Resultados de control consolidados Generar nuevos hallazgos en lugar de actualizar los hallazgos existentes Controle, encuentre, automatice y suprima.Detalles de cumplimiento de las conclusiones sobre el control ProductFields detalles de los resultados del control Nivel de gravedad de los hallazgos de control

Generación y actualización de los resultados de control

AWS Security Hub genera resultados mediante la realización de comprobaciones comparándolas con los controles de seguridad. Estos hallazgos utilizan el formato AWS de búsqueda de seguridad (ASFF). Tenga en cuenta que si el tamaño del resultado supera el máximo de 240 KB, se eliminará el objeto Resource.Details. En el caso de los controles respaldados por AWS Config recursos, puede ver los detalles de los recursos en la AWS Config consola.

Security Hub normalmente cobra por cada control de seguridad de un control. Sin embargo, si varios controles utilizan la misma AWS Config regla, Security Hub solo cobrará una vez por cada comprobación según la AWS Config regla. Si habilita los resultados de control consolidados, Security Hub genera un único resultado para un control de seguridad, incluso cuando el control está incluido en varios estándares habilitados.

Por ejemplo, varios controles utilizan la AWS Config regla iam-password-policy en el estándar Center for Internet Security (CIS) AWS Foundations Benchmark y en el estándar Foundational Security Best Practices. Cada vez que Security Hub comprueba el cumplimiento de esa AWS Config regla, genera una comprobación independiente para cada control relacionado, pero solo cobra una vez por la comprobación.

Resultados de control consolidados

Si los hallazgos de control consolidados están habilitados en su cuenta, Security Hub genera un único hallazgo nuevo o una actualización de hallazgos para cada comprobación de seguridad de un control, incluso si un control se aplica a varios estándares habilitados. Para ver una lista de los controles y los estándares a los que se aplican, consulte Referencia de controles de Security Hub. Recomendamos habilitar los resultados de control consolidados para reducir el ruido de resultados.

Si habilitó Security Hub Cuenta de AWS antes del 23 de febrero de 2023, puede habilitar los hallazgos de control consolidados siguiendo las instrucciones que aparecen más adelante en esta sección. Si habilita Security Hub el 23 de febrero de 2023 o después, los resultados de control consolidados se habilitarán de manera automática en su cuenta. Sin embargo, si utiliza la integración de Security Hub con AWS Organizations o invitó a cuentas de miembro mediante un proceso de invitación manual, los resultados de control consolidados solo se habilitarán en las cuentas de miembro si están habilitados en la cuenta de administrador. Si la característica está deshabilitada en la cuenta de administrador, está deshabilitada en las cuentas de miembro. Este comportamiento se aplica a las cuentas de miembros nuevas y existentes.

Si deshabilita los resultados de control consolidados en su cuenta, Security Hub genera un resultado separado por control de seguridad para cada estándar habilitado que incluya un control. Por ejemplo, si cuatro estándares habilitados comparten un control con la misma AWS Config regla subyacente, recibirá cuatro conclusiones distintas tras una comprobación de seguridad del control. Si habilita los resultados de control consolidados, solo recibirá un resultado.

Cuando habilita los resultados de control consolidados, Security Hub crea resultados nuevos independientes de los estándares y archiva los resultados originales basados en estándares. Algunos campos y valores de resultado de controles cambiarán y pueden afectar a los flujos de trabajo existentes. Para obtener más información sobre estos cambios, consulte Conclusiones de control consolidadas: ASFF cambios.

La activación de los hallazgos de control consolidados también puede afectar a los hallazgos que los productos integrados de terceros reciben de Security Hub. La respuesta de seguridad automatizada de la AWS versión 2.0.0 respalda los hallazgos de control consolidados.

Para habilitar o deshabilitar los resultados de control consolidados, debe iniciar sesión en una cuenta de administrador o en una cuenta independiente.

nota

Después de habilitar los resultados de control consolidados, Security Hub puede tardar hasta 24 horas en generar nuevos resultados consolidados y archivar los resultados originales basados en estándares. Del mismo modo, después de deshabilitar los resultados de control consolidados, Security Hub puede tardar hasta 24 horas en generar nuevos resultados basados en estándares y archivar los resultados consolidados. Durante ese tiempo, es posible que vea en su cuenta una combinación de resultados independientes de los estándares y resultados basados en estándares.

Generar nuevos hallazgos en lugar de actualizar los hallazgos existentes

Security Hub ejecuta los controles de seguridad de forma programada. Una comprobación posterior con respecto a un control determinado puede generar un nuevo resultado. Por ejemplo, el estado de un control podría cambiar de FAILED aPASSED. En este caso, Security Hub genera un nuevo hallazgo que contiene el resultado más reciente.

Si una comprobación posterior con respecto a una regla determinada genera un resultado idéntico al resultado actual, Security Hub actualiza el resultado existente. No se genera un nuevo hallazgo.

Security Hub archiva automáticamente los resultados de los controles si el recurso asociado se elimina, el recurso no existe o el control está deshabilitado. Es posible que un recurso ya no exista porque el servicio asociado no se utiliza actualmente. Los resultados se archivan automáticamente en función de uno de los siguientes criterios:

El resultado no se actualiza hasta transcurridos entre 3 y 5 días (ten en cuenta que es lo mejor y no está garantizado).
Se devolvió AWS Config la evaluación asociadaNOT_APPLICABLE.

Controle, encuentre, automatice y suprima.

Puede usar las reglas de automatización de Security Hub para actualizar o suprimir hallazgos de control específicos. Si suprimes un hallazgo, seguirá estando accesible en tu cuenta, pero eso indica que crees que no es necesario tomar ninguna medida para solucionarlo. Al suprimir los hallazgos irrelevantes, puedes reducir el ruido que generan las búsquedas. Por ejemplo, puede suprimir los resultados de control que se generan en las cuentas de prueba. O bien, puede suprimir los hallazgos relacionados con recursos específicos. Para obtener más información sobre cómo actualizar o suprimir automáticamente los hallazgos, consulteDescripción de las reglas de automatización en Security Hub.

Las reglas de automatización son adecuadas cuando se desean actualizar o suprimir hallazgos de control específicos. Sin embargo, si un control no es relevante para su organización o caso de uso, le recomendamos que lo desactive. Cuando inhabilitas un control, Security Hub no realiza controles de seguridad en él y no se te cobra nada.

Detalles de cumplimiento de las conclusiones sobre el control

En el caso de las conclusiones generadas por las comprobaciones de seguridad de los controles, el Compliancecampo del formato de comprobación de AWS seguridad (ASFF) contiene detalles relacionados con las comprobaciones de control. El campo Compliance incluye la siguiente información.

AssociatedStandards: Los estándares habilitados en los que está habilitado un control.
RelatedRequirements: La lista de requisitos relacionados con el control en todos los estándares habilitados. Los requisitos provienen del marco de seguridad de terceros para el control, como el estándar de seguridad de datos del sector de las tarjetas de pago (PCIDSS).
SecurityControlId: El identificador de un control que cumple con los estándares de seguridad que admite Security Hub.
Status: El resultado de la última comprobación realizada por Security Hub para un control determinado. Los resultados de las comprobaciones anteriores se conservan en estado archivado durante 90 días.
StatusReasons: Contiene una lista de motivos para el valor Compliance.Status. Para cada motivo, StatusReasons incluye el código de motivo y una descripción.

En la siguiente tabla se enumeran los códigos de motivo de estado y las descripciones disponibles. Los pasos de corrección dependen del control que haya generado un resultado con el código de motivo. Elija uno de los controles de Referencia de controles de Security Hub para ver los pasos de corrección de ese control.

Código de motivo	Compliance.Status	Descripción
`CLOUDTRAIL_METRIC_FILTER_NOT_VALID`	`FAILED`	El registro CloudTrail multirregional no tiene un filtro métrico válido.
`CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`	`FAILED`	Los filtros métricos no están presentes en el sendero multirregional. CloudTrail
`CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`	`FAILED`	La cuenta no tiene un registro multirregional CloudTrail con la configuración requerida.
`CLOUDTRAIL_REGION_INVAILD`	`WARNING`	Los CloudTrail senderos multirregionales no se encuentran en la región actual.
`CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`	`FAILED`	No hay acciones de alarma válidas presentes.
`CLOUDWATCH_ALARMS_NOT_PRESENT`	`FAILED`	CloudWatch las alarmas no existen en la cuenta.
`CONFIG_ACCESS_DENIED`	`NOT_AVAILABLE` AWS Config el estado es `ConfigError`	AWS Config acceso denegado. Compruebe que AWS Config está activado y que se le han concedido los permisos suficientes.
`CONFIG_EVALUATIONS_EMPTY`	`PASSED`	AWS Config evaluó sus recursos en función de la regla. La regla no se aplicaba a los AWS recursos incluidos en su ámbito, se eliminaron los recursos especificados o se eliminaron los resultados de la evaluación.
`CONFIG_RECORDER_CUSTOM_ROLE`	`FAILED`(para Config.1)	La AWS Config grabadora usa un IAM rol personalizado en lugar del rol AWS Config vinculado al servicio, y el parámetro `includeConfigServiceLinkedRoleCheck` personalizado de Config.1 no está establecido en. `false`
`CONFIG_RECORDER_DISABLED`	`FAILED`(para Config.1)	AWS Config no está activado con la grabadora de configuración encendida.
`CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES`	`FAILED`(para Config.1)	AWS Config no registra todos los tipos de recursos que corresponden a los controles de Security Hub habilitados. Active la grabación de los siguientes recursos:`Resources that aren't being recorded`.
`CONFIG_RETURNS_NOT_APPLICABLE`	`NOT_AVAILABLE`	El estado de cumplimiento se `NOT_AVAILABLE` debe a que AWS Config devolvió el estado de No aplicable. AWS Config no indica el motivo del estado. Estas son algunas de las posibles razones del estado de No aplicable: El recurso se ha eliminado del ámbito de aplicación de la AWS Config regla. Se ha eliminado la AWS Config regla. Se ha eliminado el recurso. La lógica de la AWS Config regla puede generar un estado de No aplicable.
`CONFIG_RULE_EVALUATION_ERROR`	`NOT_AVAILABLE` AWS Config el estado es `ConfigError`	Este código de motivo se utiliza para varios tipos diferentes de errores de evaluación. La descripción proporciona la información específica del motivo. El tipo de error puede ser uno de los siguientes: Incapacidad de realizar la evaluación debido a la falta de permisos. La descripción proporciona el permiso específico que falta. Un valor ausente o no válido para un parámetro. La descripción proporciona el parámetro y los requisitos para el valor del parámetro. Error al leer en un bucket de S3. La descripción identifica el bucket y proporciona el error específico. Falta una AWS suscripción. Un tiempo de espera general en la evaluación. Una cuenta suspendida.
`CONFIG_RULE_NOT_FOUND`	`NOT_AVAILABLE` AWS Config el estado es `ConfigError`	La AWS Config regla está en proceso de creación.
`INTERNAL_SERVICE_ERROR`	`NOT_AVAILABLE`	Se ha producido un error desconocido.
`LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`	FAILED	Security Hub no puede realizar una comprobación con un tiempo de ejecución de Lambda personalizado.
`S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	El resultado se encuentra en un estado de `WARNING`, porque el bucket de S3 asociado a esta regla se encuentra en una región o cuenta diferente. Esta regla no admite comprobaciones entre regiones ni entre cuentas. Se recomienda deshabilitar este control en esta región o cuenta. Ejecútelo solo en la región o cuenta donde se encuentra el recurso.
`SNS_SUBSCRIPTION_NOT_PRESENT`	`FAILED`	Los filtros métricos de CloudWatch Logs no tienen una SNS suscripción a Amazon válida.
`SNS_TOPIC_CROSS_ACCOUNT`	WARNING	El resultado se encuentra en un estado de `WARNING`. El SNS tema asociado a esta regla pertenece a una cuenta diferente. La cuenta actual no puede obtener la información de la suscripción. La cuenta propietaria del SNS tema debe conceder a la cuenta actual el `sns:ListSubscriptionsByTopic` permiso para el SNS tema.
`SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	El hallazgo se encuentra en un `WARNING` estado porque el SNS tema asociado a esta regla se encuentra en una región o cuenta diferente. Esta regla no admite comprobaciones entre regiones ni entre cuentas. Se recomienda deshabilitar este control en esta región o cuenta. Ejecútelo solo en la región o cuenta donde se encuentra el recurso.
`SNS_TOPIC_INVALID`	`FAILED`	El SNS tema asociado a esta regla no es válido.
`THROTTLING_ERROR`	`NOT_AVAILABLE`	La API operación correspondiente ha superado la tasa permitida.

ProductFields detalles de los resultados del control

Cuando Security Hub ejecuta comprobaciones de seguridad y genera resultados de control, el ProductFieldsatributo in ASFF incluye los siguientes campos:

ArchivalReasons:0/Description

Describe por qué Security Hub ha archivado los resultados existentes.

Por ejemplo, Security Hub archiva los resultados existentes al deshabilitar un control o estándar y al activar o desactivar los resultados del control consolidado.

ArchivalReasons:0/ReasonCode

Explica el motivo por el que Security Hub ha archivado los resultados existentes.

Por ejemplo, Security Hub archiva los resultados existentes al deshabilitar un control o estándar y al activar o desactivar los resultados del control consolidado.

StandardsGuideArn o StandardsArn

El ARN del estándar asociado al control.

Para el estándar CIS AWS Foundations Benchmark, el campo esStandardsGuideArn.

Para PCI DSS los estándares AWS fundamentales de mejores prácticas de seguridad, el campo esStandardsArn.

Estos campos se eliminan en favor de Compliance.AssociatedStandards si habilita los resultados de control consolidados.

StandardsGuideSubscriptionArn o StandardsSubscriptionArn

El ARN de la suscripción de la cuenta al estándar.

Para el estándar CIS AWS Foundations Benchmark, el campo esStandardsGuideSubscriptionArn.

Para los estándares AWS fundamentales de mejores prácticas de seguridad PCI DSS y los estándares fundamentales, el campo esStandardsSubscriptionArn.

Estos campos se eliminan si habilita los resultados de control consolidados.

RuleId o ControlId

El identificador del control.

Para el estándar CIS AWS Foundations Benchmark, el campo esRuleId.

Para otros estándares, el campo es ControlId.

Estos campos se eliminan en favor de Compliance.SecurityControlId si habilita los resultados de control consolidados.

RecommendationUrl

URLA la información de corrección del control. Este campo se elimina a favor de Remediation.Recommendation.Url si habilita los resultados de control consolidados.

RelatedAWSResources:0/name

El nombre del recurso asociado a el resultado.

RelatedAWSResource:0/type

El tipo de recurso asociado con el control.

StandardsControlArn

El ARN del control. Este campo se elimina si habilita los resultados de control consolidados.

aws/securityhub/ProductName

Para los resultados basados en el control, el nombre del producto es Security Hub.

aws/securityhub/CompanyName

Para los hallazgos basados en el control, el nombre de la empresa es AWS.

aws/securityhub/annotation

Una descripción del problema descubierto por el control.

aws/securityhub/FindingId

El identificador del resultado. Este campo no hace referencia a un estándar si habilita los resultados de control consolidados.

Nivel de gravedad de los hallazgos de control

La gravedad asignada a un control de Security Hub identifica la importancia del control. La gravedad de un control determina la etiqueta de gravedad asignada a los resultados del control.

Criterios de gravedad

La gravedad de un control se determina en función de la evaluación de los siguientes criterios:

¿Cómo de difícil es para un agente de amenazas aprovechar la debilidad de la configuración asociada al control?

La dificultad viene determinada por el grado de sofisticación o complejidad que se requiere para utilizar la debilidad para llevar a cabo un escenario de amenaza.
¿Qué probabilidades hay de que la debilidad comprometa sus recursos Cuentas de AWS o sus recursos?

Si sus recursos se Cuentas de AWS ven comprometidos, la confidencialidad, la integridad o la disponibilidad de sus datos o AWS infraestructura se ven afectadas de alguna manera.

La probabilidad de que se ponga en peligro indica la probabilidad de que el escenario de amenaza provoque una interrupción o una violación de sus AWS servicios o recursos.

Como ejemplo, fíjese en las siguientes debilidades de configuración:

Las claves de acceso de los usuarios no se renuevan cada 90 días.
IAMexiste la clave de usuario raíz.

Ambas debilidades son igualmente difíciles de aprovechar para un adversario. En ambos casos, el adversario puede utilizar el robo de credenciales o algún otro método para adquirir una clave de usuario. Luego pueden usarla para acceder a sus recursos de forma no autorizada.

Sin embargo, la probabilidad de que se ponga en peligro es mucho mayor si el autor de la amenaza adquiere la clave de acceso del usuario raíz, ya que esto le da un mayor acceso. Como resultado, la debilidad clave del usuario raíz es más grave.

La gravedad no tiene en cuenta la criticidad del recurso subyacente. El nivel de importancia crítica se define como el nivel de importancia de los recursos que están asociados con el resultado. Por ejemplo, un recurso que está asociado a una aplicación de misión crítica es más crítica que uno asociado a pruebas que no son de producción. Para capturar la información sobre la criticidad de los recursos, utilice el Criticality campo Formato de búsqueda de AWS seguridad (ASFF).

La siguiente tabla muestra la dificultad de explotación y la probabilidad de que las etiquetas de seguridad se vean comprometidas.

	Compromiso muy probable	Compromiso probable	Compromiso poco probable	Compromiso muy poco probable
Muy fácil de explotar	Critico	Critico	Alta	Medio
Algo fácil de explotar	Critico	Alta	Medio	Medio
Algo difícil de explotar	Alta	Medio	Medio	Baja
Muy difícil de explotar	Medio	Medio	Baja	Baja

Definiciones de gravedad

Las etiquetas de gravedad se definen de la siguiente manera.

Crítico: el problema debe solucionarse de inmediato para evitar una escalada.

Por ejemplo, un bucket de S3 abierto se considera un hallazgo de gravedad crítica. Debido a que muchos agentes exploran buckets S3 abiertos, es probable que otros detecten los datos de un bucket de S3 expuesto y accedan a ellos.

En general, los recursos que son de acceso público se consideran problemas de seguridad críticos. Debe tratar los resultados críticos con la máxima urgencia. También debe tener en cuenta la criticidad del recurso.

Alto: el problema debe abordarse con prioridad a corto plazo.

Por ejemplo, si un grupo de VPC seguridad predeterminado está abierto al tráfico entrante y saliente, se considera que es de gravedad alta. Es bastante fácil que un actor de amenazas comprometa una VPC con este método. También es probable que el actor de la amenaza pueda interrumpir o exfiltrar los recursos una vez que estén en el. VPC

Security Hub recomienda tratar un un resultado de gravedad alta como una prioridad a corto plazo. Debe tomar medidas correctivas de inmediato. También debe tener en cuenta la criticidad del recurso.

Medio: el tema debe abordarse como una prioridad a medio plazo.

Por ejemplo, la falta de cifrado de los datos en tránsito se considera un resultado de gravedad media. Se requiere un man-in-the-middle ataque sofisticado para aprovechar esta debilidad. Es decir, es algo difícil. Es probable que algunos datos se vean comprometidos si el escenario de amenaza tiene éxito.

Security Hub recomienda que investigue el recurso implicado tan pronto como sea posible. También debe tener en cuenta la criticidad del recurso.

Bajo: el problema no requiere acción por sí solo.

Por ejemplo, la falta de recopilación de información forense se considera de gravedad baja. Este control puede ayudar a evitar futuros compromisos, pero la ausencia de análisis forense no conduce directamente a un compromiso.

No es necesario tomar medidas inmediatas ante los resultados de baja gravedad, pero pueden proporcionar un contexto si los correlacionas con otros problemas.

Informativo: no se encontró ningún punto débil en la configuración.

En otras palabras, el estado es PASSED, WARNING o NOT AVAILABLE.

No se recomienda ninguna acción. Los resultados informativos ayudan a los clientes a demostrar que están en un estado de conformidad.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Programación para ejecutar comprobaciones de seguridad

Estado de conformidad y el estado de control