Configuración del estado del flujo de trabajo de los hallazgos en Security Hub (CSPM) - AWS Security Hub
Configuración del estado de flujo de trabajo de los resultados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del estado del flujo de trabajo de los hallazgos en Security Hub (CSPM)

El estado de flujo de trabajo realiza un seguimiento del progreso de la investigación sobre un resultado. El estado del flujo de trabajo es específico de cada hallazgo individual y no afecta a la generación de nuevos hallazgos. Por ejemplo, si cambias el estado del flujo de trabajo de un hallazgo a SUPPRESSED oRESOLVED, tu cambio no impide que Security Hub CSPM genere un nuevo hallazgo para el mismo problema.

El estado del flujo de trabajo de un hallazgo puede ser uno de los siguientes valores.

¿NUEVO

Es el estado inicial de un resultado antes de revisarlo.

Los hallazgos que se ingieren de forma integrada Servicios de AWS, por ejemplo AWS Config, tienen NEW como estado inicial.

Security Hub CSPM también restablece el estado del flujo de trabajo desde NOTIFIED o RESOLVED hasta NEW en los siguientes casos:

  • RecordState cambia de ARCHIVED a ACTIVE.

  • Compliance.Status cambia de PASSED a FAILED, WARNING o NOT_AVAILABLE.

Estos cambios implican que es necesaria una investigación adicional.

NOTIFICADO

Indica que informó sobre el problema de seguridad al propietario del recurso. Puede utilizar este estado cuando no sea el propietario del recurso y necesite la intervención del propietario para que se resuelva un problema de seguridad.

Si se produce una de las siguientes situaciones, el estado del flujo de trabajo cambia automáticamente de NOTIFIED a NEW:

  • RecordState cambia de ARCHIVED a ACTIVE.

  • Compliance.Status cambia de PASSED a FAILED, WARNING o NOT_AVAILABLE.

SUPRIMIDO

Indica que ha revisado el resultado y no cree que sea necesario realizar ninguna acción.

El estado del flujo de trabajo de un resultado del tipo SUPPRESSED no cambia si RecordState cambia de ARCHIVED a ACTIVE.

RESUELTO

El hallazgo se ha revisado y se ha corregido. Ahora se considera resuelto.

El resultado permanece como RESOLVED a menos que se produzca alguna de las siguientes situaciones:

  • RecordState cambia de ARCHIVED a ACTIVE.

  • Compliance.Status cambia de PASSED a FAILED, WARNING o NOT_AVAILABLE.

En esos casos, el estado del flujo de trabajo se restablece automáticamente a NEW.

En el caso de los hallazgos de los controles, si Compliance.Status es PASSED así, Security Hub CSPM establece automáticamente el estado del flujo de trabajo en. RESOLVED

Configuración del estado de flujo de trabajo de los resultados

Para cambiar el estado del flujo de trabajo de uno o más hallazgos, puede utilizar la consola CSPM de Security Hub o la API CSPM de Security Hub. Si cambias el estado del flujo de trabajo de un hallazgo, ten en cuenta que Security Hub CSPM puede tardar varios minutos en procesar tu solicitud y actualizar el hallazgo.

sugerencia

También puede cambiar el estado del flujo de trabajo de los hallazgos automáticamente mediante reglas de automatización. Con las reglas de automatización, se configura Security Hub CSPM para que actualice automáticamente el estado del flujo de trabajo de los hallazgos en función de los criterios que especifique. Para obtener más información, consulte Descripción de las reglas de automatización en Security Hub CSPM.

Para cambiar el estado del flujo de trabajo de uno o más hallazgos, elija el método que prefiera y siga los pasos.

Security Hub CSPM console
Para cambiar el estado del flujo de trabajo de los hallazgos

  1. Abra la consola CSPM de AWS Security Hub en. https://console.aws.amazon.com/securityhub/

  2. En el panel de navegación, realice una de las siguientes acciones para mostrar una tabla de resultados:

    • Elija Hallazgos.

    • Elija Información. A continuación, elija una idea. En los resultados de la información, elija un resultado.

    • Seleccione Integraciones. A continuación, en la sección de integración, selecciona Ver resultados.

    • Elige Estándares de seguridad. A continuación, en la sección correspondiente a la norma, selecciona Ver resultados. En la tabla de controles, elija un control para mostrar los resultados del control.

  3. En la tabla de hallazgos, active la casilla de verificación de cada búsqueda cuyo estado de flujo de trabajo desee cambiar.

  4. En la parte superior de la página, elija el estado del flujo de trabajo y, a continuación, elija el nuevo estado del flujo de trabajo para los hallazgos seleccionados.

  5. En el cuadro de diálogo Definir el estado del flujo de trabajo, si lo desea, introduzca una nota en la que se detalle el motivo del cambio del estado del flujo de trabajo. A continuación, elija Establecer estado.

Security Hub CSPM API

Utilice la operación BatchUpdateFindings. Proporcione el ID de resultado y el ARN del producto que generó el resultado. Puede obtener estos detalles mediante la GetFindingsoperación.

AWS CLI

Ejecute el comando batch-update-findings. Proporcione el ID de resultado y el ARN del producto que generó el resultado. Puede obtener estos detalles ejecutando el comando get-findings.

batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"

Ejemplo

aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"