Consolidar los resultados del control Detalles de Compliance de los resultados de los controles Detalles de ProductFields de los resultados de los controles Asignación de la gravedad a los resultados de los controles Reglas para actualizar los resultados de los controles

Generación y actualización de los resultados de control

AWS Security Hub genera hallazgos al comparar los controles de seguridad. Estos hallazgos utilizan el AWS Formato de búsqueda de seguridad (ASFF). Tenga en cuenta que si el tamaño del resultado supera el máximo de 240 KB, se eliminará el objeto Resource.Details. Para controles respaldados por AWS Config recursos, puede ver los detalles de los recursos en el AWS Config console.

Security Hub normalmente cobra por cada control de seguridad de un control. Sin embargo, si varios controles utilizan el mismo AWS Config regla general, entonces Security Hub solo cobra una vez por cada cheque contra el AWS Config regla. Si habilita las conclusiones de control consolidadas, Security Hub genera una única conclusión para una comprobación de seguridad, incluso cuando el control está incluido en varios estándares habilitados.

Por ejemplo, el AWS Config iam-password-policyLa regla la utilizan varios controles del Centro de Seguridad de Internet (CIS) AWS El estándar Foundations Benchmark y el estándar Foundational Security Best Practices. Cada vez que Security Hub comprueba eso AWS Config Por regla general, genera un resultado diferente para cada control relacionado, pero solo cobra una vez por el cheque.

Consolidar los resultados del control

Si habilita la función de hallazgos de control consolidados en su cuenta, Security Hub genera un único hallazgo nuevo o una actualización de hallazgos para cada comprobación de seguridad de un control, incluso si un control se aplica a varios estándares habilitados. Para ver una lista de los controles y los estándares a los que se aplican, consulte Referencia de controles de Security Hub. Recomendamos habilitar los hallazgos de control consolidados para reducir el ruido de detección.

Si ha activado Security Hub para un Cuenta de AWS antes del 23 de febrero de 2023, puede activar los resultados de control consolidados siguiendo las instrucciones que aparecen más adelante en esta sección. Si habilitas Security Hub el 23 de febrero de 2023 o después, los hallazgos de control consolidados se habilitarán automáticamente en tu cuenta. Sin embargo, si utiliza la integración de Security Hub con AWS Organizationso cuentas de miembros invitados mediante un proceso de invitación manual, los hallazgos de control consolidados solo están habilitados en las cuentas de los miembros si están habilitados en la cuenta de administrador. Si la función está deshabilitada en la cuenta de administrador, estará deshabilitada en las cuentas de los miembros. Este comportamiento se aplica a las cuentas de miembros nuevas y existentes.

Si inhabilitas las conclusiones de control consolidadas en tu cuenta, Security Hub genera una conclusión independiente por cada comprobación de seguridad para cada estándar habilitado que incluya un control. Por ejemplo, si cuatro estándares habilitados comparten un control con el mismo subyacente AWS Config Por regla general, recibirá cuatro conclusiones distintas tras una comprobación de seguridad del control. Si habilita las comprobaciones de control consolidadas, recibirá solo una constatación. Para obtener más información acerca de cómo afecta la consolidación a los resultados, consulte Ejemplos de resultados de control en Security Hub.

Cuando habilita los hallazgos de control consolidados, Security Hub crea nuevos hallazgos independientes de los estándares y archiva los hallazgos originales basados en estándares. Algunos campos y valores de resultado de controles cambiarán y pueden afectar a los flujos de trabajo existentes. Para obtener más información sobre estos cambios, consulte Conclusiones de control consolidadas: ASFF cambios.

La activación de los resultados de control consolidados también puede afectar a los resultados que las integraciones de terceros reciben de Security Hub. Respuesta de seguridad automatizada en AWS La versión 2.0.0 admite los hallazgos de control consolidados.

Para activar o desactivar los resultados de control consolidados, debe iniciar sesión en una cuenta de administrador o en una cuenta independiente.

nota

Una vez habilitadas las conclusiones de control consolidadas, Security Hub puede tardar hasta 24 horas en generar nuevas conclusiones consolidadas y archivar las conclusiones originales basadas en estándares. Del mismo modo, después de deshabilitar las conclusiones de control consolidadas, Security Hub puede tardar hasta 24 horas en generar nuevas conclusiones basadas en estándares y archivar las conclusiones consolidadas. Durante estos períodos, es posible que vea en su cuenta una combinación de hallazgos independientes de los estándares y basados en estándares.

Detalles de `Compliance` de los resultados de los controles

En el caso de las conclusiones generadas por las comprobaciones de seguridad de los controles, el Compliancecampo en el AWS El formato de comprobación de seguridad (ASFF) contiene detalles relacionados con las conclusiones de los controles. El campo Compliance incluye la siguiente información.

AssociatedStandards: Los estándares habilitados en los que está habilitado un control.
RelatedRequirements: La lista de requisitos relacionados con el control en todos los estándares habilitados. Los requisitos provienen del marco de seguridad de terceros para el control, como el estándar de seguridad de datos del sector de las tarjetas de pago (PCIDSS).
SecurityControlId: El identificador de un control que cumple con los estándares de seguridad que admite Security Hub.
Status: El resultado de la última comprobación realizada por Security Hub para un control determinado. Los resultados de las comprobaciones anteriores se conservan en estado archivado durante 90 días.
StatusReasons: Contiene una lista de motivos para el valor Compliance.Status. Para cada motivo, StatusReasons incluye el código de motivo y una descripción.

En la siguiente tabla se enumeran los códigos de motivo de estado y las descripciones disponibles. Los pasos de corrección dependen del control que haya generado un resultado con el código de motivo. Elija uno de los controles de Referencia de controles de Security Hub para ver los pasos de corrección de ese control.

Código de motivo	Compliance.Status	Descripción
`CLOUDTRAIL_METRIC_FILTER_NOT_VALID`	`FAILED`	El registro CloudTrail multirregional no tiene un filtro métrico válido.
`CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`	`FAILED`	Los filtros métricos no están presentes en el sendero multirregional. CloudTrail
`CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`	`FAILED`	La cuenta no tiene un registro multirregional CloudTrail con la configuración requerida.
`CLOUDTRAIL_REGION_INVAILD`	`WARNING`	Los CloudTrail senderos multirregionales no se encuentran en la región actual.
`CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`	`FAILED`	No hay acciones de alarma válidas presentes.
`CLOUDWATCH_ALARMS_NOT_PRESENT`	`FAILED`	CloudWatch las alarmas no existen en la cuenta.
`CONFIG_ACCESS_DENIED`	`NOT_AVAILABLE` AWS Config el estado es `ConfigError`	AWS Config acceso denegado. Compruebe que AWS Config está activado y se le han concedido los permisos suficientes.
`CONFIG_EVALUATIONS_EMPTY`	`PASSED`	AWS Config evaluó sus recursos en función de la regla. La regla no se aplicaba al AWS los recursos incluidos en su ámbito, se eliminaron los recursos especificados o se eliminaron los resultados de la evaluación.
`CONFIG_RETURNS_NOT_APPLICABLE`	`NOT_AVAILABLE`	El estado de conformidad se `NOT_AVAILABLE` debe a AWS Config devolvió el estado de No aplicable. AWS Config no proporciona el motivo del estado. Estas son algunas de las posibles razones del estado de No aplicable: El recurso se ha eliminado del ámbito de AWS Config regla. La AWS Config se eliminó la regla. Se ha eliminado el recurso. La AWS Config la lógica de la regla puede producir un estado de No aplicable.
`CONFIG_RULE_EVALUATION_ERROR`	`NOT_AVAILABLE` AWS Config el estado es `ConfigError`	Este código de motivo se utiliza para varios tipos diferentes de errores de evaluación. La descripción proporciona la información específica del motivo. El tipo de error puede ser uno de los siguientes: Incapacidad de realizar la evaluación debido a la falta de permisos. La descripción proporciona el permiso específico que falta. Un valor ausente o no válido para un parámetro. La descripción proporciona el parámetro y los requisitos para el valor del parámetro. Error al leer en un bucket de S3. La descripción identifica el bucket y proporciona el error específico. Falta AWS suscripción. Un tiempo de espera general en la evaluación. Una cuenta suspendida.
`CONFIG_RULE_NOT_FOUND`	`NOT_AVAILABLE` AWS Config el estado es `ConfigError`	La AWS Config la regla está en proceso de creación.
`INTERNAL_SERVICE_ERROR`	`NOT_AVAILABLE`	Se ha producido un error desconocido.
`LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`	FAILED	Security Hub no puede realizar una comprobación con un tiempo de ejecución de Lambda personalizado.
`S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	El resultado se encuentra en un estado de `WARNING`, porque el bucket de S3 asociado a esta regla se encuentra en una región o cuenta diferente. Esta regla no admite comprobaciones entre regiones ni entre cuentas. Se recomienda deshabilitar este control en esta región o cuenta. Ejecútelo solo en la región o cuenta donde se encuentra el recurso.
`SNS_SUBSCRIPTION_NOT_PRESENT`	`FAILED`	Los filtros métricos de CloudWatch Logs no tienen una SNS suscripción a Amazon válida.
`SNS_TOPIC_CROSS_ACCOUNT`	WARNING	El resultado se encuentra en un estado de `WARNING`. El SNS tema asociado a esta regla pertenece a una cuenta diferente. La cuenta actual no puede obtener la información de la suscripción. La cuenta propietaria del SNS tema debe conceder a la cuenta actual el `sns:ListSubscriptionsByTopic` permiso para el SNS tema.
`SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	El hallazgo se encuentra en un `WARNING` estado porque el SNS tema asociado a esta regla se encuentra en una región o cuenta diferente. Esta regla no admite comprobaciones entre regiones ni entre cuentas. Se recomienda deshabilitar este control en esta región o cuenta. Ejecútelo solo en la región o cuenta donde se encuentra el recurso.
`SNS_TOPIC_INVALID`	`FAILED`	El SNS tema asociado a esta regla no es válido.
`THROTTLING_ERROR`	`NOT_AVAILABLE`	La API operación correspondiente ha superado la tasa permitida.

Detalles de `ProductFields` de los resultados de los controles

Cuando Security Hub ejecuta comprobaciones de seguridad y genera resultados de control, el ProductFields atributo in ASFF incluye los siguientes campos:

ArchivalReasons:0/Description

Describe por qué Security Hub ha archivado los resultados existentes.

Por ejemplo, Security Hub archiva los resultados existentes al deshabilitar un control o estándar y al activar o desactivar los resultados del control consolidado.

ArchivalReasons:0/ReasonCode

Explica el motivo por el que Security Hub ha archivado los resultados existentes.

Por ejemplo, Security Hub archiva los resultados existentes al deshabilitar un control o estándar y al activar o desactivar los resultados del control consolidado.

StandardsGuideArn o StandardsArn

El ARN del estándar asociado al control.

Para el CIS AWS El estándar de referencia de Foundations, el campo esStandardsGuideArn.

Para PCI DSS y AWS Los estándares fundamentales de las mejores prácticas de seguridad, el campo esStandardsArn.

Estos campos se eliminan a favor Compliance.AssociatedStandards si se habilitan los hallazgos de control consolidados.

StandardsGuideSubscriptionArn o StandardsSubscriptionArn

El ARN de la suscripción de la cuenta al estándar.

Para el CIS AWS El estándar de referencia de Foundations, el campo esStandardsGuideSubscriptionArn.

Para el PCI DSS y AWS Los estándares fundamentales de mejores prácticas de seguridad, el campo esStandardsSubscriptionArn.

Estos campos se eliminan si se habilitan los resultados de control consolidados.

RuleId o ControlId

El identificador del control.

Para el CIS AWS El estándar de referencia de Foundations, el campo esRuleId.

Para otros estándares, el campo es ControlId.

Estos campos se eliminan a favor Compliance.SecurityControlId si se habilitan los resultados de control consolidados.

RecommendationUrl

URLA la información de corrección del control. Este campo se elimina a favor Remediation.Recommendation.Url si se habilitan las conclusiones de control consolidadas.

RelatedAWSResources:0/name

El nombre del recurso asociado a el resultado.

RelatedAWSResource:0/type

El tipo de recurso asociado con el control.

StandardsControlArn

El ARN del control. Este campo se elimina si se habilitan las conclusiones de control consolidadas.

aws/securityhub/ProductName

Para los resultados basados en el control, el nombre del producto es Security Hub.

aws/securityhub/CompanyName

En el caso de los resultados basados en el control, el nombre de la empresa es AWS.

aws/securityhub/annotation

Una descripción del problema descubierto por el control.

aws/securityhub/FindingId

El identificador del resultado. Este campo no hace referencia a un estándar si se habilitan los hallazgos de control consolidados.

Asignación de la gravedad a los resultados de los controles

La gravedad asignada a un control de Security Hub identifica la importancia del control. La gravedad de un control determina la etiqueta de gravedad asignada a los resultados del control.

Criterios de gravedad

La gravedad de un control se determina en función de la evaluación de los siguientes criterios:

¿Cómo de difícil es para un agente de amenazas aprovechar la debilidad de la configuración asociada al control?

La dificultad viene determinada por el grado de sofisticación o complejidad que se requiere para utilizar la debilidad para llevar a cabo un escenario de amenaza.
¿Qué probabilidades hay de que la debilidad lleve a comprometer su Cuentas de AWS ¿o recursos?

Un compromiso de su Cuentas de AWS o recursos significa que la confidencialidad, integridad o disponibilidad de sus datos o AWS la infraestructura está dañada de alguna manera.

La probabilidad de que se ponga en peligro indica la probabilidad de que el escenario de amenaza provoque una interrupción o una violación de la seguridad AWS servicios o recursos.

Como ejemplo, fíjese en las siguientes debilidades de configuración:

Las claves de acceso de los usuarios no se renuevan cada 90 días.
IAMexiste la clave de usuario raíz.

Ambas debilidades son igualmente difíciles de aprovechar para un adversario. En ambos casos, el adversario puede utilizar el robo de credenciales o algún otro método para adquirir una clave de usuario. Luego pueden usarla para acceder a sus recursos de forma no autorizada.

Sin embargo, la probabilidad de que se ponga en peligro es mucho mayor si el autor de la amenaza adquiere la clave de acceso del usuario raíz, ya que esto le da un mayor acceso. Como resultado, la debilidad clave del usuario raíz es más grave.

La gravedad no tiene en cuenta la criticidad del recurso subyacente. El nivel de importancia crítica se define como el nivel de importancia de los recursos que están asociados con el resultado. Por ejemplo, un recurso que está asociado a una aplicación de misión crítica es más crítica que uno asociado a pruebas que no son de producción. Para capturar información sobre la criticidad de los recursos, utilice el Criticality campo de AWS Formato de búsqueda de seguridad (ASFF).

La siguiente tabla muestra la dificultad de explotación y la probabilidad de que las etiquetas de seguridad se vean comprometidas.

	Compromiso muy probable	Compromiso probable	Compromiso poco probable	Compromiso muy poco probable
Muy fácil de explotar	Critico	Critico	Alta	Medio
Algo fácil de explotar	Critico	Alta	Medio	Medio
Algo difícil de explotar	Alta	Medio	Medio	Baja
Muy difícil de explotar	Medio	Medio	Baja	Baja

Definiciones de gravedad

Las etiquetas de gravedad se definen de la siguiente manera.

Crítico: el problema debe solucionarse de inmediato para evitar una escalada.

Por ejemplo, un bucket de S3 abierto se considera un hallazgo de gravedad crítica. Debido a que muchos agentes exploran buckets S3 abiertos, es probable que otros detecten los datos de un bucket de S3 expuesto y accedan a ellos.

En general, los recursos que son de acceso público se consideran problemas de seguridad críticos. Debe tratar los resultados críticos con la máxima urgencia. También debe tener en cuenta la criticidad del recurso.

Alto: el problema debe abordarse con prioridad a corto plazo.

Por ejemplo, si un grupo de VPC seguridad predeterminado está abierto al tráfico entrante y saliente, se considera de gravedad alta. Es bastante fácil que un actor de amenazas comprometa una VPC con este método. También es probable que el actor de la amenaza pueda interrumpir o exfiltrar los recursos una vez que estén en el. VPC

Security Hub recomienda tratar un un resultado de gravedad alta como una prioridad a corto plazo. Debe tomar medidas correctivas de inmediato. También debe tener en cuenta la criticidad del recurso.

Medio: el tema debe abordarse como una prioridad a medio plazo.

Por ejemplo, la falta de cifrado de los datos en tránsito se considera un resultado de gravedad media. Se requiere un man-in-the-middle ataque sofisticado para aprovechar esta debilidad. Es decir, es algo difícil. Es probable que algunos datos se vean comprometidos si el escenario de amenaza tiene éxito.

Security Hub recomienda que investigue el recurso implicado tan pronto como sea posible. También debe tener en cuenta la criticidad del recurso.

Bajo: el problema no requiere acción por sí solo.

Por ejemplo, la falta de recopilación de información forense se considera de gravedad baja. Este control puede ayudar a evitar futuros compromisos, pero la ausencia de análisis forense no conduce directamente a un compromiso.

No es necesario tomar medidas inmediatas ante los resultados de baja gravedad, pero pueden proporcionar un contexto si los correlacionas con otros problemas.

Informativo: no se encontró ningún punto débil en la configuración.

En otras palabras, el estado es PASSED, WARNING o NOT AVAILABLE.

No se recomienda ninguna acción. Los resultados informativos ayudan a los clientes a demostrar que están en un estado de conformidad.

Reglas para actualizar los resultados de los controles

Una comprobación posterior con respecto a una regla determinada podría generar un nuevo resultado. Por ejemplo, el estado de “Evitar el uso del usuario raíz” podría cambiar de FAILED a PASSED. En ese caso, se genera un nuevo resultado que contiene el resultado más reciente.

Si una comprobación posterior en función de una determinada regla genera un resultado que es idéntico al resultado actual, se actualiza el hallazgo existente. No se genera un nuevo hallazgo.

Security Hub archiva automáticamente los resultados de los controles si el recurso asociado se elimina, el recurso no existe o el control está deshabilitado. Es posible que un recurso ya no exista porque el servicio asociado no se utiliza actualmente. Los resultados se archivan automáticamente en función de uno de los siguientes criterios:

El resultado no se actualiza hasta transcurridos entre tres y cinco días (tenga en cuenta que es lo mejor y no está garantizado).
El asociado AWS Config evaluación devueltaNOT_APPLICABLE.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Programación para ejecutar comprobaciones de seguridad

Estado de cumplimiento y estado de control