |
|
|
|
AWS Config no registra todos los tipos de recursos que corresponden a los controles CSPM de Security Hub habilitados. Active la grabación de los siguientes recursos:. |
|
|
|
El estado de cumplimiento se AWS Config no indica el motivo del estado. Estas son algunas de las posibles razones del estado de No aplicable:
|
|
|
AWS Config el estado es |
Este código de motivo se utiliza para varios tipos diferentes de errores de evaluación. La descripción proporciona la información específica del motivo. El tipo de error puede ser uno de los siguientes:
|
|
|
AWS Config el estado es |
La AWS Config regla está en proceso de creación. |
|
|
|
Se ha producido un error desconocido. |
|
|
|
El CSPM de Security Hub no puede realizar una comprobación con un entorno de ejecución de Lambda personalizado. |
|
|
|
El hallazgo se encuentra en un Esta regla no admite comprobaciones entre regiones ni entre cuentas. Se recomienda deshabilitar este control en esta región o cuenta. Ejecútelo solo en la región o cuenta donde se encuentra el recurso. |
|
|
|
Los filtros de métricas de CloudWatch Logs no tienen una suscripción a Amazon SNS válida. |
|
|
|
El resultado se encuentra en un estado de El tema de SNS asociado a esta regla es propiedad de otra cuenta. La cuenta actual no puede obtener la información de la suscripción. La cuenta propietaria del tema de SNS debe conceder a la cuenta actual el permiso |
|
|
|
El resultado se encuentra en un estado de Esta regla no admite comprobaciones entre regiones ni entre cuentas. Se recomienda deshabilitar este control en esta región o cuenta. Ejecútelo solo en la región o cuenta donde se encuentra el recurso. |
|
|
|
El tema de SNS asociado a esta regla no es válido. |
|
|
|
La operación de la API relevante superó la tasa permitida. |
ProductFields detalles de los hallazgos de control
En los resultados generados por las comprobaciones de seguridad de los controles, el ProductFieldsatributo del formato de búsqueda de AWS seguridad (ASFF) puede incluir los siguientes campos.
ArchivalReasons:0/Description-
Describe por qué Security Hub CSPM archivó un hallazgo.
Por ejemplo, Security Hub CSPM archiva las conclusiones existentes al deshabilitar un control o un estándar, o al habilitar o deshabilitar las conclusiones de control consolidadas.
ArchivalReasons:0/ReasonCode-
Especifica por qué Security Hub CSPM archivó un hallazgo.
Por ejemplo, Security Hub CSPM archiva las conclusiones existentes al deshabilitar un control o un estándar, o al habilitar o deshabilitar las conclusiones de control consolidadas.
PreviousComplianceStatus-
El estado de conformidad anterior (
Compliance.Status) del recurso para el control especificado, en el momento de la actualización más reciente del hallazgo. Si el estado de conformidad del recurso no cambió durante la actualización más reciente, este valor es el mismo que el valor delCompliance.Statuscampo de la comprobación. Para obtener una lista de los posibles valores, consulte Evaluación del estado de cumplimiento y el estado de control. StandardsGuideArnoStandardsArn-
El ARN del estándar asociado con el control.
Para el estándar CIS AWS Foundations Benchmark, el campo es
StandardsGuideArn. Para los estándares PCI DSS y AWS Foundational Security Best Practices, el campo es.StandardsArnEstos campos se eliminan en favor de
Compliance.AssociatedStandardssi habilita los resultados de control consolidados. StandardsGuideSubscriptionArnoStandardsSubscriptionArn-
El ARN de la suscripción de la cuenta al estándar.
Para el estándar de referencia de CIS AWS Foundations, el campo es.
StandardsGuideSubscriptionArnPara los estándares PCI DSS y AWS Foundational Security Best Practices, el campo es.StandardsSubscriptionArnEstos campos se eliminan si habilita los resultados de control consolidados.
RuleIdoControlId-
El identificador del control.
Para el estándar CIS AWS Foundations Benchmark, el campo es
RuleId. Para otros estándares, el campo esControlId.Estos campos se eliminan en favor de
Compliance.SecurityControlIdsi habilita los resultados de control consolidados. RecommendationUrl-
La URL de la información de corrección del control. Este campo se elimina a favor de
Remediation.Recommendation.Urlsi habilita los resultados de control consolidados. RelatedAWSResources:0/name-
El nombre del recurso asociado a el resultado.
RelatedAWSResource:0/type-
El tipo de recurso asociado con el control.
StandardsControlArn-
El ARN del control. Este campo se elimina si habilita los resultados de control consolidados.
aws/securityhub/ProductName-
En el caso de los resultados del control, el nombre del producto es
Security Hub. aws/securityhub/CompanyName-
En el caso de los resultados de control, el nombre de la empresa es
AWS. aws/securityhub/annotation-
Una descripción del problema descubierto por el control.
aws/securityhub/FindingId-
El identificador del hallazgo.
Este campo no hace referencia a un estándar si habilita los resultados de control consolidados.
Niveles de gravedad de los hallazgos de control
La gravedad asignada a un control CSPM de Security Hub indica la importancia del control. La gravedad de un control determina la etiqueta de gravedad asignada a los resultados del control.
Criterios de gravedad
La gravedad de un control se determina en función de la evaluación de los siguientes criterios:
-
¿Cómo de difícil es para un agente de amenazas aprovechar la debilidad de la configuración asociada al control? La dificultad viene determinada por el grado de sofisticación o complejidad que se requiere para utilizar la debilidad para llevar a cabo un escenario de amenaza.
-
¿Qué posibilidades hay de que la debilidad comprometa sus recursos Cuentas de AWS o sus recursos? Si sus recursos se Cuentas de AWS ven comprometidos, la confidencialidad, la integridad o la disponibilidad de sus datos o AWS infraestructura se ven afectadas de alguna manera. La probabilidad de que se ponga en peligro indica la probabilidad de que el escenario de amenaza provoque una interrupción o una violación de sus recursos Servicios de AWS o de sus recursos.
Como ejemplo, fíjese en las siguientes debilidades de configuración:
-
Las claves de acceso de los usuarios no se renuevan cada 90 días.
-
Existe la clave de usuario raíz de IAM.
Ambas debilidades son igualmente difíciles de aprovechar para un adversario. En ambos casos, el adversario puede utilizar el robo de credenciales o algún otro método para adquirir una clave de usuario. Luego pueden usarla para acceder a sus recursos de forma no autorizada.
Sin embargo, la probabilidad de que se ponga en peligro es mucho mayor si el autor de la amenaza adquiere la clave de acceso del usuario raíz, ya que esto le da un mayor acceso. Como resultado, la debilidad clave del usuario raíz es más grave.
La gravedad no tiene en cuenta la criticidad del recurso subyacente. El nivel de importancia crítica se define como el nivel de importancia de los recursos que están asociados con el resultado. Por ejemplo, un recurso asociado a una aplicación de misión crítica es más crítico que uno que está asociado a pruebas ajenas a la producción. Para capturar información sobre la criticidad de los recursos, utilice el Criticality campo del formato de búsqueda de AWS seguridad (ASFF).
La siguiente tabla muestra la dificultad de explotación y la probabilidad de que las etiquetas de seguridad se vean comprometidas.
|
Compromiso muy probable |
Compromiso probable |
Compromiso poco probable |
Compromiso muy poco probable |
|
|
Muy fácil de explotar |
Critico |
Critico |
Alto |
Medio |
|
Algo fácil de explotar |
Critico |
Alto |
Medio |
Medio |
|
Algo difícil de explotar |
Alto |
Medio |
Medio |
Bajo |
|
Muy difícil de explotar |
Medio |
Medio |
Bajo |
Bajo |
Definiciones de gravedad
Las etiquetas de gravedad se definen de la siguiente manera.
- Crítico: el problema debe solucionarse de inmediato para evitar una escalada.
-
Por ejemplo, un bucket de S3 abierto se considera un hallazgo de gravedad crítica. Debido a que muchos agentes exploran buckets S3 abiertos, es probable que otros detecten los datos de un bucket de S3 expuesto y accedan a ellos.
En general, los recursos que son de acceso público se consideran problemas de seguridad críticos. Debe tratar los resultados críticos con la máxima urgencia. También debe tener en cuenta la criticidad del recurso.
- Alto: el problema debe abordarse con prioridad a corto plazo.
-
Por ejemplo, si un grupo de seguridad de VPC predeterminado está abierto al tráfico entrante y saliente, se considera de gravedad alta. Es bastante fácil para un actor de amenazas comprometer un VPC mediante este método. También es probable que el actor de la amenaza pueda interrumpir o exfiltrar los recursos una vez que estén en el VPC.
Security Hub CSPM recomienda tratar una detección de gravedad alta como una prioridad a corto plazo. Debe tomar medidas correctivas de inmediato. También debe tener en cuenta la criticidad del recurso.
- Medio: el tema debe abordarse como una prioridad a medio plazo.
-
Por ejemplo, la falta de cifrado de los datos en tránsito se considera un resultado de gravedad media. Se requiere un man-in-the-middle ataque sofisticado para aprovechar esta debilidad. Es decir, es algo difícil. Es probable que algunos datos se vean comprometidos si el escenario de amenaza tiene éxito.
Security Hub CSPM recomienda que investigue el recurso implicado lo antes posible. También debe tener en cuenta la criticidad del recurso.
- Bajo: el problema no requiere acción por sí solo.
-
Por ejemplo, la falta de recopilación de información forense se considera de gravedad baja. Este control puede ayudar a evitar futuros compromisos, pero la ausencia de análisis forense no conduce directamente a un compromiso.
No es necesario tomar medidas inmediatas ante los resultados de baja gravedad, pero pueden proporcionar un contexto si los correlacionas con otros problemas.
- Informativo: no se encontró ningún punto débil en la configuración.
-
En otras palabras, el estado es
PASSED,WARNINGoNOT AVAILABLE.No se recomienda ninguna acción. Los resultados informativos ayudan a los clientes a demostrar que están en un estado de conformidad.
