Terminología y conceptos del CSPM de Security Hub

Cuenta estándar de Amazon Web Services (AWS) que contiene los recursos de AWS. Puede iniciar sesión en AWS con su cuenta y habilitar el CSPM de Security Hub.

Una cuenta puede invitar a otras cuentas a habilitar el CSPM de Security Hub y a asociarse a ella dentro del CSPM de Security Hub. La aceptación de una invitación de suscripción es opcional. Si las invitaciones se aceptan, la cuenta se convierte en la cuenta de administrador, mientras que las cuentas añadidas se convierten en cuentas miembro. Las cuentas de administrador pueden ver los resultados de sus cuentas miembro.

Si está inscrito en AWS Organizations, su organización designa una cuenta como administrador del CSPM de Security Hub para la organización. La cuenta de administrador del CSPM de Security Hub puede habilitar otras cuentas de la organización como cuentas de miembro.

Una cuenta no puede ser cuenta de administrador y cuenta miembro al mismo tiempo. Una cuenta solo puede tener una cuenta de administrador.

Para obtener más información, consulte Administración de cuentas de administrador y de miembro en el CSPM de Security Hub.

Una cuenta del CSPM de Security Hub a la que se le concede acceso para ver los resultados de las cuentas de miembro asociadas.

Una cuenta se convierte en cuenta de administrador de las siguientes formas:

Una cuenta solo puede tener una cuenta de administrador. Una cuenta no puede ser cuenta de administrador y cuenta miembro al mismo tiempo.

La configuración de una región de agregación le permite ver los resultados de seguridad desde varias Regiones de AWS en un solo panel.

La región de agregación es la región desde la que se visualizan y administran los resultados. Los resultados se agregan a la región de agregación desde las regiones vinculadas. Las actualizaciones de los resultados se reproducen en todas las regiones.

En la región de agregación, las páginas de Estándares de seguridad, Información y Resultados contienen datos de todas las regiones vinculadas.

Para obtener más información, consulte Descripción de la agregación entre regiones en el CSPM de Security Hub.

Un resultado cuyo estado de registro (RecordState) es ARCHIVED. Archivar un resultado indica que el proveedor del mismo cree que dicho resultado ya no es relevante. El estado de registro es distinto del estado del flujo de trabajo, que realiza un seguimiento del estado de la investigación de un resultado.

Los proveedores de resultados pueden usar la operación BatchImportFindings de la API del CSPM de Security Hub para archivar los resultados que creen. El CSPM de Security Hub archiva de forma automática los resultados de controles que cumplan ciertos criterios. Para obtener más información, consulte Generación, actualización y archivado de resultados de control.

En la consola del CSPM de Security Hub, los filtros predeterminados excluyen los resultados archivados de las listas y tablas de resultados. Puede actualizar la configuración para incluir los resultados archivados. Si recupera resultados mediante la operación GetFindings de la API del CSPM de Security Hub, la operación recupera tanto los resultados archivados como los activos. Para excluir resultados archivados, puede filtrar los resultados. Por ejemplo:

"RecordState": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "ARCHIVED"
    }
],

Un formato estandarizado para el contenido de los resultados que el CSPM de Security Hub agrega o genera. El formato de resultados de seguridad de AWS permite utilizar el CSPM de Security Hub para ver y analizar resultados generados por los servicios de seguridad de AWS, soluciones de terceros o por el mismo CSPM de Security Hub a partir de la ejecución de comprobaciones de seguridad. Para obtener más información, consulte Formato de resultados de seguridad de AWS (ASFF).

Una salvaguardia o contramedida prescrita para un sistema de información o una organización diseñada para proteger la confidencialidad, integridad y disponibilidad de su información y para cumplir un conjunto de requisitos de seguridad definidos. Un estándar de seguridad está asociado a un conjunto de controles.

El término control de seguridad se refiere a los controles que tienen un ID y un título de control únicos en todos los estándares. El término control estándar se refiere a los controles que tienen ID y títulos de control específicos del estándar. Actualmente, el CSPM de Security Hub admite controles estándar únicamente en las regiones de China y AWS GovCloud (US) Regions. Los controles de seguridad son compatibles en todas las demás regiones.

Un mecanismo del CSPM de Security Hub para enviar resultados seleccionados a EventBridge. Se crea una acción personalizada en el CSPM de Security Hub. A continuación, se vincula a una regla de EventBridge. La regla define una acción específica que se debe realizar cuando se recibe un resultado asociado al ID de la acción personalizada. Las acciones personalizadas se pueden utilizar, por ejemplo, para enviar un resultado específico o un pequeño conjunto de resultados a un flujo de trabajo de respuesta o corrección. Para obtener más información, consulte Crear una acción personalizada.

En AWS Organizations, la cuenta de administrador delegado de un servicio puede administrar el uso de un servicio para la organización.

En el CSPM de Security Hub, la cuenta de administrador del CSPM de Security Hub también es la cuenta de administrador delegado para el CSPM de Security Hub. Cuando la cuenta de administración de la organización designa por primera vez una cuenta como administrador del CSPM de Security Hub, el CSPM de Security Hub solicita a Organizations que convierta esa cuenta en el administrador delegado.

La cuenta de administración de la organización debe elegir la cuenta de administrador delegado como la cuenta de administrador del CSPM de Security Hub en todas las regiones.

El registro observable de un control de seguridad o una detección relacionada con la seguridad. El CSPM de Security Hub genera y actualiza resultados de control después de completar las comprobaciones de seguridad. A estos se les denomina resultados de control. Los resultados también pueden proceder de integraciones con otros Servicios de AWS y productos de terceros.

Para obtener más información, consulte Creación y actualización de resultados en el CSPM de Security Hub.

La agregación de resultados, información, estados de conformidad de los controles y puntuaciones de seguridad de las regiones vinculadas a una región de agregación. A continuación, puede ver todos los datos de la región de agregación y actualizar los resultados y la información de la región de agregación.

Para obtener más información, consulte Descripción de la agregación entre regiones en el CSPM de Security Hub.

También es posible importar resultados al CSPM de Security Hub desde otros AWS y desde proveedores asociados de terceros.

Los eventos de ingesta de resultados incluyen tanto resultados nuevos como actualizaciones de resultados existentes.

Una recopilación de resultados relacionados definida por una instrucción de agregación y filtros opcionales. Una información identifica un área de seguridad que requiere atención e intervención. El CSPM de Security Hub ofrece varias informaciones (predeterminadas) administradas que no se pueden modificar. También puede crear informaciones personalizadas del CSPM de Security Hub para realizar un seguimiento de problemas de seguridad específicos del entorno de AWS y su uso. Para obtener más información, consulte Visualización de productos de información en el CSPM de Security Hub.

Al habilitar la agregación entre regiones, una región vinculada es una región que agrega resultados, información, estados de conformidad de controles y puntuaciones de seguridad a la región de agregación.

En una región vinculada, las páginas de Resultados e información contienen únicamente resultados de esa región.

Para obtener más información, consulte Descripción de la agregación entre regiones en el CSPM de Security Hub.

Una cuenta que ha concedido permiso a una cuenta de administrador para ver sus resultados y tomar medidas al respecto.

Una cuenta se convierte en cuenta miembro de las siguientes formas:

Un conjunto de requisitos reglamentarios o del sector asignados a un control.

Un conjunto de criterios automatizados que se utiliza para evaluar si se cumple un control. Cuando se evalúa una regla, puede superarse o devolver un error. Si la evaluación no puede determinar si la regla se supera o devuelve un error, la regla se encuentra en un estado de advertencia. Si la regla no se puede evaluar, está en un estado no disponible.

Una evaluación en un momento dado específico de una regla frente a un único recurso que da lugar a un estado PASSED, FAILED, WARNING o NOT_AVAILABLE. La ejecución de un control de seguridad produce un resultado.

Una cuenta de la organización que administra la membresía de una organización al CSPM de Security Hub.

La cuenta de administración de la organización designa la cuenta de administrador del CSPM de Security Hub de cada región. La cuenta de administración de la organización debe elegir la misma cuenta de administrador del CSPM de Security Hub en todas las regiones.

La cuenta de administrador del CSPM de Security Hub también es la cuenta de administrador delegado del CSPM de Security Hub en Organizations.

La cuenta de administrador del CSPM de Security Hub puede habilitar cualquier cuenta de la organización como cuenta de miembro. La cuenta de administrador del CSPM de Security Hub también puede invitar a otras cuentas a convertirse en cuentas de miembro.

Una instrucción publicada sobre un tema que especifica las características, normalmente medibles y en forma de controles, que deben cumplirse o lograrse para fines de conformidad. Los estándares de seguridad pueden basarse en marcos normativos, prácticas recomendadas o políticas internas de la empresa. Un control puede estar asociado a uno o más estándares compatibles en el CSPM de Security Hub. Para obtener más información sobre los estándares de seguridad en el CSPM de Security Hub, consulte Descripción de los estándares de seguridad en el CSPM de Security Hub.

La gravedad asignada a un control del CSPM de Security Hub indica el nivel de importancia que tiene ese control. La gravedad de un control puede ser Crítica, Alta, Media, Baja o Informativa. La gravedad asignada a los resultados del control es igual a la gravedad del propio control. Para obtener información sobre cómo el CSPM de Security Hub determina la gravedad de un control, consulte Niveles de gravedad correspondientes a los resultados de control.

El estado de una investigación sobre un resultado. Para realizar un seguimiento de esto, se utiliza el atributo Workflow.Status.

El estado del flujo de trabajo es inicialmente NEW. Si ha notificado al propietario del recurso que tome medidas sobre el resultado, puede establecer el estado del flujo de trabajo en NOTIFIED. Si el resultado no es un problema y no requiere ninguna acción, establezca el estado del flujo de trabajo en SUPPRESSED. Después de revisar y corregir un resultado, establezca el estado del flujo de trabajo en RESOLVED.

De forma predeterminada, la mayoría de las listas de resultados solo incluyen resultados con un estado de flujo de trabajo de NEW o NOTIFIED. Las listas de resultados para los controles también incluyen resultados RESOLVED.

Para la operación de GetFindings, puede incluir un filtro para el estado del flujo de trabajo.

"WorkflowStatus": [ 
    { 
        "Comparison": "EQUALS",
        "Value": "RESOLVED"
    }
],

La consola del CSPM de Security Hub proporciona una opción para establecer el estado del flujo de trabajo de los resultados. Los clientes (o herramientas SOAR, de SIEM, de venta de tickets, de administración de incidentes que trabajan en nombre de un cliente para actualizar resultados de los proveedores de resultados) también pueden utilizar BatchUpdateFindings para actualizar el estado del flujo de trabajo.