Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Visualización de productos de información en el CSPM de Security Hub
<a name="securityhub-insights"></a>

En AWS Security Hub CSPM, una *visión* es una colección de hallazgos relacionados. La información puede identificar un área de seguridad específica que requiera atención e intervención. Por ejemplo, una información podría señalar EC2 casos objeto de hallazgos que detecten prácticas de seguridad inadecuadas. Una información reúne los resultados de todos los proveedores de resultados.

Cada información se define mediante una instrucción GROUP BY y filtros opcionales. La instrucción GROUP BY indica cómo agrupar los resultados coincidentes e identifica el tipo de elemento al que se aplica la información. Por ejemplo, si una información se agrupa por identificador de recurso, la información genera una lista de identificadores de recursos. Los filtros opcionales reducen los resultados coincidentes para la información. Por ejemplo, es posible que solo desee ver resultados de proveedores específicos o resultados que estén relacionados con tipos específicos de recursos.

El CSPM de Security Hub ofrece varios productos de información administrados integrados. No puede modificar ni eliminar la información administrada. Para realizar un seguimiento de los problemas de seguridad que son exclusivos de su AWS entorno y uso, puede crear información personalizada.

La página **Información de la consola CSPM de AWS Security Hub muestra la lista de información** disponible.

De forma predeterminada, la lista muestra tanto los hallazgos gestionados como los personalizados. Para filtrar la lista de información en función del tipo de hallazgos, elija el tipo en el menú desplegable que se encuentra junto al campo de filtro.
+ Para mostrar todos los hallazgos disponibles, seleccione **Todos los hallazgos**. Esta es la opción predeterminada.
+ Para mostrar solo los productos de información administrados, elija **Productos de información administrados del CSPM de Security Hub**.
+ Para mostrar solo información personalizada, elija **Hallazgos personalizados**.

También puede filtrar la lista de información en función del nombre de cada una. Para hacerlo, en el campo de filtro, escriba el texto que se utilizará para filtrar la lista. El filtro no distingue entre mayúsculas y minúsculas. El filtro busca hallazgos que contengan el texto en cualquier parte del nombre.

Una información solo devuelve resultados si ha habilitado integraciones o estándares que produzcan resultados coincidentes. Por ejemplo, la información administrada **29. Principales recursos por número de comprobaciones CIS no superadas** solo devuelve resultados si habilita una versión del estándar del Indicador de referencia de AWS de Center for Internet Security (CIS).

# Revisión de productos de información y medidas al respecto en el CSPM de Security Hub
<a name="securityhub-insights-view-take-action"></a>

Para cada información, AWS Security Hub CSPM primero determina las conclusiones que coinciden con los criterios del filtro y, a continuación, utiliza el atributo de agrupación para agrupar las conclusiones coincidentes.

Desde la página **Información** en la consola puede ver y tomar medidas sobre los resultados y los hallazgos.

Si habilita la agregación entre regiones, los resultados de la información administrada (cuando haya iniciado sesión en la región de agregación) incluirán los resultados de la región de agregación y de las regiones vinculadas. Los resultados de la información personalizada, si la información no se filtra por región, también incluyen los resultados de la región de agregación y las regiones vinculadas (cuando haya iniciado sesión en la región de agregación). En otras regiones, los resultados de la información son solo para esa región.

Para obtener más información acerca de la configuración de agregación entre regiones, consulte [Descripción de la agregación entre regiones en el CSPM de Security Hub](finding-aggregation.md).

## Visualización y adopción de medidas sobre los resultados de la información
<a name="securityhub-insight-results-console"></a>

Los resultados del conocimiento constan de una lista agrupada de los resultados del conocimiento. Por ejemplo, si la información se agrupa por identificadores de recursos, los resultados de la información son la lista de identificadores del recurso. Cada elemento de la lista de resultados indica el número de hallazgos coincidentes para ese elemento.

Si los resultados se agrupan por identificador de recurso o tipo de recurso, los resultados incluyen todos los recursos de los hallazgos correspondientes. Esto incluye los recursos que tienen un tipo diferente del tipo de recurso especificado en los criterios del filtro. Por ejemplo, un hallazgo identifica los resultados asociados a los buckets de S3. Si un resultado coincidente contiene un bucket de S3 y una clave de acceso de IAM, los resultados de información incluyen ambos recursos.

En la consola del CSPM de Security Hub, la lista de resultados se ordena desde los que presentan mayor coincidencia hasta los de menor coincidencia. El CSPM de Security Hub solo puede mostrar 100 hallazgos. Si hay más de 100 valores de agrupamiento, solo verá los primeros 100.

Además de la lista de resultados, los resultados de conocimientos muestran un conjunto de gráficos que resume el número de hallazgos coincidentes para los siguientes atributos.
+ **Etiqueta de gravedad**: número de resultados para cada etiqueta de gravedad
+ **Cuenta de AWS ID**: los cinco principales representan los resultados IDs coincidentes
+ **Tipo de recurso**: los cinco tipos de recursos principales para los resultados correspondientes
+ **ID del recurso**: los cinco recursos principales IDs para encontrar los resultados coincidentes
+ **Nombre del producto**: los cinco principales proveedores de hallazgos para los resultados correspondientes

Si ha configurado acciones personalizadas, puede enviar los resultados seleccionados a una acción personalizada. La acción debe estar asociada a una CloudWatch regla de Amazon para el tipo de `Security Hub Insight Results` evento. Para obtener más información, consulte [Uso EventBridge para respuesta y remediación automatizadas](securityhub-cloudwatch-events.md). Si no ha configurado acciones personalizadas, el menú **Acciones** está desactivado.

------
#### [ Security Hub CSPM console ]

**Para visualizar y adoptar medidas sobre los resultados de la información (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Insights**.

1. Para mostrar la lista de resultados de conocimientos, elija el nombre del conocimiento.

1. Seleccione la casilla de verificación de cada resultado que desee enviar a la acción personalizada.

1. En el menú **Actions (Acciones)**, elija la acción personalizada.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Para ver los resultados de la información y tomar medidas al respecto (API,) AWS CLI**

Para ver los resultados de producto de información, utilice la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetInsightResults.html) de la API del CSPM de Security Hub. Si usa el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)comando.

Para identificar la información para la que obtener resultados, necesita el ARN de la información. Para obtener información ARNs personalizada, utilice la operación de la [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html)API o el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html)comando.

En el siguiente ejemplo, se recuperan los resultados de la información especificada. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

Para obtener información acerca de cómo crear acciones personalizadas mediante programación, consulte [Utilizar acciones personalizadas para enviar las conclusiones y los resultados de información a EventBridge](securityhub-cwe-custom-actions.md).

------

## Para visualizar y tomar medidas sobre los hallazgos en los resultados de la información (consola)
<a name="securityhub-insight-findings-console"></a>

Desde una lista de hallazgos de un producto de información en la consola del CSPM de Security Hub, puede mostrar la lista de resultados para cada hallazgo.

**Para visualizar y tomar medidas sobre los resultados de la información (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Insights**.

1. Para mostrar la lista de resultados de conocimientos, elija el nombre del conocimiento.

1. Para mostrar la lista de hallazgos de un resultado de conocimiento, elija el elemento de la lista de resultados. La lista de hallazgos muestra los hallazgos activos del resultado de conocimiento seleccionado que tienen un estado de flujo de trabajo `NEW` o `NOTIFIED`.

En la lista de resultados puede realizar las siguientes acciones:
+ [Filtrado de resultados en el CSPM de Security Hub](securityhub-findings-manage.md)
+ [Revisión de los detalles y el historial de resultados](securityhub-findings-viewing.md#finding-view-details-console)
+ [Configuración del estado del flujo de trabajo de los resultados en el CSPM de Security Hub](findings-workflow-status.md)
+ [Envío de resultados a una acción personalizada del CSPM de Security Hub](findings-custom-action.md)

# Productos de información administrados en el CSPM de Security Hub
<a name="securityhub-managed-insights"></a>

AWS Security Hub CSPM proporciona varios conocimientos gestionados.

Los productos de información administrados del CSPM de Security Hub no se pueden modificar ni eliminar. Puede [ver y tomar medidas sobre los resultados y hallazgos de conocimientos](securityhub-insights-view-take-action.md). También puede [utilizar conocimientos administrados como base para una nuevo conocimiento personalizado](securityhub-custom-insight-create-api.md#securityhub-custom-insight-frrom-managed).

Al igual que con todos los conocimientos, un conocimiento administrado solo devuelve resultados si ha habilitado integraciones de productos o estándares de seguridad que pueden producir hallazgos coincidentes.

En el caso de los hallazgos agrupados en base al identificador de recursos, los resultados incluyen los identificadores de todos los recursos en los elementos que coinciden con los parámetros. Aquí se incluyen los recursos que poseen un tipo diferente al tipo de recurso que se indica en los criterios del filtro. Por ejemplo, el hallazgo 2 en la siguiente lista identifica los resultados asociados a los buckets de Amazon S3. Si un resultado coincidente contiene un bucket de S3 y una clave de acceso de IAM, los resultados de información incluyen ambos recursos.

En este momento, el CSPM de Security Hub ofrece los siguientes productos de información administrados:

**1. AWS recursos con la mayoría de los hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/1`  
**Agrupados por**: identificador de recursos  
**Filtros de resultados:**  
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**2. Buckets de S3 con permisos de lectura o escritura públicos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/10`  
**Agrupados por**: identificador de recursos  
**Filtros de resultados:**  
+ El tipo comienza con `Effects/Data Exposure`
+ El tipo de recurso es `AwsS3Bucket`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**3. AMIs que están generando la mayoría de los hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/3`  
**Agrupados por:** ID de imagen de EC2 instancia  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**4. EC2 instancias involucradas en tácticas, técnicas y procedimientos conocidos (TTPs)**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/14`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con `TTPs`
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**5. AWS directores con actividad sospechosa en las claves de acceso**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/9`  
**Agrupados por**: nombre de entidad principal de la clave de acceso de IAM  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsIamAccessKey`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**6. AWS instancias de recursos que no cumplen con los estándares o las mejores prácticas de seguridad**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/6`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo es `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**7. AWS recursos asociados a la posible exfiltración de datos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/7`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con Exfiltración/ Effects/Data 
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**8. AWS recursos asociados al consumo no autorizado de recursos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/8`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con `Effects/Resource Consumption`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**9. Buckets de S3 que no cumplen los estándares o las prácticas recomendadas de seguridad**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/11`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsS3Bucket`
+ El tipo es `Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**10. Buckets de S3 con información confidencial**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/12`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsS3Bucket`
+ El tipo comienza con `Sensitive Data Identifications/`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**11. Credenciales que podrían haberse filtrado**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/13`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con `Sensitive Data Identifications/Passwords/`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**12. EC2 instancias a las que les faltan parches de seguridad debido a vulnerabilidades importantes**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/16`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con `Software and Configuration Checks/Vulnerabilities/CVE`
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**13. EC2 casos con un comportamiento inusual general**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/17`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con `Unusual Behaviors`
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**14. EC2 instancias que tienen puertos accesibles desde Internet**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/18`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**15. EC2 instancias que no cumplen con los estándares o las mejores prácticas de seguridad**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/19`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con una de las siguientes opciones:
  + `Software and Configuration Checks/Industry and Regulatory Standards/`
  + `Software and Configuration Checks/AWS Security Best Practices`
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**16. EC2 instancias que están abiertas a Internet**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/21`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con `Software and Configuration Checks/AWS Security Best Practices/Network Reachability`
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**17. EC2 instancias asociadas con el reconocimiento del adversario**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/22`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con /Discovery/Recon TTPs
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**18. AWS recursos asociados al malware**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/23`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con una de las siguientes opciones:
  + `Effects/Data Exfiltration/Trojan`
  + `TTPs/Initial Access/Trojan`
  + `TTPs/Command and Control/Backdoor`
  + `TTPs/Command and Control/Trojan`
  + `Software and Configuration Checks/Backdoor`
  + `Unusual Behaviors/VM/Backdoor`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**19. AWS recursos asociados a problemas de criptomonedas**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/24`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con una de las siguientes opciones:
  + `Effects/Resource Consumption/Cryptocurrency`
  + `TTPs/Command and Control/CryptoCurrency`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**20. AWS recursos con intentos de acceso no autorizados**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/25`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo comienza con una de las siguientes opciones:
  + `TTPs/Command and Control/UnauthorizedAccess`
  + `TTPs/Initial Access/UnauthorizedAccess`
  + `Effects/Data Exfiltration/UnauthorizedAccess`
  + `Unusual Behaviors/User/UnauthorizedAccess`
  + `Effects/Resource Consumption/UnauthorizedAccess`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**21. Indicadores de información de amenazas con la mayoría de coincidencias durante la semana pasada**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/26`  
**Filtros de resultados:**  
+ Creado en los últimos 7 días

**22. Principales cuentas por número de hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/27`  
**Agrupados por:** Cuenta de AWS ID  
**Filtros de resultados:**  
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**23. Principales productos por número de hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/28`  
**Agrupados por:** Nombre del producto  
**Filtros de resultados:**  
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**24. Gravedad por número de hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/29`  
**Agrupados por:** etiqueta de gravedad  
**Filtros de resultados:**  
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**25. Principales buckets de S3 por número de hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/30`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsS3Bucket`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**26. EC2 Instancias principales por recuento de hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/31`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**27. AMIs Encabezados por recuentos de hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/32`  
**Agrupados por:** ID de imagen de la EC2 instancia  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsEc2Instance`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**28. Principales usuarios de IAM por número de hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/33`  
**Agrupados por**: ID de clave de acceso de IAM  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsIamAccessKey`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**29. Principales recursos por número de comprobaciones CIS no superadas**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/34`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ El ID del generador comienza con `arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule`
+ Actualizado en el último día
+ El estado de conformidad es `FAILED`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**30. Principales integraciones por número de hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/35`  
**Agrupados por:** ARN del producto  
**Filtros de resultados:**  
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**31. Recursos con las comprobaciones de seguridad que más fallan**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/36`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ Actualizado en el último día
+ El estado de conformidad es `FAILED`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**32. Usuarios de IAM con actividad sospechosa**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/37`  
**Agrupados por**: usuario de IAM  
**Filtros de resultados:**  
+ El tipo de recurso es `AwsIamUser`
+ El estado de registro es `ACTIVE`
+ El estado de flujo de trabajo es `NEW` o `NOTIFIED`

**33. Recursos con la mayoría de los AWS Health hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/38`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ `ProductName` igual a `Health`

**34. Recursos con la mayoría de los AWS Config hallazgos**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/39`  
**Agrupados por**: ID de recurso  
**Filtros de resultados:**  
+ `ProductName` igual a `Config`

**35. Aplicaciones con la mayor cantidad de resultados**  
**ARN**: `arn:aws:securityhub:::insight/securityhub/default/40`  
**Agrupado por:** ResourceApplicationArn  
**Filtros de resultados:**  
+ `RecordState` igual a `ACTIVE`
+ `Workflow.Status` es igual a `NEW` o `NOTIFIED`

# Descripción de resultados personalizados en el CSPM de Security Hub
<a name="securityhub-custom-insights"></a>

Además de la información gestionada por CSPM de AWS Security Hub, puede crear información personalizada en Security Hub CSPM para realizar un seguimiento de los problemas específicos de su entorno. Los hallazgos personalizados le permiten realizar un seguimiento de un subconjunto de problemas seleccionados.

Estos son algunos ejemplos de hallazgos personalizados que puede resultar útil configurar:
+ Si tiene una cuenta de administrador, puede configurar un hallazgo personalizado para hacer un seguimiento de los resultados críticos y de alta gravedad que estén afectando a las cuentas de los miembros.
+ Si confía en un [AWS servicio integrado](securityhub-internal-providers.md) específico, puede configurar una información personalizada para realizar un seguimiento de los hallazgos críticos y de alta gravedad de ese servicio.
+ Si confía en una [integración de terceros](securityhub-partner-providers.md), puede configurar un hallazgo personalizado para realizar un seguimiento de los hallazgos críticos y de alta gravedad de ese producto integrado.

Puede crear conocimientos personalizados completamente nuevos, o comenzar a partir de un conocimiento personalizado o administrado existente.

Cada hallazgo se puede configurar con las siguientes opciones:
+ **Atributo de agrupación**: el atributo de agrupación determina los elementos que se muestran en la lista de resultados del hallazgo. Por ejemplo, si el atributo de agrupación es **Nombre del producto**, los resultados del hallazgo muestran el número de hallazgos asociados a cada proveedor.
+ **Filtros opcionales**: Los filtros opcionales afinan la cantidad de resultados que coinciden con los parámetros del hallazgo.

  Un hallazgo se incluye en los resultados de la información solo si coincide con todos los filtros proporcionados. Por ejemplo, si los filtros son «El nombre del producto es GuardDuty» y «el tipo de recurso es`AwsS3Bucket`», los resultados que coincidan deben cumplir ambos criterios.

  Sin embargo, el CSPM de Security Hub aplica la lógica booleana OR a los filtros que utilizan el mismo atributo, pero valores distintos. Por ejemplo, si los filtros son «El nombre del producto es GuardDuty» y «El nombre del producto es Amazon Inspector», el resultado coincide si lo generó Amazon GuardDuty o Amazon Inspector.

Si utiliza el identificador de recurso o el tipo de recurso como atributo de agrupación, los resultados de la información incluirán todos los recursos incluidos en los resultados. La lista no se limita a los recursos que coinciden con un filtro de tipo de recurso. Por ejemplo, un hallazgo identifica los resultados asociados a los buckets de S3 y los agrupa por identificador de recursos. Un resultado coincidente contiene un recurso de bucket de S3 y un recurso de clave de acceso de IAM. Los resultados del hallazgo incluyen ambos recursos.

Si habilitó la [agregación entre regiones](finding-aggregation.md) y, luego, crea un hallazgo personalizado, el hallazgo se aplica a los resultados que coinciden con la región de agregación y las regiones vinculadas. La única excepción es que su información incluya un filtro de región.

# Creación de hallazgos personalizados
<a name="securityhub-custom-insight-create-api"></a>

En AWS Security Hub CSPM, la información personalizada se puede utilizar para recopilar un conjunto específico de hallazgos y realizar un seguimiento de los problemas que son exclusivos de su entorno. Para obtener información general sobre hallazgos personalizados, consulte [Descripción de resultados personalizados en el CSPM de Security Hub](securityhub-custom-insights.md).

Elija el método que prefiera y siga los pasos para crear un producto de información personalizado en el CSPM de Security Hub.

------
#### [ Security Hub CSPM console ]

**Para crear un hallazgo personalizado (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Hallazgos**.

1. Seleccione **Crear hallazgo**.

1. Para seleccionar el atributo de agrupación para el conocimiento:

   1. Seleccione el cuadro de búsqueda para ver las opciones de filtro.

   1. Elija **Group by (Agrupar por)**.

   1. Seleccione el atributo que se va a utilizar para agrupar los resultados asociados a este hallazgo.

   1. Seleccione **Aplicar**.

1. De manera opcional, elija los filtros adicionales que desee utilizar para este hallazgo. Para cada filtro, defina los criterios de filtro y, a continuación, elija **Aplicar**.

1. Seleccione **Crear hallazgo**.

1. Escriba un **Nombre del hallazgo** y elija **Crear hallazgo**.

------
#### [ Security Hub CSPM API ]

**Para crear un hallazgo personalizado (API)**

1. Para crear un producto de información personalizado, use la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_CreateInsight.html) de la API del CSPM de Security Hub. Si usa el AWS CLI, ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html)comando.

1. Rellene el parámetro `Name` con un nombre para su hallazgo personalizado.

1. Rellene el parámetro `Filters` para especificar qué resultados incluir en el hallazgo.

1. Rellene el parámetro `GroupByAttribute` para especificar qué atributo se utiliza para agrupar los resultados que se incluyen en el hallazgo.

1. Si lo desea, rellene el parámetro `SortCriteria` para ordenar los resultados por un campo específico.

En el siguiente ejemplo, se crea un hallazgo personalizado que incluye los resultados críticos con el tipo de recurso `AwsIamRole`. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub create-insight --name "Critical role findings" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId"
```

------
#### [ PowerShell ]

**Para crear una información personalizada (PowerShell)**

1. Utilice el cmdlet `New-SHUBInsight`.

1. Rellene el parámetro `Name` con un nombre para su hallazgo personalizado.

1. Rellene el parámetro `Filter` para especificar qué resultados incluir en el hallazgo.

1. Rellene el parámetro `GroupByAttribute` para especificar qué atributo se utiliza para agrupar los resultados que se incluyen en el hallazgo.

Si ha habilitado [la agregación entre regiones](finding-aggregation.md) y utiliza este cmdlet desde la región de agregación, el hallazgo se aplica a los resultados de la agregación y las regiones vinculadas.

**Ejemplo**

```
$Filter = @{
    AwsAccountId = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "XXX"
    }
    ComplianceStatus = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = 'FAILED'
    }
}
New-SHUBInsight -Filter $Filter -Name TestInsight -GroupByAttribute ResourceId
```

------

## Creación de un nuevo hallazgo personalizado a partir de un hallazgo administrado (solo para la consola)
<a name="securityhub-custom-insight-frrom-managed"></a>

No puede guardar los cambios en un hallazgo administrado ni eliminarlo. Sin embargo, puede utilizar hallazgos administrados como base para una nuevo hallazgo personalizado. Esta opción está disponible únicamente en la consola del CSPM de Security Hub.

**Para crear un nuevo hallazgo personalizado a partir de un hallazgo administrado (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Insights**.

1. Elija el conocimiento administrado desde el que trabajar.

1. Edite la configuración de los hallazgos si es necesario.
   + Para cambiar el atributo utilizado para agrupar los resultados en el hallazgo:

     1. Para eliminar la agrupación existente, elija la **X** situada junto al ajuste **Agrupar por**.

     1. Seleccione la barra de búsqueda.

     1. Seleccione el atributo que desea utilizar para el agrupamiento.

     1. Seleccione **Aplicar**.
   + Para eliminar un filtro del hallazgo, elija la **X** rodeada de un círculo junto al filtro.
   + Cómo agregar un filtro al hallazgo:

     1. Seleccione la barra de búsqueda.

     1. Seleccione el atributo y el valor que desea utilizar como filtro.

     1. Seleccione **Aplicar**.

1. Cuando se hayan completado las actualizaciones, elija **Create insight (Crear conocimiento)**.

1. Cuando se le solicite, escriba el **Nombre del hallazgo**; a continuación, elija **Crear hallazgo**.

# Edición de hallazgos personalizados
<a name="securityhub-custom-insight-modify-console"></a>

Puede editar un hallazgo personalizado existente para cambiar el valor de agrupación y los filtros. Después de realizar los cambios, puede guardar las actualizaciones en el conocimiento original o guardar la versión actualizada como un nuevo conocimiento.

En AWS Security Hub CSPM, la información personalizada se puede utilizar para recopilar un conjunto específico de hallazgos y realizar un seguimiento de los problemas que son exclusivos de su entorno. Para obtener información general sobre hallazgos personalizados, consulte [Descripción de resultados personalizados en el CSPM de Security Hub](securityhub-custom-insights.md).

Para editar un hallazgo personalizado, elija el método que prefiera y siga las instrucciones.

------
#### [ Security Hub CSPM console ]

**Para editar un hallazgo personalizado (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Insights**.

1. Elija el conocimiento personalizado que desea modificar.

1. Edite la configuración de los hallazgos si es necesario.
   + Para cambiar el atributo utilizado para agrupar los resultados en el hallazgo:

     1. Para eliminar la agrupación existente, elija la **X** situada junto al ajuste **Agrupar por**.

     1. Seleccione la barra de búsqueda.

     1. Seleccione el atributo que desea utilizar para el agrupamiento.

     1. Seleccione **Aplicar**.
   + Para eliminar un filtro del hallazgo, elija la **X** rodeada de un círculo junto al filtro.
   + Cómo agregar un filtro al hallazgo:

     1. Seleccione la barra de búsqueda.

     1. Seleccione el atributo y el valor que desea utilizar como filtro.

     1. Seleccione **Aplicar**.

1. Cuando complete las actualizaciones, elija **Save insight (Guardar conocimiento)**.

1. Cuando se le solicite, siga uno de estos procedimientos:
   + Para actualizar la información existente para que refleje los cambios, seleccione **Actualizar *<Insight\$1Name>*** y, a continuación, seleccione **Guardar** información.
   + Para crear un nuevo conocimiento con las actualizaciones, elija **Save new insight (Guardar nuevo conocimiento)**. Escriba un **Insight name (Nombre del conocimiento)** y elija **Save insight (Guardar conocimiento)**.

------
#### [ Security Hub CSPM API ]

**Para editar un hallazgo personalizado (API)**

1. Use la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_UpdateInsight.html) de la API del CSPM de Security Hub. Si usa el comando, AWS CLI ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html)comando.

1. Para identificar el hallazgo personalizado que desea actualizar, debe indicar su nombre de recurso de Amazon (ARN). Para obtener el ARN de un hallazgo personalizado, ejecute la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) o el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html).

1. Actualice los parámetros `Name`, `Filters` y `GroupByAttribute` según sea necesario.

En el siguiente ejemplo, se actualizan los hallazgos especificados. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"
```

------
#### [ PowerShell ]

**Para editar una información personalizada (PowerShell)**

1. Utilice el cmdlet `Update-SHUBInsight`.

1. Para identificar el hallazgo personalizado, debe indicar su nombre de recurso de Amazon (ARN). Para obtener el ARN de un hallazgo personalizado, utilice el cmdlet `Get-SHUBInsight`.

1. Actualice los parámetros `Name`, `Filter` y `GroupByAttribute` según sea necesario.

**Ejemplo**

```
$Filter = @{
    ResourceType = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "AwsIamRole"
    }
    SeverityLabel = [Amazon.SecurityHub.Model.StringFilter]@{
        Comparison = "EQUALS"
        Value = "HIGH"
    }
}

Update-SHUBInsight -InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" -Filter $Filter -Name "High severity role findings"
```

------

# Eliminación de hallazgos personalizados
<a name="securityhub-custom-insight-delete-console"></a>

En AWS Security Hub CSPM, la información personalizada se puede utilizar para recopilar un conjunto específico de hallazgos y realizar un seguimiento de los problemas que son exclusivos de su entorno. Para obtener información general sobre hallazgos personalizados, consulte [Descripción de resultados personalizados en el CSPM de Security Hub](securityhub-custom-insights.md).

Para eliminar un hallazgo personalizado, elija el método que prefiera y siga las instrucciones. No puede eliminar un hallazgo administrado.

------
#### [ Security Hub CSPM console ]

**Para eliminar un hallazgo personalizado (consola)**

1. Abra la consola CSPM de AWS Security Hub en. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/)

1. En el panel de navegación, elija **Insights**.

1. Localice el conocimiento personalizado que desea eliminar.

1. Para obtener ese hallazgo, elija el icono de más opciones (los tres puntos en la esquina superior derecha de la tarjeta).

1. Elija **Eliminar**.

------
#### [ Security Hub CSPM API ]

**Para eliminar un hallazgo personalizado (API)**

1. Use la operación [https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_DeleteInsight.html) de la API del CSPM de Security Hub. Si usa el comando, AWS CLI ejecute el [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html)comando.

1. Para identificar el hallazgo personalizado que se va a eliminar, indique su ARN. Para obtener el ARN de un hallazgo personalizado, ejecute la operación [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html) o el comando [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insights.html).

En el siguiente ejemplo, se elimina el hallazgo especificado. Este ejemplo está formateado para Linux, macOS o Unix y utiliza el carácter de barra invertida (\$1) de continuación de línea para mejorar la legibilidad.

```
$ aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------
#### [ PowerShell ]

**Para eliminar una información personalizada (PowerShell)**

1. Utilice el cmdlet `Remove-SHUBInsight`.

1. Para identificar el hallazgo personalizado, indique su ARN. Para obtener el ARN de un hallazgo personalizado, utilice el cmdlet `Get-SHUBInsight`.

**Ejemplo**

```
-InsightArn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```

------