Creación y actualización de los hallazgos en Security Hub (CSPM) - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación y actualización de los hallazgos en Security Hub (CSPM)

En AWS Security Hub Cloud Security Posture Management (CSPM), un hallazgo es un registro observable de un control de seguridad o una detección relacionada con la seguridad. Un hallazgo puede provenir de una de las siguientes fuentes:

  • Una comprobación de seguridad para un control en Security Hub CSPM.

  • Una integración con otro. Servicio de AWS

  • Una integración con un producto de terceros.

  • Una integración personalizada.

Security Hub CSPM normaliza los hallazgos de todas las fuentes en una sintaxis y un formato estándar denominados AWS Security Finding Format (ASFF). Para obtener información detallada sobre este formato, incluidas las descripciones de los campos ASFF individuales, consulte. AWS Formato de búsqueda de seguridad (ASFF) Si habilita la agregación entre regiones, Security Hub CSPM también agrega automáticamente los hallazgos nuevos y actualizados de todas las regiones vinculadas a la región de agregación que especifique. Para obtener más información, consulte Descripción de la agregación entre regiones en Security Hub CSPM.

Una vez creada una búsqueda, se puede actualizar de la siguiente manera:

  • Un proveedor de búsquedas puede usar el BatchImportFindingsfuncionamiento de la API CSPM de Security Hub para actualizar la información general sobre la búsqueda. Los proveedores de hallazgos solo pueden actualizar los hallazgos que hayan creado.

  • Un cliente puede usar la consola CSPM de Security Hub o el BatchUpdateFindingsfuncionamiento de la API CSPM de Security Hub para actualizar el estado de la investigación sobre el hallazgo. La BatchUpdateFindings operación también puede ser utilizada por un SIEM, la emisión de tickets, la gestión de incidentes, la SOAR u otro tipo de herramienta en nombre de un cliente.

Para reducir el ruido de las búsquedas y agilizar el seguimiento y el análisis de los hallazgos individuales, Security Hub CSPM elimina automáticamente los hallazgos que no se hayan actualizado recientemente. El momento en que Security Hub CSPM lo hace depende de si el hallazgo está activo o archivado:

  • Un hallazgo activo es aquel cuyo estado de registro () RecordState es. ACTIVE Security Hub CSPM almacena los hallazgos activos durante 90 días. Si un hallazgo activo no se ha actualizado durante 90 días, caduca y Security Hub CSPM lo elimina permanentemente.

  • Un hallazgo archivado es un hallazgo cuyo estado de registro () es. RecordState ARCHIVED Security Hub CSPM almacena los hallazgos archivados durante 30 días. Si un hallazgo archivado no se ha actualizado durante 30 días, caduca y Security Hub CSPM lo elimina permanentemente.

En el caso de los hallazgos de control, que son los hallazgos que Security Hub CSPM genera a partir de las comprobaciones de seguridad de los controles, Security Hub CSPM determina si un hallazgo ha caducado en función del valor del UpdatedAt campo del hallazgo. Si este valor es de hace más de 90 días para un hallazgo activo, Security Hub CSPM elimina el hallazgo de forma permanente. Si este valor fue hace más de 30 días para un hallazgo archivado, Security Hub CSPM lo elimina permanentemente.

Para todos los demás tipos de hallazgos, Security Hub CSPM determina si un hallazgo ha caducado en función de los valores de los UpdatedAt campos ProcessedAt y del hallazgo. Security Hub CSPM compara los valores de estos campos y determina cuál es más reciente. Si el valor más reciente de un hallazgo activo es de hace más de 90 días, Security Hub CSPM elimina el hallazgo de forma permanente. Si el valor más reciente fue de hace más de 30 días para un hallazgo archivado, Security Hub CSPM elimina el hallazgo de forma permanente. La búsqueda de proveedores puede cambiar el valor del UpdatedAt campo de uno o más hallazgos mediante el BatchImportFindingsfuncionamiento de la API CSPM de Security Hub.

Para conservar los hallazgos a más largo plazo, puede exportarlos a un bucket de S3. Puedes hacerlo mediante una acción personalizada con una EventBridge regla de Amazon. Para obtener más información, consulte Uso EventBridge para respuesta y remediación automatizadas.

Temas