Filtrado de resultados en el CSPM de Security Hub - AWS Security Hub
Filtros predeterminados en las listas de resultadosInstrucciones para agregar filtros

Filtrado de resultados en el CSPM de Security Hub

El CSPM de AWS Security Hub genera sus propios resultados a partir de las comprobaciones de seguridad y recibe resultados de los productos integrados. Puede mostrar una lista de resultados en las páginas Resultados, Integraciones e Productos de información de la consola del CSPM de Security Hub. Puede agregar filtros para acotar una lista de resultados y hacer que sea relevante para la organización o caso de uso.

Para obtener información sobre cómo filtrar resultados de un control de seguridad específico, consulte Filtrado y clasificación de resultados de control. La información de esta página se aplica a las páginas Resultados, Productos de información e Integraciones.

Filtros predeterminados en las listas de resultados

De forma predeterminada, las listas de resultados en la consola del CSPM de Security Hub se filtran según los campos RecordState y Workflow.Status del formato de resultados de seguridad de AWS (ASFF). Esto se suma a los filtros aplicados a un producto de información específico o a una integración.

El estado de registro indica si el resultado está activo o archivado. De forma predeterminada, las listas de hallazgos solo muestran los hallazgos activos. Un proveedor de resultados puede archivar un resultado si ya no está activo o no es importante. El CSPM de Security Hub también archiva automáticamente los resultados de controles si se elimina el recurso asociado.

El estado de flujo de trabajo indica el estado de una investigación sobre un resultado. De forma predeterminada, las listas de hallazgos solo muestran los hallazgos con estado de flujo de trabajo NEW o NOTIFIED. Puede actualizar el estado de flujo de trabajo de un resultado.

Instrucciones para agregar filtros

Puede filtrar una lista de resultados por hasta diez atributos. Para cada atributo, puede proporcionar hasta 20 valores de filtro.

Al filtrar la lista de resultados, el CSPM de Security Hub aplica la lógica AND al conjunto de filtros. Un resultado coincide únicamente si cumple todos los filtros proporcionados. Por ejemplo, si agrega GuardDuty como filtro para Nombre de producto y AwsS3Bucket como filtro para Tipo de recurso, el CSPM de Security Hub muestra los resultados que cumplen ambos criterios.

El CSPM de Security Hub aplica la lógica OR a los filtros que usan el mismo atributo pero valores diferentes. Por ejemplo, si agrega GuardDuty y Amazon Inspector como valores de filtro para Nombre de producto, el CSPM de Security Hub muestra los resultados generados por GuardDuty o por Amazon Inspector.

Para agregar filtros a una lista de resultados (consola)

  1. Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

  2. Para mostrar una lista de resultados, realice una de las siguientes acciones desde el panel de navegación:

    • Elija Resultados.

    • Elija Información. Elija una información. A continuación, en la lista de resultados, seleccione un producto de información.

    • Seleccione Integraciones. Seleccione Ver los resultados de una integración.

  3. En el cuadro Agregar filtros, seleccione uno o más campos por los cuales filtrar.

    Cuando filtra por Nombre de la empresa o Nombre de producto, la consola usa los campos de nivel superior CompanyName y ProductName del Formato de resultados de seguridad de AWS (ASFF). La API usa los valores que están anidados bajo ProductFields.

  4. Elija el tipo de coincidencia de filtro.

    Para un filtro de tipo cadena, puede elegir entre las siguientes opciones:

    • es: busca un valor que coincida exactamente con el valor del filtro.

    • empieza por: busca un valor que empiece por el valor del filtro.

    • no es: busca un valor que no coincida con el valor del filtro.

    • no empieza por: busca un valor que no empiece por el valor del filtro.

    En el campo Etiquetas de recurso, puede filtrar según claves o valores específicos.

    Para un filtro numérico, puede elegir si desea proporcionar un solo número (Simple) o un rango de números (Range).

    Para un filtro de fecha y hora, puede elegir si desea proporcionar un período de tiempo a partir de la fecha y hora actuales (Rolling window) o de un intervalo de fechas específico (Fixed range).

    La adición de varios filtros tiene las siguientes interacciones:

    • Los filtros es y empieza por van unidos por O. Un valor coincide si contiene alguno de los valores del filtro. Por ejemplo, si especifica que la Etiqueta de gravedad es CRÍTICA y la Etiqueta de gravedad es ALTA, los resultados incluyen tanto los resultados de gravedad crítica como de gravedad alta.

    • Los filtros no es y no empieza por van unidos por AND. Un valor solo coincide si no contiene ninguno de esos valores de filtro. Por ejemplo, si especifica que la Etiqueta de gravedad no es BAJA y la Etiqueta de gravedad no es MEDIA, los resultados no incluyen los resultados de gravedad baja o media.

    Si tiene un filtro es en un campo, no puede tener un filtro no es o no empieza por en el mismo campo.

  5. Especifique el valor del filtro. Para los filtros de cadena, el valor del filtro distingue entre mayúsculas y minúsculas.

  6. Seleccione Aplicar.

    Para un filtro existente, puede cambiar el tipo de coincidencia o el valor del filtro. En una lista de resultados filtrada, elija el filtro. En el cuadro Editar filtro, seleccione el nuevo tipo de coincidencia o valor y, luego, elija Aplicar.

    Para quitar un filtro, elija el icono x. La lista se actualiza automáticamente para reflejar el cambio.