Revisión de productos de información y medidas al respecto en el CSPM de Security Hub

Para cada producto de información, el CSPM de AWS Security Hub primero determina los resultados que coinciden con los criterios del filtro y utiliza el atributo de agrupación para agrupar los resultados correspondientes.

Desde la página Información en la consola puede ver y tomar medidas sobre los resultados y los hallazgos.

Si habilita la agregación entre regiones, los resultados de la información administrada (cuando haya iniciado sesión en la región de agregación) incluirán los resultados de la región de agregación y de las regiones vinculadas. Los resultados de la información personalizada, si la información no se filtra por región, también incluyen los resultados de la región de agregación y las regiones vinculadas (cuando haya iniciado sesión en la región de agregación). En otras regiones, los resultados de la información son solo para esa región.

Para obtener más información acerca de la configuración de agregación entre regiones, consulte Descripción de la agregación entre regiones en el CSPM de Security Hub.

Visualización y adopción de medidas sobre los resultados de la información

Los resultados del conocimiento constan de una lista agrupada de los resultados del conocimiento. Por ejemplo, si la información se agrupa por identificadores de recursos, los resultados de la información son la lista de identificadores del recurso. Cada elemento de la lista de resultados indica el número de hallazgos coincidentes para ese elemento.

Si los resultados se agrupan por identificador de recurso o tipo de recurso, los resultados incluyen todos los recursos de los hallazgos correspondientes. Esto incluye los recursos que tienen un tipo diferente del tipo de recurso especificado en los criterios del filtro. Por ejemplo, un hallazgo identifica los resultados asociados a los buckets de S3. Si un resultado coincidente contiene un bucket de S3 y una clave de acceso de IAM, los resultados de información incluyen ambos recursos.

En la consola del CSPM de Security Hub, la lista de resultados se ordena desde los que presentan mayor coincidencia hasta los de menor coincidencia. El CSPM de Security Hub solo puede mostrar 100 hallazgos. Si hay más de 100 valores de agrupamiento, solo verá los primeros 100.

Además de la lista de resultados, los resultados de conocimientos muestran un conjunto de gráficos que resume el número de hallazgos coincidentes para los siguientes atributos.

Si ha configurado acciones personalizadas, puede enviar los resultados seleccionados a una acción personalizada. La acción debe estar asociada a una regla de Amazon CloudWatch para el tipo de evento Security Hub Insight Results. Para obtener más información, consulte Uso de EventBridge para la respuesta y la corrección automatizadas. Si no ha configurado acciones personalizadas, el menú Acciones está desactivado.

Security Hub CSPM console

Para visualizar y adoptar medidas sobre los resultados de la información (consola)

1. Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

2. En el panel de navegación, elija Insights.

3. Para mostrar la lista de resultados de conocimientos, elija el nombre del conocimiento.

4. Seleccione la casilla de verificación de cada resultado que desee enviar a la acción personalizada.

5. En el menú Actions (Acciones), elija la acción personalizada.

Security Hub CSPM API, AWS CLI

Para visualizar y adoptar medidas sobre los resultados de la información (API, AWS CLI)

Para ver los resultados de producto de información, utilice la operación >GetInsightResults de la API del CSPM de Security Hub. Si utiliza la AWS CLI, ejecute el comando get-insight-results.

Para identificar la información para la que obtener resultados, necesita el ARN de la información. Para obtener los ARN de información personalizada, utilice la operación GetInsights de la API o el comando get-insight-results.

En el siguiente ejemplo, se recuperan los resultados de la información especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Para obtener información acerca de cómo crear acciones personalizadas mediante programación, consulte Uso de acciones personalizadas para enviar resultados y resultados de información a EventBridge.

Para visualizar y tomar medidas sobre los hallazgos en los resultados de la información (consola)

Desde una lista de hallazgos de un producto de información en la consola del CSPM de Security Hub, puede mostrar la lista de resultados para cada hallazgo.

En la lista de resultados puede realizar las siguientes acciones: