Creación y actualización de los resultados en Security Hub - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación y actualización de los resultados en Security Hub

En AWS Security Hub, un hallazgo es un registro observable de un control de seguridad o una detección relacionada con la seguridad.

Un resultado puede provenir de uno de los siguientes orígenes de Security Hub:

  • Un control de seguridad de un control habilitado en Security Hub

  • Una integración habilitada con otra Servicio de AWS

  • Una integración habilitada con un producto de terceros

  • Una integración personalizada

Luego de que sea crea un resultado, el proveedor del resultado o un usuario de Security Hub pueden actualizarlo de la siguiente manera:

  • El proveedor de búsqueda puede usar el BatchImportFindingsfuncionamiento de la API de Security Hub para actualizar la información general sobre un hallazgo. Los proveedores de hallazgos solo pueden actualizar los hallazgos que hayan creado.

  • El cliente puede usar la BatchUpdateFindingsfuncionamiento de la API Security Hub para actualizar el estado de la investigación sobre un hallazgo. BatchUpdateFindingstambién se puede utilizar en nombre del cliente mediante una herramienta de emisión de tickets, gestión de incidentes, organización, remediación o SIEM.

    Los clientes también pueden actualizar los resultados en la consola de Security Hub.

Security Hub normaliza los hallazgos de todas las fuentes en una sintaxis y un formato estándar denominados AWS Security Finding Format (ASFF). Para obtener más información acerca del ASFF, consulte AWS Formato de búsqueda de seguridad (ASFF).

Security Hub elimina automáticamente los resultados que no se hayan actualizado en los últimos 90 días. En concreto, Security Hub retiene un resultado existente en una cuenta durante 90 días después del valor más reciente del campo UpdatedAt en el ASFF. El resultado se retiene durante 90 días a partir de esta fecha, incluso si Security Hub está deshabilitado. Después de los 90 días, Security Hub eliminará de forma permanente los resultados de la cuenta. Al buscar proveedores, se puede cambiar el valor del UpdatedAt campo mediante el BatchImportFindingsfuncionamiento de la API de Security Hub para actualizar un hallazgo.

Si habilita la agregación entre regiones, Security Hub agrega automáticamente los nuevos resultados actualizados de las regiones vinculadas a la región de agregación. Para obtener más información, consulte Descripción de agregación entre regiones en Security Hub.