Revisión de detalles e historial de resultados en el CSPM de Security Hub - AWS Security Hub
Revisión de los detalles y el historial de resultados

Revisión de detalles e historial de resultados en el CSPM de Security Hub

En el CSPM de AWS Security Hub, un resultado es un registro observable de una comprobación de seguridad o de una detección relacionada con la seguridad. El CSPM de Security Hub genera un resultado cuando completa una comprobación de seguridad de un control o cuando ingiere un resultado proveniente de un Servicio de AWS o producto de terceros integrado. Cada resultado incluye un historial de cambios y otros detalles, como una clasificación de gravedad e información sobre los recursos afectados.

Puede revisar el historial y otros detalles de resultados individuales en la consola del CSPM de Security Hub o mediante programación con la API del CSPM de Security Hub o la AWS CLI.

Para ayudar a agilizar el análisis, la consola del CSPM de Security Hub muestra un panel de resultado cuando selecciona un resultado específico. El panel incluye distintos menús y pestañas para revisar los detalles específicos de un resultado.

Menús de acciones

Desde este menú, puede revisar el JSON completo de un resultado o agregar notas. Un resultado puede tener solo una nota asociada a la vez. Este menú también ofrece opciones para configurar el estado del flujo de trabajo de un resultado o enviar un resultado de una acción personalizada en Amazon EventBridge.

Menú de investigación

Desde este menú, puede investigar un resultado en Amazon Detective. Detective extrae entidades (por ejemplo, las direcciones IP y los usuarios de AWS) a partir de un resultado y visualiza su actividad. Puede utilizar la actividad de la entidad como punto de partida para investigar la causa y el impacto de un resultado.

Pestaña Información general

Esta pestaña ofrece un resumen del resultado. Por ejemplo, puede ver cuándo se creó y cuándo se actualizó por última vez, en qué cuenta existe y cuál es el origen del resultado. En el caso de los resultados de controles, esta pestaña también muestra el nombre de la regla de AWS Config asociada y un enlace a la guía de remediación en la documentación del CSPM de Security Hub.

En la instantánea de Recursos en la pestaña Descripción general, puede obtener una vista breve de los recursos involucrados en el resultado. En algunos recursos, aparece la opción Abrir recurso, que lo lleva directamente al recurso afectado en la consola del Servicio de AWS correspondiente. La instantánea del Historial muestra hasta dos cambios realizados en el resultado en la fecha más reciente para la que se está rastreando el historial. Por ejemplo, si hizo un cambio ayer y otro hoy, la instantánea muestra el cambio más reciente. Para revisar entradas anteriores, cambie a la pestaña Historial.

La fila Conformidad se expande para mostrar más detalles. Por ejemplo, si un control incluye parámetros, puede revisar los valores del parámetro que el CSPM de Security Hub utiliza actualmente al realizar las comprobaciones de seguridad del control.

Pestaña recursos

En esta pestaña se proporcionan detalles sobre los recursos que intervienen en un resultado. Si inició sesión en la cuenta propietaria del recurso, puede revisarlo en la consola correspondiente del Servicio de AWS. Si no es el propietario del recurso, esta pestaña muestra el ID de Cuenta de AWS del propietario.

La fila Detalles muestra información específica del recurso en un resultado. Incluye la sección ResourceDetails del resultado en formato JSON.

La fila Etiquetas muestra las claves y valores de etiquetas asignados a los recursos involucrados en un resultado. Los recursos que son compatibles con la operación GetResources de la API de etiquetado de Grupos de recursos de AWS se pueden etiquetar. El CSPM de Security Hub invoca esta operación mediante un rol vinculado al servicio cuando procesa resultados nuevos o actualizados, y recupera las etiquetas del recurso si el campo Resource.Id del Formato de resultados de seguridad de AWS (ASFF) contiene el ARN de un recurso. El CSPM de Security Hub ignora los ID de recurso que no son válidos. Para obtener más información sobre la inclusión de etiquetas de recursos en los resultados, consulte Etiquetas.

Pestaña de historial

Esta pestaña rastrea el historial de un resultado. El historial de resultados está disponible para los resultados activos y archivados. Proporciona un registro inmutable de los cambios realizados en un resultado a lo largo del tiempo, incluidos los campos del ASFF que cambiaron, cuándo ocurrió el cambio y qué usuario lo realizó. Cada página de la pestaña muestra hasta 20 cambios. Los cambios más recientes se muestran primero.

En el caso de resultados activos, el historial está disponible por hasta 90 días. En el caso de resultados archivados, el historial está disponible por hasta 30 días. El historial incluye los cambios realizados manualmente o de forma automática por las reglas de automatización del CSPM de Security Hub. No incluye cambios en los campos de marcas de tiempo de nivel superior, como los campos CreatedAt y UpdatedAt.

Si inicia sesión en una cuenta de administrador del CSPM de Security Hub, el historial de resultados corresponde tanto a la cuenta de administrador como a todas las cuentas de miembro.

Pestaña de amenazas

Esta pestaña incluye datos de los objetos Action, Malware y ProcessDetails del ASFF, incluidos el tipo de amenaza y si un recurso es el objetivo o el actor. Estos detalles por lo general se aplican a resultados que se originan en Amazon GuardDuty.

Pestaña de vulnerabilidades

Esta pestaña muestra los datos del objeto Vulnerability del ASFF, incluyendo si hay vulnerabilidades o correcciones disponibles asociadas a un resultado. Estos detalles también se aplican por lo general a resultados que se originan en Amazon Inspector.

Las filas de cada pestaña incluyen una opción para copiar o filtrar. Por ejemplo, si abre el panel de un resultado cuyo estado de flujo de trabajo es Notificado, puede elegir la opción de filtrado junto a Estado del flujo de trabajo. Si selecciona Mostrar todos los resultados con este valor, el CSPM de Security Hub filtra la tabla de resultados y muestra únicamente aquellos que tienen el mismo estado de flujo de trabajo.

Revisión de los detalles y el historial de resultados

Elija el método que prefiera y siga los pasos para revisar los detalles de los resultados en el CSPM de Security Hub.

Si activó la agregación entre regiones e inicia sesión en la región de agregación, los datos de resultados incluyen datos de la región de agregación y de las regiones vinculadas. En otras regiones, los datos de resultados son específicos únicamente de esa región. Para obtener más información sobre la agregación entre regiones, consulte Descripción de la agregación entre regiones en el CSPM de Security Hub.

Security Hub CSPM console
Revisión de los detalles y el historial de resultados

  1. Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

  2. Para mostrar una lista de resultado, realice una de las acciones siguientes:

    • En el panel de navegación, seleccione Resultados. Agregue los filtros de búsqueda según sea necesario para acotar la lista de resultados.

    • En el panel de navegación, elija Insights. Elija una información. En la lista de resultados, seleccione un resultado de producto de información.

    • En el panel de navegación, elija Integraciones. Seleccione Ver los resultados de una integración.

    • En el panel de navegación, elija Controles.

  3. Seleccione un resultado. El panel del resultado muestra todos los detalles correspondientes.

  4. En ese panel, puede realizar cualquiera de las siguientes acciones:

    • Revisar detalles específicos del resultado. Para ello, seleccione una pestaña.

    • Tomar medidas con respecto al resultado. Para ello, seleccione una opción del menú Acciones.

    • Investigar el resultado en Amazon Detective. Para ello, sleccione la opción Investigar.

nota

Si usa una integración con AWS Organizations y ha iniciado sesión en una cuenta de miembro, el panel del resultado también muestra el nombre de la cuenta. En cambio, para cuentas de miembro invitadas manualmente (en lugar de pertenecer a Organizations), el panel muestra únicamente el ID de la cuenta.

Security Hub CSPM API

Utilice la operación GetFindings de la API del CSPM de Security Hub o, si utiliza la AWS CLI, ejecute el comando get-findings. Puede proporcionar uno o varios valores para el parámetro Filters con el fin de limitar los resultados que desea obtener.

Si el volumen de resultados es demasiado grande, puede utilizar el parámetro MaxResults para limitar los resultados a un número específico y el parámetro NextToken para paginar los resultados. Use el parámetro SortCriteria para ordenar los resultados por un campo específico.

Por ejemplo, el siguiente comando de la AWS CLI obtiene los resultados que cumplen los criterios de filtrado especificados y ordena la salida en orden descendente según el campo LastObservedAt. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub get-findings \
--filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Para revisar el historial de resultados, utilice la operación GetFindingHistory. Si utiliza la AWS CLI, ejecute el comando get-finding-history. Identifique el resultado del que desea obtener un historial con los campos ProductArn y Id. Para obtener información acerca de estos campos, consulte AwsSecurityFindingIdentifier. Cada solicitud puede recuperar el historial de un único resultado.

Por ejemplo, el siguiente comando de la AWS CLI recupera el historial del resultado especificado. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub get-finding-history \
--region us-west-2 \
--finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \
--max-results 2 \
--start-time "2021-09-30T15:53:35.573Z" \
--end-time "2021-09-31T15:53:35.573Z"
PowerShell

Utilice el cmdlet Get-SHUBFinding. De manera opcional, puede completar el parámetro Filter para acotar los resultados que desea recuperar.

Por ejemplo, el siguiente cmdlet recupera los resultados que coinciden con los filtros especificados.

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
nota

Si filtra los resultados por CompanyName o por ProductName, el CSPM de Security Hub usa los valores que forman parte del objeto ASFF de ProductFields. El CSPM de Security Hub no usa los campos de nivel superior CompanyName y ProductName.