Revisión de los detalles y el historial de búsquedas en Security Hub (CSPM) - AWS Security Hub
Revisión de los detalles y el historial de resultados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Revisión de los detalles y el historial de búsquedas en Security Hub (CSPM)

En AWS Security Hub Cloud Security Posture Management (CSPM), un hallazgo es un registro observable de un control de seguridad o una detección relacionada con la seguridad. Security Hub CSPM genera un hallazgo cuando completa una comprobación de seguridad de un control y cuando ingiere un hallazgo de un producto integrado Servicio de AWS o de terceros. Cada resultado incluye un historial de cambios y otros detalles, como una clasificación de gravedad e información sobre los recursos afectados.

Puede revisar el historial y otros detalles de los hallazgos individuales en la consola CSPM de Security Hub o mediante programación con la API CSPM de Security Hub o el. AWS CLI

Para ayudarlo a agilizar el análisis, la consola CSPM de Security Hub muestra un panel de búsqueda cuando elige un hallazgo específico. El panel incluye diferentes menús y pestañas para revisar los detalles específicos de un hallazgo.

Menús de acciones

Desde este menú, puede revisar el JSON completo de un resultado o agregar notas. A un hallazgo solo se le puede adjuntar una nota cada vez. Este menú también ofrece opciones para configurar el estado del flujo de trabajo de una búsqueda o enviar una búsqueda a una acción personalizada en Amazon EventBridge.

Menú de investigación

Desde este menú, puede investigar un resultado en Amazon Detective. Detective extrae entidades, como direcciones IP y AWS usuarios, de un hallazgo y visualiza su actividad. Puede utilizar la actividad de la entidad como punto de partida para investigar la causa y el impacto de un resultado.

Pestaña Overview (Información general)

Esta pestaña proporciona un resumen de un hallazgo. Por ejemplo, puede determinar cuándo se creó y actualizó por última vez un hallazgo, en qué cuenta existe y el origen del hallazgo. Para los hallazgos de control, esta pestaña también muestra el nombre de la AWS Config regla asociada y un enlace a la guía de corrección en la documentación de CSPM de Security Hub.

En la instantánea de los recursos de la pestaña Descripción general, puede obtener una breve descripción de los recursos que intervienen en un hallazgo. En el caso de algunos recursos, se incluye la opción Abrir recurso, que enlaza directamente con el recurso afectado en la Servicio de AWS consola correspondiente. La instantánea del Historial muestra hasta dos cambios realizados en el resultado en la fecha más reciente para la que se está rastreando el historial. Por ejemplo, si realizó un cambio ayer y otro hoy, la instantánea mostrará el cambio de hoy. Para revisar las entradas anteriores, vaya a la pestaña Historial.

La fila Conformidad se expande para mostrar más detalles. Por ejemplo, si un control incluye parámetros, puede revisar los valores de los parámetros que Security Hub CSPM utiliza actualmente al realizar comprobaciones de seguridad para el control.

Pestaña recursos

En esta pestaña se proporcionan detalles sobre los recursos que intervienen en un resultado. Si ha iniciado sesión en la cuenta propietaria de un recurso, puede revisar el recurso en la consola correspondiente Servicio de AWS . Si no eres el propietario de un recurso, en esta pestaña se muestra el Cuenta de AWS ID del propietario.

La fila Detalles muestra los detalles específicos del recurso en un hallazgo. Muestra la ResourceDetailssección del hallazgo en formato JSON.

La fila Etiquetas muestra las claves y los valores de las etiquetas que se asignan a los recursos involucrados en un hallazgo. Los recursos que son compatibles con la operación GetResources de la API de etiquetado de AWS Resource Groups se pueden etiquetar. Security Hub CSPM llama a esta operación mediante un rol vinculado a un servicio cuando procesa hallazgos nuevos o actualizados, y recupera las etiquetas de recursos si el campo AWS Security Finding Format (ASFF) Resource.Id se rellena con el ARN de un recurso. Security Hub CSPM ignora el recurso no válido. IDs Para obtener más información sobre la inclusión de etiquetas de recursos en los resultados, consulte Etiquetas.

Pestaña Historial

Esta pestaña rastrea el historial de un hallazgo. El historial de resultados está disponible para los resultados activos y archivados. Proporciona un registro inmutable de los cambios realizados en un hallazgo a lo largo del tiempo, incluyendo qué campo ASFF ha cambiado, cuándo se ha producido el cambio y qué usuario lo ha hecho. Cada página de la pestaña muestra hasta 20 cambios. Los cambios más recientes se muestran primero.

En el caso de los hallazgos activos, el historial de búsquedas está disponible durante un máximo de 90 días. En el caso de los hallazgos archivados, el historial de búsquedas está disponible durante un máximo de 30 días. El historial de búsquedas incluye los cambios que se realizaron de forma manual o automática mediante las reglas de automatización CSPM de Security Hub. No incluye los cambios en los campos de fecha y hora de nivel superior, como los campos y. CreatedAt UpdatedAt

Si ha iniciado sesión en una cuenta de administrador CSPM de Security Hub, la búsqueda del historial corresponde a la cuenta de administrador y a todas las cuentas de los miembros.

Pestaña de amenazas

Esta pestaña incluye datos de los objetos Action, Malware y ProcessDetails del ASFF, incluidos el tipo de amenaza y si un recurso es el objetivo o el actor. Por lo general, estos detalles se aplican a los hallazgos que se originan en Amazon GuardDuty.

Pestaña de vulnerabilidades

Esta pestaña muestra los datos del objeto Vulnerability del ASFF, incluyendo si hay vulnerabilidades o correcciones disponibles asociadas a un resultado. Estos detalles suelen aplicarse a las conclusiones que se originan en Amazon Inspector.

Las filas de cada pestaña incluyen una opción de copiar o filtrar. Por ejemplo, si abre el panel de un hallazgo cuyo estado de flujo de trabajo es Notificado, puede elegir la opción de filtro situada junto a la fila de estado del flujo de trabajo. Si elige Mostrar todos los hallazgos con este valor, Security Hub CSPM filtra la tabla de hallazgos y muestra solo los hallazgos con el mismo estado de flujo de trabajo.

Revisión de los detalles y el historial de resultados

Elija el método que prefiera y siga los pasos para revisar los detalles de búsqueda en Security Hub CSPM.

Si activó la agregación entre regiones e inicia sesión en la región de agregación, los datos de resultados incluyen datos de la región de agregación y de las regiones vinculadas. En otras regiones, los datos de resultados son específicos únicamente de esa región. Para obtener más información sobre la agregación entre regiones, consulte Descripción de la agregación entre regiones en Security Hub CSPM.

Security Hub CSPM console
Revisión de los detalles y el historial de resultados

  1. Abra la consola AWS de Security Hub Cloud Security Posture Management (CSPM) en. https://console.aws.amazon.com/securityhub/

  2. Para mostrar una lista de resultado, realice una de las acciones siguientes:

    • En el panel de navegación, seleccione Resultados. Añada los filtros de búsqueda necesarios para reducir la lista de búsquedas.

    • En el panel de navegación, elija Insights. Elija una información. A continuación, en la lista de resultados, selecciona un resultado informativo.

    • En el panel de navegación, elija Integraciones. Seleccione Ver los resultados de una integración.

    • En el panel de navegación, elija Controles.

  3. Elija un hallazgo. El panel de búsqueda muestra los detalles de la búsqueda.

  4. En el panel de búsqueda, realice una de las siguientes acciones:

    • Para revisar los detalles específicos del hallazgo, selecciona una pestaña.

    • Para realizar una acción en relación con el hallazgo, elija una opción del menú Acciones.

    • Para investigar el hallazgo en Amazon Detective, selecciona la opción Investigar.

nota

Si te integras con una cuenta de miembro AWS Organizations y has iniciado sesión en ella, el panel de búsqueda incluirá el nombre de la cuenta. Para las cuentas de miembros que se invitan manualmente, en lugar de hacerlo a través de Organizations, el panel de búsqueda incluye solo el ID de la cuenta.

Security Hub CSPM API

Utilice la GetFindingsoperación de la API CSPM de Security Hub o, si está utilizando la AWS CLI, ejecute el get-findingscomando. Puede proporcionar uno o más valores para el Filters parámetro a fin de limitar los resultados que desee recuperar.

Si el volumen de resultados es demasiado grande, puede utilizar el parámetro MaxResults para limitar los resultados a un número específico y el parámetro NextToken para paginar los resultados. Use el parámetro SortCriteria para ordenar los resultados por un campo específico.

Por ejemplo, el siguiente AWS CLI comando recupera los resultados que coinciden con los criterios de filtro especificados y ordena los resultados en orden descendente por campo. LastObservedAt Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Para revisar el historial de resultados, utilice la operación GetFindingHistory. Si está utilizando el AWS CLI, ejecute el get-finding-historycomando. Identifique el resultado del que desea obtener un historial con los campos ProductArn y Id. Para obtener información acerca de estos campos, consulte AwsSecurityFindingIdentifier. Cada solicitud puede recuperar el historial de un solo hallazgo.

Por ejemplo, el siguiente AWS CLI comando recupera el historial del hallazgo especificado. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
PowerShell

Utilice el cmdlet Get-SHUBFinding. Si lo desea, rellene el Filter parámetro para limitar los resultados que desee recuperar.

Por ejemplo, el siguiente cmdlet recupera los resultados que coinciden con los filtros especificados.

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
nota

Si filtra las conclusiones por CompanyName oProductName, el CSPM de Security Hub utiliza los valores que forman parte del objeto ProductFields ASFF. Security Hub CSPM no usa el nivel superior y los camposCompanyName. ProductName