Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Modificación automática de los resultados del CSPM de Security Hub y adopción de medidas al respecto
AWS Security Hub CSPM tiene funciones que modifican automáticamente los hallazgos y toman medidas en función de sus especificaciones.
El CSPM de Security Hub actualmente admite dos tipos de automatizaciones:
+ **Reglas de automatización**: Actualice y suprima automáticamente los resultados casi en tiempo real en función de los criterios que defina.
+ **Respuesta y corrección automatizadas**: cree EventBridge reglas de Amazon personalizadas que definan las acciones automáticas que se deben tomar en función de hallazgos e información específicos.
Las reglas de automatización son útiles cuando se desean actualizar automáticamente los campos de búsqueda en el formato de búsqueda AWS de seguridad (ASFF). Por ejemplo, puede utilizar una regla de automatización para actualizar el nivel de gravedad o el estado del flujo de trabajo de los resultados de una integración específica de terceros. El uso de la regla de automatización elimina la necesidad de actualizar de manera manual el nivel de gravedad o el estado del flujo de trabajo de cada resultado de este producto de terceros.
EventBridge las reglas son útiles cuando quieres tomar medidas fuera del Security Hub CSPM con respecto a hallazgos específicos o enviar hallazgos específicos a herramientas de terceros para su corrección o investigación adicional. Las reglas se pueden utilizar para activar acciones compatibles, como invocar una AWS Lambda función o notificar a un tema del Amazon Simple Notification Service (Amazon SNS) sobre un hallazgo específico.
Las reglas de automatización entran en vigor antes de que se EventBridge apliquen. Es decir, las reglas de automatización se activan y actualizan un hallazgo EventBridge antes de recibirlo. EventBridge Las reglas se aplican entonces al hallazgo actualizado.
Al configurar automatizaciones para los controles de seguridad, recomendamos filtrar en función del ID del control en vez del título o la descripción. Mientras que Security Hub CSPM actualiza ocasionalmente los títulos y descripciones de los controles, el control sigue IDs siendo el mismo.
**Topics**
+ [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md)
+ [Uso EventBridge para respuesta y remediación automatizadas](securityhub-cloudwatch-events.md)
# Descripción de las reglas de automatización en el CSPM de Security Hub
Puede usar reglas de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. A medida que se ingieren resultados, el CSPM de Security Hub puede aplicar diversas acciones de regla, como suprimir resultados, modificar su gravedad o agregar notas. Estas acciones de reglas modifican los resultados que coinciden con criterios específicos.
Algunos ejemplos de casos de uso de reglas de automatización son los siguientes:
+ Elevar la gravedad de un resultado a `CRITICAL` si el ID de recurso del resultado se refiere a un recurso crítico para la empresa.
+ Elevar la gravedad de un resultado de `HIGH` a `CRITICAL` si el resultado afecta a recursos en cuentas de producción específicas.
+ Asignar resultados específicos que tengan una gravedad `INFORMATIONAL` un estado de flujo de trabajo `SUPPRESSED`.
Solo puede crear y administrar reglas de automatización desde una cuenta de administrador del CSPM de Security Hub.
Las reglas se aplican a los resultados tanto nuevos como actualizados. Puede crear una regla personalizada desde cero o utilizar una plantilla de regla proporcionada por el CSPM de Security Hub. Además, puede empezar con una plantilla y modificarla según sea necesario.
## Definición de criterios de regla y acciones de regla
Desde una cuenta de administrador del CSPM de Security Hub, puede crear una regla de automatización mediante la definición de uno o más *criterios* de regla y una o más *acciones* de regla. Cuando un resultado coincide con los criterios definidos, el CSPM de Security Hub aplica las acciones de la regla al resultado. Para obtener más información sobre los criterios y acciones disponibles, consulte [Criterios de regla y acciones de regla disponibles](#automation-rules-criteria-actions).
El CSPM de Security Hub admite actualmente un máximo de 100 reglas de automatización por cada cuenta de administrador.
La cuenta de administrador del CSPM de Security Hub también puede editar, ver y eliminar reglas de automatización. Una regla se aplica a los resultados que coinciden en la cuenta de administrador y en todas las cuentas de miembro. Al proporcionar la cuenta de miembro IDs como criterio de regla, los administradores de CSPM de Security Hub también pueden usar reglas de automatización para actualizar o suprimir los hallazgos en cuentas de miembros específicas.
Una regla de automatización solo se aplica en el lugar Región de AWS en el que se creó. Para aplicar una regla en varias regiones, el administrador debe crear la regla en cada región. Esto se puede hacer mediante la consola del CSPM de Security Hub, la API del CSPM de Security Hub o [AWS CloudFormation](creating-resources-with-cloudformation.md). Además, puede utilizar un un [script de implementación multirregión](https://github.com/awslabs/aws-securityhub-multiaccount-scripts/blob/master/automation_rules).
## Criterios de regla y acciones de regla disponibles
Los siguientes campos del formato de búsqueda de AWS seguridad (ASFF) se admiten actualmente como criterios para las reglas de automatización:
| Criterios de reglas | Operadores de filtro | Tipo de campo |
| --- | --- | --- |
| AwsAccountId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| AwsAccountName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| CompanyName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ComplianceAssociatedStandardsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ComplianceSecurityControlId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ComplianceStatus | Is, Is Not | Selección: [FAILED, NOT\$1AVAILABLE, PASSED, WARNING] |
| Confidence | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Número |
| CreatedAt | Start, End, DateRange | Fecha (formateada como 2022-12-01T21:47:39.269Z) |
| Criticality | Eq (equal-to), Gte (greater-than-equal), Lte (less-than-equal) | Número |
| Description | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| FirstObservedAt | Start, End, DateRange | Fecha (formateada como 2022-12-01T21:47:39.269Z) |
| GeneratorId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| Id | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| LastObservedAt | Start, End, DateRange | Fecha (formateada como 2022-12-01T21:47:39.269Z) |
| NoteText | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| NoteUpdatedAt | Start, End, DateRange | Fecha (formateada como 2022-12-01T21:47:39.269Z) |
| NoteUpdatedBy | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ProductName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| RecordState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| RelatedFindingsId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| RelatedFindingsProductArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ResourceApplicationArn | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ResourceApplicationName | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ResourceDetailsOther | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Asignación |
| ResourceId | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ResourcePartition | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ResourceRegion | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| ResourceTags | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Asignación |
| ResourceType | Is, Is Not | Selección (consulte los [recursos](https://docs.aws.amazon.com/securityhub/latest/userguide/asff-resources.html) admitidos por ASFF) |
| SeverityLabel | Is, Is Not | Selección: [CRITICAL, HIGH, MEDIUM, LOW, INFORMATIONAL] |
| SourceUrl | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| Title | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| Type | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| UpdatedAt | Start, End, DateRange | Fecha (formateada como 2022-12-01T21:47:39.269Z) |
| UserDefinedFields | CONTAINS, EQUALS, NOT\$1CONTAINS, NOT\$1EQUALS | Asignación |
| VerificationState | CONTAINS, EQUALS, PREFIX, NOT\$1CONTAINS, NOT\$1EQUALS, PREFIX\$1NOT\$1EQUALS | Cadena |
| WorkflowStatus | Is, Is Not | Selección: [NEW, NOTIFIED, RESOLVED, SUPPRESSED] |
En el caso de los criterios etiquetados como campos de cadena, el uso de diferentes operadores de filtro en un mismo campo afecta a la lógica de evaluación. Para obtener más información, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StringFilter.html) en la *Referencia de la API del CSPM de AWS Security Hub*.
Cada criterio admite una cantidad máxima de valores que se pueden utilizar para filtrar los resultados que coinciden. Para conocer los límites de cada criterio, consulte [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AutomationRulesFindingFilters.html) en la *Referencia de la API del CSPM de AWS Security Hub*.
Actualmente se admiten los siguientes campos ASFF como acciones para las reglas de automatización:
+ `Confidence`
+ `Criticality`
+ `Note`
+ `RelatedFindings`
+ `Severity`
+ `Types`
+ `UserDefinedFields`
+ `VerificationState`
+ `Workflow`
Para obtener más información sobre campos ASFF específicos, consulte [Sintaxis del formato de resultado de seguridad de AWS (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html).
**sugerencia**
Si desea que el CSPM de Security Hub deje de generar resultados para un control específico, recomendamos desactivar el control en lugar de usar una regla de automatización. Cuando desactiva un control, el CSPM de Security Hub deja de ejecutar las comprobaciones de seguridad correspondientes y deja de generar resultados, por lo que no se generan cargos asociados a ese control. Le recomendamos que utilice reglas de automatización para cambiar los valores de campos ASFF específicos para los resultados que coincidan con los criterios definidos. Para obtener más información sobre cómo deshabilitar controles, consulte [Desactivación de controles en el CSPM de Security Hub](disable-controls-overview.md).
## Resultados que las reglas de automatización evalúan
Una regla de automatización evalúa los resultados nuevos y actualizados que el CSPM de Security Hub genera o ingiere mediante la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html) *después* de que cree la regla. El CSPM de Security Hub actualiza los resultados de los controles cada 12 a 24 horas, o cuando el recurso asociado cambia de estado. Para obtener más información, consulte [Programación para ejecutar comprobaciones de seguridad](securityhub-standards-schedule.md).
Las reglas de automatización evalúan los resultados originales proporcionados por el proveedor. Los proveedores pueden aportar resultados nuevos y actualizar resultados existentes mediante la operación `BatchImportFindings` de la API del CSPM de Security Hub. Si los siguientes campos no existen en el resultado original, el CSPM de Security Hub completa automáticamente esos campos y utiliza los valores completados en la evaluación realizada por la regla de automatización.
+ `AwsAccountName`
+ `CompanyName`
+ `ProductName`
+ `Resource.Tags`
+ `Workflow.Status`
Después de crear una o más reglas de automatización, estas reglas no se desencadenan si actualiza los campos del resultado mediante la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html). Si crea una regla de automatización y realiza una actualización `BatchUpdateFindings` que afecten al mismo campo de resultado, la última actualización establecerá el valor de ese campo. Vea el siguiente ejemplo:
1. Utilice la operación `BatchUpdateFindings` para cambiar el valor del campo `Workflow.Status` de un resultado de `NEW` a `NOTIFIED`.
1. Si llama a `GetFindings`, el campo `Workflow.Status` ahora tendrá un valor de `NOTIFIED`.
1. Se crea una regla de automatización que cambia el campo `Workflow.Status` del resultado de `NEW` a `SUPPRESSED`. (Recuerde que las reglas ignoran las actualizaciones realizadas mediante la operación `BatchUpdateFindings`).
1. El proveedor del resultado utiliza la operación `BatchImportFindings` para actualizar el resultado y cambia el valor del campo `Workflow.Status` del resultado a `NEW`.
1. Si llama a `GetFindings`, el campo `Workflow.Status` ahora tendrá un valor de `SUPPRESSED`. Esto ocurre porque se aplicó la regla de automatización y esa regla fue la última acción realizada sobre el resultado.
Cuando crea o edita una regla en la consola del CSPM de Security Hub, la consola muestra una vista preliminar de los resultados que coinciden con los criterios de la regla. Mientras que las reglas de automatización evalúan los resultados originales enviados por el proveedor del resultado, la vista preliminar de la consola refleja los resultados en su estado final tal como aparecerían en una respuesta a la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html) (es decir, después de aplicar las acciones de la regla u otras actualizaciones al resultado).
## Cómo funciona el orden de las reglas
Al crear reglas de automatización, usted asigna a cada regla un orden. Esto determina el orden en el que el CSPM de Security Hub aplica las reglas de automatización y adquiere importancia cuando varias reglas se relacionan con el mismo resultado o con el mismo campo del resultado.
Cuando varias acciones de reglas se refieren al mismo resultado o campo de resultado, la regla con el valor numérico más alto de orden de reglas se aplica en último lugar y tiene el efecto definitivo.
Cuando crea una regla en la consola del CSPM de Security Hub, el CSPM de Security Hub asigna automáticamente un orden basado en el orden de creación de la regla. La regla creada más recientemente tiene el valor numérico más bajo de orden de reglas y, por lo tanto, se aplica primero. El CSPM de Security Hub aplica las reglas posteriores en orden ascendente.
Al crear una regla a través de la API CSPM de Security Hub o AWS CLI, Security Hub CSPM aplica primero la regla con el valor numérico más bajo. `RuleOrder` Luego aplica las reglas subsiguientes en orden ascendente. Si varios resultados tienen el mismo valor de `RuleOrder`, el CSPM de Security Hub aplica primero la regla con un valor anterior en el campo `UpdatedAt` (es decir, la regla editada más recientemente se aplica al final).
Puede modificar el orden de las reglas en cualquier momento.
**Ejemplo de orden de reglas**:
**Regla A (el orden de la regla es`1`)**:
+ Criterios de la regla A
+ `ProductName` = `Security Hub CSPM`
+ `Resources.Type` es `S3 Bucket`
+ `Compliance.Status` = `FAILED`
+ `RecordState` es `NEW`
+ `Workflow.Status` = `ACTIVE`
+ Acciones de la regla A
+ Actualizar `Confidence` a `95`
+ Actualizar `Severity` a `CRITICAL`
**Regla B (el orden de la regla es`2`)**:
+ Criterios de la regla B
+ `AwsAccountId` = `123456789012`
+ Acciones de la regla B
+ Actualizar `Severity` a `INFORMATIONAL`
Las acciones de la regla A se aplican primero a los resultados del CSPM de Security Hub que coinciden con los criterios de la regla A. Luego, se aplican las acciones de la regla B a los resultados del CSPM de Security Hub que coinciden con el ID de cuenta especificado. En este ejemplo, como la regla B se aplica en último lugar, el valor final de `Severity` en los resultados del ID de cuenta especificado es `INFORMATIONAL`. Según la acción de la regla A, el valor final de `Confidence` en los resultados coincidentes es `95`.
# Creación de reglas de automatización
Se puede usar una regla de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. Puede crear una regla de automatización personalizada desde cero o, en la consola del CSPM de Security Hub, usar una plantilla de regla previamente completada. Para obtener información general sobre cómo funcionan las reglas de automatización, consulte [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md).
Solo puede crear una regla de automatización a la vez. Para crear varias reglas de automatización, siga los procedimientos de la consola tantas veces como necesite o llame a la API o al comando tantas veces como necesite con los parámetros que desee.
Debe crear una regla de automatización en cada región y cuenta en que desee que la regla se aplique a los resultados.
Cuando crea una regla de automatización en la consola del CSPM de Security Hub, el CSPM de Security Hub muestra una versión preliminar de los resultados a los que se aplica la regla. La vista previa no está disponible si los criterios de la regla incluyen un filtro CONTAINS o NOT\$1CONTAINS. Puede elegir estos filtros para los tipos de campos de mapeo y cadena.
**importante**
AWS recomienda no incluir información de identificación personal, confidencial o confidencial en el nombre, la descripción u otros campos de la regla.
## Creación de una regla de automatización personalizada
Elija su método preferido y realice los siguientes pasos para crear una regla de automatización personalizada.
------
#### [ Console ]
**Para crear una regla de automatización personalizada (consola)**
1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, seleccione **Automatizaciones**.
1. Seleccione **Crear regla**. En **Tipo de regla**, seleccione **Crear regla personalizada**.
1. En la sección **Regla**, proporcione un nombre de regla único y una descripción de la regla.
1. En **Criterios**, utilice los menús desplegables de **Clave**, **Operador** y **Valor** para especificar los criterios de la regla. Debe especificar al menos un criterio de regla.
Si los criterios seleccionados son compatibles, la consola muestra una vista previa de los resultados que cumplen dichos criterios.
1. En **Acción automatizada**, utilice los menús desplegables para especificar qué campos de resultado desea actualizar cuando los resultados coincidan con los criterios de la regla. Debe especificar al menos una regla de acción.
1. En **Estado de la regla**, elija si desea que la regla quede **Habilitada** o **Deshabilitada** tras su creación.
1. (Opcional) Amplíe la sección **Ajustes adicionales**. Seleccione **Ignorar reglas posteriores para resultados que coincidan con estos criterios** si desea que esta regla sea la última que se aplique a los resultados que coincidan con los criterios de la regla.
1. (Opcional) En **Etiquetas**, añada etiquetas como pares clave-valor para ayudarle a identificar fácilmente la regla.
1. Seleccione **Creación de regla**.
------
#### [ API ]
**Para crear una regla de automatización personalizada (API)**
1. Ejecute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateAutomationRule.html) desde la cuenta de administrador del CSPM de Security Hub. Esta API crea una regla con un nombre de recurso de Amazon (ARN) específico.
1. Introduzca un nombre y una descripción para la regla.
1. Defina el parámetro `IsTerminal` como `true` si desea que esta regla sea la última que se aplique a los resultados que coincidan con los criterios de la regla.
1. En el parámetro `RuleOrder`, indique el orden de la regla. El CSPM de Security Hub aplica primero las reglas con el valor numérico más bajo para este parámetro.
1. En el parámetro `RuleStatus`, especifique si desea que el CSPM de Security Hub habilite la regla y comience a aplicarla a los resultados una vez creada. El valor predeterminado es `ENABLED` si no se especifica ningún valor. Un valor de `DISABLED` significa que la regla queda en pausa tras su creación.
1. En el parámetro `Criteria`, proporcione los criterios que desea que el CSPM de Security Hub utilice para filtrar los resultados. La acción de la regla se aplicará a los resultados que coincidan con los criterios. Para obtener una lista de los criterios admitidos, consulte [Criterios de regla y acciones de regla disponibles](automation-rules.md#automation-rules-criteria-actions).
1. En el parámetro `Actions`, proporcione las acciones que desea que el CSPM de Security Hub ejecute cuando exista una coincidencia entre un resultado y los criterios definidos. Para obtener una lista de las acciones admitidas, consulte [Criterios de regla y acciones de regla disponibles](automation-rules.md#automation-rules-criteria-actions).
El siguiente AWS CLI comando de ejemplo crea una regla de automatización que actualiza el estado del flujo de trabajo y anota las coincidencias. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws securityhub create-automation-rule \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "HIGH"
},
"Note": {
"Text": "Known issue that is a risk. Updated by automation rules",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--criteria '{
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--description "A sample rule" \
--no-is-terminal \
--rule-name "sample rule" \
--rule-order 1 \
--rule-status "ENABLED" \
--region us-east-1
```
------
## Crear una regla de automatización a partir de una plantilla (solo en la consola)
Las plantillas de reglas reflejan casos de uso comunes para las reglas de automatización. Actualmente, solo la consola del CSPM de Security Hub admite plantillas de reglas. Complete los siguientes pasos para crear una regla de automatización a partir de una plantilla en la consola.
**Para crear una regla de automatización a partir de una plantilla (en la consola)**
1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, seleccione **Automatizaciones**.
1. Seleccione **Crear regla**. En **Tipo de regla**, seleccione **Crear una regla a partir de una plantilla**.
1. Seleccione una plantilla de regla en el menú desplegable.
1. (Opcional) De ser necesario para su caso de uso, modifique las secciones **Regla**, **Criterios** y **Acción automatizada**. Debe especificar al menos un criterio de regla y una acción de regla.
Si los criterios seleccionados son compatibles, la consola muestra una vista previa de los resultados que cumplen dichos criterios.
1. En **Estado de la regla**, elija si desea que la regla quede **Habilitada** o **Deshabilitada** tras su creación.
1. (Opcional) Amplíe la sección **Ajustes adicionales**. Seleccione **Ignorar reglas posteriores para resultados que coincidan con estos criterios** si desea que esta regla sea la última que se aplique a los resultados que coincidan con los criterios de la regla.
1. (Opcional) En **Etiquetas**, añada etiquetas como pares clave-valor para ayudarle a identificar fácilmente la regla.
1. Seleccione **Creación de regla**.
# Visualización de las reglas de automatización
Se puede usar una regla de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. Para obtener información general sobre cómo funcionan las reglas de automatización, consulte [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md).
Elija el método que prefiera y siga los pasos para ver sus reglas de automatización existentes y los detalles de cada regla.
Para obtener un historial de cómo las reglas de automatización han modificado sus resultados, consulte [Revisión de detalles e historial de resultados en el CSPM de Security Hub](securityhub-findings-viewing.md).
------
#### [ Console ]
**Para ver las reglas de automatización (consola)**
1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, seleccione **Automatizaciones**.
1. Elija un nombre de regla. También puede seleccionar una regla.
1. Seleccione **Acciones** y luego **Ver**.
------
#### [ API ]
**Para ver las reglas de automatización (API)**
1. Para ver las reglas de automatización de la cuenta, ejecute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListAutomationRules.html) desde la cuenta de administrador del CSPM de Security Hub. Esta API devuelve la regla ARNs y otros metadatos de sus reglas. No se requieren parámetros de entrada para esta API, pero puede como opción proporcionar `MaxResults` para limitar el número de resultados y `NextToken` como parámetro de paginación. El valor inicial de `NextToken` debería ser `NULL`.
1. Para obtener más detalles sobre las reglas, incluidos los criterios y las acciones de una regla, ejecute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchGetAutomationRules.html) desde la cuenta de administrador del CSPM de Security Hub. Proporcione las reglas ARNs de automatización de las que desee obtener detalles.
En el siguiente ejemplo, se recuperan los detalles de las reglas de automatización especificadas. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws securityhub batch-get-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"]' \
--region us-east-1
```
------
# Edición de reglas de automatización
Se puede usar una regla de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. Para obtener información general sobre cómo funcionan las reglas de automatización, consulte [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md).
Tras crear una regla de automatización, el administrador delegado del CSPM de Security Hub puede editar la regla. Al editar una regla de automatización, los cambios se aplican a los resultados nuevos y actualizados que el CSPM de Security Hub genera o ingiere después de la edición de la regla.
Elija el método que prefiera y siga los pasos para editar el contenido de una regla de automatización. Puede editar una o más reglas con una sola solicitud. Para obtener instrucciones sobre cómo editar el orden de las reglas, consulte [Edición del orden de las reglas de automatización](edit-rule-order.md).
------
#### [ Console ]
**Para editar las reglas de automatización (consola)**
1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, seleccione **Automatizaciones**.
1. Seleccione la regla que desea editar. Seleccione **Acciones** y luego **Editar**.
1. Cambie la regla como desee y seleccione **Guardar cambios**.
------
#### [ API ]
**Para editar las reglas de automatización (API)**
1. Ejecute [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) desde la cuenta de administrador del CSPM de Security Hub.
1. En el parámetro `RuleArn`, proporcione el ARN de las reglas que desee editar.
1. Proporcione los nuevos valores de los parámetros que desee editar. Puede editar cualquier parámetro excepto `RuleArn`.
En el siguiente ejemplo, se actualiza la regla de automatización especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws securityhub batch-update-automation-rules \
--update-automation-rules-request-items '[
{
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Note": {
"Text": "Known issue that is a risk",
"UpdatedBy": "sechub-automation"
},
"Workflow": {
"Status": "NEW"
}
}
}],
"Criteria": {
"SeverityLabel": [{
"Value": "LOW",
"Comparison": "EQUALS"
}]
},
"RuleArn": "arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"RuleOrder": 14,
"RuleStatus": "DISABLED",
}
]' \
--region us-east-1
```
------
# Edición del orden de las reglas de automatización
Se puede usar una regla de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. Para obtener información general sobre cómo funcionan las reglas de automatización, consulte [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md).
Tras crear una regla de automatización, el administrador delegado del CSPM de Security Hub puede editar la regla.
Si desea mantener los criterios y las acciones de la regla tal como están, pero desea cambiar el orden en que el CSPM de Security Hub aplica una regla de automatización, es posible editar solo el orden de la regla. Elija el método que prefiera y siga los pasos para editar el orden de las reglas.
Para obtener instrucciones acerca de cómo editar los criterios o las acciones de una regla de automatización, consulte [Edición de reglas de automatización](edit-automation-rules.md).
------
#### [ Console ]
**Para editar el orden de una regla de automatización (consola)**
1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, seleccione **Automatizaciones**.
1. Seleccione la regla cuyo orden desea modificar. Seleccione **Editar prioridad**.
1. Seleccione **Subir** para aumentar la prioridad de la regla en una unidad. Seleccione **Bajar** para disminuir la prioridad de la regla en una unidad. Seleccione **Mover al principio** para asignar a la regla un orden de **1** (esto da a la regla precedencia sobre otras existentes).
**nota**
Cuando crea una regla en la consola del CSPM de Security Hub, el CSPM de Security Hub asigna automáticamente un orden basado en el orden de creación de la regla. La regla creada más recientemente tiene el valor numérico más bajo de orden de reglas y, por lo tanto, se aplica primero.
------
#### [ API ]
**Para editar el orden de una regla de automatización (API)**
1. Use la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateAutomationRules.html) desde la cuenta de administrador del CSPM de Security Hub.
1. En el parámetro `RuleArn`, proporcione el ARN de las reglas cuyo orden desea editar.
1. Modifique el valor del campo `RuleOrder`.
**nota**
Si varias reglas tienen el mismo `RuleOrder`, el CSPM de Security Hub aplica primero una regla con un valor anterior para el campo `UpdatedAt` (es decir, la regla que se editó más recientemente se aplica en último lugar).
------
# Eliminación o desactivación de las reglas de automatización
Se puede usar una regla de automatización para actualizar automáticamente los hallazgos en AWS Security Hub CSPM. Para obtener información general sobre cómo funcionan las reglas de automatización, consulte [Descripción de las reglas de automatización en el CSPM de Security Hub](automation-rules.md).
Al eliminar una regla de automatización, el CSPM de Security Hub la elimina de la cuenta y deja de aplicarla a los resultados. Como alternativa a la eliminación, puede *desactivar* una regla. Esto retiene la regla para uso futuro, pero el CSPM de Security Hub no aplicará la regla a ningún resultado coincidente hasta que la habilite.
Elija el método que prefiera y siga los pasos para eliminar una regla de automatización. Puede eliminar una o más reglas en una sola solicitud.
------
#### [ Console ]
**Para eliminar o desactivar las reglas de automatización (consola)**
1. Con las credenciales del administrador CSPM de Security Hub, abra la consola CSPM AWS de Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, seleccione **Automatizaciones**.
1. Seleccione las reglas que desea eliminar. Seleccione **Acción** y luego **Eliminar** (para retener una regla, pero temporalmente deshabilitada, seleccione **Deshabilitar**).
1. Confirme la elección y seleccione **Eliminar**.
------
#### [ API ]
**Para eliminar o desactivar las reglas de automatización (API)**
1. Use la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDeleteAutomationRules.html) desde la cuenta de administrador del CSPM de Security Hub.
1. En el parámetro `AutomationRulesArns`, indique el ARN de las reglas que desea eliminar (para retener una regla, pero temporalmente deshabilitada, indique `DISABLED` en el parámetro `RuleStatus`).
En el siguiente ejemplo, se elimina la regla de automatización que se especificó. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws securityhub batch-delete-automation-rules \
--automation-rules-arns '["arn:aws:securityhub:us-east-1:123456789012:automation-rule/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"]' \
--region us-east-1
```
------
# Ejemplos de reglas de automatización
En esta sección se proporcionan ejemplos de reglas de automatización para casos de uso comunes del CSPM de Security Hub. Estos ejemplos corresponden a plantillas de reglas que están disponibles en la consola del CSPM de Security Hub.
## Elevar la gravedad a Crítica cuando un recurso específico como un bucket S3 esté en riesgo
En este ejemplo, los criterios de la regla coinciden cuando el `ResourceId` de un resultado es un bucket específico de Amazon Simple Storage Service (Amazon S3). La acción de la regla es cambiar la gravedad de los resultados coincidentes a `CRITICAL`. Puede modificar esta plantilla para aplicarla a otros recursos.
**Ejemplo de solicitud de API:**
```
{
"IsTerminal": true,
"RuleName": "Elevate severity of findings that relate to important resources",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Ejemplo de comando de la CLI:**
```
$
aws securityhub create-automation-rule \
--is-terminal \
--rule-name "Elevate severity of findings that relate to important resources" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity to CRITICAL when specific resource such as an S3 bucket is at risk" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"ResourceId": [{
"Value": "arn:aws:s3:::amzn-s3-demo-bucket/developers/design_info.doc",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "This is a critical resource. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Cómo elevar la gravedad de los resultados relacionados con los recursos en cuentas de producción
En este ejemplo, los criterios de la regla coinciden cuando se genera un resultado de gravedad `HIGH` en cuentas de producción específicas. La acción de la regla es cambiar la gravedad de los resultados coincidentes a `CRITICAL`.
**Ejemplo de solicitud de API:**
```
{
"IsTerminal": false,
"RuleName": "Elevate severity for production accounts",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts",
"Criteria": {
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Ejemplo de comando de la CLI**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Elevate severity of findings that relate to resources in production accounts" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Elevate finding severity from HIGH to CRITICAL for findings that relate to resources in specific production accounts" \
--criteria '{
"ProductName": [{
"Value": "Security Hub CSPM",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "HIGH",
"Comparison": "EQUALS"
}],
"AwsAccountId": [
{
"Value": "111122223333",
"Comparison": "EQUALS"
},
{
"Value": "123456789012",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Severity": {
"Label": "CRITICAL"
},
"Note": {
"Text": "A resource in production accounts is at risk. Please review ASAP.",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
## Cómo suprimir resultados informativos
En este ejemplo, los criterios de la regla coinciden con los hallazgos de `INFORMATIONAL` gravedad enviados a Security Hub CSPM desde Amazon. GuardDuty La acción de la regla es cambiar el estado del flujo de trabajo de los resultados coincidentes a `SUPPRESSED`.
**Ejemplo de solicitud de API:**
```
{
"IsTerminal": false,
"RuleName": "Suppress informational findings",
"RuleOrder": 1,
"RuleStatus": "ENABLED",
"Description": "Suppress GuardDuty findings with INFORMATIONAL severity",
"Criteria": {
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
},
"Actions": [{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]
}
```
**Ejemplo de comando de la CLI**:
```
aws securityhub create-automation-rule \
--no-is-terminal \
--rule-name "Suppress informational findings" \
--rule-order 1 \
--rule-status "ENABLED" \
--description "Suppress GuardDuty findings with INFORMATIONAL severity" \
--criteria '{
"ProductName": [{
"Value": "GuardDuty",
"Comparison": "EQUALS"
}],
"ComplianceStatus": [{
"Value": "FAILED",
"Comparison": "EQUALS"
}],
"RecordState": [{
"Value": "ACTIVE",
"Comparison": "EQUALS"
}],
"WorkflowStatus": [{
"Value": "NEW",
"Comparison": "EQUALS"
}],
"SeverityLabel": [{
"Value": "INFORMATIONAL",
"Comparison": "EQUALS"
}]
}' \
--actions '[{
"Type": "FINDING_FIELDS_UPDATE",
"FindingFieldsUpdate": {
"Workflow": {
"Status": "SUPPRESSED"
},
"Note": {
"Text": "Automatically suppress GuardDuty findings with INFORMATIONAL severity",
"UpdatedBy": "sechub-automation"
}
}
}]' \
--region us-east-1
```
# Uso EventBridge para respuesta y remediación automatizadas
Al crear reglas en Amazon EventBridge, puedes responder automáticamente a las conclusiones del CSPM de AWS Security Hub. Security Hub CSPM envía los resultados en forma de *eventos* casi EventBridge en tiempo real. Puede crear reglas sencillas para indicar qué eventos le resultan de interés, así como qué acciones automatizadas se van a realizar cuando un evento cumple una de las reglas. Entre las acciones que se pueden activar automáticamente se incluyen las siguientes:
+ Invocar una función AWS Lambda
+ Invocar el comando de ejecución de Amazon EC2
+ Desviar el evento a Amazon Kinesis Data Streams
+ Activar una máquina de AWS Step Functions estados
+ Notificar un tema de Amazon SNS o una cola de Amazon SQS
+ Enviar un resultado a una herramienta de gestión de tickets, chat, de SIEM o respuesta a incidentes de terceros
Security Hub CSPM envía automáticamente todos los hallazgos nuevos y todas las actualizaciones de los hallazgos existentes a EventBridge as EventBridge events. También puede crear acciones personalizadas que le permitan enviar los hallazgos seleccionados y los resultados de información a. EventBridge
A continuación, configura EventBridge las reglas para responder a cada tipo de evento.
Para obtener más información sobre el uso EventBridge, consulta la [https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html).
**nota**
Como práctica recomendada, asegúrate de que los permisos de acceso concedidos a tus usuarios EventBridge utilicen políticas de privilegios mínimos AWS Identity and Access Management (IAM) que concedan únicamente los permisos necesarios.
Para obtener más información, consulta [Gestión de identidad y acceso en Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html).
En Soluciones también hay disponible un conjunto de plantillas para la respuesta y la corrección automatizadas entre cuentas. AWS Las plantillas aprovechan las reglas de EventBridge eventos y las funciones Lambda. La solución se implementa mediante CloudFormation y. AWS Systems Manager La solución puede crear acciones de respuesta y corrección totalmente automatizadas. También puede utilizar acciones personalizadas del CSPM de Security Hub para crear acciones de respuesta y corrección activadas por el usuario. Para obtener más información sobre cómo configurar y utilizar la solución, consulte la página de la solución [Respuesta de seguridad automatizada en AWS](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/).
**Topics**
+ [Tipos de eventos CSPM de Security Hub en EventBridge](securityhub-cwe-integration-types.md)
+ [EventBridge formatos de eventos para Security Hub CSPM](securityhub-cwe-event-formats.md)
+ [Configuración de una EventBridge regla para las conclusiones del CSPM de Security Hub](securityhub-cwe-all-findings.md)
+ [Utilizar acciones personalizadas para enviar las conclusiones y los resultados de información a EventBridge](securityhub-cwe-custom-actions.md)
# Tipos de eventos CSPM de Security Hub en EventBridge
Security Hub CSPM utiliza los siguientes tipos de EventBridge eventos de Amazon para integrarse. EventBridge
En el EventBridge panel de control de Security Hub CSPM, **All Events** incluye todos estos tipos de eventos.
## Todos los resultados (Security Hub Findings - Imported)
Security Hub CSPM envía automáticamente todos los hallazgos nuevos y todas las actualizaciones de los hallazgos existentes a EventBridge as **Security Hub Findings - Imported**events. Cada evento **Security Hub Findings - Imported** contiene un único resultado.
Cada solicitud [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html) y [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html) desencadena un evento de **Security Hub Findings - Imported**.
En el caso de las cuentas de administrador, el feed de eventos EventBridge incluye eventos con las conclusiones tanto de su cuenta como de las cuentas de sus miembros.
En una región de agregación, el feed de eventos incluye eventos con los resultados de la región de agregación y las regiones vinculadas. Los hallazgos entre regiones se incluyen en el feed de eventos casi en tiempo real. Para obtener información sobre cómo configurar la agregación de resultados, consulte [Descripción de la agregación entre regiones en el CSPM de Security Hub](finding-aggregation.md).
Puede definir reglas EventBridge que dirijan automáticamente los hallazgos a un flujo de trabajo de remediación, a una herramienta de terceros o a [otro EventBridge objetivo compatible](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html). Las reglas pueden incluir filtros que solo apliquen la regla si el resultado tiene valores de atributo específicos.
Este método le permite enviar automáticamente todos los resultados ,o todos aquellos con determinadas características, a un flujo de trabajo de corrección o respuesta.
Consulte [Configuración de una EventBridge regla para las conclusiones del CSPM de Security Hub](securityhub-cwe-all-findings.md).
## Resultados para acciones personalizadas (Security Hub Findings - Custom Action)
El CSPM de Security Hub también envía las conclusiones asociadas a acciones personalizadas a eventos EventBridge as **Security Hub Findings - Custom Action**.
Esto resulta útil para los analistas que trabajan con la consola del CSPM de Security Hub y desean enviar un resultado específico, o un pequeño conjunto de resultados, a un flujo de trabajo de respuesta o corrección. Puede seleccionar una acción personalizada para un máximo de 20 resultados a la vez. Cada hallazgo se envía EventBridge como un evento independiente EventBridge .
Al crear una acción personalizada, usted asigna un ID de acción personalizada. Puedes usar este identificador para crear una EventBridge regla que lleve a cabo una acción específica tras recibir un hallazgo asociado a ese identificador de acción personalizado.
Consulte [Utilizar acciones personalizadas para enviar las conclusiones y los resultados de información a EventBridge](securityhub-cwe-custom-actions.md).
Por ejemplo, puede crear una acción personalizada en el CSPM de Security Hub llamada `send_to_ticketing`. A continuación EventBridge, se crea una regla que se activa cuando se EventBridge recibe un resultado que incluye el ID de acción `send_to_ticketing` personalizado. La regla incluye lógica para enviar el resultado a su sistema de tickets. Posteriormente, puede seleccionar resultados en el CSPM de Security Hub y utilizar la acción personalizada en el CSPM de Security Hub para enviar manualmente los resultados al sistema de tickets.
Para ver ejemplos de cómo enviar las conclusiones del CSPM del Security Hub EventBridge para su posterior procesamiento, consulte [Cómo integrar las acciones personalizadas del CSPM del AWS Security Hub PagerDuty y Cómo habilitar las acciones personalizadas](https://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/) [en el CSPM del AWS Security Hub](https://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/) en el blog AWS Partner Network (APN).
## Resultados de Insight para acciones personalizadas (Security Hub Insight Results)
También puede utilizar acciones personalizadas para enviar conjuntos de información y resultados a eventos. EventBridge **Security Hub Insight Results** Los resultados de información son los recursos que coinciden con una información. Tenga en cuenta que cuando envía los resultados de la información a EventBridge, no envía los resultados a EventBridge. Solo está enviando los identificadores de recursos asociados a los resultados de información. Puede enviar hasta 100 identificadores de recursos a la vez.
De forma similar a las acciones personalizadas para los hallazgos, primero se crea la acción personalizada en Security Hub CSPM y, a continuación, se crea una regla en. EventBridge
Consulte [Utilizar acciones personalizadas para enviar las conclusiones y los resultados de información a EventBridge](securityhub-cwe-custom-actions.md).
Por ejemplo, supongamos que ve un determinado resultado de información de interés que desea compartir con un colega. En ese caso, puede utilizar una acción personalizada para enviar ese resultado de información al colega a través de un chat o de un sistema de tickets.
# EventBridge formatos de eventos para Security Hub CSPM
Los tipos de eventos **Security Hub Findings - Imported**, **Security Findings - Custom Action** y **Security Hub Insight Results** utilizan los siguientes formatos de eventos.
El formato del evento es el formato que se utiliza cuando el CSPM de Security Hub envía un evento. EventBridge
## Security Hub Findings - Imported
**Security Hub Findings - Imported**eventos que se envían desde Security Hub CSPM para EventBridge usar el siguiente formato.
```
{
"version":"0",
"id":"CWE-event-id",
"detail-type":"Security Hub Findings - Imported",
"source":"aws.securityhub",
"account":"111122223333",
"time":"2019-04-11T21:52:17Z",
"region":"us-west-2",
"resources":[
"arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841"
],
"detail":{
"findings": [{
}]
}
}
```
`` es el contenido, en formato JSON, del resultado que envía el evento. Cada evento envía un único resultado.
Para obtener una lista completa de los atributos de los resultados, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).
Para obtener información sobre cómo configurar EventBridge las reglas que se activan por estos eventos, consulte. [Configuración de una EventBridge regla para las conclusiones del CSPM de Security Hub](securityhub-cwe-all-findings.md)
## Security Hub Findings - Custom Action
**Security Hub Findings - Custom Action**eventos que se envían desde Security Hub CSPM para EventBridge usar el siguiente formato. Cada resultado se envía en un evento independiente.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Findings - Custom Action",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2019-04-11T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name"
],
"detail": {
"actionName":"custom-action-name",
"actionDescription": "description of the action",
"findings": [
{
}
]
}
}
```
`` es el contenido, en formato JSON, del resultado que envía el evento. Cada evento envía un único resultado.
Para obtener una lista completa de los atributos de los resultados, consulte [AWS Formato de búsqueda de seguridad (ASFF)](securityhub-findings-format.md).
Para obtener información sobre cómo configurar EventBridge las reglas que se activan por estos eventos, consulte. [Utilizar acciones personalizadas para enviar las conclusiones y los resultados de información a EventBridge](securityhub-cwe-custom-actions.md)
## Security Hub Insight Results
**Security Hub Insight Results**eventos que se envían desde Security Hub CSPM para EventBridge usar el siguiente formato.
```
{
"version": "0",
"id": "1a1111a1-b22b-3c33-444d-5555e5ee5555",
"detail-type": "Security Hub Insight Results",
"source": "aws.securityhub",
"account": "111122223333",
"time": "2017-12-22T18:43:48Z",
"region": "us-west-1",
"resources": [
"arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841"
],
"detail": {
"actionName":"name of the action",
"actionDescription":"description of the action",
"insightArn":"ARN of the insight",
"insightName":"Name of the insight",
"resultType":"ResourceAwsIamAccessKeyUserName",
"number of results":"number of results, max of 100",
"insightResults": [
{"result 1": 5},
{"result 2": 6}
]
}
}
```
Para obtener información sobre cómo crear una EventBridge regla que se active mediante estos eventos, consulte. [Utilizar acciones personalizadas para enviar las conclusiones y los resultados de información a EventBridge](securityhub-cwe-custom-actions.md)
# Configuración de una EventBridge regla para las conclusiones del CSPM de Security Hub
Puedes crear una regla en Amazon EventBridge que defina la acción que se debe realizar cuando se reciba un **Security Hub Findings - Imported**evento. **Security Hub Findings - Imported**los eventos se desencadenan por las actualizaciones de [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchUpdateFindings.html)las operaciones [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_BatchImportFindings.html)y.
Cada regla contiene un patrón de eventos, que identifica los eventos que activan la regla. El patrón de eventos siempre contiene la fuente del evento (`aws.securityhub`) y el tipo de evento (**Resultados de Security Hub - Importado**). El patrón de eventos también puede especificar filtros para identificar los resultados a los que se aplica la regla.
A continuación, la regla de eventos identifica los objetivos de la regla. Los objetivos son las acciones que se deben realizar cuando EventBridge recibe un evento **de Security Hub Findings - Imported** y el hallazgo coincide con los filtros.
Las instrucciones que se proporcionan aquí utilizan la EventBridge consola. Cuando utilizas la consola, crea EventBridge automáticamente la política basada en los recursos necesaria que permite EventBridge escribir en Amazon CloudWatch Logs.
También puede utilizar el [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)funcionamiento de la EventBridge API. Sin embargo, si usa la EventBridge API, debe crear la política basada en recursos. Para obtener información sobre la política requerida, consulta [CloudWatch los permisos de registros](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) en la *Guía del EventBridge usuario de Amazon*.
## Formato del patrón de eventos
El formato del patrón de eventos para los eventos **Resultados de Security Hub - Importado** es el siguiente:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
}
}
}
```
+ `source` identifica al CSPM de Security Hub como el servicio que genera el evento.
+ `detail-type` identifica el tipo de evento.
+ `detail` es opcional y proporciona los valores de filtro para el patrón de eventos. Si el patrón de eventos no contiene un campo `detail`, todos los resultados activan la regla.
Puede filtrar los resultados en función de cualquier atributo del resultado. Para cada atributo, proporciona una matriz separada por comas de uno o más valores.
```
"": [ "", ""]
```
Si proporciona más de un valor para un atributo, estos valores se unen mediante `OR`. Un resultado coincide con el filtro para un atributo individual si el resultado tiene cualquiera de los valores enumerados. Por ejemplo, si proporciona `INFORMATIONAL` y `LOW` como valores para `Severity.Label`, entonces el resultado coincide si tiene una etiqueta de gravedad de `INFORMATIONAL` o `LOW`.
Los atributos se unen mediante `AND`. Un resultado coincide si este coincide con los criterios de filtrado para todos los atributos proporcionados.
Al proporcionar un valor de atributo, debe reflejar la ubicación de ese atributo dentro de la estructura del formato AWS de búsqueda de seguridad (ASFF).
**sugerencia**
Para filtrar los resultados de los controles, le recomendamos que utilice los [campos ASFF](securityhub-findings-format.md) `SecurityControlId` o `SecurityControlArn` como filtros, en vez de `Title` o `Description`. Estos últimos campos podrían cambiar ocasionalmente, mientras que el ID de control y el ARN son identificadores estáticos.
En el siguiente ejemplo, el patrón de eventos proporciona valores de filtro para `ProductArn` y `Severity.Label`, por lo que un resultado coincide si lo genera Amazon Inspector y tiene una etiqueta de gravedad de `INFORMATIONAL` o `LOW`.
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Imported"
],
"detail": {
"findings": {
"ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"],
"Severity": {
"Label": ["INFORMATIONAL", "LOW"]
}
}
}
}
```
## Creación de una regla de eventos
Puede utilizar un patrón de eventos predefinido o un patrón de eventos personalizado para crear una regla. EventBridge Si selecciona un patrón predefinido, rellena EventBridge automáticamente `source` y`detail-type`. EventBridge también proporciona campos para especificar los valores de filtro para los siguientes atributos de búsqueda:
+ `AwsAccountId`
+ `Compliance.Status`
+ `Criticality`
+ `ProductArn`
+ `RecordState`
+ `ResourceId`
+ `ResourceType`
+ `Severity.Label`
+ `Types`
+ `Workflow.Status`
**Para crear una EventBridge regla (consola)**
1. Abre la EventBridge consola de Amazon en [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. Con los siguientes valores, cree una EventBridge regla que supervise la búsqueda de eventos:
+ En **Tipo de regla**, seleccione **Regla con un patrón de evento**.
+ Elija cómo crear el patrón de eventos.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/securityhub/latest/userguide/securityhub-cwe-all-findings.html)
+ Para los **tipos de destino**, elija el **AWS servicio** y, para **Seleccione un objetivo**, elija un objetivo, como un tema o AWS Lambda una función de Amazon SNS. El destino se activa cuando se recibe un evento que coincide con el patrón de eventos definido en la regla.
Para obtener más información sobre la creación de reglas, consulta [Cómo crear EventBridge reglas de Amazon que reaccionen a los eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) en la *Guía del EventBridge usuario de Amazon*.
# Utilizar acciones personalizadas para enviar las conclusiones y los resultados de información a EventBridge
Para usar las acciones personalizadas de CSPM de AWS Security Hub para enviar hallazgos o resultados de información a Amazon EventBridge, primero debe crear la acción personalizada en Security Hub CSPM. A continuación, puede definir las reglas EventBridge que se apliquen a sus acciones personalizadas.
Puede crear hasta 50 acciones personalizadas.
Si habilita la agregación entre regiones y administra los resultados desde la región de agregación, debe crear acciones personalizadas en la región de agregación.
La regla en EventBridge utiliza el nombre de recurso de Amazon (ARN) de la acción personalizada.
# Crear una acción personalizada
Al crear una acción personalizada en AWS Security Hub CSPM, se especifica su nombre, descripción y un identificador único.
Una acción personalizada especifica qué acciones se deben realizar cuando un EventBridge evento coincide con una EventBridge regla. Security Hub CSPM envía cada hallazgo EventBridge como un evento.
Elija su método preferido y siga los pasos para crear una acción personalizada.
------
#### [ Console ]
**Cómo crear una acción personalizada en el CSPM de Security Hub (consola)**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, elija **Settings (Configuración)** y luego elija **Custom actions (Acciones personalizadas)**.
1. Seleccione **Create custom action (Crear acción personalizada)**.
1. Proporcione un **Name (Nombre)**, **Description (Descripción)** e **Custom action ID (ID de acción personalizada)** para la acción.
El **Name (Nombre)** debe tener menos de 20 caracteres.
El **ID de acción personalizada** debe ser único por cada cuenta de AWS .
1. Seleccione **Create custom action (Crear acción personalizada)**.
1. Anote el **ARN de acción personalizada**. Debe usar el ARN cuando cree una regla para asociarla con esta acción en EventBridge.
------
#### [ API ]
**Para crear una acción personalizada (API)**
Utilice la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html). Si está utilizando el AWS CLI, ejecute el [create-action-target](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html)comando.
En el siguiente ejemplo, se crea una acción personalizada para enviar resultados a una herramienta de corrección. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.
```
$ aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"
```
------
# Definir una regla en EventBridge
Para activar una acción personalizada en Amazon EventBridge, debes crear la regla correspondiente en EventBridge. La definición de la regla incluye el nombre de recurso de Amazon (ARN) de la acción personalizada.
El patrón de evento para un evento **Resultados de Security Hub - Acción personalizada** tiene el siguiente formato:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Findings - Custom Action"
],
"resources": [ "" ]
}
```
El patrón de evento para un evento **Resultados de Security Hub - Acción personalizada** tiene el siguiente formato:
```
{
"source": [
"aws.securityhub"
],
"detail-type": [
"Security Hub Insight Results"
],
"resources": [ "" ]
}
```
En ambos patrones, `` es el ARN de una acción personalizada. Puede configurar una regla que se aplique a más de una acción personalizada.
Las instrucciones que se proporcionan aquí son para la EventBridge consola. Al utilizar la consola, crea EventBridge automáticamente la política basada en los recursos necesaria que permite EventBridge escribir CloudWatch en los registros.
También puedes usar la operación de [https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html)API de la EventBridge API. Sin embargo, si usa la EventBridge API, debe crear la política basada en recursos. Para obtener más información sobre la política requerida, consulta [CloudWatch los permisos de registros](https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions) en la *Guía del EventBridge usuario de Amazon*.
**Para definir una regla en EventBridge (EventBridge consola)**
1. Abre la EventBridge consola de Amazon en [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. En el panel de navegación, seleccione **Reglas**.
1. Elija **Creación de regla**.
1. Escriba un nombre y una descripción para la regla.
1. En **Bus de eventos**, elija el bus de eventos que desea asociar a esta regla. Si desea que esta regla coincida con eventos procedentes de su cuenta, seleccione **predeterminado**. Cuando un servicio de AWS en la cuenta emite un evento, siempre va al bus de eventos predeterminado de la cuenta.
1. En **Tipo de regla**, seleccione **Regla con un patrón de eventos**.
1. Seleccione **Siguiente**.
1. En **Origen de eventos**, seleccione **(Eventos de AWS )**.
1. En la sección **Patrón de eventos**, seleccione **Formulario de patrón de eventos**.
1. En **Origen del evento**, seleccione **Servicios de AWS **.
1. En **Servicio de AWS **, seleccione **Security Hub**.
1. En **Tipo de evento**, realice una de las siguientes operaciones:
+ Para crear una regla que se aplique al enviar resultados a una acción personalizada, seleccione **Resultados de Security Hub - Acción personalizada**.
+ Para crear una regla que se aplique al enviar resultados de información a una acción personalizada, seleccione **Resultados de información de Security Hub**.
1. Elija **Acción personalizada específica ARNs** y añada un ARN de acción personalizada.
Si la regla se aplica a varias acciones personalizadas, selecciona **Añadir** para añadir más acciones ARNs personalizadas.
1. Elija **Siguiente**.
1. En **Seleccionar objetivos**, elija y configure el objetivo por invocar cuando esta regla coincida.
1. Elija **Siguiente**.
1. (Opcional) Introduzca una o varias etiquetas para la regla. Para obtener más información, consulta las [ EventBridge etiquetas de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html) en la *Guía del EventBridge usuario de Amazon*.
1. Elija **Siguiente**.
1. Revise los detalles de la regla y seleccione **Creación de regla**.
Cuando realizas una acción personalizada sobre los hallazgos o los resultados de información de tu cuenta, los eventos se generan en EventBridge.
# Selección de una acción personalizada para resultados y resultados de información
Después de crear las acciones personalizadas de CSPM y las EventBridge reglas de Amazon de AWS Security Hub, puede enviar las conclusiones y los resultados de información EventBridge para su administración y procesamiento automáticos.
Los eventos se envían EventBridge únicamente a la cuenta en la que se visualizan. Si consulta un hallazgo con una cuenta de administrador, el evento se envía a EventBridge la cuenta de administrador.
Para que las llamadas a las AWS API sean efectivas, las implementaciones del código de destino deben cambiar de rol a cuentas de miembros. Esto también significa que el rol al que se cambia debe implementarse en cada miembro en el que sea necesario actuar.
**Para enviar los resultados a EventBridge (consola)**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. Visualice una lista de resultados:
+ En **Resultados**, puede ver los resultados de todas las integraciones de productos y controles habilitados.
+ En **Estándares de seguridad**, puede dirigirse a una lista de resultados generados a partir de un control específico. Para obtener más información, consulte [Cómo revisar los detalles de los controles en el CSPM de Security Hub](securityhub-standards-control-details.md).
+ En **Integraciones** puede dirigirse a una lista de resultados generada por una de las integraciones habilitadas. Para obtener más información, consulte [Visualización de los resultados a partir de una integración con el CSPM de Security Hub](securityhub-integration-view-findings.md).
+ En **Información**, puede dirigirse a una lista de resultados de un resultado de información. Para obtener más información, consulte [Revisión de productos de información y medidas al respecto en el CSPM de Security Hub](securityhub-insights-view-take-action.md).
1. Seleccione los resultados a los que desee enviarlos. EventBridge Puede seleccionar hasta 20 hallazgos a la vez.
1. En **Acciones**, elija la acción personalizada que se ajuste a la EventBridge regla que desee aplicar.
El CSPM de Security Hub envía un evento **Resultados de Security Hub - Acción personalizada** independiente por cada resultado.
**Para enviar los resultados de insights a EventBridge (consola)**
1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)
1. En el panel de navegación, elija **Insights**.
1. En la página **Estadísticas**, elija la información que incluye los resultados a los que desea enviarlos. EventBridge
1. Seleccione los resultados de la información a la que desee enviarlos EventBridge. Puede seleccionar hasta 20 resultados a la vez.
1. En **Acciones**, elija la acción personalizada que se ajuste a la EventBridge regla que desee aplicar.