Conceptos y terminología en Security Hub CSPM

Una cuenta estándar de Amazon Web Services (AWS) que contiene tus AWS recursos. Puedes iniciar sesión AWS con tu cuenta y activar Security Hub CSPM.

Una cuenta puede invitar a otras cuentas a activar Security Hub CSPM y asociarse a esa cuenta en Security Hub CSPM. La aceptación de una invitación de suscripción es opcional. Si las invitaciones se aceptan, la cuenta se convierte en la cuenta de administrador, mientras que las cuentas añadidas se convierten en cuentas miembro. Las cuentas de administrador pueden ver los resultados de sus cuentas miembro.

Si está inscrito AWS Organizations, su organización designa una cuenta de administrador CSPM de Security Hub para la organización. La cuenta de administrador CSPM de Security Hub puede habilitar otras cuentas de la organización como cuentas de miembros.

Una cuenta no puede ser cuenta de administrador y cuenta miembro al mismo tiempo. Una cuenta solo puede tener una cuenta de administrador.

Para obtener más información, consulte Administrar las cuentas de administrador y miembro en Security Hub (CSPM).

Una cuenta de Security Hub CSPM a la que se le concede acceso para ver los resultados de las cuentas de los miembros asociadas.

Una cuenta se convierte en cuenta de administrador de las siguientes formas:

Una cuenta solo puede tener una cuenta de administrador. Una cuenta no puede ser cuenta de administrador y cuenta miembro al mismo tiempo.

La configuración de una región de agregación le permite ver los hallazgos de seguridad desde varios puntos de vista Regiones de AWS en un solo panel.

La región de agregación es la región desde la que se visualizan y administran los resultados. Los resultados se agregan a la región de agregación desde las regiones vinculadas. Las actualizaciones de los resultados se reproducen en todas las regiones.

En la región de agregación, las páginas de Estándares de seguridad, Información y Resultados contienen datos de todas las regiones vinculadas.

Para obtener más información, consulte Descripción de la agregación entre regiones en Security Hub CSPM.

Un hallazgo cuyo estado de registro es (RecordState)ARCHIVED. Archivar un resultado indica que el proveedor del mismo cree que dicho resultado ya no es relevante. El estado del registro es diferente del estado del flujo de trabajo, que rastrea el estado de la investigación de un hallazgo.

Los proveedores de búsqueda pueden utilizar el BatchImportFindingsfuncionamiento de la API CSPM de Security Hub para archivar los hallazgos que hayan creado. Security Hub CSPM archiva automáticamente los hallazgos de control que cumplen ciertos criterios. Para obtener más información, consulte Generar, actualizar y archivar las conclusiones de control.

En la consola CSPM de Security Hub, la configuración de filtro predeterminada excluye las conclusiones archivadas de las listas y tablas de búsqueda. Puede actualizar la configuración para incluir las conclusiones archivadas. Si recupera las conclusiones mediante la GetFindingsoperación de la API CSPM de Security Hub, la operación recupera las conclusiones archivadas y activas. Para excluir las conclusiones archivadas, puede filtrarlas. Por ejemplo:

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],

Formato estandarizado para el contenido de las conclusiones que Security Hub CSPM agrega o genera. El formato AWS Security Finding le permite utilizar Security Hub CSPM para ver y analizar los hallazgos generados por los servicios de seguridad, las soluciones de terceros o el propio AWS Security Hub CSPM a partir de la ejecución de comprobaciones de seguridad. Para obtener más información, consulte AWS Formato de búsqueda de seguridad (ASFF).

Una salvaguardia o contramedida prescrita para un sistema de información o una organización diseñada para proteger la confidencialidad, integridad y disponibilidad de su información y para cumplir un conjunto de requisitos de seguridad definidos. Un estándar de seguridad está asociado a un conjunto de controles.

El término control de seguridad se refiere a los controles que tienen un ID y un título de control únicos en todos los estándares. El término control estándar se refiere a los controles que tienen controles y títulos específicos de un estándar. IDs Actualmente, Security Hub CSPM admite controles estándar solo en las regiones de China y. AWS GovCloud (US) Regions Los controles de seguridad son compatibles en todas las demás regiones.

Un mecanismo CSPM de Security Hub al que enviar los hallazgos seleccionados. EventBridge Se crea una acción personalizada en Security Hub CSPM. A continuación, se vincula a una EventBridge regla. La regla define una acción específica que se debe realizar cuando se recibe un resultado asociado al ID de la acción personalizada. Las acciones personalizadas se pueden utilizar, por ejemplo, para enviar un resultado específico o un pequeño conjunto de resultados a un flujo de trabajo de respuesta o corrección. Para obtener más información, consulte Crear una acción personalizada.

En AWS Organizations, la cuenta de administrador delegado de un servicio puede gestionar el uso de un servicio para la organización.

En Security Hub CSPM, la cuenta de administrador CSPM de Security Hub también es la cuenta de administrador delegado para Security Hub CSPM. Cuando la cuenta de administración de la organización designa por primera vez una cuenta de administrador CSPM de Security Hub, Security Hub CSPM llama a las organizaciones para convertir esa cuenta en la cuenta de administrador delegado.

A continuación, la cuenta de administración de la organización debe elegir la cuenta de administrador delegado como cuenta de administrador CSPM de Security Hub en todas las regiones.

El registro observable de un control de seguridad o una detección relacionada con la seguridad. Security Hub CSPM genera hallazgos después de completar las comprobaciones de seguridad de los controles. Estos se denominan hallazgos de control. Los resultados también pueden provenir de integraciones con productos de otros fabricantes Servicios de AWS y de terceros.

Para obtener más información, consulte Creación y actualización de los hallazgos en Security Hub (CSPM).

La agregación de resultados, información, estados de conformidad de los controles y puntuaciones de seguridad de las regiones vinculadas a una región de agregación. A continuación, puede ver todos los datos de la región de agregación y actualizar los resultados y la información de la región de agregación.

Para obtener más información, consulte Descripción de la agregación entre regiones en Security Hub CSPM.

La importación de los resultados a Security Hub CSPM desde otros AWS servicios y desde proveedores asociados externos.

Los eventos de ingesta de resultados incluyen tanto resultados nuevos como actualizaciones de resultados existentes.

Una recopilación de resultados relacionados definida por una instrucción de agregación y filtros opcionales. Una información identifica un área de seguridad que requiere atención e intervención. Security Hub CSPM ofrece varios datos gestionados (predeterminados) que no se pueden modificar. También puede crear información CSPM personalizada de Security Hub para realizar un seguimiento de los problemas de seguridad que son exclusivos de su AWS entorno y uso. Para obtener más información, consulte Visualización de información en Security Hub CSPM.

Al habilitar la agregación entre regiones, una región vinculada es una región que agrega resultados, información, estados de conformidad de controles y puntuaciones de seguridad a la región de agregación.

En una región vinculada, las páginas de Resultados e información contienen únicamente resultados de esa región.

Para obtener más información, consulte Descripción de la agregación entre regiones en Security Hub CSPM.

Una cuenta que ha concedido permiso a una cuenta de administrador para ver sus resultados y tomar medidas al respecto.

Una cuenta se convierte en cuenta miembro de las siguientes formas:

Un conjunto de requisitos reglamentarios o del sector asignados a un control.

Un conjunto de criterios automatizados que se utiliza para evaluar si se cumple un control. Cuando se evalúa una regla, puede superarse o devolver un error. Si la evaluación no puede determinar si la regla se supera o devuelve un error, la regla se encuentra en un estado de advertencia. Si la regla no se puede evaluar, está en un estado no disponible.

point-in-timeEvaluación específica de una regla comparándola con un único recurso que da como resultado unPASSED, FAILEDWARNING, o NOT_AVAILABLE un estado. La ejecución de un control de seguridad produce un resultado.

Una cuenta de organización que administra la membresía CSPM de Security Hub para una organización.

La cuenta de administración de la organización designa la cuenta de administrador CSPM de Security Hub en cada región. La cuenta de administración de la organización debe elegir la misma cuenta de administrador CSPM de Security Hub en todas las regiones.

La cuenta de administrador CSPM de Security Hub también es la cuenta de administrador delegado para Security Hub CSPM en Organizations.

La cuenta de administrador CSPM de Security Hub puede habilitar cualquier cuenta de la organización como cuenta de miembro. La cuenta de administrador CSPM de Security Hub también puede invitar a otras cuentas a ser cuentas de miembros.

Una instrucción publicada sobre un tema que especifica las características, normalmente medibles y en forma de controles, que deben cumplirse o lograrse para fines de conformidad. Los estándares de seguridad pueden basarse en marcos normativos, prácticas recomendadas o políticas internas de la empresa. Un control puede estar asociado a uno o más estándares compatibles en Security Hub CSPM. Para obtener más información sobre los estándares de seguridad de Security Hub CSPM, consulte. Descripción de los estándares de seguridad en Security Hub (CSPM)

La gravedad asignada a un control CSPM de Security Hub identifica la importancia del control. La gravedad de un control puede ser Crítica, Alta, Media, Baja o Informativa. La gravedad asignada a los resultados del control es igual a la gravedad del propio control. Para obtener información sobre cómo el CSPM de Security Hub asigna la gravedad a un control, consulte. Niveles de gravedad de los hallazgos de control

El estado de una investigación sobre un resultado. Esto se rastrea mediante el atributo. Workflow.Status

El estado del flujo de trabajo es inicialmente NEW. Si ha notificado al propietario del recurso que tome medidas sobre el resultado, puede establecer el estado del flujo de trabajo en NOTIFIED. Si el resultado no es un problema y no requiere ninguna acción, establezca el estado del flujo de trabajo en SUPPRESSED. Después de revisar y corregir un resultado, establezca el estado del flujo de trabajo en RESOLVED.

De forma predeterminada, la mayoría de las listas de resultados solo incluyen resultados con un estado de flujo de trabajo de NEW o NOTIFIED. Las listas de resultados para los controles también incluyen resultados RESOLVED.

Para la operación de GetFindings, puede incluir un filtro para el estado del flujo de trabajo.

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

La consola CSPM de Security Hub ofrece una opción para configurar el estado del flujo de trabajo de los hallazgos. Los clientes (o herramientas SOAR, de SIEM, de venta de tickets, de administración de incidentes que trabajan en nombre de un cliente para actualizar resultados de los proveedores de resultados) también pueden utilizar BatchUpdateFindings para actualizar el estado del flujo de trabajo.