Revisión de los conocimientos del Security Hub (CSPM) y adopción de medidas en función de ellos - AWS Security Hub
Visualización y adopción de medidas sobre los resultados de la informaciónPara visualizar y tomar medidas sobre los hallazgos en los resultados de la información (consola)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Revisión de los conocimientos del Security Hub (CSPM) y adopción de medidas en función de ellos

Para cada información, AWS Security Hub Cloud Security Posture Management (CSPM) determina primero las conclusiones que coinciden con los criterios del filtro y, a continuación, utiliza el atributo de agrupamiento para agrupar las conclusiones coincidentes.

Desde la página Información en la consola puede ver y tomar medidas sobre los resultados y los hallazgos.

Si habilita la agregación entre regiones, los resultados de la información administrada (cuando haya iniciado sesión en la región de agregación) incluirán los resultados de la región de agregación y de las regiones vinculadas. Los resultados de la información personalizada, si la información no se filtra por región, también incluyen los resultados de la región de agregación y las regiones vinculadas (cuando haya iniciado sesión en la región de agregación). En otras regiones, los resultados de la información son solo para esa región.

Para obtener más información acerca de la configuración de agregación entre regiones, consulte Descripción de la agregación entre regiones en Security Hub CSPM.

Visualización y adopción de medidas sobre los resultados de la información

Los resultados del conocimiento constan de una lista agrupada de los resultados del conocimiento. Por ejemplo, si la información se agrupa por identificadores de recursos, los resultados de la información son la lista de identificadores del recurso. Cada elemento de la lista de resultados indica el número de hallazgos coincidentes para ese elemento.

Si los resultados se agrupan por identificador de recurso o tipo de recurso, los resultados incluyen todos los recursos de los hallazgos correspondientes. Esto incluye los recursos que tienen un tipo diferente del tipo de recurso especificado en los criterios del filtro. Por ejemplo, un hallazgo identifica los resultados asociados a los buckets de S3. Si un resultado coincidente contiene un bucket de S3 y una clave de acceso de IAM, los resultados de información incluyen ambos recursos.

En la consola CSPM de Security Hub, la lista de resultados se ordena del mayor al menor número de hallazgos coincidentes. Security Hub CSPM solo puede mostrar 100 resultados. Si hay más de 100 valores de agrupamiento, solo verá los primeros 100.

Además de la lista de resultados, los resultados de conocimientos muestran un conjunto de gráficos que resume el número de hallazgos coincidentes para los siguientes atributos.

  • Etiqueta de gravedad: número de resultados para cada etiqueta de gravedad

  • Cuenta de AWS ID: los cinco principales representan IDs los resultados coincidentes

  • Tipo de recurso: los cinco tipos de recursos principales para los resultados correspondientes

  • ID del recurso: los cinco recursos principales IDs para encontrar los resultados coincidentes

  • Nombre del producto: los cinco principales proveedores de hallazgos para los resultados correspondientes

Si ha configurado acciones personalizadas, puede enviar los resultados seleccionados a una acción personalizada. La acción debe estar asociada a una CloudWatch regla de Amazon para el tipo de Security Hub Insight Results evento. Para obtener más información, consulte Uso EventBridge para respuesta y remediación automatizadas. Si no ha configurado acciones personalizadas, el menú Acciones está desactivado.

Security Hub CSPM console
Para visualizar y adoptar medidas sobre los resultados de la información (consola)

  1. Abra la consola AWS de Security Hub Cloud Security Posture Management (CSPM) en. https://console.aws.amazon.com/securityhub/

  2. En el panel de navegación, elija Insights.

  3. Para mostrar la lista de resultados de conocimientos, elija el nombre del conocimiento.

  4. Seleccione la casilla de verificación de cada resultado que desee enviar a la acción personalizada.

  5. En el menú Actions (Acciones), elija la acción personalizada.

Security Hub CSPM API, AWS CLI

Para ver los resultados de la información y tomar medidas al respecto (API,) AWS CLI

Para ver los resultados de la información, utilice el >GetInsightResultsfuncionamiento de la API CSPM de Security Hub. Si usa el AWS CLI, ejecute el get-insight-resultscomando.

Para identificar la información para la que obtener resultados, necesita el ARN de la información. Para obtener información ARNs personalizada, utilice la operación de la GetInsightsAPI o el get-insight-resultscomando.

En el siguiente ejemplo, se recuperan los resultados de la información especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Para obtener información acerca de cómo crear acciones personalizadas mediante programación, consulte Utilizar acciones personalizadas para enviar las conclusiones y los resultados de información a EventBridge.

Para visualizar y tomar medidas sobre los hallazgos en los resultados de la información (consola)

Desde una lista de resultados de información en la consola CSPM de Security Hub, puede mostrar la lista de hallazgos de cada resultado.

Para visualizar y tomar medidas sobre los resultados de la información (consola)

  1. Abra la consola AWS de Security Hub Cloud Security Posture Management (CSPM) en. https://console.aws.amazon.com/securityhub/

  2. En el panel de navegación, elija Insights.

  3. Para mostrar la lista de resultados de conocimientos, elija el nombre del conocimiento.

  4. Para mostrar la lista de hallazgos de un resultado de conocimiento, elija el elemento de la lista de resultados. La lista de hallazgos muestra los hallazgos activos del resultado de conocimiento seleccionado que tienen un estado de flujo de trabajo NEW o NOTIFIED.

En la lista de resultados puede realizar las siguientes acciones: