Revisión de los detalles de resultados y el historial de resultados en Security Hub - AWS Security Hub

Revisión de los detalles de resultados y el historial de resultados en Security Hub

En AWS Security Hub, un resultado consiste en el registro observable de un control de seguridad o de una detección relacionada con la seguridad. Security Hub genera un resultado cuando completa un control de seguridad de un control y cuando ingiere un resultado de un Servicio de AWS integrado o un producto de terceros. Cada resultado incluye un historial de cambios y otros detalles, como una clasificación de gravedad e información sobre los recursos afectados.

Puede revisar el historial de resultados y otros detalles de resultados en la consola de Security Hub y mediante programación a través de la API de Security Hub y la AWS CLI.

Para ayudarlo a optimizar su análisis, la consola de Security Hub abre un panel de resultados cuando selecciona un resultado específico. El panel incluye diferentes menús y pestañas para visualizar diferentes detalles de resultados.

Menús de acciones

Desde este menú, puede revisar el JSON completo de un resultado o agregar notas. Un resultado no puede tener más de una nota adjunta a la vez. Este menú también ofrece opciones para configurar el estado del flujo de trabajo de un resultado o enviar un resultado de una acción personalizada en Amazon EventBridge.

Menú de investigación

Desde este menú, puede investigar un resultado en Amazon Detective. Detective extrae entidades (por ejemplo, las direcciones IP y los usuarios de AWS) a partir de un resultado y visualiza su actividad. Puede utilizar la actividad de la entidad como punto de partida para investigar la causa y el impacto de un resultado.

Pestaña Overview (Información general)

Esta pestaña proporciona un resumen del resultado. Por ejemplo, puede ver cuándo se creó y actualizó por última vez el resultado, en qué cuenta existe, el origen del resultado (por ejemplo, de una comprobación de control o una integración) y un enlace a las instrucciones de corrección en la documentación de Security Hub.

En la instantánea de los Recursos de la pestaña Descripción general, puede obtener una breve descripción de los recursos que intervienen en un resultado. En el caso de algunos recursos, incluimos la opción Abrir un recurso y ver directamente el recurso afectado en la consola correspondiente del Servicio de AWS. La instantánea del Historial muestra hasta dos cambios realizados en el resultado en la fecha más reciente para la que se está rastreando el historial. La fecha debe estar dentro de los últimos 90 días. Por ejemplo, si hizo un cambio ayer y otro hoy, la instantánea mostrará solo el cambio de hoy. Para ver las entradas anteriores, cambie a la pestaña Historial.

La fila Conformidad se expande para mostrar más detalles. Por ejemplo, en el caso de los controles que incluyen parámetros, puede ver los valores de los parámetros actuales que utiliza Security Hub cuando lleva a cabo controles de seguridad.

Pestaña recursos

En esta pestaña se proporcionan detalles sobre los recursos que intervienen en un resultado. Si inició sesión en la cuenta propietaria de un recurso, puede ver el recurso en la consola del Servicio de AWS correspondiente. Si no es el propietario de un recurso, la consola muestra el ID de la Cuenta de AWS del propietario.

La fila Detalles presenta los detalles específicos del recurso sobre el resultado y muestra la sección ResourceDetails del resultado de JSON.

La fila Etiquetas muestra la información clave y el valor de las etiquetas de los recursos involucrados en un resultado. Los recursos que son compatibles con la operación GetResources de la API de etiquetado de AWS Resource Groups se pueden etiquetar. Security Hub llama a esta operación a través del rol vinculado al servicio cuando procesa resultados nuevos o actualizados y recupera las etiquetas de recursos si el campo Resource.Id del formato de resultados de seguridad de AWS (ASFF), se rellena con el ARN del recurso de AWS. Security Hub ignora los ID de recursos no válidos. Para obtener más información sobre la inclusión de etiquetas de recursos en los resultados, consulte Etiquetas.

Pestaña de historial de resultados

Esta pestaña hace un seguimiento del historial de un resultado en los últimos 90 días. El historial de resultados está disponible para los resultados activos y archivados. Este proporciona un registro inmutable de los cambios realizados en un resultado a lo largo del tiempo, incluyendo qué campo del formato de resultados de seguridad de AWS (ASFF) cambió, cuándo se produjo el cambio y qué usuario lo realizó. Los cambios más recientes se muestran primero. Si inició sesión en una cuenta de administrador de Security Hub, el historial de resultados que se muestra pertenece a la cuenta de administrador y a todas las cuentas de los miembros.

El historial de resultados incluye los cambios que un usuario realizó de forma manual o automática a través de las reglas de automatización de Security Hub. Sin embargo, el historial de resultados no incluye los cambios en los campos de fecha y hora de nivel superior, como CreatedAt y UpdatedAt.

Pestaña de amenazas

Esta pestaña incluye datos de los objetos Action, Malware y ProcessDetails del ASFF, incluidos el tipo de amenaza y si un recurso es el objetivo o el actor. Este objeto normalmente se aplica a los resultados que se originan en Amazon GuardDuty.

Pestaña de vulnerabilidades

Esta pestaña muestra los datos del objeto Vulnerability del ASFF, incluyendo si hay vulnerabilidades o correcciones disponibles asociadas a un resultado. Este objeto normalmente se aplica a los resultados que se originan en Amazon Inspector.

Las filas de cada pestaña incluyen una opción de copia o filtro. Por ejemplo, si está en el panel de un resultado cuyo estado de flujo de trabajo es Notificado, puede elegir la opción de filtro situada junto a la fila de Estado del flujo de trabajo. Si selecciona Mostrar todos los resultados con este valor, se filtra la lista de búsquedas para que solo muestre los resultados con el mismo estado del flujo de trabajo.

Consulte la siguiente sección para saber cómo acceder a estos detalles para obtener un resultado.

Instrucciones para revisar los detalles y el historial de los resultados

Elija el método que prefiera y siga estos pasos para visualizar los detalles de los resultados en Security Hub.

Si activó la agregación entre regiones e inicia sesión en la región de agregación, los datos de resultados incluyen datos de la región de agregación y de las regiones vinculadas. En otras regiones, los datos de resultados son específicos únicamente de esa región. Para obtener más información sobre la agregación entre regiones, consulte Descripción de agregación entre regiones en Security Hub.

Security Hub console
Revisión de los detalles y el historial de resultados (consola)
  1. Abra la consola de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

  2. Para mostrar una lista de resultados, lleve a cabo una de las siguientes acciones:

    • En el panel de navegación de Security Hub, elija Resultados. Agregue los filtros de búsqueda necesarios para reducir la lista de resultados.

    • En el panel de navegación de Security Hub, elija Información. Elija una información. A continuación, en la lista de resultados, seleccione un resultado de información.

    • En el panel de navegación de Security Hub, elija Integraciones. Seleccione Ver los resultados de una integración.

    • En el panel de navegación de Security Hub, seleccione Controles.

  3. Seleccione un título de resultados.

  4. En el panel de resultados, realice una de las siguientes acciones:

    • Seleccione el menú Acciones para realizar una acción en relación con el resultado.

    • Seleccione el menú Investigar para investigar el resultado en Amazon Detective.

    • Seleccione una pestaña para ver más detalles sobre el resultado.

nota

Si integra con AWS Organizations y la cuenta en la que inició sesión es una cuenta de miembro de la organización, el panel de resultados incluye el nombre de la cuenta. En el caso de las cuentas de miembros que se invitan manualmente y no mediante Organizations, el panel de resultados solo incluye el ID de la cuenta.

Security Hub API

Revisar los detalles y el historial de los resultados (API)

Utilice la operación GetFindings de la API de Security Hub o, si está utilizando la AWS CLI, ejecute el comando get-findings.

Puede proporcionar uno o varios valores para el parámetro Filters para restringir los resultados que quiera recuperar.

Si el volumen de resultados es demasiado grande, puede utilizar el parámetro MaxResults para limitar los resultados a un número específico y el parámetro NextToken para paginar los resultados. Use el parámetro SortCriteria para ordenar los resultados por un campo específico.

Si activó la agregación entre regiones e invoca esta operación desde la región de agregación, los resultados incluyen los resultados de la agregación y de las regiones vinculadas.

El siguiente comando de la CLI recupera los resultados que coinciden con los filtros proporcionados y los ordena de forma descendente del campo LastObservedAt. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub get-findings \ --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

Para revisar el historial de resultados, utilice la operación GetFindingHistory. Si utiliza la AWS CLI, ejecute el comando get-finding-history.

Identifique el resultado del que desea obtener un historial con los campos ProductArn y Id. Para obtener más información acerca de estos campos, consulte AwsSecurityFindingIdentifier. Solo puede obtener el historial de un resultado por solicitud.

El siguiente comando de la CLI recupera el historial del resultado especificado. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\) de continuación de línea para mejorar la legibilidad.

$ aws securityhub get-finding-history \ --region us-west-2 \ --finding-identifier Id="a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default" \ --max-results 2 \ --start-time "2021-09-30T15:53:35.573Z" \ --end-time "2021-09-31T15:53:35.573Z"
PowerShell

Revisión de los detalles de resultados (PowerShell)

Utilice el cmdlet Get-SHUBFinding.

Si lo desea, rellene el parámetro Filter para restringir las conclusiones que quiera recuperar.

El siguiente cmdlet recupera los resultados que coinciden con los filtros proporcionados

Get-SHUBFinding -Filter @{AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = "XXX"};ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{Comparison = "EQUALS"; Value = 'FAILED'}}
nota

Cuando filtra los resultados por CompanyName o ProductName, Security Hub utiliza los valores que forman parte del objeto ProductFields del ASFF. Security Hub no utiliza el nivel superior ni los campos CompanyName y ProductName.