Revisión de detalles e historial de resultados en el CSPM de Security Hub - AWSSecurity Hub
Revisión de los detalles y el historial de resultados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Revisión de detalles e historial de resultados en el CSPM de Security Hub

En AWS Security Hub CSPM, un hallazgo es un registro observable de un control de seguridad o una detección relacionada con la seguridad. El CSPM de Security Hub genera un resultado cuando completa una comprobación de seguridad de un control o cuando ingiere un resultado proveniente de un Servicio de AWS o producto de terceros integrado. Cada resultado incluye un historial de cambios y otros detalles, como una clasificación de gravedad e información sobre los recursos afectados.

Puede revisar el historial y otros detalles de resultados individuales en la consola del CSPM de Security Hub o mediante programación con la API del CSPM de Security Hub o la AWS CLI.

Para ayudar a agilizar el análisis, la consola del CSPM de Security Hub muestra un panel de resultado cuando selecciona un resultado específico. El panel incluye distintos menús y pestañas para revisar los detalles específicos de un resultado.

Menús de acciones

Desde este menú, puede revisar el JSON completo de un resultado o agregar notas. Un resultado puede tener solo una nota asociada a la vez. Este menú también ofrece opciones para configurar el estado del flujo de trabajo de una búsqueda o enviar una búsqueda a una acción personalizada en Amazon EventBridge.

Menú de investigación

Desde este menú, puede investigar un resultado en Amazon Detective. Detective extrae entidades, como direcciones IP y AWS usuarios, de un hallazgo y visualiza su actividad. Puede utilizar la actividad de la entidad como punto de partida para investigar la causa y el impacto de un resultado.

Pestaña Overview (Información general)

Esta pestaña ofrece un resumen del resultado. Por ejemplo, puede ver cuándo se creó y cuándo se actualizó por última vez, en qué cuenta existe y cuál es el origen del resultado. En el caso de los resultados de controles, esta pestaña también muestra el nombre de la regla de AWS Config asociada y un enlace a la guía de remediación en la documentación del CSPM de Security Hub.

En la instantánea de Recursos en la pestaña Descripción general, puede obtener una vista breve de los recursos involucrados en el resultado. En el caso de algunos recursos, se incluye la opción Abrir recurso, que enlaza directamente con un recurso afectado en la Servicio de AWS consola correspondiente. La instantánea del Historial muestra hasta dos cambios realizados en el resultado en la fecha más reciente para la que se está rastreando el historial. Por ejemplo, si hizo un cambio ayer y otro hoy, la instantánea muestra el cambio más reciente. Para revisar entradas anteriores, cambie a la pestaña Historial.

La fila Conformidad se expande para mostrar más detalles. Por ejemplo, si un control incluye parámetros, puede revisar los valores del parámetro que el CSPM de Security Hub utiliza actualmente al realizar las comprobaciones de seguridad del control.

Pestaña recursos

En esta pestaña se proporcionan detalles sobre los recursos que intervienen en un resultado. Si has iniciado sesión en la cuenta propietaria de un recurso, puedes revisar el recurso en la Servicio de AWS consola correspondiente. Si no eres el propietario de un recurso, en esta pestaña se muestra el Cuenta de AWS ID del propietario.

La fila Detalles muestra información específica del recurso en un resultado. Incluye la sección ResourceDetails del resultado en formato JSON.

La fila Etiquetas muestra las claves y valores de etiquetas asignados a los recursos involucrados en un resultado. Los recursos que son compatibles con la operación GetResources de la API de etiquetado de Grupos de recursos de AWS se pueden etiquetar. El CSPM de Security Hub invoca esta operación mediante un rol vinculado al servicio cuando procesa resultados nuevos o actualizados, y recupera las etiquetas del recurso si el campo Resource.Id del Formato de resultados de seguridad de AWS (ASFF) contiene el ARN de un recurso. Security Hub CSPM ignora el recurso no válido. IDs Para obtener más información sobre la inclusión de etiquetas de recursos en los resultados, consulte Tags.

Pestaña de historial

Esta pestaña rastrea el historial de un resultado. El historial de resultados está disponible para los resultados activos y archivados. Proporciona un registro inmutable de los cambios realizados en un resultado a lo largo del tiempo, incluidos los campos del ASFF que cambiaron, cuándo ocurrió el cambio y qué usuario lo realizó. Cada página de la pestaña muestra hasta 20 cambios. Los cambios más recientes se muestran primero.

En el caso de resultados activos, el historial está disponible por hasta 90 días. En el caso de resultados archivados, el historial está disponible por hasta 30 días. El historial incluye los cambios realizados manualmente o de forma automática por las reglas de automatización del CSPM de Security Hub. No incluye cambios en los campos de marcas de tiempo de nivel superior, como los campos CreatedAt y UpdatedAt.

Si inicia sesión en una cuenta de administrador del CSPM de Security Hub, el historial de resultados corresponde tanto a la cuenta de administrador como a todas las cuentas de miembro.

Pestaña de amenazas

Esta pestaña incluye datos de los objetos Action, Malware y ProcessDetails del ASFF, incluidos el tipo de amenaza y si un recurso es el objetivo o el actor. Por lo general, estos detalles se aplican a los hallazgos que se originan en Amazon GuardDuty.

Pestaña de vulnerabilidades

Esta pestaña muestra los datos del objeto Vulnerability del ASFF, incluyendo si hay vulnerabilidades o correcciones disponibles asociadas a un resultado. Estos detalles también se aplican por lo general a resultados que se originan en Amazon Inspector.

Las filas de cada pestaña incluyen una opción para copiar o filtrar. Por ejemplo, si abre el panel de un resultado cuyo estado de flujo de trabajo es Notificado, puede elegir la opción de filtrado junto a Estado del flujo de trabajo. Si selecciona Mostrar todos los resultados con este valor, el CSPM de Security Hub filtra la tabla de resultados y muestra únicamente aquellos que tienen el mismo estado de flujo de trabajo.

Revisión de los detalles y el historial de resultados

Elija el método que prefiera y siga los pasos para revisar los detalles de los resultados en el CSPM de Security Hub.

Si activó la agregación entre regiones e inicia sesión en la región de agregación, los datos de resultados incluyen datos de la región de agregación y de las regiones vinculadas. En otras regiones, los datos de resultados son específicos únicamente de esa región. Para obtener más información sobre la agregación entre regiones, consulte Descripción de la agregación entre regiones en el CSPM de Security Hub.

Security Hub CSPM console
Revisión de los detalles y el historial de resultados

  1. Abra la consola CSPM de AWS Security Hub en. https://console.aws.amazon.com/securityhub/

  2. Para mostrar una lista de resultado, realice una de las acciones siguientes:

    • En el panel de navegación, seleccione Resultados. Agregue los filtros de búsqueda según sea necesario para acotar la lista de resultados.

    • En el panel de navegación, elija Insights. Elija una información. En la lista de resultados, seleccione un resultado de producto de información.

    • En el panel de navegación, elija Integraciones. Seleccione Ver los resultados de una integración.

    • En el panel de navegación, elija Controles.

  3. Seleccione un resultado. El panel del resultado muestra todos los detalles correspondientes.

  4. En ese panel, puede realizar cualquiera de las siguientes acciones:

    • Revisar detalles específicos del resultado. Para ello, seleccione una pestaña.

    • Tomar medidas con respecto al resultado. Para ello, seleccione una opción del menú Acciones.

    • Investigar el resultado en Amazon Detective. Para ello, sleccione la opción Investigar.

nota

Si te integras con una cuenta de miembro AWS Organizations y has iniciado sesión en ella, el panel de búsqueda incluirá el nombre de la cuenta. En cambio, para cuentas de miembro invitadas manualmente (en lugar de pertenecer a Organizations), el panel muestra únicamente el ID de la cuenta.

Security Hub CSPM API

Utilice la GetFindingsoperación de la API CSPM de Security Hub o, si está utilizando laAWS CLI, ejecute el get-findingscomando. Puede proporcionar uno o varios valores para el parámetro Filters con el fin de limitar los resultados que desea obtener.

Si el volumen de resultados es demasiado grande, puede utilizar el parámetro MaxResults para limitar los resultados a un número específico y el parámetro NextToken para paginar los resultados. Use el parámetro SortCriteria para ordenar los resultados por un campo específico.

Por ejemplo, el siguiente AWS CLI comando recupera los resultados que coinciden con los criterios de filtro especificados y ordena los resultados en orden descendente por campo. LastObservedAt Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Para revisar el historial de resultados, utilice la operación GetFindingHistory. Si está utilizando elAWS CLI, ejecute el get-finding-historycomando. Identifique el resultado del que desea obtener un historial con los campos ProductArn y Id. Para obtener información acerca de estos campos, consulte AwsSecurityFindingIdentifier. Cada solicitud puede recuperar el historial de un único resultado.

Por ejemplo, el siguiente AWS CLI comando recupera el historial del hallazgo especificado. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
PowerShell

Utilice el cmdlet Get-SHUBFinding. De manera opcional, puede completar el parámetro Filter para acotar los resultados que desea recuperar.

Por ejemplo, el siguiente cmdlet recupera los resultados que coinciden con los filtros especificados.

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
nota

Si filtra los resultados por CompanyName o por ProductName, el CSPM de Security Hub usa los valores que forman parte del objeto ASFF de ProductFields. El CSPM de Security Hub no usa los campos de nivel superior CompanyName y ProductName.