Descripción de hallazgos personalizados en Security Hub - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción de hallazgos personalizados en Security Hub

Además de la información gestionada por AWS Security Hub, puede crear información personalizada en Security Hub para realizar un seguimiento de los problemas específicos de su entorno. Los hallazgos personalizados le permiten realizar un seguimiento de un subconjunto de problemas seleccionados.

Estos son algunos ejemplos de hallazgos personalizados que puede resultar útil configurar:

  • Si tiene una cuenta de administrador, puede configurar un hallazgo personalizado para hacer un seguimiento de los resultados críticos y de alta gravedad que estén afectando a las cuentas de los miembros.

  • Si confía en un AWS servicio integrado específico, puede configurar una información personalizada para realizar un seguimiento de los hallazgos críticos y de alta gravedad de ese servicio.

  • Si confía en una integración de terceros, puede configurar un hallazgo personalizado para realizar un seguimiento de los hallazgos críticos y de alta gravedad de ese producto integrado.

Puede crear conocimientos personalizados completamente nuevos, o comenzar a partir de un conocimiento personalizado o administrado existente.

Cada hallazgo se puede configurar con las siguientes opciones:

  • Atributo de agrupación: el atributo de agrupación determina los elementos que se muestran en la lista de resultados del hallazgo. Por ejemplo, si el atributo de agrupación es Nombre del producto, los resultados del hallazgo muestran el número de hallazgos asociados a cada proveedor.

  • Filtros opcionales: Los filtros opcionales afinan la cantidad de resultados que coinciden con los parámetros del hallazgo.

    Un hallazgo se incluye en los resultados de la información solo si coincide con todos los filtros proporcionados. Por ejemplo, si los filtros son «El nombre del producto es GuardDuty» y «el tipo de recurso esAwsS3Bucket», los resultados que coincidan deben cumplir ambos criterios.

    Sin embargo, Security Hub aplica la lógica booleana OR a los filtros que utilizan el mismo atributo, pero valores distintos. Por ejemplo, si los filtros son «El nombre del producto es GuardDuty» y «El nombre del producto es Amazon Inspector», el resultado coincide si lo generó Amazon GuardDuty o Amazon Inspector.

Si utiliza el identificador de recurso o el tipo de recurso como atributo de agrupación, los resultados de la información incluirán todos los recursos incluidos en los resultados. La lista no se limita a los recursos que coinciden con un filtro de tipo de recurso. Por ejemplo, un hallazgo identifica los resultados asociados a los buckets de S3 y los agrupa por identificador de recursos. Un resultado coincidente contiene un recurso de bucket de S3 y un recurso de clave de IAM acceso. Los resultados del hallazgo incluyen ambos recursos.

Si habilitó la agregación entre regiones y, luego, crea un hallazgo personalizado, el hallazgo se aplica a los resultados que coinciden con la región de agregación y las regiones vinculadas. La única excepción es que su información incluya un filtro de región.