Generación y actualización de los resultados de control

AWS Security Hub genera resultados comparándolos con los controles de seguridad. Estos hallazgos utilizan el formato AWS de búsqueda de seguridad (ASFF). Tenga en cuenta que si el tamaño del resultado supera el máximo de 240 KB, se eliminará el objeto Resource.Details. En el caso de los controles respaldados por AWS Config recursos, puede ver los detalles de los recursos en la AWS Config consola.

Security Hub normalmente cobra por cada control de seguridad de un control. Sin embargo, si varios controles utilizan la misma AWS Config regla, Security Hub solo cobrará una vez por cada comprobación según la AWS Config regla. Si activa los resultados de control consolidadas, Security Hub genera una única conclusión para un control de seguridad, incluso cuando el control está incluido en varios estándares habilitados.

Por ejemplo, varios controles utilizan la AWS Config regla iam-password-policy en el estándar de referencia fundamental del Center for Internet Security (CIS) AWS y en el estándar Foundational Security Best Practices. Cada vez que Security Hub comprueba el cumplimiento de esa AWS Config regla, genera una comprobación independiente para cada control relacionado, pero solo cobra una vez por la comprobación.

Resultados de control consolidados

Cuando los resultados de control consolidados están activados en su cuenta, Security Hub genera un único resultado nuevo o una actualización de resultados para cada control de seguridad de un control, incluso si un control se aplica a varios estándares habilitados. Para ver una lista de los controles y los estándares a los que se aplican, consulte Referencia de controles de Security Hub. Puede activar o desactivar los resultados de control consolidadas. Recomendamos activarlo para reducir el ruido de resultados.

Si activó Security Hub Cuenta de AWS antes del 23 de febrero de 2023, debe activar las conclusiones de control consolidadas siguiendo las instrucciones que aparecen más adelante en esta sección. Si habilita Security Hub el 23 de febrero de 2023 o después, los resultados de control consolidados se activarán automáticamente en tu cuenta. Sin embargo, si utiliza la integración de Security Hub con AWS Organizations o ha invitado a cuentas de miembros mediante un proceso de invitación manual, los resultados de control consolidados solo se activan en las cuentas de los miembros si están activados en la cuenta de administrador. Si la característica está desactivada en la cuenta de administrador, se desactivará en las cuentas de los miembros. Este comportamiento se aplica a las cuentas de miembros nuevas y existentes.

Si desactiva los resultados de control consolidadas en tu cuenta, Security Hub genera una conclusión independiente por cada control de seguridad para cada estándar habilitado que incluya un control. Por ejemplo, si cuatro estándares habilitados comparten un control con la misma AWS Config regla subyacente, recibirá cuatro conclusiones distintas tras una comprobación de seguridad del control. Si activa los resultados del control consolidado, recibirá solo una conclusión. Para obtener más información acerca de cómo afecta la consolidación a los resultados, consulte Ejemplos de resultados de control.

Al activar los resultados de control consolidados, Security Hub crea nuevos resultados independientes de los estándares y archiva los resultados originales basados en estándares. Algunos campos y valores de resultado de controles cambiarán y pueden afectar a los flujos de trabajo existentes. Para obtener más información sobre estos cambios, consulte Resultados de control consolidados: cambios en ASFF.

La activación de los resultados de control consolidados también puede afectar a los resultados que las integraciones de terceros reciben de Security Hub. La respuesta de seguridad automatizada de la AWS versión 2.0.0 respalda las conclusiones de control consolidadas.

Activación de los resultados de control consolidados

Para activar los resultados de control consolidados, debe iniciar sesión en una cuenta de administrador o en una cuenta independiente.

nota

Tras activar los resultados de control consolidadas, Security Hub puede tardar hasta 24 horas en generar nuevas conclusiones consolidadas y archivar los resultados originales basadas en estándares. Durante ese tiempo, es posible que vea en su cuenta una combinación de resultados independientes de los estándares y basados en estándares.

Security Hub console

1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

2. En el panel de navegación, seleccione Configuración.

3. Elija la pestaña General.

4. En Controles, active los Resultados de los controles consolidados.

5. Seleccione Guardar.

Security Hub API

1. Ejecute UpdateSecurityHubConfiguration.

2. Establezca que ControlFindingGenerator no es igual que SECURITY_CONTROL.

   Ejemplo de solicitud:

   {
      "ControlFindingGenerator": "SECURITY_CONTROL"
   }

AWS CLI

1. Ejecute el comando update-security-hub-configuration.

2. Establezca que control-finding-generator no es igual que SECURITY_CONTROL.

   aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL

Desactivación de los resultados de control consolidados

Para desactivar los resultados de control consolidadas, debe iniciar sesión en una cuenta de administrador o en una cuenta independiente.

nota

Tras desactivar los resultados de control consolidadas, Security Hub puede tardar hasta 24 horas en generar nuevas conclusiones basadas en estándares y archivarlas. Durante ese tiempo, es posible que vea una combinación de resultados consolidados y basados en estándares en su cuenta.

Security Hub console

1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

2. En el panel de navegación, seleccione Configuración.

3. Elija la pestaña General.

4. En Controles, seleccione Editar y desactive los Resultados de los controles consolidados.

5. Seleccione Guardar.

Security Hub API

1. Ejecute UpdateSecurityHubConfiguration.

2. Establezca que ControlFindingGenerator no es igual que STANDARD_CONTROL.

   Ejemplo de solicitud:

   {
      "ControlFindingGenerator": "STANDARD_CONTROL"
   }

AWS CLI

1. Ejecute el comando update-security-hub-configuration.

2. Establezca que control-finding-generator no es igual que STANDARD_CONTROL.

   aws securityhub  --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL

Detalles de Compliance de los resultados de los controles

En el caso de las conclusiones generadas por las comprobaciones de seguridad de los controles, el Compliancecampo del formato de comprobación de AWS seguridad (ASFF) contiene detalles relacionados con las comprobaciones de control. El campo Compliance incluye la siguiente información.

AssociatedStandards

Los estándares habilitados en los que está habilitado un control.

RelatedRequirements

La lista de requisitos relacionados con el control en todos los estándares habilitados. Los requisitos provienen del marco de seguridad de terceros para el control, como el estándar de seguridad de datos del sector de pagos con tarjeta (PCI DSS).

SecurityControlId

El identificador de un control que cumple con los estándares de seguridad que admite Security Hub.

Status

El resultado de la última comprobación realizada por Security Hub para un control determinado. Los resultados de las comprobaciones anteriores se conservan en estado archivado durante 90 días.

StatusReasons

Contiene una lista de motivos para el valor Compliance.Status. Para cada motivo, StatusReasons incluye el código de motivo y una descripción.

En la siguiente tabla se enumeran los códigos de motivo de estado y las descripciones disponibles. Los pasos de corrección dependen del control que haya generado un resultado con el código de motivo. Elija uno de los controles de Referencia de controles de Security Hub para ver los pasos de corrección de ese control.

Código de motivo	Compliance.Status	Descripción
CLOUDTRAIL_METRIC_FILTER_NOT_VALID	FAILED	El registro CloudTrail multirregional no tiene un filtro métrico válido.
CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT	FAILED	Los filtros métricos no están presentes en el sendero multirregional. CloudTrail
CLOUDTRAIL_MULTI_REGION_NOT_PRESENT	FAILED	La cuenta no tiene un registro multirregional CloudTrail con la configuración requerida.
CLOUDTRAIL_REGION_INVAILD	WARNING	Los CloudTrail senderos multirregionales no se encuentran en la región actual.
CLOUDWATCH_ALARM_ACTIONS_NOT_VALID	FAILED	No hay acciones de alarma válidas presentes.
CLOUDWATCH_ALARMS_NOT_PRESENT	FAILED	CloudWatch las alarmas no existen en la cuenta.
CONFIG_ACCESS_DENIED	NOT_AVAILABLE AWS Config el estado es ConfigError	AWS Config acceso denegado. Compruebe que AWS Config está activado y que se le han concedido los permisos suficientes.
CONFIG_EVALUATIONS_EMPTY	PASSED	AWS Config evaluó sus recursos en función de la regla. La regla no se aplicaba a los AWS recursos incluidos en su ámbito, se eliminaron los recursos especificados o se eliminaron los resultados de la evaluación.
CONFIG_RETURNS_NOT_APPLICABLE	NOT_AVAILABLE	El estado de conformidad se NOT_AVAILABLE debe AWS Config a que devolvió el estado No aplicable. AWS Config no indica el motivo del estado. Estas son algunas de las posibles razones del estado de No aplicable: El recurso se ha eliminado del ámbito de aplicación de la AWS Config regla. Se ha eliminado la AWS Config regla. Se ha eliminado el recurso. La lógica de la AWS Config regla puede generar un estado de No aplicable.
CONFIG_RULE_EVALUATION_ERROR	NOT_AVAILABLE AWS Config el estado es ConfigError	Este código de motivo se utiliza para varios tipos diferentes de errores de evaluación. La descripción proporciona la información específica del motivo. El tipo de error puede ser uno de los siguientes: Incapacidad de realizar la evaluación debido a la falta de permisos. La descripción proporciona el permiso específico que falta. Un valor ausente o no válido para un parámetro. La descripción proporciona el parámetro y los requisitos para el valor del parámetro. Error al leer en un bucket de S3. La descripción identifica el bucket y proporciona el error específico. Falta una AWS suscripción. Un tiempo de espera general en la evaluación. Una cuenta suspendida.
CONFIG_RULE_NOT_FOUND	NOT_AVAILABLE AWS Config el estado es ConfigError	La AWS Config regla está en proceso de creación.
INTERNAL_SERVICE_ERROR	NOT_AVAILABLE	Se ha producido un error desconocido.
LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE	ERROR	Security Hub no puede realizar una comprobación con un tiempo de ejecución de Lambda personalizado.
S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION	WARNING	El resultado se encuentra en un estado de WARNING, porque el bucket de S3 asociado a esta regla se encuentra en una región o cuenta diferente. Esta regla no admite comprobaciones entre regiones ni entre cuentas. Se recomienda deshabilitar este control en esta región o cuenta. Ejecútelo solo en la región o cuenta donde se encuentra el recurso.
SNS_SUBSCRIPTION_NOT_PRESENT	FAILED	Los filtros de métricas de CloudWatch Logs no tienen una suscripción a Amazon SNS válida.
SNS_TOPIC_CROSS_ACCOUNT	WARNING	El resultado se encuentra en un estado de WARNING. El tema de SNS asociado a esta regla es propiedad de otra cuenta. La cuenta actual no puede obtener la información de la suscripción. La cuenta propietaria del tema de SNS debe conceder a la cuenta actual el permiso sns:ListSubscriptionsByTopic para el tema de SNS.
SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION	WARNING	El resultado se encuentra en un estado de WARNING, porque el tema de SNS asociado a esta regla se encuentra en una región o cuenta diferente. Esta regla no admite comprobaciones entre regiones ni entre cuentas. Se recomienda deshabilitar este control en esta región o cuenta. Ejecútelo solo en la región o cuenta donde se encuentra el recurso.
SNS_TOPIC_INVALID	FAILED	El tema de SNS asociado a esta regla no es válido.
THROTTLING_ERROR	NOT_AVAILABLE	La operación de la API relevante superó la tasa permitida.

Detalles de ProductFields de los resultados de los controles

Cuando Security Hub ejecuta controles de seguridad y genera resultados de control, el atributo ProductFields de ASFF incluye los siguientes campos:

ArchivalReasons:0/Description

Describe por qué Security Hub ha archivado los resultados existentes.

Por ejemplo, Security Hub archiva los resultados existentes al deshabilitar un control o estándar y al activar o desactivar los resultados del control consolidado.

ArchivalReasons:0/ReasonCode

Explica el motivo por el que Security Hub ha archivado los resultados existentes.

Por ejemplo, Security Hub archiva los resultados existentes al deshabilitar un control o estándar y al activar o desactivar los resultados del control consolidado.

StandardsGuideArn o StandardsArn

El ARN del estándar asociado con el control.

Para el estándar CIS AWS Foundations Benchmark, el campo esStandardsGuideArn.

Para los estándares PCI DSS y AWS Foundational Security Best Practices, el campo es. StandardsArn

Estos campos se eliminan en favor de Compliance.AssociatedStandards si se activan los resultados de control consolidados.

StandardsGuideSubscriptionArn o StandardsSubscriptionArn

El ARN de la suscripción de la cuenta al estándar.

Para el estándar de referencia de CIS AWS Foundations, el campo es. StandardsGuideSubscriptionArn

Para los estándares PCI DSS y AWS Foundational Security Best Practices, el campo es. StandardsSubscriptionArn

Estos campos se eliminan si activas los resultados de control consolidados.

RuleId o ControlId

El identificador del control.

Para el estándar de referencia de CIS AWS Foundations, el campo es. RuleId

Para otros estándares, el campo es ControlId.

Estos campos se eliminan en favor de Compliance.SecurityControlId si se activan los resultados de control consolidados.

RecommendationUrl

La dirección URL de la información de corrección del control. Este campo se elimina a favor de Remediation.Recommendation.Url si se activan los resultados de control consolidados.

RelatedAWSResources:0/name

El nombre del recurso asociado a el resultado.

RelatedAWSResource:0/type

El tipo de recurso asociado con el control.

StandardsControlArn

El ARN del control. Este campo se elimina si se activan los resultados de control consolidados.

aws/securityhub/ProductName

Para los resultados basados en el control, el nombre del producto es Security Hub.

aws/securityhub/CompanyName

Para los resultados basados en el control, el nombre de la empresa es AWS.

aws/securityhub/annotation

Una descripción del problema descubierto por el control.

aws/securityhub/FindingId

El identificador del resultado. Este campo no hace referencia a un estándar si activa los resultados de control consolidados.

Asignación de la gravedad a los resultados de los controles

La gravedad asignada a un control de Security Hub identifica la importancia del control. La gravedad de un control determina la etiqueta de gravedad asignada a los resultados del control.

Criterios de gravedad

La gravedad de un control se determina en función de la evaluación de los siguientes criterios:

• ¿Cómo de difícil es para un agente de amenazas aprovechar la debilidad de la configuración asociada al control?

  La dificultad viene determinada por el grado de sofisticación o complejidad que se requiere para utilizar la debilidad para llevar a cabo un escenario de amenaza.

• ¿Qué probabilidades hay de que la debilidad comprometa sus recursos Cuentas de AWS o sus recursos?

  Si sus recursos se Cuentas de AWS ven comprometidos, la confidencialidad, la integridad o la disponibilidad de sus datos o AWS infraestructura se ven afectadas de alguna manera.

  La probabilidad de que se ponga en peligro indica la probabilidad de que el escenario de amenaza provoque una interrupción o una violación de sus AWS servicios o recursos.

Como ejemplo, fíjese en las siguientes debilidades de configuración:

• Las claves de acceso de los usuarios no se renuevan cada 90 días.

• Existe la clave de usuario raíz de IAM.

Ambas debilidades son igualmente difíciles de aprovechar para un adversario. En ambos casos, el adversario puede utilizar el robo de credenciales o algún otro método para adquirir una clave de usuario. Luego pueden usarla para acceder a sus recursos de forma no autorizada.

Sin embargo, la probabilidad de que se ponga en peligro es mucho mayor si el autor de la amenaza adquiere la clave de acceso del usuario raíz, ya que esto le da un mayor acceso. Como resultado, la debilidad clave del usuario raíz es más grave.

La gravedad no tiene en cuenta la criticidad del recurso subyacente. El nivel de importancia crítica se define como el nivel de importancia de los recursos que están asociados con el resultado. Por ejemplo, un recurso que está asociado a una aplicación de misión crítica es más crítica que uno asociado a pruebas que no son de producción. Para recopilar información sobre la criticidad de los recursos, utilice el Criticality campo del formato de búsqueda de AWS seguridad (ASFF).

La siguiente tabla muestra la dificultad de explotación y la probabilidad de que las etiquetas de seguridad se vean comprometidas.

	Compromiso muy probable	Compromiso probable	Compromiso poco probable	Compromiso muy poco probable
Muy fácil de explotar	Critico	Critico	Alta	Medio
Algo fácil de explotar	Critico	Alta	Medio	Medio
Algo difícil de explotar	Alta	Medio	Medio	Baja
Muy difícil de explotar	Medio	Medio	Baja	Baja

Definiciones de gravedad

Las etiquetas de gravedad se definen de la siguiente manera.

Crítico: el problema debe solucionarse de inmediato para evitar una escalada.

Por ejemplo, un bucket de S3 abierto se considera un hallazgo de gravedad crítica. Debido a que muchos agentes exploran buckets S3 abiertos, es probable que otros detecten los datos de un bucket de S3 expuesto y accedan a ellos.

En general, los recursos que son de acceso público se consideran problemas de seguridad críticos. Debe tratar los resultados críticos con la máxima urgencia. También debe tener en cuenta la criticidad del recurso.

Alto: el problema debe abordarse con prioridad a corto plazo.

Por ejemplo, si un grupo de seguridad de VPC predeterminado está abierto al tráfico entrante y saliente, se considera de gravedad alta. Es bastante fácil para un actor de amenazas comprometer un VPC mediante este método. También es probable que el actor de la amenaza pueda interrumpir o exfiltrar los recursos una vez que estén en el VPC.

Security Hub recomienda tratar un un resultado de gravedad alta como una prioridad a corto plazo. Debe tomar medidas correctivas de inmediato. También debe tener en cuenta la criticidad del recurso.

Medio: el tema debe abordarse como una prioridad a medio plazo.

Por ejemplo, la falta de cifrado de los datos en tránsito se considera un resultado de gravedad media. Se requiere un man-in-the-middle ataque sofisticado para aprovechar esta debilidad. Es decir, es algo difícil. Es probable que algunos datos se vean comprometidos si el escenario de amenaza tiene éxito.

Security Hub recomienda que investigue el recurso implicado tan pronto como sea posible. También debe tener en cuenta la criticidad del recurso.

Bajo: el problema no requiere acción por sí solo.

Por ejemplo, la falta de recopilación de información forense se considera de gravedad baja. Este control puede ayudar a evitar futuros compromisos, pero la ausencia de análisis forense no conduce directamente a un compromiso.

No es necesario tomar medidas inmediatas ante los resultados de baja gravedad, pero pueden proporcionar un contexto si los correlacionas con otros problemas.

Informativo: no se encontró ningún punto débil en la configuración.

En otras palabras, el estado es PASSED, WARNING o NOT AVAILABLE.

No se recomienda ninguna acción. Los resultados informativos ayudan a los clientes a demostrar que están en un estado de conformidad.

Reglas para actualizar los resultados de los controles

Una comprobación posterior con respecto a una regla determinada podría generar un nuevo resultado. Por ejemplo, el estado de “Evitar el uso del usuario raíz” podría cambiar de FAILED a PASSED. En ese caso, se genera un nuevo resultado que contiene el resultado más reciente.

Si una comprobación posterior en función de una determinada regla genera un resultado que es idéntico al resultado actual, se actualiza el hallazgo existente. No se genera un nuevo hallazgo.

Security Hub archiva automáticamente los resultados de los controles si el recurso asociado se elimina, el recurso no existe o el control está deshabilitado. Es posible que un recurso ya no exista porque el servicio asociado no se utiliza actualmente. Los resultados se archivan automáticamente en función de uno de los siguientes criterios:

• El resultado no se actualiza hasta transcurridos entre tres y cinco días (tenga en cuenta que es lo mejor y no está garantizado).

• Se devolvió AWS Config la evaluación asociadaNOT_APPLICABLE.