Configuración del estado de flujo de trabajo de los resultados de Security Hub - AWS Security Hub

Configuración del estado de flujo de trabajo de los resultados de Security Hub

El estado de flujo de trabajo realiza un seguimiento del progreso de la investigación sobre un resultado. El estado del flujo de trabajo es específico de un resultado individual. No afecta a la generación de nuevos resultados. Por ejemplo, establecer el estado del flujo de trabajo de un resultado en SUPPRESSED o RESOLVED no impide que AWS Security Hub genere un nuevo resultado para el mismo problema.

El estado de flujo de trabajo puede tener los siguientes valores:

NEW

Es el estado inicial de un resultado antes de revisarlo.

Los resultados que se ingieren de la integración de Servicios de AWS, por ejemplo AWS Config, tienen NEW como estado inicial.

Security Hub también restablece el estado del flujo de trabajo de NOTIFIED o RESOLVED a NEW en los siguientes casos:

  • RecordState cambia de ARCHIVED a ACTIVE.

  • Compliance.Status cambia de PASSED a FAILED, WARNING o NOT_AVAILABLE.

Estos cambios implican que es necesaria una investigación adicional.

NOTIFIED

Indica que informó sobre el problema de seguridad al propietario del recurso. Puede utilizar este estado cuando no sea el propietario del recurso y necesite la intervención del propietario para que se resuelva un problema de seguridad.

Si se produce una de las siguientes situaciones, el estado del flujo de trabajo cambia automáticamente de NOTIFIED a NEW:

  • RecordState cambia de ARCHIVED a ACTIVE.

  • Compliance.Status cambia de PASSED a FAILED, WARNING o NOT_AVAILABLE.

SUPPRESSED

Indica que ha revisado el resultado y no cree que sea necesario realizar ninguna acción.

El estado del flujo de trabajo de un resultado del tipo SUPPRESSED no cambia si RecordState cambia de ARCHIVED a ACTIVE.

RESOLVED

El hallazgo se ha revisado y se ha corregido. Ahora se considera resuelto.

El resultado permanece como RESOLVED a menos que se produzca alguna de las siguientes situaciones:

  • RecordState cambia de ARCHIVED a ACTIVE.

  • Compliance.Status cambia de PASSED a FAILED, WARNING o NOT_AVAILABLE.

En esos casos, el estado del flujo de trabajo se restablece automáticamente a NEW.

En el caso de los resultados de los controles, si Compliance.Status es PASSED, Security Hub establece automáticamente el estado del flujo de trabajo en RESOLVED.

Configuración del estado de flujo de trabajo de los resultados

Elija el método que prefiera y siga los pasos para configurar el estado del flujo de trabajo de uno o más resultados.

Para actualizar automáticamente el estado del flujo de trabajo de resultados específicos, consulte Descripción de las reglas de automatización en Security Hub.

Security Hub console
Cómo configurar el estado de flujo de trabajo de los resultados
  1. Abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

  2. Para mostrar una lista de resultado, realice una de las acciones siguientes:

    • En el panel de navegación de Security Hub, elija Resultados.

    • En el panel de navegación de Security Hub, elija Información. Elija una información. A continuación, en la lista de resultados, seleccione un resultado de información.

    • En el panel de navegación de Security Hub, elija Integraciones. Seleccione Ver los resultados de una integración.

    • En el panel de navegación de Security Hub, elija Estándares de seguridad. Seleccione Ver resultados para ver una lista de controles. A continuación, seleccione un control para ver una lista de los resultados de ese control.

  3. En la lista de resultados, seleccione la casilla de verificación de cada resultado que desee actualizar.

  4. En la parte superior de la lista, en Estado del flujo de trabajo, elija el estado.

  5. En el cuadro de diálogo Definir el estado del flujo de trabajo, incluya una nota opcional que indique el motivo de la actualización del estado del flujo de trabajo. Seleccione Establecer estado.

Security Hub API

Invoque la API BatchUpdateFindings. Proporcione el ID de resultado y el ARN del producto que generó el resultado. Puedes obtener estos detalles invocando la API GetFindings.

AWS CLI

Ejecute el comando batch-update-findings. Proporcione el ID de resultado y el ARN del producto que generó el resultado. Puede obtener estos detalles ejecutando el comando de get-findings.

batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"

Ejemplo

aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"