Configuración del estado de flujo de trabajo de los resultados

El estado de flujo de trabajo realiza un seguimiento del progreso de la investigación sobre un resultado. El estado del flujo de trabajo es específico de un resultado individual. No afecta a la generación de nuevos resultados. Por ejemplo, establecer el estado del flujo de trabajo de un hallazgo en SUPPRESSED o RESOLVED no AWS Security Hub impide que se genere un nuevo hallazgo para el mismo problema.

El estado de flujo de trabajo puede tener los siguientes valores:

NEW

Es el estado inicial de un resultado antes de revisarlo.

Los hallazgos que se obtienen de forma integrada Servicios de AWS, por ejemplo AWS Config, tienen NEW su estado inicial.

Security Hub también restablece el estado del flujo de trabajo de NOTIFIED o RESOLVED a NEW en los siguientes casos:

RecordState cambia de ARCHIVED a ACTIVE.
Compliance.Status cambia de PASSED a FAILED, WARNING o NOT_AVAILABLE.

Estos cambios implican que es necesaria una investigación adicional.

NOTIFIED

Indica que informó sobre el problema de seguridad al propietario del recurso. Puede utilizar este estado cuando no sea el propietario del recurso y necesite la intervención del propietario para que se resuelva un problema de seguridad.

Si se produce una de las siguientes situaciones, el estado del flujo de trabajo cambia automáticamente de NOTIFIED a NEW:

RecordState cambia de ARCHIVED a ACTIVE.
Compliance.Status cambia de PASSED a FAILED, WARNING o NOT_AVAILABLE.

SUPPRESSED

Indica que ha revisado el resultado y no cree que sea necesario realizar ninguna acción.

El estado del flujo de trabajo de un resultado del tipo SUPPRESSED no cambia si RecordState cambia de ARCHIVED a ACTIVE.

RESOLVED

El hallazgo se ha revisado y se ha corregido. Ahora se considera resuelto.

El resultado permanece como RESOLVED a menos que se produzca alguna de las siguientes situaciones:

RecordState cambia de ARCHIVED a ACTIVE.
Compliance.Status cambia de PASSED a FAILED, WARNING o NOT_AVAILABLE.

En esos casos, el estado del flujo de trabajo se restablece automáticamente a NEW.

En el caso de los resultados de los controles, si Compliance.Status es PASSED, Security Hub establece automáticamente el estado del flujo de trabajo en RESOLVED.

Configuración del estado de flujo de trabajo de los resultados

Elija el método que prefiera y siga los pasos para configurar el estado del flujo de trabajo de uno o más resultados.

Para actualizar automáticamente el estado del flujo de trabajo de resultados específicos, consulte Reglas de automatización.

Security Hub console

Cómo configurar el estado de flujo de trabajo de los resultados

Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.
Para mostrar una lista de resultado, realice una de las acciones siguientes:
- En el panel de navegación de Security Hub, elija Resultados.
- En el panel de navegación de Security Hub, elija Información. Elija una información. A continuación, en la lista de resultados, seleccione un resultado de información.
- En el panel de navegación de Security Hub, elija Integraciones. Seleccione Ver los resultados de una integración.
- En el panel de navegación de Security Hub, elija Estándares de seguridad. Seleccione Ver resultados para ver una lista de controles. A continuación, seleccione un control para ver una lista de los resultados de ese control.
En la lista de resultados, seleccione la casilla de verificación de cada resultado que desee actualizar.
En la parte superior de la lista, en Estado del flujo de trabajo, elija el estado.
En el cuadro de diálogo Establecer el estado del flujo de trabajo, incluya una nota opcional que detalle el motivo de la actualización del estado del flujo de trabajo. Seleccione Definir estado.

Security Hub API

Invoque la API BatchUpdateFindings. Proporcione el ID de resultado y el ARN del producto que generó el resultado. Puedes obtener estos detalles invocando la API GetFindings.

AWS CLI

Ejecute el comando batch-update-findings. Proporcione el ID de resultado y el ARN del producto que generó el resultado. Puede obtener estos detalles ejecutando el comando de get-findings.


batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"

Ejemplo


aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Adopción de medidas sobre los resultados

Envío de hallazgos a una acción personalizada