Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Descripción de las reglas de automatización en el CSPM de Security Hub
Puede usar reglas de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. A medida que se ingieren resultados, el CSPM de Security Hub puede aplicar diversas acciones de regla, como suprimir resultados, modificar su gravedad o agregar notas. Estas acciones de reglas modifican los resultados que coinciden con criterios específicos.
Algunos ejemplos de casos de uso de reglas de automatización son los siguientes:
+ Elevar la gravedad de un resultado a `CRITICAL` si el ID de recurso del resultado se refiere a un recurso crítico para la empresa.
+ Elevar la gravedad de un resultado de `HIGH` a `CRITICAL` si el resultado afecta a recursos en cuentas de producción específicas.
+ Asignar resultados específicos que tengan una gravedad `INFORMATIONAL` un estado de flujo de trabajo `SUPPRESSED`.
Solo puede crear y administrar reglas de automatización desde una cuenta de administrador del CSPM de Security Hub.
Las reglas se aplican a los resultados tanto nuevos como actualizados. Puede crear una regla personalizada desde cero o utilizar una plantilla de regla proporcionada por el CSPM de Security Hub. Además, puede empezar con una plantilla y modificarla según sea necesario.
## Definición de criterios de regla y acciones de regla
Desde una cuenta de administrador del CSPM de Security Hub, puede crear una regla de automatización mediante la definición de uno o más *criterios* de regla y una o más *acciones* de regla. Cuando un resultado coincide con los criterios definidos, el CSPM de Security Hub aplica las acciones de la regla al resultado. Para obtener más información sobre los criterios y acciones disponibles, consulte [Criterios de regla y acciones de regla disponibles](#automation-rules-criteria-actions).
El CSPM de Security Hub admite actualmente un máximo de 100 reglas de automatización por cada cuenta de administrador.
La cuenta de administrador del CSPM de Security Hub también puede editar, ver y eliminar reglas de automatización. Una regla se aplica a los resultados que coinciden en la cuenta de administrador y en todas las cuentas de miembro. Al proporcionar la cuenta de miembro IDs como criterio de regla, los administradores de CSPM de Security Hub también pueden usar reglas de automatización para actualizar o suprimir los hallazgos en cuentas de miembros específicas.
Una regla de automatización solo se aplica en el lugar Región de AWS en el que se creó. Para aplicar una regla en varias regiones, el administrador debe crear la regla en cada región. Esto se puede hacer mediante la consola del CSPM de Security Hub, la API del CSPM de Security Hub o [AWS CloudFormation](creating-resources-with-cloudformation.md). Además, puede utilizar un un [script de implementación multirregión](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules).
## Criterios de regla y acciones de regla disponibles
Los siguientes campos del formato de búsqueda de AWS seguridad (ASFF) se admiten actualmente como criterios para las reglas de automatización:
| Criterios de reglas | Operadores de filtro | Tipo de campo |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ComplianceStatus | Is, Is Not | Selección: [FAILED, NOT\$1AVAILABLE, PASSED, WARNING] |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Número |
| CreatedAt | Start, End, DateRange | Fecha (formateada como 2022-12-01T21:47:39.269Z) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Número |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| FirstObservedAt | Start, End, DateRange | Fecha (formateada como 2022-12-01T21:47:39.269Z) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| LastObservedAt | Start, End, DateRange | Fecha (formateada como 2022-12-01T21:47:39.269Z) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| NoteUpdatedAt | Start, End, DateRange | Fecha (formateada como 2022-12-01T21:47:39.269Z) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Asignación |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Asignación |
| ResourceType | Is, Is Not | Selección (consulte los [recursos](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) admitidos por ASFF) |
| SeverityLabel | Is, Is Not | Selección: [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL] |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| UpdatedAt | Start, End, DateRange | Fecha (formateada como 2022-12-01T21:47:39.269Z) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Asignación |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| WorkflowStatus | Is, Is Not | Selección: [NEW, NOTIFIED, RESOLVED, SUPPRESSED] |
En el caso de los criterios etiquetados como campos de cadena, el uso de diferentes operadores de filtro en un mismo campo afecta a la lógica de evaluación. Para obtener más información, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html) en la *Referencia de la API del CSPM de AWS Security Hub*.
Cada criterio admite una cantidad máxima de valores que se pueden utilizar para filtrar los resultados que coinciden. Para conocer los límites de cada criterio, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html) en la *Referencia de la API del CSPM de AWS Security Hub*.
Actualmente se admiten los siguientes campos ASFF como acciones para las reglas de automatización:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
Para obtener más información sobre campos ASFF específicos, consulte [Sintaxis del formato de resultado de seguridad de AWS (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).
**sugerencia**
Si desea que el CSPM de Security Hub deje de generar resultados para un control específico, recomendamos desactivar el control en lugar de usar una regla de automatización. Cuando desactiva un control, el CSPM de Security Hub deja de ejecutar las comprobaciones de seguridad correspondientes y deja de generar resultados, por lo que no se generan cargos asociados a ese control. Le recomendamos que utilice reglas de automatización para cambiar los valores de campos ASFF específicos para los resultados que coincidan con los criterios definidos. Para obtener más información sobre cómo deshabilitar controles, consulte [Desactivación de controles en el CSPM de Security Hub](disable-controls-overview.md).
## Resultados que las reglas de automatización evalúan
Una regla de automatización evalúa los resultados nuevos y actualizados que el CSPM de Security Hub genera o ingiere mediante la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) *después* de que cree la regla. El CSPM de Security Hub actualiza los resultados de los controles cada 12 a 24 horas, o cuando el recurso asociado cambia de estado. Para obtener más información, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).
Las reglas de automatización evalúan los resultados originales proporcionados por el proveedor. Los proveedores pueden aportar resultados nuevos y actualizar resultados existentes mediante la operación `BatchImportFindings` de la API del CSPM de Security Hub. Si los siguientes campos no existen en el resultado original, el CSPM de Security Hub completa automáticamente esos campos y utiliza los valores completados en la evaluación realizada por la regla de automatización.
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
Después de crear una o más reglas de automatización, estas reglas no se desencadenan si actualiza los campos del resultado mediante la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Si crea una regla de automatización y realiza una actualización `BatchUpdateFindings` que afecten al mismo campo de resultado, la última actualización establecerá el valor de ese campo. Vea el siguiente ejemplo:
1. Utilice la operación `BatchUpdateFindings` para cambiar el valor del campo `Workflow.Status` de un resultado de `NEW` a `NOTIFIED`.
1. Si llama a `GetFindings`, el campo `Workflow.Status` ahora tendrá un valor de `NOTIFIED`.
1. Se crea una regla de automatización que cambia el campo `Workflow.Status` del resultado de `NEW` a `SUPPRESSED`. (Recuerde que las reglas ignoran las actualizaciones realizadas mediante la operación `BatchUpdateFindings`).
1. El proveedor del resultado utiliza la operación `BatchImportFindings` para actualizar el resultado y cambia el valor del campo `Workflow.Status` del resultado a `NEW`.
1. Si llama a `GetFindings`, el campo `Workflow.Status` ahora tendrá un valor de `SUPPRESSED`. Esto ocurre porque se aplicó la regla de automatización y esa regla fue la última acción realizada sobre el resultado.
Cuando crea o edita una regla en la consola del CSPM de Security Hub, la consola muestra una vista preliminar de los resultados que coinciden con los criterios de la regla. Mientras que las reglas de automatización evalúan los resultados originales enviados por el proveedor del resultado, la vista preliminar de la consola refleja los resultados en su estado final tal como aparecerían en una respuesta a la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) (es decir, después de aplicar las acciones de la regla u otras actualizaciones al resultado).
## Cómo funciona el orden de las reglas
Al crear reglas de automatización, usted asigna a cada regla un orden. Esto determina el orden en el que el CSPM de Security Hub aplica las reglas de automatización y adquiere importancia cuando varias reglas se relacionan con el mismo resultado o con el mismo campo del resultado.
Cuando varias acciones de reglas se refieren al mismo resultado o campo de resultado, la regla con el valor numérico más alto de orden de reglas se aplica en último lugar y tiene el efecto definitivo.
Cuando crea una regla en la consola del CSPM de Security Hub, el CSPM de Security Hub asigna automáticamente un orden basado en el orden de creación de la regla. La regla creada más recientemente tiene el valor numérico más bajo de orden de reglas y, por lo tanto, se aplica primero. El CSPM de Security Hub aplica las reglas posteriores en orden ascendente.
Al crear una regla a través de la API CSPM de Security Hub o AWS CLI, Security Hub CSPM aplica primero la regla con el valor numérico más bajo. `RuleOrder` Luego aplica las reglas subsiguientes en orden ascendente. Si varios resultados tienen el mismo valor de `RuleOrder`, el CSPM de Security Hub aplica primero la regla con un valor anterior en el campo `UpdatedAt` (es decir, la regla editada más recientemente se aplica al final).
Puede modificar el orden de las reglas en cualquier momento.
**Ejemplo de orden de reglas**:
**Regla A (el orden de la regla es`1`)**:
+ Criterios de la regla A
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type` es `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState` es `NEW`
+ `Workflow.Status` = `ACTIVE`
+ Acciones de la regla A
+ Actualizar `Confidence` a `95`
+ Actualizar `Severity` a `CRITICAL`
**Regla B (el orden de la regla es`2`)**:
+ Criterios de la regla B
+ `AwsAccountId` = `123456789012`
+ Acciones de la regla B
+ Actualizar `Severity` a `INFORMATIONAL`
Las acciones de la regla A se aplican primero a los resultados del CSPM de Security Hub que coinciden con los criterios de la regla A. Luego, se aplican las acciones de la regla B a los resultados del CSPM de Security Hub que coinciden con el ID de cuenta especificado. En este ejemplo, como la regla B se aplica en último lugar, el valor final de `Severity` en los resultados del ID de cuenta especificado es `INFORMATIONAL`. Según la acción de la regla A, el valor final de `Confidence` en los resultados coincidentes es `95`.
# Creación de reglas de automatización
Se puede usar una regla de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. Puede crear una regla de automatización personalizada desde cero o, en la consola del CSPM de Security Hub, usar una plantilla de regla previamente completada. Para obtener información general sobre cómo funcionan las reglas de automatización, consulte [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md).
Solo puede crear una regla de automatización a la vez. Para crear varias reglas de automatización, siga los procedimientos de la consola tantas veces como necesite o llame a la API o al comando tantas veces como necesite con los parámetros que desee.
Debe crear una regla de automatización en cada región y cuenta en que desee que la regla se aplique a los resultados.
Cuando crea una regla de automatización en la consola del CSPM de Security Hub, el CSPM de Security Hub muestra una versión preliminar de los resultados a los que se aplica la regla. La vista previa no está disponible si los criterios de la regla incluyen un filtro CONTAINS o NOT\$1CONTAINS. Puede elegir estos filtros para los tipos de campos de mapeo y cadena.
**importante**
AWS recomienda no incluir información de identificación personal, confidencial o confidencial en el nombre, la descripción u otros campos de la regla.
## Creación de una regla de automatización personalizada
Elija su método preferido y realice los siguientes pasos para crear una regla de automatización personalizada.
------
#### [ Console ]
**Para crear una regla de automatización personalizada (consola)**
1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, seleccione **Automatizaciones**.
1. Seleccione **Crear regla**. En **Tipo de regla**, seleccione **Crear regla personalizada**.
1. En la sección **Regla**, proporcione un nombre de regla único y una descripción de la regla.
1. En **Criterios**, utilice los menús desplegables de **Clave**, **Operador** y **Valor** para especificar los criterios de la regla. Debe especificar al menos un criterio de regla.
Si los criterios seleccionados son compatibles, la consola muestra una vista previa de los resultados que cumplen dichos criterios.
1. En **Acción automatizada**, utilice los menús desplegables para especificar qué campos de resultado desea actualizar cuando los resultados coincidan con los criterios de la regla. Debe especificar al menos una regla de acción.
1. En **Estado de la regla**, elija si desea que la regla quede **Habilitada** o **Deshabilitada** tras su creación.
1. (Opcional) Amplíe la sección **Ajustes adicionales**. Seleccione **Ignorar reglas posteriores para resultados que coincidan con estos criterios** si desea que esta regla sea la última que se aplique a los resultados que coincidan con los criterios de la regla.
1. (Opcional) En **Etiquetas**, añada etiquetas como pares clave-valor para ayudarle a identificar fácilmente la regla.
1. Seleccione **Creación de regla**.
------
#### [ API ]
**Para crear una regla de automatización personalizada (API)**
1. Ejecute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html) desde la cuenta de administrador del CSPM de Security Hub. Esta API crea una regla con un nombre de recurso de Amazon (ARN) específico.
1. Introduzca un nombre y una descripción para la regla.
1. Defina el parámetro `IsTerminal` como `true` si desea que esta regla sea la última que se aplique a los resultados que coincidan con los criterios de la regla.
1. En el parámetro `RuleOrder`, indique el orden de la regla. El CSPM de Security Hub aplica primero las reglas con el valor numérico más bajo para este parámetro.
1. En el parámetro `RuleStatus`, especifique si desea que el CSPM de Security Hub habilite la regla y comience a aplicarla a los resultados una vez creada. El valor predeterminado es `ENABLED` si no se especifica ningún valor. Un valor de `DISABLED` significa que la regla queda en pausa tras su creación.
1. En el parámetro `Criteria`, proporcione los criterios que desea que el CSPM de Security Hub utilice para filtrar los resultados. La acción de la regla se aplicará a los resultados que coincidan con los criterios. Para obtener una lista de los criterios admitidos, consulte [Criterios de regla y acciones de regla disponibles](automation-rules.md#automation-rules-criteria-actions).
1. En el parámetro `Actions`, proporcione las acciones que desea que el CSPM de Security Hub ejecute cuando exista una coincidencia entre un resultado y los criterios definidos. Para obtener una lista de las acciones admitidas, consulte [Criterios de regla y acciones de regla disponibles](automation-rules.md#automation-rules-criteria-actions).
El siguiente AWS CLI comando de ejemplo crea una regla de automatización que actualiza el estado del flujo de trabajo y anota las coincidencias. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## Crear una regla de automatización a partir de una plantilla (solo en la consola)
Las plantillas de reglas reflejan casos de uso comunes para las reglas de automatización. Actualmente, solo la consola del CSPM de Security Hub admite plantillas de reglas. Complete los siguientes pasos para crear una regla de automatización a partir de una plantilla en la consola.
**Para crear una regla de automatización a partir de una plantilla (en la consola)**
1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, seleccione **Automatizaciones**.
1. Seleccione **Crear regla**. En **Tipo de regla**, seleccione **Crear una regla a partir de una plantilla**.
1. Seleccione una plantilla de regla en el menú desplegable.
1. (Opcional) De ser necesario para su caso de uso, modifique las secciones **Regla**, **Criterios** y **Acción automatizada**. Debe especificar al menos un criterio de regla y una acción de regla.
Si los criterios seleccionados son compatibles, la consola muestra una vista previa de los resultados que cumplen dichos criterios.
1. En **Estado de la regla**, elija si desea que la regla quede **Habilitada** o **Deshabilitada** tras su creación.
1. (Opcional) Amplíe la sección **Ajustes adicionales**. Seleccione **Ignorar reglas posteriores para resultados que coincidan con estos criterios** si desea que esta regla sea la última que se aplique a los resultados que coincidan con los criterios de la regla.
1. (Opcional) En **Etiquetas**, añada etiquetas como pares clave-valor para ayudarle a identificar fácilmente la regla.
1. Seleccione **Creación de regla**.
# Visualización de las reglas de automatización
Se puede usar una regla de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. Para obtener información general sobre cómo funcionan las reglas de automatización, consulte [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md).
Elija el método que prefiera y siga los pasos para ver sus reglas de automatización existentes y los detalles de cada regla.
Para obtener un historial de cómo las reglas de automatización han modificado sus resultados, consulte [Revisión de detalles e historial de resultados en el CSPM de Security Hub](securityhub-findings-viewing.md).
------
#### [ Console ]
**Para ver las reglas de automatización (consola)**
1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, seleccione **Automatizaciones**.
1. Elija un nombre de regla. También puede seleccionar una regla.
1. Seleccione **Acciones** y luego **Ver**.
------
#### [ API ]
**Para ver las reglas de automatización (API)**
1. Para ver las reglas de automatización de la cuenta, ejecute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html) desde la cuenta de administrador del CSPM de Security Hub. Esta API devuelve la regla ARNs y otros metadatos de sus reglas. No se requieren parámetros de entrada para esta API, pero puede como opción proporcionar `MaxResults` para limitar el número de resultados y `NextToken` como parámetro de paginación. El valor inicial de `NextToken` debería ser `NULL`.
1. Para obtener más detalles sobre las reglas, incluidos los criterios y las acciones de una regla, ejecute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html) desde la cuenta de administrador del CSPM de Security Hub. Proporcione las reglas ARNs de automatización de las que desee obtener detalles.
En el siguiente ejemplo, se recuperan los detalles de las reglas de automatización especificadas. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# Edición de reglas de automatización
Se puede usar una regla de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. Para obtener información general sobre cómo funcionan las reglas de automatización, consulte [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md).
Tras crear una regla de automatización, el administrador delegado del CSPM de Security Hub puede editar la regla. Al editar una regla de automatización, los cambios se aplican a los resultados nuevos y actualizados que el CSPM de Security Hub genera o ingiere después de la edición de la regla.
Elija el método que prefiera y siga los pasos para editar el contenido de una regla de automatización. Puede editar una o más reglas con una sola solicitud. Para obtener instrucciones sobre cómo editar el orden de las reglas, consulte [Edición del orden de las reglas de automatización](edit-rule-order.md).
------
#### [ Console ]
**Para editar las reglas de automatización (consola)**
1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, seleccione **Automatizaciones**.
1. Seleccione la regla que desea editar. Seleccione **Acciones** y luego **Editar**.
1. Cambie la regla como desee y seleccione **Guardar cambios**.
------
#### [ API ]
**Para editar las reglas de automatización (API)**
1. Ejecute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) desde la cuenta de administrador del CSPM de Security Hub.
1. En el parámetro `RuleArn`, proporcione el ARN de las reglas que desee editar.
1. Proporcione los nuevos valores de los parámetros que desee editar. Puede editar cualquier parámetro excepto `RuleArn`.
En el siguiente ejemplo, se actualiza la regla de automatización especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# Edición del orden de las reglas de automatización
Se puede usar una regla de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. Para obtener información general sobre cómo funcionan las reglas de automatización, consulte [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md).
Tras crear una regla de automatización, el administrador delegado del CSPM de Security Hub puede editar la regla.
Si desea mantener los criterios y las acciones de la regla tal como están, pero desea cambiar el orden en que el CSPM de Security Hub aplica una regla de automatización, es posible editar solo el orden de la regla. Elija el método que prefiera y siga los pasos para editar el orden de las reglas.
Para obtener instrucciones acerca de cómo editar los criterios o las acciones de una regla de automatización, consulte [Edición de reglas de automatización](edit-automation-rules.md).
------
#### [ Console ]
**Para editar el orden de una regla de automatización (consola)**
1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, seleccione **Automatizaciones**.
1. Seleccione la regla cuyo orden desea modificar. Seleccione **Editar prioridad**.
1. Seleccione **Subir** para aumentar la prioridad de la regla en una unidad. Seleccione **Bajar** para disminuir la prioridad de la regla en una unidad. Seleccione **Mover al principio** para asignar a la regla un orden de **1** (esto da a la regla precedencia sobre otras existentes).
**nota**
Cuando crea una regla en la consola del CSPM de Security Hub, el CSPM de Security Hub asigna automáticamente un orden basado en el orden de creación de la regla. La regla creada más recientemente tiene el valor numérico más bajo de orden de reglas y, por lo tanto, se aplica primero.
------
#### [ API ]
**Para editar el orden de una regla de automatización (API)**
1. Use la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) desde la cuenta de administrador del CSPM de Security Hub.
1. En el parámetro `RuleArn`, proporcione el ARN de las reglas cuyo orden desea editar.
1. Modifique el valor del campo `RuleOrder`.
**nota**
Si varias reglas tienen el mismo `RuleOrder`, el CSPM de Security Hub aplica primero una regla con un valor anterior para el campo `UpdatedAt` (es decir, la regla que se editó más recientemente se aplica en último lugar).
------
# Eliminación o desactivación de las reglas de automatización
Se puede usar una regla de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. Para obtener información general sobre cómo funcionan las reglas de automatización, consulte [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md).
Al eliminar una regla de automatización, el CSPM de Security Hub la elimina de la cuenta y deja de aplicarla a los resultados. Como alternativa a la eliminación, puede *desactivar* una regla. Esto retiene la regla para uso futuro, pero el CSPM de Security Hub no aplicará la regla a ningún resultado coincidente hasta que la habilite.
Elija el método que prefiera y siga los pasos para eliminar una regla de automatización. Puede eliminar una o más reglas en una sola solicitud.
------
#### [ Console ]
**Para eliminar o desactivar las reglas de automatización (consola)**
1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, seleccione **Automatizaciones**.
1. Seleccione las reglas que desea eliminar. Seleccione **Acción** y luego **Eliminar** (para retener una regla, pero temporalmente deshabilitada, seleccione **Deshabilitar**).
1. Confirme la elección y seleccione **Eliminar**.
------
#### [ API ]
**Para eliminar o desactivar las reglas de automatización (API)**
1. Use la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html) desde la cuenta de administrador del CSPM de Security Hub.
1. En el parámetro `AutomationRulesArns`, indique el ARN de las reglas que desea eliminar (para retener una regla, pero temporalmente deshabilitada, indique `DISABLED` en el parámetro `RuleStatus`).
En el siguiente ejemplo, se elimina la regla de automatización que se especificó. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# Ejemplos de reglas de automatización
En esta sección se proporcionan ejemplos de reglas de automatización para casos de uso comunes del CSPM de Security Hub. Estos ejemplos corresponden a plantillas de reglas que están disponibles en la consola del CSPM de Security Hub.
## Elevar la gravedad a Crítica cuando un recurso específico como un bucket S3 esté en riesgo
En este ejemplo, los criterios de la regla coinciden cuando el `ResourceId` de un resultado es un bucket específico de Amazon Simple Storage Service (Amazon S3). La acción de la regla es cambiar la gravedad de los resultados coincidentes a `CRITICAL`. Puede modificar esta plantilla para aplicarla a otros recursos.
**Ejemplo de solicitud de API:**
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Ejemplo de comando de la CLI:**
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Cómo elevar la gravedad de los resultados relacionados con los recursos en cuentas de producción
En este ejemplo, los criterios de la regla coinciden cuando se genera un resultado de gravedad `HIGH` en cuentas de producción específicas. La acción de la regla es cambiar la gravedad de los resultados coincidentes a `CRITICAL`.
**Ejemplo de solicitud de API:**
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Ejemplo de comando de la CLI**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Cómo suprimir resultados informativos
En este ejemplo, los criterios de la regla coinciden con los hallazgos de `INFORMATIONAL` gravedad enviados a Security Hub CSPM desde Amazon. GuardDuty La acción de la regla es cambiar el estado del flujo de trabajo de los resultados coincidentes a `SUPPRESSED`.
**Ejemplo de solicitud de API:**
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Ejemplo de comando de la CLI**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```