Configuración del estado de flujo de trabajo de los resultados

Configuración del estado del flujo de trabajo de los resultados en el CSPM de Security Hub

El estado de flujo de trabajo realiza un seguimiento del progreso de la investigación sobre un resultado. El estado del flujo de trabajo es específico de un resultado individual y no afecta la generación de nuevos resultados. Por ejemplo, si cambia el estado del flujo de trabajo de un resultado a SUPPRESSED o RESOLVED, ese cambio no impide que el CSPM de Security Hub genere un nuevo resultado para el mismo problema.

El estado del flujo de trabajo de un resultado puede tener uno de los siguientes valores.

NUEVO

Es el estado inicial de un resultado antes de revisarlo.

Los resultados que se ingieren de la integración de Servicios de AWS, por ejemplo AWS Config, tienen NEW como estado inicial.

El CSPM de Security Hub también restablece el estado del flujo de trabajo de NOTIFIED o RESOLVED a NEW en los siguientes casos:

RecordState cambia de ARCHIVED a ACTIVE.
Compliance.Status cambia de PASSED a FAILED, WARNING o NOT_AVAILABLE.

Estos cambios implican que es necesaria una investigación adicional.

NOTIFICADO

Indica que informó sobre el problema de seguridad al propietario del recurso. Puede utilizar este estado cuando no sea el propietario del recurso y necesite la intervención del propietario para que se resuelva un problema de seguridad.

Si se produce una de las siguientes situaciones, el estado del flujo de trabajo cambia automáticamente de NOTIFIED a NEW:

RecordState cambia de ARCHIVED a ACTIVE.
Compliance.Status cambia de PASSED a FAILED, WARNING o NOT_AVAILABLE.

SUPRIMIDO

Indica que ha revisado el resultado y no cree que sea necesario realizar ninguna acción.

El estado del flujo de trabajo de un resultado del tipo SUPPRESSED no cambia si RecordState cambia de ARCHIVED a ACTIVE.

RESUELTO

El hallazgo se ha revisado y se ha corregido. Ahora se considera resuelto.

El resultado permanece como RESOLVED a menos que se produzca alguna de las siguientes situaciones:

RecordState cambia de ARCHIVED a ACTIVE.
Compliance.Status cambia de PASSED a FAILED, WARNING o NOT_AVAILABLE.

En esos casos, el estado del flujo de trabajo se restablece automáticamente a NEW.

Para los resultados provenientes de controles, si Compliance.Status es PASSED, el CSPM de Security Hub establece automáticamente el estado del flujo de trabajo en RESOLVED.

Configuración del estado de flujo de trabajo de los resultados

Para cambiar el estado del flujo de trabajo de uno o varios resultados, puede usar la consola del CSPM de Security Hub o la API del CSPM de Security Hub. Si cambia el estado del flujo de trabajo de un resultado, tenga en cuenta que el CSPM de Security Hub puede tardar varios minutos en procesar la solicitud y actualizar el resultado.

sugerencia

También puede cambiar automáticamente el estado del flujo de trabajo de los resultados mediante reglas de automatización. Con las reglas de automatización, configura el CSPM de Security Hub para actualizar automáticamente el estado del flujo de trabajo de los resultados según los criterios que especifique. Para obtener más información, consulte Descripción de las reglas de automatización en el CSPM de Security Hub.

Para cambiar el estado del flujo de trabajo de uno o varios resultados, elija el método que prefiera y siga los pasos.

Security Hub CSPM console

Para cambiar el estado del flujo de trabajo de los resultados

Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.
En el panel de navegación, realice una de las siguientes acciones para mostrar una tabla de resultados:
- Elija Resultados.
- Elija Información. Luego, elija un producto de información. En la salida del producto de información, elija una de las salidas.
- Seleccione Integraciones. Luego, en la sección de la integración, elija Ver resultados.
- Elija Estándares de seguridad. Luego, en la sección del estándar, seleccione Ver salidas. En la tabla de controles, elija un control para mostrar los resultados correspondientes a ese control.
En la tabla de resultados, seleccione la casilla de cada resultado cuyo estado del flujo de trabajo desea cambiar.
En la parte superior de la página, elija Estado del flujo de trabajo y, después, elija el nuevo estado del flujo de trabajo para los resultados seleccionados.
En el cuadro de diálogo Establecer estado del flujo de trabajo, puede ingresar una nota que describa el motivo del cambio del estado del flujo de trabajo. Luego, elija Establecer estado.

Security Hub CSPM API

Use la operación BatchUpdateFindings. Proporcione el ID de resultado y el ARN del producto que generó el resultado. Puede obtener estos detalles mediante la operación GetFindings.

AWS CLI

Ejecute el comando batch-update-findings. Proporcione el ID de resultado y el ARN del producto que generó el resultado. Puede obtener estos detalles mediante la ejecución del comando get-findings.


batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"

Ejemplo


aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Agrupación de hallazgos

Envío de hallazgos a una acción personalizada