Creación y actualización de resultados en el CSPM de Security Hub - AWS Security Hub

Creación y actualización de resultados en el CSPM de Security Hub

En el CSPM de AWS Security Hub, un resultado es un registro observable de una comprobación de seguridad o de una detección relacionada con la seguridad. Un resultado puede provenir de uno de los siguientes orígenes:

  • Una comprobación de seguridad correspondiente a un control del CSPM de Security Hub.

  • Una integración con otro Servicio de AWS.

  • Una integración con un producto de terceros.

  • Una integración personalizada.

El CSPM de Security Hub normaliza los resultados de todos los orígenes conforme a una sintaxis y un formato estándar denominados Formato de resultados de seguridad de AWS (ASFF). Para obtener información detallada sobre este formato, incluidas las descripciones de los campos individuales de ASFF, consulte Formato de resultados de seguridad de AWS (ASFF). Si habilita la agregación entre regiones, el CSPM de Security Hub también consolida automáticamente los resultados nuevos y actualizados provenientes de todas las regiones vinculadas en la región de agregación que especifique. Para obtener más información, consulte Descripción de la agregación entre regiones en el CSPM de Security Hub.

Una vez creado un resultado, se puede actualizar de la siguiente manera:

  • Un proveedor de resultados puede usar la operación BatchImportFindings de la API del CSPM de Security Hub para actualizar información general sobre el resultado. Los proveedores de hallazgos solo pueden actualizar los hallazgos que hayan creado.

  • Un cliente puede usar la consola del CSPM de Security Hub o la operación BatchUpdateFindings de la API del CSPM de Security Hub para actualizar el estado de la investigación relacionada con un resultado. La operación BatchUpdateFindings también puede ser utilizada por un SIEM, sistemas de gestión de tickets, herramientas de administración de incidentes, SOAR u otras soluciones en nombre de un cliente.

Para reducir el ruido de resultados y optimizar el seguimiento y análisis de resultados individuales, el CSPM de Security Hub elimina automáticamente los resultados que no se han actualizado recientemente. El momento en el que el CSPM de Security Hub realiza esta eliminación depende de si el resultado está activo o archivado:

  • Un resultado activo es un resultado cuyo estado de registro (RecordState) es ACTIVE. El CSPM de Security Hub almacena los resultados activos durante 90 días. Si un resultado activo no se ha actualizado en 90 días, vence y el CSPM de Security Hub lo elimina de forma permanente.

  • Un resultado archivado es un resultado cuyo estado de registro (RecordState) es ARCHIVED. El CSPM de Security Hub almacena los resultados archivados durante 30 días. Si un resultado archivado no se ha actualizado en 30 días, vence y el CSPM de Security Hub lo elimina de forma permanente.

Para los resultados de control, es decir aquellos que el CSPM de Security Hub genera a partir de las comprobaciones de seguridad de los controles, el CSPM de Security Hub determina si un resultado ha caducado según el valor del campo UpdatedAt del resultado. Si ese valor corresponde a más de 90 días para un resultado activo, el CSPM de Security Hub lo elimina de forma permanente. Si ese valor corresponde a más de 30 días para un resultado archivado, el CSPM de Security Hub también lo elimina de forma permanente.

Para cualquier otro tipo de resultado, el CSPM de Security Hub determina si ha caducado basándose en los valores de los campos ProcessedAt y UpdatedAt del resultado. El CSPM de Security Hub compara estos valores y determina cuál es el más reciente. Si el valor más reciente corresponde a más de 90 días para un resultado activo, el CSPM de Security Hub lo elimina de forma permanente. Si el valor más reciente corresponde a más de 30 días para un resultado archivado, el CSPM de Security Hub lo elimina de forma permanente. Los proveedores de resultados pueden modificar el valor del campo UpdatedAt de uno o varios resultados mediante la operación BatchImportFindings de la API del CSPM de Security Hub.

Para retener los resultados durante más tiempo, puede exportarlos a un bucket de S3. Puede hacerlo mediante una acción personalizada con una regla de Amazon EventBridge. Para obtener más información, consulte Uso de EventBridge para la respuesta y la corrección automatizadas.

Temas