Revisión de los detalles de resultados y el historial de resultados en Security Hub
En AWS Security Hub, un resultado consiste en el registro observable de un control de seguridad o de una detección relacionada con la seguridad. Security Hub genera un resultado cuando completa un control de seguridad de un control y cuando ingiere un resultado de un Servicio de AWS integrado o un producto de terceros. Cada resultado incluye un historial de cambios y otros detalles, como una clasificación de gravedad e información sobre los recursos afectados.
Puede revisar el historial de resultados y otros detalles de resultados en la consola de Security Hub y mediante programación a través de la API de Security Hub y la AWS CLI.
Para ayudarlo a optimizar su análisis, la consola de Security Hub abre un panel de resultados cuando selecciona un resultado específico. El panel incluye diferentes menús y pestañas para visualizar diferentes detalles de resultados.
- Menús de acciones
Desde este menú, puede revisar el JSON completo de un resultado o agregar notas. Un resultado no puede tener más de una nota adjunta a la vez. Este menú también ofrece opciones para configurar el estado del flujo de trabajo de un resultado o enviar un resultado de una acción personalizada en Amazon EventBridge.
- Menú de investigación
Desde este menú, puede investigar un resultado en Amazon Detective. Detective extrae entidades (por ejemplo, las direcciones IP y los usuarios de AWS) a partir de un resultado y visualiza su actividad. Puede utilizar la actividad de la entidad como punto de partida para investigar la causa y el impacto de un resultado.
- Pestaña Overview (Información general)
Esta pestaña proporciona un resumen del resultado. Por ejemplo, puede ver cuándo se creó y actualizó por última vez el resultado, en qué cuenta existe, el origen del resultado (por ejemplo, de una comprobación de control o una integración) y un enlace a las instrucciones de corrección en la documentación de Security Hub.
En la instantánea de los Recursos de la pestaña Descripción general, puede obtener una breve descripción de los recursos que intervienen en un resultado. En el caso de algunos recursos, incluimos la opción Abrir un recurso y ver directamente el recurso afectado en la consola correspondiente del Servicio de AWS. La instantánea del Historial muestra hasta dos cambios realizados en el resultado en la fecha más reciente para la que se está rastreando el historial. La fecha debe estar dentro de los últimos 90 días. Por ejemplo, si hizo un cambio ayer y otro hoy, la instantánea mostrará solo el cambio de hoy. Para ver las entradas anteriores, cambie a la pestaña Historial.
La fila Conformidad se expande para mostrar más detalles. Por ejemplo, en el caso de los controles que incluyen parámetros, puede ver los valores de los parámetros actuales que utiliza Security Hub cuando lleva a cabo controles de seguridad.
- Pestaña recursos
En esta pestaña se proporcionan detalles sobre los recursos que intervienen en un resultado. Si inició sesión en la cuenta propietaria de un recurso, puede ver el recurso en la consola del Servicio de AWS correspondiente. Si no es el propietario de un recurso, la consola muestra el ID de la Cuenta de AWS del propietario.
La fila Detalles presenta los detalles específicos del recurso sobre el resultado y muestra la sección ResourceDetails del resultado de JSON.
La fila Etiquetas muestra la información clave y el valor de las etiquetas de los recursos involucrados en un resultado. Los recursos que son compatibles con la operación GetResources de la API de etiquetado de AWS Resource Groups se pueden etiquetar. Security Hub llama a esta operación a través del rol vinculado al servicio cuando procesa resultados nuevos o actualizados y recupera las etiquetas de recursos si el campo
Resource.Id
del formato de resultados de seguridad de AWS (ASFF), se rellena con el ARN del recurso de AWS. Security Hub ignora los ID de recursos no válidos. Para obtener más información sobre la inclusión de etiquetas de recursos en los resultados, consulte Etiquetas.- Pestaña de historial de resultados
Esta pestaña hace un seguimiento del historial de un resultado en los últimos 90 días. El historial de resultados está disponible para los resultados activos y archivados. Este proporciona un registro inmutable de los cambios realizados en un resultado a lo largo del tiempo, incluyendo qué campo del formato de resultados de seguridad de AWS (ASFF) cambió, cuándo se produjo el cambio y qué usuario lo realizó. Los cambios más recientes se muestran primero. Si inició sesión en una cuenta de administrador de Security Hub, el historial de resultados que se muestra pertenece a la cuenta de administrador y a todas las cuentas de los miembros.
El historial de resultados incluye los cambios que un usuario realizó de forma manual o automática a través de las reglas de automatización de Security Hub. Sin embargo, el historial de resultados no incluye los cambios en los campos de fecha y hora de nivel superior, como
CreatedAt
yUpdatedAt
.- Pestaña de amenazas
Esta pestaña incluye datos de los objetos Action, Malware y ProcessDetails del ASFF, incluidos el tipo de amenaza y si un recurso es el objetivo o el actor. Este objeto normalmente se aplica a los resultados que se originan en Amazon GuardDuty.
- Pestaña de vulnerabilidades
Esta pestaña muestra los datos del objeto Vulnerability del ASFF, incluyendo si hay vulnerabilidades o correcciones disponibles asociadas a un resultado. Este objeto normalmente se aplica a los resultados que se originan en Amazon Inspector.
Las filas de cada pestaña incluyen una opción de copia o filtro. Por ejemplo, si está en el panel de un resultado cuyo estado de flujo de trabajo es Notificado, puede elegir la opción de filtro situada junto a la fila de Estado del flujo de trabajo. Si selecciona Mostrar todos los resultados con este valor, se filtra la lista de búsquedas para que solo muestre los resultados con el mismo estado del flujo de trabajo.
Consulte la siguiente sección para saber cómo acceder a estos detalles para obtener un resultado.
Instrucciones para revisar los detalles y el historial de los resultados
Elija el método que prefiera y siga estos pasos para visualizar los detalles de los resultados en Security Hub.
Si activó la agregación entre regiones e inicia sesión en la región de agregación, los datos de resultados incluyen datos de la región de agregación y de las regiones vinculadas. En otras regiones, los datos de resultados son específicos únicamente de esa región. Para obtener más información sobre la agregación entre regiones, consulte Descripción de agregación entre regiones en Security Hub.
nota
Cuando filtra los resultados por CompanyName
o ProductName
, Security Hub utiliza los valores que forman parte del objeto ProductFields
del ASFF. Security Hub no utiliza el nivel superior ni los campos CompanyName
y ProductName
.